云环境下的入侵检测系统：文献综述及未来研究方向

International Journal of Information Management Data Insights 2（2022）100134审查云环境下的入侵检测系统：文献综述及未来研究方向Suman Lataa，1，Dheerendra Singhb印度昌迪加尔160019工程技术学院研究学者b印度昌迪加尔昌迪加尔工程技术学院计算机科学系aRT i cL e i nf o保留字：云安全入侵检测系统云数据集特征选择虚拟机自检（VMI）和虚拟机监控程序自检（HVI）a b sTR a cT云为用户提供基础设施、应用程序和存储服务，这些服务需要受到某些策略或程序的保护。因此，云中的安全性是通过提供确认性、完整性、可用性和实时入侵检测来保护用户数据和基础设施免受恶意用户的攻击。入侵检测系统（IDS）的基本概念是识别欺诈活动，以保护用户数据和云服务。因此，这项研究提供了一个连贯的观点，现有的安全技术与他们的优点和缺点。它包括每个云服务模型中的安全问题，特征选择和降维的重要性，以及IDS的最新技术。这项工作根据它识别的攻击，其位置和配置对IDS技术进行分类。此外，该研究还将解决虚拟机内省（VMI）和管理程序内省（HVI）策略。目前的研究是组织在三个不同的角度的基础上：云安全问题，功能选择的重要性，并分析现有的IDS技术。最后，这项工作提出了一个审查现有的安全问题/挑战和研究差距，为未来的研究。1. 介绍云计算为用户提供了许多服务，即应用程序，基础设施和存储功能。云用户可以根据自己的需求访问或操作硬件和软件，主要是通过互联网。云计算对用户有很多好处，但也有一些限制和挑战云计算的挑战在这些挑战中，安全性是最重要的，因为用户数据和应用程序都在云计算环境中。云计算安全包括保护基于云的数据、应用程序和基础设施免受未经授权的访问和攻击的政策和程序它还可以防止数据泄漏、数据更改、软件漏洞、SQL注入、跨站脚本和恶意攻击（Khalil等人， 2014; Rong等人， 2013年）。此外，云用户和提供商经常报告 由 于 各 种 攻 击 而 导 致 的 安 全 问 题 例 如 ， 在 2012 年 ， VUPENSecurity发现了虚拟机（VM）逃逸攻击（Mimiso，2012年9月）。同样，在2013年，ENISA（Marinos，2013）报告了对DropboX的分布式拒绝服务（DDoS）攻击，该攻击导致所有用户在15天内完全2015年1月，赛门铁克（2015）披露了零日漏洞和其他450多个漏洞。2018年，云用户面临超过6.5亿次网络攻击。艾迪在2019年，物联网攻击、分布式拒绝服务（DDoS）活动、有针对性的勒索软件、高级网络钓鱼活动以及针对容器和云服务的攻击非常普遍1.1. 入侵检测系统此外，云服务分为三个主要类别，即云结构即服务（IaaS），平台即服务（PaaS）和软件即服务（SaaS）。这些服务和技术中的每一种都有其自身的漏洞和问题，必须处理这些漏洞和问题才能为用户提供安全性（Khraisat等人，2019; Modi等人，2013年）。 例如，IaaS易受虚拟机映像攻击、虚拟网络攻击、虚拟机管理程序攻击、域名系统（DNS）中毒、ARP或IP欺骗以及跨站点脚本攻击和数据攻击（Aldribi等人，2020年; Jebeiar等人，1882; Kirat等人，2014; Prabadevi等人，（2020年）;PaaS容易受到网络钓鱼攻击、中间人攻击和端口扫描攻击; SaaS容易受到DoS/DDoS攻击和身份验证攻击以及SQL注入攻击，如出版物中所述（Khalil et al.， 2014年）。 因此，需要能够提供针对攻击和恶意活动的安全性的系统。因此，入侵检测系统被开发出来以提供云安全。入侵检测系统主要有两种类型：基于主机的入侵检测系统和基于网络的入侵检测系统。一个HIDS监视器∗ 通讯作者。电子邮件地址：sutharsuman2506@gmail.com（S. Lata）。1现住址：病房号21，Udham Singh Chowk，Near S.L. 学校，Sangaria-335063，拉贾斯坦邦（印度）。https://doi.org/10.1016/j.jjimei.2022.100134接收日期：2021年6月22日;接收日期：2021年11月22日;接受日期：2022年10月17日2667-0968/© 2022作者。由Elsevier Ltd.发布。这是一个CC BY-NC-ND许可证下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）可在ScienceDirect上获得目录列表国际信息管理数据见解期刊主页：www.elsevier.com/locate/jjimeiS. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）1001342操作系统，而NIDS监视可疑活动的网络传输。HIDS在单个机器上运行，以监视系统调用，重要文件和应用程序，以检测内部人员的内部更改。HIDS通常用于通知网络管理员异常行为。另一方面，NIDS在网络中的战略点上运行，以监控内部和外部云网络。它监控连接到网络的所有设备，以检测恶意活动或异常行为（Deshpande等人，2014;Hofmeyr 等 人 ， 1998;Patil 等 人 ， 2019;Singh 等 人 ，2016年）。这两种技术都有各自的优点和局限性。因此，这些技术的组合可以提供完整的云安全性。HIDS保护机器免受内部威胁，而NIDS监视连接到网络的设备，如防火墙，路由器，交换机和打印服务器，以防止外部攻击。此外，IDS的有效性取决于其配置和用于入侵检测的技术1.2. 特征选择特征提取是一种降低数据维数的技术，可以提高系统的检测精度，降低虚警率。随着网络设备的发展，来自各种数据源的数据量、种类和速度都在快速增长。这些数据需要存储和处理以供进一步使用。但是，直接使用这些数据作为IDS单元的输入会降低系统的性能。由于原始的网络流量审计数据中的所有特征都不能有效地识别入侵行为，因此不适合用于入侵检测。网络中的每个分组包括41个特征，其生成2个41 - 1子集（Zhang等人，2020年）。这一巨大数量的子集难以处理，并且还消耗大量内存并增加成本。根据网络传输特征在入侵检测中的重要性，将其分为不相关特征、弱相关特征和强相关特征。因此，为了提高系统的性能和准确性，必须对原始数据进行预处理，以降低维数并去除不相关的特征。特征选择是一种能够完全保留代表原始数据的特征的技术。该技术去除了不相关的特征，完整地保留了代表原始数据的特征.但它应该做得很精确，因为系统的准确性取决于入侵检测所选择的特征子集。许多研究人员一直致力于开发使用各种算法的特征选择技术。例如，Khammassi Krichen（2017）提出了一种基于GA的特征选择方法。根据他们的说法，“决定正确的功能集是一个困难而耗时的过程”，这可以由领域知识专家完成。因此，我们需要一种可以自动化特征选择过程的方法1.2.1. 特征选择技术已经引入了各种特征选择策略。以提高系统性能并减少存储器使用和时间。例如，Zhang et al.（2020）提出了一种使用特征选择方法来提高检测准确性和效率的IDS。Prasad等人的一篇文章。（2019）提出了一种使用特征选择的IDS技术。他们将特征数量减少到原来的50% 使用粗糙集理论。在他们的工作中，他们表明，特征选择可以降低系统的复杂性，提高系统的性能。特征选择主要有三种方法：过滤器方法、包装器方法和嵌入式方法。我 滤波技术这是最常用的特征选择方法。在该技术中，计算阈值并用于决定是否保留或放弃一个特征。该技术直接应用于数据（KhammassiKrichen，2017）。它比其他的更便宜，但是如果冗余度低，它的性能会下降拉瓦什代&Al-kasassbeh（2018）使用TShark工具分析网络流量，并为入侵检测系统提取有用的特征我 Wrapper技术该方法分三个阶段工作，首先计算代表数据的特征子集。然后，这些子集的分类和评估的基础上的一些目标函数。最后，选择最佳特征子集以提高系统的精度（Khammassi&Krichen，2017）。包装器方法的性能优于过滤器方法，但它需要更多的计算能力和资源。KhammassiKrichen（2017）提出了一种GA-LR包装器方法，用于网络入侵检测中的特征选择。我 嵌入式技术在这种方法中，系统在创建模型的同时学习最佳特征子集。因此，这个方法比filter和wrapper方法更快。嵌入式方法的特征选择主要采用惩罚技术，回归主要采用最小绝对收缩选择算子（LASSO）。嵌入式方法的计算成本非常低，并且不太容易过度拟合。 Patil等人（2019）使用特征选择方法开发了一种NIDS。在这个框架中，他们使用了一个二进制蝙蝠算法，带有两个拟合函数来进行特征约简。他们将交通特征的数量从44个减少到26个。在减少特征之后，系统的准确性得到了提高。同样，Rawashdeh Al-kasassbeh（2018）和Sakr（2019）使用粒子群优化（PSO）算法进行特征选择。实验结果表明，这两种方法都具有更好的异常检测性能，提高了检测精度，降低了FAR。在他们的工作中，给出了一个比较分析，以显示特征选择的重要性。1.3. 性能评价为了对入侵检测系统进行性能分析，需要能够真实反映网络传输场景的数据集。多年来，研究人员使用了许多数据集，如KDD 99，NSLKDD，ISC 2012（引文，2016; Subhy& Basheer，2018; Thampi等人，2019年）。但这些数据集并不反映系统的实际性能，因为丢失和冗余的记录。记录冗余会影响分类器的输出，因为它偏向于重复的记录。因此，需要一种能够解决上述两个问题的数据集。Moustafa Slay（2015）2015年的一个名为UNSW-NB 15的数据集，用于评估IDS的性能。该数据集由正常和异常流量记录组成，没有缺失值和冗余记录。此数据集中的每条记录都有 通过匹配两个工具（即Argus和Bro-IDS）的输出生成47个特征。这些工具的输出被存储在SQL数据库中，并使用源/目的IP地址和端口号以及事务协议等流功能进行匹配。之后，记录被标记为正常记录和异常记录。正常记录用0表示，异常记录用1表示。该数据集具有许多优于先前生成的数据集的优点，但它缺乏对最近的攻击环境的表示。为了克服这些问题相关到UNSW-NB 15，Sharafaldin等人（ 2018 ） 开 发 了 两 个 新 的 数 据 集 ， CICIDS 2017 和 CSE-CIC-IDS-2018。这些数据集涵盖了现代的攻击和记录，也反映了当前的趋势。他们使用了两个网络，受害者网络和攻击者网络。CICIDS 2017和CSE-CIC-IDS-2018包括六种攻击特征：暴力攻击、心脏出血、僵尸网络、DoS/DDoS、Web攻击和渗透攻击。这些数据集分两步创建。首先，他们从pcap文件中提取了80个基于小波的特征。然后他们分析了所有80个特征的重要性，并使用随机森林回归器检测出最佳特征。使用机器学习算法评估所选特征为了对他们的工作进行比较分析，他们将拟议的数据集与以前可用的数据集进行了比较。S. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）1001343读者可以参考Khraisat等人（2019）的详细描述 数据集的特征。此外，在过去十年中，在云安全领域进行了大量研究，以解决安全和隐私问题。在对云安全问题和解决方案进行初步概述后，发现入侵检测系统是一个重要的研究课题，因为它可以保护云基础设施、应用程序和用户数据免受恶意活动的侵害。因此，本文的目标是回顾现有的IDS技术，包括现有IDS技术的分类和分析，以及它们的优缺点，各种攻击的概述，特征选择在IDS技术中的重要性，并讨论可用的数据集。我们还将提出研究差距和未来的研究趋势，以进一步改进。本工作的目标可归纳如下。• 这项工作的目的是分析现有的入侵检测技术。根据入侵检测的类型、位置和配置，我们将IDS技术分为五类，包括：（1）基于签名的• （2）基于异常检测的入侵检测系统（3）基于虚拟机自省的入侵检测系统（4）基于虚拟机监控程序自省的入侵检测系统（5）混合入侵检测系统技术。• 本研究的第二个目的是讨论特征选择的重要性。因为它提高了入侵检测系统的准确性和性能。• 总结了云服务模型中存在的安全问题和攻击方法.• 本研究还探讨了目前的研究差距和未来的研究趋势，以提高安全性和隐私。1.4. 需要云安全云通过互联网向其用户提供服务，这增加了云提供商和用户的安全风险。这些是影响云基础设施安全性和隐私性的一些因素• 云安全的主要因素是客户数据和程序驻留在提供商• 由于隐私问题，云提供商不允许用户实施扩展到管理层的安全工具。此外，云计算是基于虚拟化的，其中资源在客户端之间共享，这使得它更容易受到隐私保护，并且开发安全模型具有挑战性• 云提供商面临的主要安全挑战来自攻击。这些可以来自提供商侧或订户侧。因此，需要一种能够提供针对恶意活动和攻击的保护的系统。本文的其余部分组织为：在第2节中，我们讨论相关的工作。第3节总结了我们如何搜索现有技术以及使用了哪些出版物来源。第4节详细分析了现有的IDS技术。在第5节中，我们将根据不同的参数提供结果和讨论，然后在第6节中提供开放问题和未来的研究趋势。第7节介绍了工作的结论和未来的范围。2. 相关调查我们研究了现有的研究 文学 之前 提出 我们自己的调查。 了几项研究 发表 的 检查云计算中攻击和漏洞的影响 计算，如Zhou等人（2010）讨论了云安全的三个基本要求，即机密性、可用性和完整性，Modi等人（2013）讨论了云计算每一层的各种攻击、漏洞、威胁和安全问题，Denz Tay- lor（2013）重点讨论了云弹性、恶意软件和虚拟机Pandeeswari Kumar（2015）讨论了入侵攻击以及机器学习如何处理它们，Khan（2016）为不同的攻击及其解决方案提供了一个威胁模型。这些调查解决了影响云安全的问题和因素，而不是解决方案。此外，Alhenaki等人（2019）讨论了IaaS，PaaS和SaaS中的各种攻击。他们亦提供了云计算威胁的详细说明，如数据丢失、数据泄露、恶意内部人员、帐户和服务劫持。本文还讨论了各种安全攻击及其解决方案。类似地，Jebsanar et al.（1882）提出了八个常见的原因，可以提高云的配置、完整性和可用性。本文还讨论了云环境中不同级别的攻击、每种攻击的表面、威胁和漏洞。最后，讨论了云环境下的安全需求。但这也存在同样的局限性，因为没有讨论在云计算中解决这些问题的安全技术。相反，Arjunan Modi（2017）和Azeez等人（2020）介绍了入侵检测系统的文献综述。这两篇文章都局限于基于特征的入侵检测技术、基于异常的入侵检测技术和混合技术，不考虑虚拟机自检（VMI）和虚拟机管理程序的情况下的内省（HVI）。在对相关调查进行初步概述后，我们发现许多调查都讨论了云计算安全、云攻击、入侵检测系统和入侵防御系统。然而，这些调查都没有讨论入侵检测的VMI和HVI技术。在这一领域讨论的所有工作的另一个关键制约因素是，没有一项调查包括特征选择和数据集的重要性。特征选择技术可以提高系统的性能和准确性，降低系统的安全总代价。因此，目前的工作突出了现有的入侵检测技术，特征约简的重要性，和数据集。我们还将根据各种参数将这项工作与这里讨论的不同调查进行比较。在第5.4中，我们对我们的工作进行了比较分析3. 研究方法为了计划这项调查，我们遵循Kitchenham et al.（2009），CharbandNavimipour（2016）的系统综述方法。这个项目的主要目标是确定可用IDS方法的现状，以及它们的优点和缺点。 许多策略用于保护云基础设施，必须根据各种安全要求进行评估。在本文中，我们将讨论和探索各种技术，以在云架构的各个级别提供安全性。为了进行这项研究，我们寻找了艺术-从2010年1月到2020年6月，在知名期刊、会议和出版物上发表有关云安全的文章。这包括Springer，ScienceDirect，Scopus，IEEE Xplore，ACM数字图书馆和Google Scholar。此外，我们还定义了一些相关的关键字进行搜索，在上述数据库中。这些关键词与安全挑战以及为解决这些挑战而采取的解决方案有关，特别是在云环境中。以下是云计算中最常用的一些关键词：“安全”、“入侵检测”、“入侵预防”、“特征选择”、“降维的重要性”、“攻击”、“安全挑战”和“数据集”。“在阅读了摘要之后，我们决定哪些文章与我们的工作有关，哪些不是。对选定的出版物进行了检查和分析，以提供对云计算中用于处理各种入侵的现有IDS的调查。本研究中使用的信息源百分比见图10。 1.4. 现有IDS云计算本节对各种入侵检测技术进行了分类和分析。在这项工作中，我们根据IDS技术的配置、位置和它检测到的攻击将其分为五类，S. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）1001344图1. 调查的研究文章来源包括在本工作中。示于图 2. 以下小节将详细讨论这些技术表1-5总结了现有的IDS技术及其特点和局限性4.1. 基于签名的入侵检测系统基于特征的入侵检测系统通过与已知模式或恶意指令进行比较来检测当前的可疑活动。它维护一个签名性质的数据库，以保持各种攻击和恶意活动的记录。此特征数据库需要定期更新以检测最近的攻击。为了检测恶意活动，将当前网络数据包与存储的规则集进行比较。最简单且广泛使用的基于签名的方法之一是Martin Roesch（2015）提出的Snort。Snort是一种非常流行的基于签名的数据包捕获IDS和实时网络流量监控。图3示出了其主要组件，即分组解码器、预处理器、检测引擎、记录和警报系统。电流传输首先经过预处理，然后传输到检测引擎。预处理消除了冗余和不完整的数据。然后，检测引擎将当前数据包与存储在签名数据库中的记录进行比较。如果匹配，则为相关机 构生 成 警 报 ; 否 则， 数 据 包将 作 为 正常 数 据 包传 递 （ Roesch，2015）。许多研究人员提出基于签名IDs等Lin等人（2012）提出了一种基于规则的NIDS来检测云环境中的已知攻击。为了配置检测规则，来自每个VM的操作系统的信息被动态地收集和更新。Lo等人（2010）提出了一个协作入侵检测框架（CGA）。每个服务器都有一个IDS，它是一个签名数据库和一个块表的组合，用于维护最近的攻击记录。Snort首先将数据包与块表进行比较，然后了解签名。因为最近发生袭击的可能性如果比较高，应该先检查一下。异常数据包的信息是传输告警聚类，它使用一个阈值来判断数据包的严重性。然后，恶意数据包被身份证组。类似地，Meng et al.（2014）提出了基于签名的IDS技术。根据作者的说法，在恶意网络传输中在这种情况下，不匹配的概率大于一场比赛。因此，他们使用不匹配策略来识别攻击。Mandal等人（2015）提出了基于签名的IDS技术来检测应用程序级攻击。在这种技术中，在云提供商和用户之间放置了一个snipher，它捕获数据包并将其传输到解析器进行进一步处理。解析语法根据存储的语义规则分析解析器的输出，并相应地生成结果图2. IDS技术的分类。S. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）100134表15现有的基于特征的入侵检测技术的总结。在开放堆栈私有云中取得成功。SYN和EDOS。表2现有异常检测IDS技术综述产生一个行为模型。- 存储要求低。（Yu X in等人， 2011）网络传输攻击模拟环境- 识别VM中安装的恶意软件代码-基于机器学习算法。（Srinivasan等人， 2012）网络攻击（VM）未指定- 检测IP Spoo Fing DDoS和端口扫描攻击系统调用-假阳性- 易受代码混淆技术的攻击。- 在每一个程序的变化，CGG需要维护- 增加假警报。（Wolthusen，2012）恶意软件攻击（VM）（Deshpande等人， 2014）恶意活动系统基于LinuXKVM的参考场景。CICIDS 2017和2018年CSECICIDS（Sharafaldin等人，2018年）- 维护每个系统调用的日志文件- 存储要求- 减少计算开销。- 提高检测灵敏度。- 增加漏洞，如果损失系统调用的顺序.- 假阳性- 该方法分析了- 选择性和失败的系统调用仅在系统内。（Gupta Kumar，2015）恶意软件攻击（VM）UNM（University of新墨西哥州）（Hofmeyr等人，（ 1998年）- 通过分析系统调用检测恶意软件攻击。- 需要更多的存储空间。- 假阳性（PandeeswariKumar，2015）网络攻击（VM/VMM）DARPA KDD 1999（引文，2016年）- 降低误报率。- 提高检测精度。- 不针对最近的攻击进行评估。（Zhang等人，网络异常NSL-KDD（Subhy&Basheer，2018年）- 降低误报率。- 使用特征优化来提高召回率和准确率。- 降低误报率。- 系统的性能受到参数数量增加的影响。因此，有必要对分类器进行改进。（情报等， 2020）DoS/DDoS，僵尸网络，暴力破解、端口扫描和Web攻击tCICIDS 2017和CSE-CICIDS 2018（Sharafaldin等人，2018年）- 准确度达到99%，FAR为- 可以检测0-Day攻击。- 检测系统的准确性和假阳性率取决于隐藏的ANN层的数量。（Pacheco等人， 2020）网络和网络由于误用或系统故障而仿真环境-黎曼滚动特征提取方案用于提高性能。- 引入了新的数据集，包括多阶段攻击。- 没有考虑Meltdown、Spectre和VMescape攻击。（Rawashdeh&Al-kasassbeh，2018年）DDoS攻击模拟环境- 人工神经网络用于减少虚警。- 提高检测精度。- 只能检测两种类型的攻击：UDP恶意攻击和TCP Syn攻击。- 仅分析VM到VM的流量。因此，容易受到外部攻击。（Sakr，2019）网络攻击NSL-KDD（Subhy Basheer，2018）- 随着时间的增加，实现了更高的真阳性率（TPR）、真阴性率（TNR）和低假阳性率（FPR分类准确性。- 无法防范VM间逃逸攻击。（Prasad等人， 2019）DoS/DDoS，Heartbleed，网络攻击和端口扫描模拟环境- 降低了时间和空间的复杂性。- 估计概率的范围特征选择和预处理步骤是手动完成的。参考文献检测到攻击数据集特性限制（Lo等人，（2010年）网络攻击（VM）仿真环境- 使用Snort检测已知的- 检测单元放置在大头钉- 每个虚拟机都容易受到零日攻击。- 需要维护数据库。- 增加了系统开销，原因是（Lin等人，（2012年）网络攻击（VM/VMM）仿真环境- NIDS放置在VMM的专用域中。- 基于知识的方法是身份证单位。非法的，非法的 无法检测新的攻击。- 易受病毒和蠕虫攻击。采用（Meng等人，2014年度）基于签名的攻击仿真环境- 基于失配技术- 分析主机和云数据以减少时间消耗像这样。- 性能低，因为需要两轮，探测入侵。吧（Mandal等人，（2015年）网络攻击没有提到- 基于语义规则。- 语法分析通过检查par- 需要维护数据库。e入侵-易受零日攻击反对（Aldwairi，2017年）网络异常新的云入侵数据集语义规则- 减少执行时间和使用。记忆- 无法检测新攻击（Santoso等人， 2016年）网络攻击仿真环境- 对已知攻击使用Snort。- 检测UDP恶意DoS攻击- 仅检测UDP恶意攻击。- 易受其他DoS攻击，如TCP参考文献攻击数据集特性限制（Kumar等人，（2011年）对数据的未指定- 使用隐马尔可夫技术，- 增加脆弱性，如果其损失S. Lata和D. 辛格表6International Journal of Information Management Data Insights 2（2022）1001346现有VMI IDS技术的总结参考文献攻击数据集特性限制（Maiero Miculan，2011年）解码、系统日志和转发循环UNM（新墨西哥大学）（Hofmeyr等人，（ 1998年）- CPU的一般中断被用来收集VM信息用于入侵检测。寄存器-中断跟踪会增加系统的开销。- 需要特殊的专业知识信息解读（Benninger，Neville，Yazir，Matthews Coady，2012）恶意软件攻击（Rootkit）（VM/VMM）仿真环境- 阈值用于超级调用。classify-仅限于半虚拟化系统。- 提交人没有解释，（Lengyel等人， 2014年度）解码、系统日志、SScp仿真环境- 文件系统访问的内存内省技术。- 可以监控可疑驱动器技术细节。所用的- 需要Kernel- 减慢系统。ers和（Shi等人， 2016年）基于超级调用的攻击（VM/VMM）仿真环境rootkit。它可以捕获用户级和内核级-检测基于超级调用的攻击。用于过滤内核和用户功能协调发展的-无法检测基于系统调用的Kumara和Jaidhar，2015（AKMA，2016）来宾操作系统仿真环境攻击检测平均rootkit和jynx rootkit-虚拟机管理程序不安全。成功地（Borisaniya Patel，2019）恶意软件，如蠕虫和特洛伊木马仿真环境- 这种技术可以监控多个虚拟机上的进程，也可以监控多个物理机器上的进程。multiple-平均sted on响应时间随着虚拟机或主机的数量。（Mishra等人， 2019年）恶意软件（Subversion攻击）恶意软件从加利福尼亚大学收集的用于实验设置的windows二进制文件的样本（Kirat等人，2014年度）- 可以检测恶意软件（diamo和confickerrphine）-安全工具部署在可能受到危害的torpig虚拟机（Jia等人， 2017年）恶意软件（Subversion攻击）使用ARM Foundations的仿真型号8.0- 拟议的T-VMI，其中监测系统是安全的- 需要修改hypervisor。D.- 5%的性能损失。Santoso等人（2016）提出了一种使用SNORT的开放堆栈云的网络入侵检测系统。作者设计了一个网络入侵检测系统，对各种攻击进行了分类，并得出结论，拒绝服务（DoS）攻击是可能的用户数据报协议（UDP）的代码。开放堆栈私有云用于性能评估的建议系统。Aldwairi（2017）提出了一种基于签名的IDS，使用Myer算法用于MapReduce框架。他们用的是多核CPU以使签名匹配操作并行化并减少执行时间和存储器使用。现有的基于签名的IDS技术的总结如表1所示。4.2. 基于异常检测的IDS基于特征的入侵检测系统虽然能够快速检测已知攻击，并且误报率很低，但是需要对特征库进行定期维护。为了克服基于特征的入侵检测系统的局限性，异常检测技术应运而生。该技术分析用户行为以创建行为配置文件。然后，此伪特征用于识别已知和未知攻击。图4示出了异常检测技术的基本工作模型。 它包括两个主要阶段，即训练阶段和检测阶段。在训练阶段，特征构建模块从主机或网络上收集数据，并对其进行预处理以构建特征。训练模块使用这些特征来生成行为模型。该模型将数据分类为正常或异常（侵入）行为。异常检测阶段使用该模型来检测入侵。任何偏离正常流量的行为都被视为入侵，并向安全管理员发出警报（Sari，2015）。这种技术可以检测新的攻击，但需要更多的计算能力。由于任何偏离正常行为的行为都会产生警报，现在由安全经理来确定警报的原因。基于异常的技术根据用于检测异常的技术进一步分类，例如机器 学习， 模糊逻辑，支持向量机，数据挖掘。在过去十年来，一些研究已经探索了这些技术。例如，Kumar等人（2011年）使用隐马尔可夫技术来生成预测模型。这种技术使用系统调用频率的日志文件来检测恶意活动。IDS使用三种配置文件开发：低，中，高，每一个都对应于最近活动的特征。具有低匹配概率的模式由低轮廓表示。另一方面，高轮廓与具有非常高的匹配机会的模式有关。最后，中间亲-文件是部分匹配的当前配置文件。每个配置文件都基于预定的阈值进行匹配。YuX in（2011）提出了一种基于静态程序行为分析的机器学习方法。它分两个阶段工作：第一步是解码程序，然后创建上下文无关的语法来表示过程的流程。为了获得完整的序列，我们探索并组装了所有的分支。 所有的系统调用都被简化为几个短序列。他们分别采用了两种不同的特征选择技术：信息增益（IG）和文档频率（DF）. Srinivasan等人（2012）提出了一种使用双层系统的IDS技术，该系统是无监督学习和监督分类的组合。Wolthusen（2012）使用正常/异常系统调用的频率进行入侵检测。首先，在一段时间内从每个VM收集大量记录。该方法假设虚拟机在一段时间内没有恶意 初始化后的时间时间复杂度为O（n），其中n为线的总数该技术具有100%的检测率，11%的假阳性。SyedNavaz等人（2013）提出了一种基于熵的IDS来检测云环境中的未知攻击。为了检测低频攻击，Gupta Kumar（2015）设计了一种基于系统调用的异常检测方法。该方法不是使用训练系统，而是生成由一对键设计的系统调用数据库。在执行过程中，一个键表示名称，另一个键表示直接后继者。要跟踪的活动是通过将其与基线数据库进行比较来确定的，基线数据库是通过S. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）1001347表4现有HVI IDS技术的总结参考文献攻击数据集使用的特征限制（Zhang等人，数据泄漏（VMM/VM）（Wang等人， 2012）内存攻击和滥用HyperLock服务（Ding等人， 2013）控制数据攻击（Wang等人， 2010）Rootkit针对操作系统管理程序的完整&性表5现有的混合入侵检测技术的总结。仿真环境仿真环境仿真环境仿真环境- 为了将安全功能与VMM分离，在hypervisor下面添加了一个小层，以保护来宾VM数据。- 这种技术不需要任何VMM修改。- 虚拟机管理程序在单独的地址空间中运行。因此，攻击者无法攻击云中的其他虚拟机，被入侵的虚拟机管理程序- 它可以分析调度程序数据、安全策略数据和特权数据。- 使用存储的内存和CPU寄存器映像来检查系统的完整性。- 减慢系统。- 弹性层增加了攻击面。- 降低系统性能。- 虚拟机管理程序设计需要大量修改- 它不能检测侧信道攻击。- 无法防范VM Escape跨VM攻击。- 性能下降。- 它可以检测到硬件攻击，但未能检测到瞬态攻击。- 需要更改管理程序- 增加了硬件依赖性。参考文献攻击数据集使用的特征限制（Ficco等人， 2016）分布式攻击（DoS/DDoS）模拟环境- 基于安全即服务主要模型- 需要增加安全工具的数量，因为每个虚拟机上都安装了探测器。（ACollaborativeIntrusion，2022）分布式攻击未进行性能评估。- 检测分布式攻击。- 检测速度快。- 缩小远。- 在每个虚拟机上部署了一个安全工具，这增加了计算成本。（Chiba等人， 2016）&来自物理和虚拟网络的内部外部攻击未进行业绩评价- 使用优化技术来提高系统性能。- 增加通信开销。- 没有针对最近的攻击进行评估。（Al Haddad等人， 2016）网络异常&分布式攻击模拟环境-检测组件放置在一个监控程序来检测协同攻击。- 通信开销增加由于警报生成。- 没有针对最近的攻击进行评估。（Singh等人，分布式攻击KDD99（引文，2016），NSL-KDD（SubhyBasheer，2018）- NIDS使用集中式方法安装在网桥中。- 更少的通信开销。- 与分布式方法相比，可扩展性较差。（BalamuruganSaravanan，2019）DDOS，U2R，0天，R2L攻击UNSW-NB 15（Moustafa Slay，2015）和CICIDS-2017（Sharafaldin等人，2018年）- 使用云控制器、信任颁发机构和VMM。- 无法检测VM到VM攻击。- 只能在特定的服务器上工作。因此，不适合多个服务器。（Arjunan Modi，2017）虚拟网络攻击例如基于带宽分布式攻击（Mishra等人， 2017）来自VM的SpooFinng和虚拟网络攻击（Jung Zarrabi，2017）内部和外部攻击基于不同入侵数据集的入侵仿真联合国工作队-布隆迪（Moustafa Slay，2015年）安装Eucalyptus以创建真实的Word场景- IDS部署在虚拟网络中，用于监视每个虚拟机，并可以检测物理网络攻击。- 还能够检测分布式攻击。- 使用两个级别的安全检查来提高系统的鲁棒性。- 采用学习矢量量化算法进行聚类，然后在每个类中采用决策树分类器进行入侵检测。- 为了处理到VM的高流量，需要高计算能力，这增加了成本。- 需要保护多种安全工具免受漏洞的影响。- 专为特定服务器开发。因此，无法检测分布式攻击。- 为了处理到VM的高流量，需要高计算能力- 这增加了成本。- 使用了具有过拟合问题的决策树。- 噪声的存在影响了系统的精度。（Patil，2018）DoS DDoS攻击KDD 检测DoS/ DDoS攻击成功地- 仅检测DoS/DDoS攻击。- 没有针对最近的攻击进行评估。（Patil等人，虚拟网络攻击UNSW-NB 15（穆斯塔法&Slay，2015）&CICIDS-2017（Sharafaldin等人，2018年）- 拟议的系统部署在服务器一级。因此，受损的VM无法入侵安全系统。- 仅考虑新加入的虚拟机- 无法检查VM到VM的传输（Ahram等人， 2020）DoS&DDoS攻击模拟环境- 遗传算法用于检测和预防DoS/ DDoS攻击。- 由于更多的NIDS单元而增加的开销。云管理员异常序列由任何不匹配表示。这种方法可以检测到入侵者，准确率达到98%。该技术可以以98%的准确率检测入侵。Al Haddad等人（2016）使用支持向量机（SVM）用于异常检测Pacheco等人（2020）开发了一种基于ANN的IDS，可以检测所有节点的入侵，然后生成警报。S. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）1001348这些技术仅限于检测DoS/DDoS和IP欺骗等攻击，而不考虑蠕虫、病毒和rootkit。Pandeeswari Kumar （ 2015 ） 将 模 糊 C 均 值 和 人 工 神 经 网 络（ANN）结合起来，以减少误报并提高系统的准确性。大型数据库被分成多个组， 该技术将用于训练各种ANN模块。S. Lata和D. 辛格International Journal of Information Management Data Insights 2（2022）1001349图三. 基于签名的入侵检测系统（Roesch，2015）。图第四章 异常检测模型（Pacheco等人， 2020年）。然后，模糊段被用来结合许多人工神经网络的结果。 实验结果表明，该技术能够检测到大范围的Hyper攻击，具有较高的检测精度和较小的误报率。同样，Rawashdeh