La computacin en la nube abstracta permite a los usuarios almacenar de forma remota sus datos
en la nube y proporciona aplicaciones en demanda y los servicios de un grupo compartido de
computacin configurables recursos. La seguridad de los datos externos en la nube depende de la seguridad del sistema de computacin en la nube y red. Sin embargo, se han realizado numerosos esfuerzos en asegurar datos sobre el sistema de computacin en nube, la evaluacin de la seguridad de datos en la red entre el proveedor de la nube y sus usuarios es todava una tarea muy difcil. La auditora de la computacin en la nube y el sistema de la red proporcionar informacin sobre la seguridad y de el rendimiento de las mquinas virtuales y el sistema operativo en mltiples centros de datos y la red intra-nube gestionada por la nube proveedores y la red de rea amplia entre el usuario nube y proveedor de la nube. Por lo tanto, el anlisis de trfico de red para la nube auditora es de importancia crtica para que los usuarios pueden recurrir a una fiesta de auditora externa para verificar la seguridad de los datos en la red entre el proveedor de la nube y sus usuarios. Este artculo presenta las siguientes tecnologas clave necesarias para analizar el trfico de red en el entorno de(LA COMPUTACION EN NUBE ) cloud computing: geolocalizacin IP de red dispositivos entre proveedor de la nube y sus usuarios, el seguimiento de la seguridad de los datos de la ruta de red de la nube, y la minera en lnea de registros de auditora de nubes masivas generadas por el trfico de red de la nube.
I. INTRODUCCIN La computacin en nube es claramente uno de los ms atractivos de hoy tecnologas debido a su escalabilidad, flexibilidad y costo-eficiente el acceso a los recursos informticos. Grandes y pequeas empresas estn aprovechando cada vez ms la computacin en nube para gestionar la de computacin y almacenamiento de cargas de trabajo [7]. Se ha utilizado en la consolidacin de los recursos de TI, las aplicaciones basadas en Web, telfono inteligente, y varios dispositivos innovadores, que fuertemente confiar en la salubridad y el rendimiento de las conexiones de red en las nubes. Por ejemplo, el cloud computing ofrece la Web Tecnologas 2.0 para aplicaciones de audio y video que demandan conexiones de baja latencia de alto rendimiento /. La nube la red del proveedor tambin ser esencial en una Mquina Virtual (VM) de migracin como las grandes organizaciones se mueven petabytes de informacin interna a los proveedores de nube pblica y los datos migraciones entre nubes privadas para la copia de seguridad y desastres recuperacin El rendimiento de la mayora de las aplicaciones que utilizan la nube entorno informtico depende de manera crucial de la red infraestructura entre el proveedor de la nube y sus usuarios. Para ejemplo, una red donde los routers son vulnerables debido a que se pueden abrir puertos inseguros o malintencionados, podra conducir a la extensin datos sean comprometidos. Adems, si un router est plagada de prdidas de paquetes y pobre rendimiento, aplicaciones web (correo electrnico, http, juegos, chat, etc) en la nube ser objeto de reducir la velocidad tiempo de respuesta. Esto podra hacer que los suscriptores descontentos a elegir los proveedores de nube alternos. El primer paso en la prestacin de los abonados o los proveedores de capacidad para configurar la red en entornos de cloud computing actuales es identificar los atributos de las nubes asegurados ya la mtricas de seguridad y de disponibilidad correspondiente. Tradicionalmente, la red entre el proveedor de la nube y sus usuarios tiene en gran medida centrado en proporcionar la conectividad bsica y firewall apoyar a los clientes mquinas virtuales en cada servidor virtual. La red Se requieren indicadores de seguridad y disponibilidad para mejorar control de acceso, la privacidad, el enrutamiento basado en polticas, el cumplimiento de la auditora,aceleracin de protocolo, control de ruta, la falta de redundancia, y la estimacin del ancho de banda insuficiente. La disponibilidad de la mtrica hace factible para los proveedores de la nube y su usuarios para configurar la red o evaluar la red mediante Acuerdo de Nivel de Servicio (SLA) en la nube computacional medio ambiente.Hay una necesidad de desarrollar tcnicas de auditora en la nube para la medicin de estos indicadores para mejorar la seguridad, la disponibilidad y rendimiento en diversos entornos de nube multi-tenant. Auditora en nube es un rea de investigacin urgente debido emergente retos asociados a la explotacin de la informacin enormes troncos de auditora nube. Auditora legado no es la solucin y no existen normas de auditora nube universales a evaluar el desempeo de la nube. Nube de auditora masiva registros requiere analizar volmenes de datos que cruzan habitualmente la umbral peta-escala. En este trabajo, presentamos retos y enfoques para desarrollar mtricas de seguridad para la auditora de la nube. El primer desafo es la determinacin de la ubicacin del usuario y el anlisis solicitudes de servicio en la nube de los usuarios. La determinacin de la ubicacin de usuario es fundamental para el seguimiento de los usuar lo malicioso usuarios de la nube de cambiar las ubicaciones y la falta de IP exacta Los algoritmos de geolocalizacin. Hemos desarrollado una mayor clasificador algoritmo de geolocalizacin IP basado para mejorar la precisin de la localizacin de los usuarios en la nube. El segundo desafo es la incapacidad para caracterizar el impacto de la red de la nube sobre las garantas de seguridad de nubes y de rendimiento.Es necesario analizar el grado de seguridad que ofrece la red para aplicaciones de intercambio de datos desplegados en la nube ambientes que abarcan los dominios administrativos y de red. Hemos desarrollado una tcnica de evaluacin de riesgos para cuantificar la vulnerabilidad de la red de la nube. El tercer desafo es relacionada con la necesidad de tcnicas de minera de datos incrementales en analizar los registros de auditora de nubes en tiempo real. La minera de datos tradicional tcnicas de realizar anlisis de instantnea de trfico en la red. Anlisis instantneo es lenta para responder a los cambios en la red caminos, adems de un nuevo sitio de centro de datos, etc Tenemos desarrollado un aprendizaje automtico supervisado integrado y controlar modelo terico para sintonizar de forma adaptativa la deteccin umbral de un sistema de deteccin de intrusiones en tiempo real (IDS) de acuerdo con los cambios operativos en la computacin en nube medio ambiente. Con el fin de poner este documento en el contexto correcto,
Seccin 2 presenta el algoritmo de geolocalizacin IP clasificacin basada para localizar con precisin los routers entre proveedor de la nube y sus usuarios. En la seccin 3 se presentan las vulnerabilidades de enrutadores de la ruta de red entre cuatro comercial proveedores de la nube y sus usuarios y hace hin capi en la necesidad para calcular el riesgo asociado con la transferencia de datos en la nube.
La seccin 4 presenta un modelo de minera de datos incrementales de detectar eventos anormales en los registros de auditora de nubes en tiempo real. Finalmente, concluimos en la seccin 5.
II. ANLISIS DE TRFICO DE LA RED DE LA NUBE AUDITORA Los registros de auditora de nubes suelen contener informacin sobre conexiones de red entre usuarios de la nube y las instancias de mquina virtual el proveedor de la nube. Desafortunadamente, la informacin contenida en estos registros no son suficientes para llevar a cabo la auditora de la nube. Hay una necesidad de un anlisis adicional para determinar la ubicacin de usuarios de la nube, la seguridad ruta de red, la estimacin del ancho de banda de saltos de red, disponibilidad de sistema de computacin en la nube y routers de red, etc Por ejemplo, las consultas que requiere informacin de geolocalizacin de usuarios de la nube o routers entre usuario y proveedor de nube nube dependera de la disponibilidad del sistema de geolocalizacin de IP. Al mismo tiempo, las consultas que determinar la seguridad y el ancho de banda de la red camino entre el usuario y el proveedor de nube nube requerira la disponibilidad de seguridad y ancho de banda mtricas router. Esta informacin no est disponible en los registros de auditora de nubes y requiere mediciones y anlisis adicionales para determinar estas mtricas. Adems, estas cifras cambiarn con frecuencia, debidoa los cambios operativos en la red. Por lo tanto, hay una necesidadpara un modelo de minera de datos en lnea que se asegurar de que el Mtricas de geolocalizacin IP y el router de seguridad y ancho de banda son oportuna y precisa. .Geolocalizacin A. IP El aumento de la concentracin de los datos de negocios y la informtica en entornos de nube escalas riesgo para la seguridad tambin. Ataques cibernticos sofisticados se han desplegado para atacar cloud computing infraestructura. Por ejemplo, los atacantes tienen abusado de varias plataformas de computacin en nube, como Amazon EC2 [6], [1] y App Engine de Google [2], por botnet -comando y control (C & C). La derrota de los ataques cibernticos en entornos de nube es un reto debido tanto a la escala del problema y la creciente sofisticacin de la ataques. Uno de los recientes problemas de seguridad se atribuye a la ubicacin de datos del usuario de la nube. Los usuarios de la nube externalizar sus datos y cargas de trabajo de computacin en mquinas virtuales sobre una nube la infraestructura del proveedor. Sin embargo, la nube polticas de auditora requieren que algunos usuarios de la nube restringen lugares VM a cierta lugares, segn lo especificado por un SLA. Los usuarios de la nube pueden emplear Tcnicas de geolocalizacin IP para estimar la ubicacin de su datos. Geolocalizacin IP proporciona la capacidad para estimar geogrfica ubicacin de los hosts de Internet por parte de una nica direccin IP. Este es un proceso difcil debido a la falta de una relacin entre la direccin IP y su ubicacin geogrfica.Ms recientemente, las tcnicas basadas en geolocalizacin IP han sido desplegados en los servicios de infraestructura de nube, como Amazon de Servicio EC2. Desafortunadamente, el objetivo de geolocalizacin tiene un incentivo para engaar al sistema de geolocalizacin sobre su verdadera ubicacin. Los proveedores de cloud o a violar sus SLAs para localizar las mquinas virtuales de los clientes a los lugares donde el costo de funcionamiento de la gestin de mquinas virtuales es menos costoso [14]. Los usuarios de cloud computing desplegar mquinas virtuales en un nublar la infraestructura del proveedor sin tener que mantener el hardware de su mquina virtual se est ejecutando. Sin embargo, las diferencias en las leyes que rigen cuestiones tales como la privacidad, la informacin descubrimiento, de cumplimiento y de auditora requieren que alguna nube los usuarios para restringir las ubicaciones de VM a ciertas jurisdicciones o pases [14]. Estas restricciones de localizacin pueden especificarse como parte de un SLA entre el usuario y el proveedor de nube. En estos casos, el objetivo de geolocalizacin tiene un incentivo para engaar al sistema de geolocalizacin sobre su verdadera ubicacin. Los proveedores de nube pueden intentar romper las restricciones de ubicacin en sus SLA para mover las mquinas virtuales de los clientes a los lugares ms baratos. Los algoritmos de geolocalizacin IP necesitan para mantener la precisin de la estimacin de localizacin de datos a pesar de los intentos de la nube proveedor de la nube para mover las mquinas virtuales a lugares no especificados en el SLA. Por lo tanto, no es un requisito para usuarios de la nube a tener una verificacin independiente de la ubicacin de sus mquinas virtuales para satisfacer los requisitos de auditora. Incluso si el propio proveedor de la nube no es malicioso, sus empleados tambin pueden tratar de reubicar Mquinas virtuales a lugares donde pueden ser atacados por otros malicioso VM [25]. As, mientras que los usuarios pueden confiar en la nube el proveedor de servicio en la nube, que todava puede ser obligado a tener verificacin independiente de la ubicacin de sus mquinas virtuales para satisfacer auditar los requisitos o para evitar la responsabilidad legal. Durante la ltima dcada, varios de geolocalizacin IP se acerca dirigida a aproximacin exacta de la ubicacin de red han surgido ejrcitos. Estos enfoques se pueden clasificar en trminos generales en dos grupos en funcin de su tcnica para recoger informacin de ubicacin. Un conjunto de tcnicas aprovecha informacin de bases de datos comerciales para adquirir informacin en la ubicacin geogrfica de direcciones IP. Estas bases de datos almacenar informacin de la organizacin asignada a dominios IP y Nombres DNS. Estas bases de datos tienden a ser de grano grueso, por lo general regresan las oficinas centrales de la organizacin que registra la direccin IP. Esto se convierte en un problema cuando las organizaciones distribuyen sus direcciones IP a travs de una amplia regin geogrfica, como los grandes proveedores de Internet o proveedores de contenido. Las bases de datos tambin pueden ser fcilmente engaados por proxies. La otra tcnica utiliza retardo activo y topologa mediciones para estimar la localizacin geogrfica de las direcciones IP. Enfoques de geolocalizacin basada en la medicin que utilizar los tiempos de ida y vuelta de extremo a extremo (RTT) se clasifican como algoritmos basados en retraso y los que utilizan tanto RTT y informacin de la topologa como algoritmos de topologa conscientes. Pero enfoques topologa basada suelen plagados de imprecisiones en nodos geolocalizadoras. Castelluccia et al. aplicar Geolocalizacin basado en restricciones (CBG) [15] para el problema de geolocalizar servidores fast-flux escondido que utilizan una capa de delegacin de votos en un botnet para ocultar su ubicacin. Una reciente estudio [14] revela que los enfoques de topologa conscientes realidad evolucionar peor contra un adversario que intenta subvertir el enfoques en la devolucin de resultados falsos. -Topologa conscientes enfoques son, por tanto, menos adecuadas para la seguridad y minsculas aplicaciones. Hemos propuesto un Enhanced Learning clasificador IP enfoque de geolocalizacin, que se extiende una IP basada existente enfoque de geolocalizacin con caractersticas adicionales y adecuado seleccin hito. Recientemente, se ha demostrado que la precisin de geolocalizacin IP se puede mejorar mediante la fundicin IP Geolocalizacin como un problema de clasificacin aprendizaje automtico. Este enfoque hace posible la incorporacin tanto de la red mediciones (latencia y hop count) y las caractersticas de la sociedad (densidad de poblacin de la ciudad) para localizar una direccin IP.Mejoramos la precisin del aprendizaje de las mquinas existentes Geolocalizacin clasificador IP mediante la ampliacin de la lista de caractersticas para incluir retraso promedio, la desviacin estndar de la demora, el modo de y la mediana de demora y la seleccin cuidadosa de los monumentos. La Adems de estas caractersticas aseguran que el nuestro enfoque es menos propenso a errores de medicin y otras anomalas de red que afecta a la aproximacin distancia. Para demostrar la robustez y la precisin de nuestro enfoque, evaluamos elrendimiento en los nodos de PlanetLab. Nuestro anlisis de rendimiento muestra que en los conjuntos de datos terreno la verdad, nuestro enfoque proporciona estimaciones de localizacin con una precisin excepcional en comparacin con tcnicas de estado- of-the-art, CBG [15] y Aprendizaje Automtico IP Geolocalizacin base [11]. Para evaluar nuestro enfoque, se presenta la localizacin del router escenario, que es fundamental para el examen de la distribucin geogrfica propiedades de la Internet. En este escenario, se recogieron el mayor nmero de direcciones IP del router espacialmente diversas como sea posible dentro de los Estados Unidos continentales. Identificamos los routers a lo largo de mltiples rutas de red entre todos PlanetLab (planetaria escalar sistema distribuido) [4] pares de nodos. Para recoger el router Direcciones IP, se realiz un traceroute malla completa entre sensible PlanetLab nodos en mltiples ocasiones entre el 1 de junio de 2011 y el 31 de octubre de 2011. Las sondas traceroute resultaron en 142.937 direcciones IP del router. Se utiliz Maximind [3] base de datos para filtrar las direcciones IP que caen dentro de la Estados Unidos y haber conocido lugares de la ciudad y del condado. Como diferentes direcciones IP potencialmente podran pertenecer al nico interfaces del mismo router, se realiz dealiasing IP a reducir las direcciones IP del router a 23.843. Con el conjunto de datos a partir de 23.843 routers, usamos el 80% como el conjunto de entrenamiento y el resto 20%, como el conjunto de pruebas. Tabla II una comparacin de nuestros resultados preliminares con el aprendizaje basado en IP geolocalizacin y CBG. Como vemos en la tabla, el error medio estimaciones de distancia producidos por nuestra tcnica es menor que geolocalizacin de IP basado en el aprendizaje y CBG. Incluso con el mismo conjunto de caractersticas como la geolocalizacin IP basado en el aprendizaje, la geolocalizacin estimaciones producidas por nuestra tcnica es mejor debido a nuestra puntos de referencia de la poltica de seleccin. Se remite al lector a un reciente documento de la conferencia para ms detalles sobre la seleccin hito la poltica y la posterior evaluacin de nuestro enfoque [22] B. Anlisis Router IP A pesar de la disponibilidad de numerosas aplicaciones de red en la nube, aspectos que son fundamentales cuando se migra lineof-aplicaciones de red de negocios, incluyendo la falta de grano fino la seguridad, la privacidad, el cumplimiento de la auditora, impredecible el rendimiento y la confiabilidad pobre [28]. Las aplicaciones de red estn tpicamente alojados en servidores gestionado por los proveedores de nube para proporcionar el servicio a la nube suscriptores. Las aplicaciones de red, como por ejemplo, los servicios Web, mensajera instantnea, aplicaciones financieras, y los juegos, suelen implicar el intercambio de informacin sensible. La seguridad de estas aplicaciones depende de la disponibilidad de un red subyacente confiable entre el proveedor de la nube y el suscriptor de la nube. La red subyacente entre el abonado y el proveedor se ha centrado en gran medida en la prestacin de conectividad bsica a los clientes mquinas virtuales, con firewall bsico capacidades disponibles en cada servidor. Varios de red clave capacidades de seguridad para la proteccin de los datos intercambiados entre el abonado y el proveedor no estn disponibles. Este red no confiable puede comprometer sensible y de alta informacin sobre el valor transmitido por las aplicaciones. Por ejemplo, un conjunto de routers en el camino entre la nube proveedor y el abonado podra quedar vulnerable a adversarial ataques, que podran dar lugar a consultas de bsqueda que se pueda interceptar, El mensaje de IM que ser modificado, y operaciones financieras, a comprometida. Suscriptores nube insatisfechos podran elegir proveedores de la nube alternos, lo que redundar en una significativa prdida de ingresos. Por lo tanto, hay una necesidad urgente para evaluar la nivel de los mecanismos de seguridad y privacidad que ofrece el red subyacente para proteger la autenticidad, integridad y confidencialidad de la informacin que fluye entre la nube suscriptores y proveedores. La figura 1 ilustra el modelo del sistema. El trfico de la red entre el abonado nube y proveedores de nube flujos a travs de la red de routers de ncleo. La seguridad de la trfico de la red depende del nivel de seguridad de los routers de ncleo en la trayectoria de la nube de abonado a cada uno de la nube proveedores. Evaluar el nivel de seguridad de cada individuo router en la ruta ofrecer a los suscriptores una nube mecanismo para evaluar la seguridad de las rutas de red a cada proveedor de la nube. El suscriptor nube elegir realizar negocios con el proveedor de la nube, cuya informacin atraviesa la ruta de red ms segura.
Los problemas de seguridad de la nube han ganado recientemente la traccin en el comunidad de investigacin, donde la atencin se ha centrado principalmente en la proteccin de los servidores de los proveedores de nube (asegurar el lowlevel sistemas operativos o las implementaciones de la mquina virtual). Servidores de la nube sin garanta han demostrado ser paralizado con ataques nuevos de denegacin de servicio [20]. Sin embargo, mientrastales amenazas a servidores de la nube son ampliamente entendidos, es menos bien apreciado que la infraestructura de red subyacente s es objeto de constantes ataques tambin. Los proveedores de cloud han comenzado a aumentar su actual operaciones de red con el fin de brindar un mejor servicio a la nube suscriptores. Pero la mayora de estas mejoras son principalmente dirigido a un pequeo conjunto de funcionalidades. Por ejemplo, a proveedores de la nube, Amazon y Azure, estn proporcionandorelacionados con la red servicios complementarios tales como el aislamiento de trfico, abordar costumbre, equilibrar la carga de trfico a travs de clster VMS, y servicios de distribucin de contenidos que utilizan su distribucin plataformas. Por ejemplo, Amazon ampli sus servicios VPN para incluir conectividad segura a instancias virtuales aislados con la capacidad de ellos segmento en subredes y especificar rangos de direcciones privadas y acceso a la red ms flexible Listas de control [6]. Adems, Microsoft Windows Azure virtuales red proporciona servicios para los clientes integrar OnPremise aplicaciones. Recientemente, ha habido una afluencia de aparatos de nubes virtuales, que son los servicios relacionados con la red proporcionada por terceros proveedores. Algunos de estos servicios incluyen capacidades de seguridad como, prevencin de intrusiones personalizada direccionamiento y cifrados de comunicacin [9]. Recientemente, la comunidad cientfica ha avanzado su opinin de los requisitos de la red y los retos en el apoyo a diversas aplicaciones en la nube [9]. CloudNaaS (Cloud Redes-as-a-Service) es un marco de la creacin de redes que extiende el modelo de aprovisionamiento de autoservicio de la nube ms all de servidores y almacenamiento para incluir un amplio conjunto de virtuales servicios de red de acompaamiento [9]. CloudNaaS mitiga la corriente de control limitado disponible para los suscriptores de la nube para configurar la red, poniendo a su disposicin el acceso a servicios como, aislamiento, direccionamiento personalizada, servicio de diferenciacin, deteccin de intrusos, y el almacenamiento en cach. Hemos evaluado el nivel de seguridad de la red entre el proveedor de la nube y la nube de abonado basado en los datos recogidos de los routers de la red central [26],[24]. Nuestro trabajo est motivado por la observacin de que la el rendimiento de la mayora de las aplicaciones de intercambio de datosdesplegado en infraestructuras cloud depender del seguro subyacente redes. Los datos recogidos de los routers ayuda en la evaluacin de software y de protocolo vulnerabilidades. Se evalu el impacto de las vulnerabilidades de routers en el rendimiento de las aplicaciones de intercambio de datos en la nube. Nuestro proceso de vulnerabilidad puerto del router demuestra que existen routers trivialmente explotables entre la nube proveedor y el abonado por los ataques de confrontacin sean factibles. Nuestros resultados tambin demuestran que no son lo suficientemente inseguro abrir puertos en los routers que pueden verse comprometidos en una gran escala por los atacantes poco sofisticados tcnicamente. los datos proceso de recogida se ilustra en la Figura 2. Figura 3 muestra la comparacin del riesgo de Confidencialidad de la red de la nube para los dos proveedores de la nube. Vemos que el alto riesgo y grupos de riesgo medio, estn dominados por la nube B en tanto que la grupo de bajo riesgo est dominado por el cloud A. Vemos similares tendencia al comparar el riesgo de integridad, como se muestra en la Figura 4. El riesgo de disponibilidad tambin sigue la misma tendencia que se muestra en la figura 5. El lector puede consultar dos artculos recientes para ms detalles sobre la evaluacin de los riesgos que plantean los vulnerables routers de servicios en la nube de los usuarios [26], [24].
III. MINERA DE DATOS ONLINE Anlisis de trfico de red en el entorno de la computacin en nube tradicionalmente usan tcnicas de minera de datos para obtener un modelo que capta con precisin los patrones de trfico entre la nube usuario y el proveedor. Sin embargo, estas tcnicas dependen la disponibilidad de los patrones normales de trfico del sistema de nubes perfil. Pero la huella digital estadstica del trfico normal patrn puede cambiar y variar a lo largo de un perodo de tiempo debido a varios fenmenos a nivel de red (por ejemplo, cambios en la actividad del usuario en funcionamiento o nube en el sitio de red o incluso las actualizaciones del proveedor de la nube (suma del nuevo centro de datos, cambios en la ejecucin de la mquina virtual, los cambios en los huspedes OS, etc)). Los cambios en los patrones normales de trfico a travs del tiempo conducir a concepto de deriva. Algunos cambios pueden ser temporales, cclico y puede ser de corta duracin o pueden durar largos periodos de tiempo. Dependiendo de varios factores, la velocidad a la que el cambio en los patrones de trfico se produce tambin puede ser variable, que van desde casi instantnea a los cambios que ocurren en el lapso de varios meses. Estos cambios en el trfico patrones son una causa de preocupacin para el anlisis de trfico de red como que pueden conducir a un aumento significativo en las tasas de falsos positivos. A su vez, este efecto supone una pesada carga en el posterior a la deteccin etapas que inspeccionan los paquetes que han levantado las alarmas reduciendo de este modo la precisin del anlisis de trfico de la red. Con el fin de mejorar la precisin del anlisis de trfico de la red, hay una necesidad de un mecanismo automatizado para detectar vlida cambios de trfico y evitar respuestas ad hoc inapropiados. Caractersticas de funcionamiento del receptor (ROC) curvas tienen ha utilizado como el mtodo de facto para evaluar la exactitud de analizadores de trfico de red. Para operacin en tiempo real, el mejor Punto de funcionamiento ROC se elige a la puntuacin mnima requerida. Pero, en presencia de trfico en la red concepto deriva arroyos ROC curvas generadas usando umbrales fijos no pueden proporcionar el mejor precisin alcanzable para un analizador de trfico de red. Tambin, una rgida (tiempo e invariante comportamiento) Clasificacin umbral puede limitar la precisin de que el trfico de la red analizador potencialmente puede lograr. Por otra parte, la determinacin del umbral mediante curvas ROC tambin introduce indeseable la intervencin humana en el funcionamiento de una red de analizador de trfico. En esta seccin, presentamos una mquina supervisada integrado el aprendizaje y el control de la teora de modelos para sintonizar de forma adaptativa la umbral de deteccin de anlisis de trfico de red en tiempo real en de acuerdo con diferentes nube usuario, proveedor de red y comportamiento para detectar concepto de deriva en los patrones de trfico normales. El modelo consta de una mquina de vectores de soporte basado clasificador que se ejecuta en un router y funciones de puerta de enlace como parte del motor de control de realimentacin. Nuestro modelo incluye una divergencia de Kullback-Leibler basa la medicin relativa entropa esquema para la cuantificacin de los cambios en el trfico normal. El motor de control de realimentacin se basa en un controlador PID que vigila la variacin en las mediciones de entropa relativa. Nuestro modelo se puede adaptar a una variedad de trfico de la red tareas de anlisis sobre los sistemas de computacin en nube. Mostraremos que, con alguna modificacin, nuestro modelo se puede utilizar para guiar el analizador de trfico de red, proporcionando informacin sobre cuando se produce el cambio de trfico. Analizadores de trfico de red para el clculo de los umbrales de RoC se han propuesto [19], [16]. Sin embargo, la mayora de estos esfuerzos de investigacin no abordan el concepto de red de deriva- flujos de trfico y, en consecuencia no proporcionan aceptable desempeo bajo condiciones de trfico varan en el tiempo. Algunos analizadores de trfico de red comerciales ajustan sus umbrales de conformidad con las caractersticas de trfico de entrada [17]. A medida que estos productos utilizan algoritmos propietarios, no podemos comentarios sobre las mejoras de precisin que se pueden lograr por estos algoritmos. Una de las primeras obras de adaptacin umbralizacin es por Agosta et al. [21], que propone un detector de anomala que ajusta su umbral segn las variaciones observadas en la entrada. En [5], [8], los autores modelos estocsticos propuestas para mitigar los umbrales rgidos para la clasificacin de una anomala mediante la adaptacin de los umbrales con diferentes Caractersticas de las entradas. Los modelos pueden predecir con exactitud el valores esperados de las puntuaciones de anomalas futuras bajo benigna condiciones, lo que conduce al umbral de deteccin es adaptada como una funcin de la puntuacin predicha. Algunos de las limitaciones de este modelo son que puede ser utilizado para mejorar analizador de trfico de red en tiempo real, un menor nmero de alarmas se producen para anomala persistente, debido a la menor peso a picos repentinos en las perturbaciones de datos y carece de estabilidad en trminos de aprendizaje tendencia observada recientemente. Ms recientemente, se han sido los esfuerzos de deteccin concepto de deriva utilizando Adaboost y Modelo oculto de Markov [10] y modelos de clustering [18]. Pero estos esfuerzos no son propicias para el trfico de la red en lnea anlisis debido al tiempo y complejidad de clculo de la algoritmos. En la prctica, los analizadores de trfico de red se actualizan con frecuencia en presencia de trfico streaming. Hay una fuerte necesidad para una tcnica genrico que puede adaptar el umbral en presencia de flujos de red concepto de deriva. Esta tcnica ser independiente del algoritmo de deteccin de anomalas y debe funcionar a la perfeccin con una gran precisin para cualquier dado algoritmo. Una tcnica de deteccin genrico concepto de deriva para adaptar el umbral de la Repblica de China es en gran parte inexplorado en la investigacin literatura. A. adaptativa ROC umbral en red analizador de trfico En esta seccin, se propone el control de teora integrada y el modelo de aprendizaje de la mquina que ser capaz de adaptarse el umbral de la Repblica de China en el analizador de trfico de red en presencia de flujos de red concepto de deriva. El modelo comprende de tres componentes integrados: modelo en lnea-SVM, en relacin esquema de medicin de la entropa, y el motor de control de retroalimentacin. En base a las propiedades estadsticas exhibidos por la evolucin flujo de datos, la siguiente seccin se describe cmo el tres componentes se pueden rastrear con precisin el concepto de deriva en trfico en tiempo real y / o mediciones OS. Para poner las cosas en perspectiva, antes de proceder con la descripcin de los el algoritmo, hacemos hincapi en nuestra razn de ser y de alto nivel metodologa. 1) motivacin: La precisin de un analizador de trfico de red se ha caracterizado tradicionalmente por porcentaje de la media detecciones y los falsos positivos mediante la aplicacin de diferentes medios modelos de clasificacin. Si bien este tipo de evaluacin es til para tener una idea de la exactitud del caso medio de una red de analizador de trfico, mtodos para lograr la mejor precisin para datos de evolucin (trfico o OS) no estn bien investigadas. en prctica, un analizador de trfico de red tendr que de alguna manera aprender un buen clasificador en presencia de perturbaciones menores del trfico en tiempo real. Para empeorar las cosas, el trfico que se introducen en un analizador de trfico de red tpicamente mostrar considerables variaciones en el tiempo. Caractersticas del trfico varan travs de las organizaciones y los puntos de despliegue de red, y los patrones de uso diurno y otros. Como un ejemplo, [5] han demostrado que mediante la observacin del fondo de LBNL tasas de trfico, se puede inferir fcilmente que las tasas de trfico cambian de aproximadamente 500 pkts / seg a 10.000 pkts / seg dentro unos pocos segundos. Del mismo modo, la deteccin de anomalas basado en host mtricas son una funcin del comportamiento del usuario, siendo las aplicaciones utilizado, el sistema operativo, hardware, etc Por ejemplo, [5] han tambin demostr que el sistema benigna llama errtica variar de 1 a 15 en las huellas benignos. Puede ser intuitivamente argumentado que un fijo (tiempo-y el comportamiento invariante) un capacitado clasificador no puede conseguir una buena precisin para tales variable en el tiempo de entrada. Por ltimo, como caractersticas de los datos de entrada varan, la determinacin de un clasificador fijo requiera repetir intervencin manual.En un escenario tpico operacional, una administrador del sistema / red es responsable de ajustar la sensibilidad de un detector de anomalas basado en la red cuando el nmero de falsas alarmas (es decir, el trfico clasificado como malicioso pero que de hecho es benigna) aumenta. De manera similar, basada en host analizadores de trfico de la red esperan que un usuario ajustar su sensibilidad para atender a su / sus requisitos de seguridad y de comportamiento. Dicha entrada manual repetida hace un analizador de trfico de red menos automatizada y ms propenso a errores de configuracin. Por otra parte, en un sistema de tiempo real es difcil de determinar si un umbral configurado manualmente dar una buena precisin. 2) Metodologa: Se argumenta que un trfico de red precisa analizador detecta automticamente la entrada variable en el tiempo patrones de trfico y ajustar su modelo de clasificador en consecuencia. Si precisa, un mecanismo de umbral adaptativo se habilitar un analizador de trfico de red para lograr una mayor media la deteccin y la precisin falsas alarmas. Como un subproducto, umbral adaptativo tambin reducir la necesidad de humana tuning umbral, haciendo as un analizador de trfico de red ms automatizado. Esto nos lleva a la siguiente justificacin para la tcnica de umbral adaptativo propuesto. Si podemos detectar con precisin las modificaciones estadsticos en el timeevolving el trfico en condiciones de perturbacin de menor importancia, la Modelo SVM puede ser entrenado en lnea usando slo los datos nuevos arroyo. El seguimiento de las modificaciones estadsticos requiere una capacidad para aprender el modelo SVM sin reentrenamiento en el flujo de datos entero. Una vez, un nuevo modelo de SVM se aprende, se requiere una medicin relativa entropa para cuantificar la diferencias entre los modelos SVM antiguos y nuevos. Finalmente, un motor de control de realimentacin controla la entropa relativa la medicin y la poltica del sistema para decidir cundo ajustar el umbral de la Repblica de China. La figura 6 representa la adaptacin propuesta tcnica de umbralizacin en un trfico de red basado anomala analizador. Se remite al lector a una investigacin recientemente publicada papel para obtener ms detalles sobre el Umbral Adaptativo metodologa [23]. En las siguientes secciones, proporcionamos una amplia descripcin de los tres componentes importantes de nuestra metodologa. 3) SVM Online: En las aplicaciones tradicionales de aprendizaje automtico, SVMs se aplican en modo por lotes. Es decir, una SVM es capacitados en todo un conjunto de datos de entrenamiento, y despus se pone a prueba en un conjunto separado de los datos de prueba. La deteccin de intrusos es tpicamente probado y desplegado en un entorno en lnea, que procede incrementalmente. El aprendiz clasifica una nueva observacin, obtiene retroalimentacin sobre el resultado de la prediccin, actualiza su hiptesis en consecuencia y, a continuacin, espera una nueva observacin. Online aprendizaje permite que un sistema implementado para adaptarse en un cambios en el entorno. Re-entrenamiento de un SVM desde cero en todo el conjunto de datos observados anteriormente para cada nuevo ejemplo es un costo prohibitivo. Sin embargo, el uso de una vieja hiptesis como la punto de partida para el reentrenamiento reduce este costo considerablemente. Hemos propuesto un algoritmo semi-suave que es a nivel mundial convergente desde cualquier punto de partida. [27] Cada vez que la nueva observaciones se aaden a un conjunto de datos existente, reiniciar el mtodo semi-fluida de la solucin obtenida para el viejo conjunto de datos es beneficioso y resulta en una reduccin en el tiempo en comparacin con la formacin en todo el conjunto de datos. En comparacin, SVMs basadas en mtodos de punto interior [13] puede no haber sido iniciado desde un punto arbitrario. 4) Medida relativa Entropa: Medida relativa entropa se puede utilizar para detectar las derivas concepto en red trfico. Deteccin de la deriva del concepto requiere cambios de anlisis con el perfil normal en los datos de entrenamiento establecidos por s sola es no es suficiente, y el modelo (perfil) necesita ser actualizado continuamente [29]. Cuando hay un concepto de tiempo de evolucin deriva, utilizando los datos antiguos no selectiva ayuda si el nuevo y viejo conceptos todava tienen consistencias, y la cantidad de edad datos elegidos arbitrariamente slo pasa a ser derecho [12]. Este requiere un enfoque eficiente para la extraccin de datos que ayuda a seleccionar una combinacin de datos nuevos y antiguos (histricos) para hacer reperfilado precisa y otra clasificacin. 5) Control de Feedback del motor: El motor de control de retroalimentacin se desarrollarn para impulsar una respuesta defensiva a base en la histresis para reducir la frecuencia de falsos positivos causado por concepto de deriva, evitando as inapropiado respuestas ad hoc. Aumento de falsos positivos puede ralentizar el sistema y un impacto negativo en la eficacia de la analizador de trfico de red. El motor de control de retroalimentacin ser responsable ni de ajustar el umbral de la Repblica de China, manteniendo el umbral de corriente o desencadenar una alerta basada en la tendencia observado en las medidas de entropa relativa. Una apropiada la respuesta est integrado en el modelo que predice el patrn de ataque y desencadena la respuesta selectiva en el Control Engine. El motor de control se implementa utilizando un controlador PID. El controlador PID realiza una medicin de la entropa relativa y la compara con un valor de referencia. Se utiliza a continuacin La diferencia o bien ajustar el umbral de la Repblica de China (ajuste por concepto de deriva), mantener el umbral de la Repblica de China (que no reaccionan a los cambios aberrantes) o activar una alerta (actividad anormal) El controlador PID puede ajustar las salidas del proceso basado en la historia y la tasa de de cambio de la seal de error, que da ms precisa y un control estable. Esto evita una situacin en la que las alertas puede no ser verdaderas representaciones de la actividad de intrusos debido a los falsos positivos. esesTales errores de clculo pueden resultar en ya sea medidas defensivas desproporcionada y costosa o completa fallo en la seguridad. Por tanto, es esencial para construir una ponderada respuesta integral y diferencial para el mecanismo de activacin en vez de reaccionar a una medicin instantnea. Mientras una respuesta integral mide la cantidad de tiempo que el error ha continuado sin corregir, la respuesta diferencial anticipa futuros errores de la tasa de cambio de error durante un perodo de tiempo. Los valores de referencia son de naturaleza dinmica y establecer como parte de la configuracin del sistema que se estiman ms de largo perodos de tiempo. Estas reestimaciones son necesarios a la cuenta para el cambio de comportamiento de los usuarios, tambin se conoce como concepto de deriva. IV. CONCLUSIN Este trabajo presenta tecnologas para el anlisis del trfico de red en el entorno de la nube computacinal . Las tecnologas son Geolocalizacin IP, anlisis IP del router y la minera de datos en lnea. Las tres tecnologas se interrelacionan y se requiere para evaluar la seguridad de los datos externos en la nube. La seguridad de los datos en la nube depende de una nube de computacin segura sistema y la red. Las tecnologas presentadas en esta captulo dar una idea del impacto de la red en la nube seguridad de los datos en la nube. Geolocalizacin IP proporciona una capacidad de determinar la ubicacin geogrfica de los routers en la red camino entre el usuario y el proveedor de la nube. Anlisis Router IP proporciona un mecanismo para llevar a cabo anlisis de riesgos de software en estos routers. Por ltimo, la minera de datos en lnea presenta una acercarse al anlisis del trfico de red de la nube, al tiempo que limita falso positivo desde el concepto a la deriva arroyos.