入侵檢測方法及系統的制作方法
【專利摘要】本發明涉及一種入侵檢測方法及系統。入侵檢測方法用于檢測虛擬計算環境中的虛擬機節點的安全威脅，包括：步驟一，為檢測目標遠程部署檢測文件，以及為檢測目標遠程創建入侵檢測線程，入侵檢測線程至少包含一條安全檢測策略；步驟二，執行步驟一創建的入侵檢測線程，通過將數據包協議與入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測檢測目標中的安全威脅，以及根據檢測結果進行響應，數據包協議為從檢測目標的數據包中剝離出來的協議；步驟三，定期查詢安全檢測策略的更新信息，并根據該更新信息更新步驟二所執行的入侵檢測線程中的安全檢測策略。本發明的入侵檢測方法及系統提高了虛擬計算環境的安全威脅檢測性能。
【專利說明】入侵檢測方法及系統
【技術領域】
[0001]本發明涉及信息【技術領域】，尤其涉及ー種入侵檢測方法及系統。
【背景技術】
[0002]隨著虛擬化技術的日益流行，針對虛擬化計算資源的攻擊日益增多。因此虛擬化安全監控受到眾多研究學者的青睞。然而由于虛擬機具有快速啟動、快速恢復、關閉以及遷移等特點，且同一物理主機可能存在多種不同操作系統類型的虛擬機，同時虛擬化計算環境經常需要在不同的物理主機上部署。上述原因導致傳統的網絡入侵檢測手段已不能很好的適用于虛擬化異常網絡流量的檢測。
[0003]目前針對虛擬化的入侵檢測方法主要包括基于有限狀態自動機、基于特定操作系統類型與特定服務、基于多機聯合檢測、基于新建入侵檢測域等方法。
[0004]( 1)基于有限狀態自動機的方法。提出根據虛擬機狀態的動態性變化，構建有限狀態自動機，利用有限狀態自動機自動適應虛擬機狀態變化，實現異常行為的檢測與響應。
[0005](2)基于特定操作系統類型與特定服務的方法。考慮到虛擬機數目眾多以及運行其中的各種服務對網絡入侵檢測性能的影響，提出了只加載特定操作系統以及運行服務的入侵檢測規則，減少入侵檢測規則的加載數目，提高入侵檢測系統的檢測性能；利用虛擬機System Map獲取虛擬機的操作系統類型以及運行服務的狀態，加載特定的入侵規則，快速檢測異常網絡行為。
[0006](3)基于多機聯合檢測的方法。創建ー個與Xen的特權域(以下簡稱Domain 0)具有相同特權的客戶域(以下簡稱Domain U)用于部署入侵檢測系統的管理控制模塊，通過超級調用完整性檢測以及獲取超級調用的根源來檢測異常行為，并采取相應的響應措施；當一臺物理主機中的入侵檢測系統的管理控制模塊異常或失效時，它能夠通過虛擬網絡的交流信道將異常行為特征傳遞至其他物理主機中的入侵檢測系統，實現“異地”檢測異常行為的目的。
[0007](4)基于新建入侵檢測域方法。通過建立一個單獨的入侵檢測域來為其他虛擬機提供入侵檢測服務，VMM (Virtual Machine Monitor,虛擬機監控器)的事件傳感器攔截虛擬機中的系統調用，并通過VMM接ロ傳遞至入侵檢測域的入侵檢測系統，根據不同的安全策略，VMM的入侵檢測域助手能夠針對入侵采取相應的響應。
[0008]這幾種入侵檢測方法存在的缺陷是:1)未考慮虛擬化網絡拓撲結構以及虛擬化物理環境的變化給入侵檢測的部署與檢測帶來的影響；2)不能充分有效檢測虛擬機節點的動態變化，不能有效獲取虛擬機節點的基本信息，以進行針對性的入侵檢測；3)不能動態檢測虛擬計算環境的異常網絡行為。

【發明內容】

[0009]本發明所要解決的技術問題是提供ー種入侵檢測方法及系統，提高虛擬計算環境的安全威脅檢測性能。[0010]為解決上述技術問題，本發明提出了ー種入侵檢測方法，用于檢測虛擬計算環境中的虛擬機節點的安全威脅，包括:
[0011]步驟一，為檢測目標遠程部署檢測文件，以及為所述檢測目標遠程創建入侵檢測線程，所述入侵檢測線程至少包含一條安全檢測策略；
[0012]步驟ニ，執行步驟ー創建的入侵檢測線程，通過將數據包協議與所述入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測所述檢測目標中的安全威脅，以及根據檢測結果進行響應，所述數據包協議為從所述檢測目標的數據包中剝離出來的協議；
[0013]步驟三，定期查詢安全檢測策略的更新信息，井根據該更新信息更新步驟ニ所執行的入侵檢測線程中的安全檢測策略。
[0014]進ー步地，上述入侵檢測方法還可具有以下特點，所述步驟一包括子步驟11:為所述檢測目標遠程創建虛擬機節點動態變化監控線程；則
[0015]所述入侵檢測方法還包括
[0016]步驟四，執行所述虛擬機節點動態變化監控線程，獲取虛擬機節點動態變化信息并上報；
[0017]所述步驟三包括子步驟31:根據步驟四上報的動態變化信息控制入侵檢測線程的更新操作。
[0018]進ー步地，上述入侵檢測方法還可具有以下特點，所述子步驟31包括:
[0019]在動態變化信息為虛擬機節點啟動信息時,為啟動的虛擬機節點創建入侵檢測線程并控制該線程加載默認的安全檢測策略；
[0020]在動態變化信息為虛擬機節點遷移信息時，為遷移的虛擬機節點創建入侵檢測線程并控制該線程加載該虛擬機原有的安全檢測策略；
[0021]在動態變化信息為虛擬機節點死亡、崩潰或關閉信息時，釋放該虛擬機的入侵檢測資源，并關閉該虛擬機的入侵檢測線程；
[0022]在動態變化信息為安全檢測策略更新信息時，控制相應的入侵檢測線程完成安全檢測策略更新操作，使入侵檢測線程利用更新后的安全檢測策略進行檢測。
[0023]進ー步地，上述入侵檢測方法還可具有以下特點，所述步驟ニ包括:
[0024]步驟21，從虛擬機節點對應的后端網卡捕獲數據包；
[0025]步驟22，從捕獲的數據包中逐次剝離出數據包協議，并將剝離出的數據包協議依次與入侵檢測線程中安全檢測策略對應的協議進行匹配；
[0026]步驟23，在捕獲的數據包匹配了入侵檢測線程中一條安全檢測策略對應的全部協議時，判定此數據包為異常數據包，否則判定此數據包為正常數據包；
[0027]步驟24，根據預設的響應策略和步驟23的判定結果處理捕獲的數據包。
[0028]進ー步地，上述入侵檢測方法還可具有以下特點，所述步驟一包括:
[0029]讀取虛擬計算環境的支撐服務器資源列表，提取服務器信息，所述服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息；
[0030]根據所述服務器信息，在服務器的對應目錄下遠程建立監控目錄；
[0031]遠程向所述監控目錄分發檢測文件；
[0032]遠程控制所述監控目錄中的檢測文件執行，創建入侵檢測線程。[0033]為解決上述技術問題，本發明還提出了ー種入侵檢測系統，用于檢測虛擬計算環境中的虛擬機節點的安全威脅，包括:
[0034]部署模塊，用于為檢測目標遠程部署檢測文件，以及為所述檢測目標遠程創建入侵檢測線程，所述入侵檢測線程至少包含一條安全檢測策略；
[0035]檢測模塊，用于執行部署模塊創建的入侵檢測線程，通過將數據包協議與所述入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測安全威脅，以及根據檢測結果進行響應，所述數據包協議為從所述檢測目標的數據包中剝離出來的協議；
[0036]更新模塊，用于定期查詢安全檢測策略的更新信息，井根據該更新信息更新檢測模塊所執行的入侵檢測線程中的安全檢測策略。
[0037]進ー步地，上述入侵檢測系統還可具有以下特點，所述部署模塊包括監控部署單元，用于為所述檢測目標遠程創建虛擬機節點動態變化監控線程；
[0038]則所述入侵檢測系統還包括監控模塊，用于執行監控部署單元創建的虛擬機節點動態變化監控線程，獲取虛擬機節點動態變化信息，井上報給部署模塊；
[0039]更新模塊還包括控制單元，用于根據監控模塊上報的動態變化信息控制入侵檢測線程的更新操作。
[0040]進ー步地，上述入侵檢測系統還可具有以下特點，所述控制単元包括:
[0041 ]啟動控制子單元,用于在動態變化信息為虛擬機節點啟動信息時，為啟動的虛擬機節點創建入侵檢測線程并控制該線程加載默認的安全檢測策略；
[0042]遷移控制子単元，用于在動態變化信息為虛擬機節點遷移信息時，為遷移的虛擬機節點創建入侵檢測線程并控制該線程加載該虛擬機原有的安全檢測策略；
[0043]關閉控制子単元，用于在動態變化信息為虛擬機節點死亡、崩潰或關閉信息時，釋放該虛擬機的入侵檢測資源，并關閉該虛擬機的入侵檢測線程；
[0044]更新控制子単元，用于在動態變化信息為安全檢測策略更新信息時，控制相應的入侵檢測線程完成安全檢測策略更新操作，使入侵檢測線程利用更新后的安全檢測策略進行檢測。
[0045]進ー步地，上述入侵檢測系統還可具有以下特點，所述檢測模塊包括:
[0046]捕獲單元，用于從虛擬機節點對應的后端網卡捕獲數據包；
[0047]匹配単元，用于從捕獲的數據包中逐次剝離出數據包協議，并將剝離出的數據包協議依次與入侵檢測線程中安全檢測策略對應的協議進行匹配；
[0048]判斷単元，用于在捕獲的數據包匹配了入侵檢測線程中一條安全檢測策略對應的全部協議時，判定此數據包為異常數據包，否則判定此數據包為正常數據包；
[0049]響應單元，用于根據預設的響應策略和判斷単元的判定結果處理捕獲的數據包。
[0050]進ー步地，上述入侵檢測系統還可具有以下特點，所述部署模塊包括:
[0051]讀取單元，用于讀取虛擬計算環境的支撐服務器資源列表，提取服務器信息，所述服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息；
[0052]目錄建立単元，用于根據讀取單元提取出來的服務器信息，在服務器的對應目錄下遠程建立監控目錄；
[0053]分發單元，用于遠程向所述監控目錄分發檢測文件；
[0054]創建單元，用于遠程控制所述監控目錄中的檢測文件執行，創建入侵檢測線程。[0055]本發明的入侵檢測方法及系統，適用范圍廣、可控性好、適應性強，因此提高了虛擬計算環境的安全威脅檢測性能。并且，本發明的入侵檢測方法及系統還可以實現更為細粒度的入侵檢測。
【專利附圖】

【附圖說明】
[0056]圖1為本發明實施例中入侵檢測方法的流程圖；
[0057]圖2為本發明實施例中的部署流程圖；
[0058]圖3為本發明實施例中的檢測流程圖；
[0059]圖4為本發明實施例中動態規則檢測樹結構示意圖；
[0060]圖5為本發明實施例中的更新流程圖；
[0061]圖6為本發明實施例中入侵檢測系統的結構框圖。
【具體實施方式】
[0062]以下結合附圖對本發明的原理和特征進行描述，所舉實例只用于解釋本發明，并非用于限定本發明的范圍。
[0063]本發明的入侵檢測方法用于檢測虛擬計算環境中的虛擬機節點的安全威脅。
[0064]圖1為本發明實施例中入侵檢測方法的流程圖。如圖1所示，本實施例中，入侵檢測方法可以包括如下步驟:
[0065]步驟S101，為檢測目標遠程部署檢測文件，以及為所述檢測目標遠程創建入侵檢測線程，其中，入侵檢測線程至少包含一條安全檢測策略；
[0066](1)入侵檢測線程和虛擬機節點的動態變化檢測線程是通過執行入侵檢測程序自動創建的。
[0067](2)檢測文件即是入侵檢測程序文件，是要部署在支撐服務器上的。
[0068](3)檢測文件的遠程部署是通過支撐服務器的資源列表文件。
[0069]具體地，本步驟的部署操作由虛擬化平臺的管理集群服務器來執行。本發明的入侵檢測方法摒棄了不同虛擬化平臺之間的差異性，利用了不同虛擬化平臺的共性，是ー種基于虛擬化的通用入侵檢測方法，適用于已存在的所有虛擬化平臺，與現有技術相比大大拓展了適用范圍。
[0070]通過管理集群服務器統一部署的方式，本發明的入侵檢測方法還可以實現檢測過程的集中管理控制。比如，能夠根據虛擬支撐環境的實際情況，集中控制入侵檢測系統(執行本發明入侵檢測方法的系統)的部署；能夠根據虛擬機節點以及安全威脅檢測需求，集中控制入侵檢測線程的創建、更新、遷移以及消亡等；能夠集中管理安全檢測策略，以集中控制安全威脅檢測過程。
[0071]步驟S102，執行S101創建的入侵檢測線程，通過將數據包協議與所述入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測所述檢測目標中的安全威脅，以及根據檢測結果進行響應，其中，數據包協議為從檢測目標的數據包中剝離出來的協議；
[0072]步驟S103，定期查詢安全檢測策略的更新信息，井根據該更新信息更新S102所執行的入侵檢測線程中的安全檢測策略。[0073]通過本步驟，可以根據虛擬機節點的動態變化，動態完成入侵檢測線程創建、遷移以及消亡等過程之間的自動切換，同時還能夠針對新發現的安全威脅，動態更新入侵檢測線程的安全檢測策略，以有效檢測新發現的安全威脅。
[0074]在本發明實施例中，步驟S101可以進一歩包括如下子步驟:
[0075]讀取虛擬計算環境的支撐服務器資源列表，提取服務器信息，其中服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息；
[0076]根據服務器信息，在服務器的對應目錄下遠程建立監控目錄；
[0077]遠程向監控目錄分發檢測文件；
[0078]遠程控制監控目錄中的檢測文件執行，創建入侵檢測線程。
[0079]在具體應用示例中，步驟S101可以采用圖2所示的部署流程來實現。
[0080]圖2為本發明實施例中的部署流程圖。如圖2所示，本實施例中，部署流程可以包括如下步驟:
[0081]步驟S201，讀取虛擬計算環境的支撐服務器資源列表；
[0082]讀取支撐服務器資源列表的目的是提取服務器信息，其中服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息等。
[0083]步驟S202，判斷支撐服務器資源列表中是否還有未讀服務器，若有則執行步驟S203，否則結束流程；
[0084]步驟S203，遠程控制服務器創建監控目錄；
[0085]虛擬化平臺管理員根據虛擬支撐環境的資源列表文件通過管理集群服務器向虛擬機節點的支撐服務器遠程拷貝入侵檢測系統可執行文件(即檢測文件，也稱為入侵檢測程序)，遠程執行，控制入侵檢測系統啟動運行，并創建入侵檢測主線程以及虛擬機節點動態變化監控線程，開始執行入侵檢測任務，完成檢測部署。
[0086]檢測文件即入侵檢測程序文件，檢測文件通過遠程控制部署在支撐服務器上。具體地，檢測文件的遠程部署是通過支撐服務器的資源列表文件實現的。入侵檢測主線程和虛擬機節點的動態變化檢測線程通過執行入侵檢測程序自動創建的。
[0087]步驟S204，向支撐服務器遠程發送檢測文件；
[0088]步驟S205，遠程控制檢測文件在支撐服務器中運行；
[0089]步驟S206，創建入侵檢測主線程；
[0090]在本步驟中，還可以同時創建虛擬機節點動態變化監控線程。
[0091]步驟S207，入侵檢測主線程根據安全檢測策略，創建入侵檢測線程，由入侵檢測線程加載安全檢測策略，返回步驟S201。
[0092]也就是說，入侵檢測主線程和入侵檢測線程之間的關系是入侵檢測線程由入侵檢測主線程來創建。
[0093]在本發明實施例中，步驟S102可以包括如下子步驟:
[0094]從虛擬機節點對應的后端網卡捕獲數據包；
[0095]從捕獲的數據包中逐次剝離出數據包協議，并將剝離出的數據包協議依次與入侵檢測線程中安全檢測策略對應的協議進行匹配；
[0096]在捕獲的數據包匹配了入侵檢測線程中某一條安全檢測策略對應的全部協議吋，判定此數據包為異常數據包，否則判定此數據包為正常數據包；[0097]根據預設的響應策略和判定結果處理捕獲的數據包。
[0098]在具體應用示例中，步驟S102可以采用圖3所示的檢測流程來實現。圖3為本發明實施例中的檢測流程圖。如圖3所示，本實施例中，檢測流程可以包括如下步驟:
[0099]步驟S301，從虛擬機節點虛擬網卡對應的后端網卡捕獲數據包；
[0100]虛擬網卡是VMM分配給虛擬機節點的虛擬網絡設備，是相對于真實的網絡設備來說的。
[0101]通過本步驟可見，應用本發明的入侵檢測方法，不僅能夠檢測節點粒度級的安全威脅，還能夠深入至具體網卡，進行更為細粒度的安全威脅檢測；在安全威脅檢測廣度方面，本發明不僅能夠利用安全檢測策略進行檢測，還能夠結合動態更新功能，獲取虛擬機節點甚至網卡的網絡流量的幅度變化，由虛擬化平臺管理員利用其它的網絡流分析方法，發現其中隱藏的安全威脅。
[0102]步驟S302，判斷是否還有數據包未處理，若是則執行步驟S303，否則執行步驟S303 ；
[0103]步驟S303，從數據包中提取出數據包協議頭，并與入侵檢測線程中安全檢測策略對應的協議進行匹配；
[0104]步驟S304，判斷是否還有協議未匹配，若是則執行步驟S305，否則執行步驟S306 ；
[0105]步驟S305，判定該數據包無威脅；
[0106]步驟S306，判定該數據包為異常數據包，執行響應動作。
[0107]異常數據包即是指存在安全威脅的數據包。
[0108]響應動作可以根據預設的響應策略來執行。例如，假如經判定，數據包為異常數據包，則將該異常數據包的主要信息上傳至管理集群數據庫中，以備后期進ー步的研究分析確認。
[0109]為了執行安全檢測，可以創建如圖4所示的動態規則檢測樹結構。
[0110]圖4所示的動態規則檢測樹結構的創建過程如下:
[0111](1)獲取安全檢測策略并分析，提取相應的數據包頭信息，對于缺失的數據包頭信息，用相應的通用規則頭補充，比如安全檢測策略:TCP.Sport=80&&TCP.Dport=6123Action=Log,則補充通用ethernet規則頭與通用IP規則頭，形成完整安全檢測策略:Ethernet.Smac=0&&Ethernet.Dmac=0 IP.SIP=0&&IP.DIP=0 TCP.Sport=80&&TCP.Dport=6123 Action=Log ；
[0112](2)將完整的安全檢測策略插入至動態規則檢測樹中，按照動態規則檢測樹的層次性，逐層分析以獲取合適的插入位置；
[0113](3)若動態規則檢測樹當前不存在待插入安全檢測策略的相應規則頭信息，則給當前數據包協議頭新建一孩子結點，以創建當前規則頭信息，然后再依次根據剩余檢測策略的數據，創建數據包協議頭以及規則頭，轉向處理(7);
[0114](4)若動態規則檢測樹當前存在相應的規則頭信息，則根據該子樹結構相應的數據包協議頭信息轉向處理(5)或者處理(6)；
[0115](5)若相應的數據包協議頭不存在，則創建該數據包協議頭，井根據剩下的檢測策略，創建其子孫結點，完成整條安全檢測策略的規則頭插入，轉向處理(7);
[0116](6)若相應的數據包協議頭存在，則根據相應數據包協議頭的信息，重復處理(3)與處理(4)的操作，直至完成整條安全威脅檢測策略的規則頭插入，轉向處理(7)；
[0117](7)若檢測策略的規則頭全部插入完畢，則對最后的規則頭創建ー孩子結點，創建規則體結構，完成整條安全檢測策略的插入。
[0118]安全檢測策略匹配吋，對數據包進行逐層數據包頭剝離，從底層協議到上層協議逐層與動態規則檢測樹相應協議頭的規則頭進行匹配，若能夠完全匹配某ー個規則體結點，即葉子結點，則說明檢測到安全威脅，執行相應的響應動作；若在匹配過程中，未能在動態規則檢測樹中匹配到相應的協議頭或者規則頭，或者規則體并不完全匹配，則說明此數據包不存在安全威脅。
[0119]在本發明實施例中，步驟S101可以包括子步驟:為檢測目標遠程創建虛擬機節點動態變化監控線程；則此時，入侵檢測方法還可以包括步驟:執行虛擬機節點動態變化監控線程，獲取虛擬機節點動態變化信息井上報。則此時步驟S103包括子步驟:根據上報的動態變化信息控制入侵檢測線程的更新操作。進ー步地，根據上報的動態變化信息控制入侵檢測線程的更新操作，這一子步驟還可以進一歩包括如下子步驟:
[0120]在動態變化信息為虛擬機節點啟動信息時,為啟動的虛擬機節點創建入侵檢測線程并控制該線程加載默認的安全檢測策略；
[0121]在動態變化信息為虛擬機節點遷移信息時，為遷移的虛擬機節點創建入侵檢測線程并控制該線程加載該虛擬機原有的安全檢測策略；
[0122]在動態變化信息為虛擬機節點死亡、崩潰或關閉信息時，釋放該虛擬機的入侵檢測資源，并關閉該虛擬機的入侵檢測線程。
[0123]在動態變化信息為安全檢測策略更新信息時，控制相應的入侵檢測線程完成安全檢測策略更新操作，使入侵檢測線程利用更新后的安全檢測策略進行檢測。
[0124]對虛擬機節點的阻塞以及掛起等狀態變化，入侵檢測主線程不予采取任何操作。因為虛擬機節點的阻塞以及掛起狀態不會產生網絡數據包，其相應的入侵檢測線程也會阻塞或掛起，因此入侵檢測主線程對其不采取任何處理。
[0125]在本發明實施例中，入侵檢測方法還可以包括步驟:執行虛擬機節點動態變化監控線程，獲取虛擬機節點基本信息井上報。虛擬機節點基本信息可以包括節點狀態、分配內存大小、內存使用量、CPU數量、網卡數量、網卡Mac地址以及網卡整體流量等等。
[0126]在具體應用示例中，步驟S103可以采用圖5所示的更新流程來實現。
[0127]圖5為本發明實施例中的更新流程圖。如圖5所示，本實施例中，更新流程可以包括如下步驟:
[0128]步驟S501，設置定時器以定期檢測安全檢測策略更新；
[0129]設置定時器時，需要對定時器參數如定時時間等進行設置。
[0130]步驟S502，判斷定時時間是否已到，若是則執行步驟S503 ；
[0131]步驟S503，入侵檢測主線程檢測安全檢測策略更新；
[0132]步驟S504，判斷是否有更新，若是則執行步驟S505，否則執行步驟S511 ；
[0133]步驟S505，判斷更新的策略是否有相應的入侵檢測線程存在，若是則執行步驟S506，否則執行步驟S508 ；
[0134]步驟S506，入侵檢測線程逆序加載更新的安全檢測策略，執行步驟S507 ；
[0135]步驟S507，判斷是否加載完畢，若是則執行步驟S510 ；[0136]步驟S508，入侵檢測主線程創建入侵檢測線程，執行步驟S509 ；
[0137]步驟S509，新建入侵檢測線程加載更新的安全檢測策略，執行步驟S510 ；
[0138]步驟S510，根據更新的入侵檢測線程執行安全檢測；
[0139]步驟S511，判斷虛擬機節點是否變化，若是則執行步驟S512，否則執行步驟S502 ；
[0140]步驟S512，判斷虛擬機節點是否啟動，若是則執行步驟S514，否則執行步驟S513 ；
[0141]步驟S513，對關閉的虛擬機節點，釋放該虛擬機節點相應的入侵檢測線程，執行步驟 S514 ；
[0142]步驟S514,更新虛擬機節點信息。
[0143]本發明的入侵檢測方法具有如下優點:
[0144](1)本發明的入侵檢測方法是ー種基于虛擬化的通用網絡入侵檢測框架，即具有通用性。本發明摒棄了不同虛擬化平臺之間的差異性，利用了不同虛擬化平臺的共性，是ー種基于虛擬化的通用網絡入侵檢測框架，適用于已存在的所有虛擬化平臺。
[0145](2)本發明的入侵檢測方法能夠實現集中管理控制功能。本發明能夠集中管理虛擬計算環境，為虛擬化平臺管理員提供集中、統ー的管理功能:能夠根據虛擬支撐環境的實際情況，集中控制入侵檢測系統的部署；能夠根據虛擬機節點以及安全威脅檢測需求，集中控制入侵檢測線程的創建、更新、遷移以及消亡等；能夠集中管理安全威脅策略，以集中控制安全威脅檢測過程。
[0146](3)本發明的入侵檢測方法能夠實現動態更新功能。本發明不僅能夠根據虛擬機節點的動態變化，動態完成入侵檢測線程創建、遷移以及消亡等過程之間的自動切換；同時也能夠針對新發現的安全威脅，動態更新入侵檢測線程的安全威脅策略，以有效檢測新發現的安全威脅。
[0147](4)本發明的入侵檢測方法能夠實現細粒度檢測功能。本發明不僅能夠檢測節點粒度級的安全威脅，也能夠深入至具體網卡，進行更為細粒度的安全威脅檢測。
[0148]可見，本發明的入侵檢測方法，具有適用范圍廣、可控性好、適應性強等優點，并且還可以實現更為細粒度的入侵檢測。
[0149]本發明還提出了ー種入侵檢測系統，用以執行上述的入侵檢測方法，上述本發明入侵檢測方法部分的說明均適用于本發明的入侵檢測系統。
[0150]圖6為本發明實施例中入侵檢測系統的結構框圖。如圖6所示，本實施例中，入侵檢測系統用于檢測虛擬計算環境中的虛擬機節點的安全威脅，該系統可以包括部署模塊610、檢測模塊620和更新模塊630。部署模塊610、檢測模塊620和更新模塊630順次相連。其中，部署模塊610用于為檢測目標遠程部署檢測文件，以及為檢測目標遠程創建入侵檢測線程，其中，入侵檢測線程至少包含一條安全檢測策略。檢測模塊620用于執行部署模塊610創建的入侵檢測線程，通過將數據包協議與所述入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測安全威脅，以及根據檢測結果進行響應，其中，數據包協議為從檢測目標的數據包中剝離出來的協議。更新模塊630用于定期查詢更新信息，井根據該更新信息更新檢測模塊620所執行的入侵檢測線程中的安全檢測策略。
[0151]在本發明實施例中，部署模塊610可以包括監控部署単元。監控部署単元用于為檢測目標遠程創建虛擬機節點動態變化監控線程。此時，入侵檢測系統還包括監控模塊，監控模塊用于執行監控部署單元創建的虛擬機節點動態變化監控線程，獲取虛擬機節點動態變化信息，井上報給部署模塊。此時，更新模塊還包括控制單元，控制單元用于根據監控模塊上報的動態變化信息控制入侵檢測線程的更新操作。
[0152]進ー步地,該控制單元可以進ー步包括啟動控制子單元、遷移控制子單元、關閉控制子単元和更新控制子単元。其中，啟動控制子単元用于在動態變化信息為虛擬機節點啟動信息吋，為啟動的虛擬機節點創建入侵檢測線程并控制該線程加載默認的安全檢測策略。遷移控制子単元用于在動態變化信息為虛擬機節點遷移信息吋，為遷移的虛擬機節點創建入侵檢測線程并控制該線程加載該虛擬機原有的安全檢測策略。關閉控制子単元用于在動態變化信息為虛擬機節點死亡、崩潰或關閉信息時，釋放該虛擬機的入侵檢測資源，并關閉該虛擬機的入侵檢測線程。更新控制子単元用于在動態變化信息為安全檢測策略更新信息時，控制相應的入侵檢測線程完成安全檢測策略更新操作，使入侵檢測線程利用更新后的安全檢測策略進行檢測。
[0153]在本發明實施例中，檢測模塊620可以進一歩包括捕獲單元、匹配単元、判斷単元和響應單元。其中，捕獲單元用于從虛擬機節點對應的后端網卡捕獲數據包。匹配単元用于從捕獲的數據包中逐次剝離出數據包協議，并將剝離出的數據包協議依次與入侵檢測線程中安全檢測策略對應的協議進行匹配。判斷単元用于在捕獲的數據包匹配了入侵檢測線程中某一條安全檢測策略對應的全部協議吋，判定此數據包為異常數據包，否則判定此數據包為正常數據包。響應單元用于根據預設的響應策略和判斷単元的判定結果處理捕獲的數據包。
[0154]在本發明實施例中，部署模塊可以包括讀取單元、目錄建立単元、分發單元和創建単元。其中，讀取單元用于讀取虛擬計算環境的支撐服務器資源列表，提取服務器信息，所述服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息。目錄建立單元用于根據讀取單元提取出來的服務器信息，在服務器的對應目錄下遠程建立監控目錄。分發單元用于遠程向所述監控目錄分發檢測文件。創建單元用于遠程控制監控目錄中的檢測執行，創建入侵檢測線程。
[0155]本發明的入侵檢測系統，具有適用范圍廣、可控性好、適應性強等優點，并且還可以實現更為細粒度的入侵檢測。
[0156]以上所述僅為本發明的較佳實施例，并不用以限制本發明，凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。
【權利要求】
1.ー種入侵檢測方法，用于檢測虛擬計算環境中的虛擬機節點的安全威脅，其特征在于，包括: 步驟一，為檢測目標遠程部署檢測文件，以及為所述檢測目標遠程創建入侵檢測線程，所述入侵檢測線程至少包含一條安全檢測策略； 步驟ニ，執行步驟ー創建的入侵檢測線程，通過將數據包協議與所述入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測所述檢測目標中的安全威脅，以及根據檢測結果進行響應，所述數據包協議為從所述檢測目標的數據包中剝離出來的協議； 步驟三，定期查詢安全檢測策略的更新信息，井根據該更新信息更新步驟ニ所執行的入侵檢測線程中的安全檢測策略。
2.根據權利要求1所述的入侵檢測方法，其特征在于，所述步驟一包括子步驟11:為所述檢測目標遠程創建虛擬機節點動態變化監控線程；則 所述入侵檢測方法還包括 步驟四，執行所述虛擬機節點動態變化監控線程，獲取虛擬機節點動態變化信息井上報； 所述步驟三包括子步驟31:根據步驟四上報的動態變化信息控制入侵檢測線程的更新操作。
3.根據權利要求2所述的入侵檢測方法，其特征在于，所述子步驟31包括: 在動態變化信息為虛擬機節點啟動信息吋，為啟動的虛擬機節點創建入侵檢測線程并控制該線程加載默認的 安全檢測策略； 在動態變化信息為虛擬機節點遷移信息時，為遷移的虛擬機節點創建入侵檢測線程并控制該線程加載該虛擬機原有的安全檢測策略； 在動態變化信息為虛擬機節點死亡、崩潰或關閉信息時，釋放該虛擬機的入侵檢測資源，并關閉該虛擬機的入侵檢測線程； 在動態變化信息為安全檢測策略更新信息時，控制相應的入侵檢測線程完成安全檢測策略更新操作，使入侵檢測線程利用更新后的安全檢測策略進行檢測。
4.根據權利要求1所述的入侵檢測方法，其特征在于，所述步驟ニ包括: 步驟21，從虛擬機節點對應的后端網卡捕獲數據包； 步驟22，從捕獲的數據包中逐次剝離出數據包協議，并將剝離出的數據包協議依次與入侵檢測線程中安全檢測策略對應的協議進行匹配； 步驟23，在捕獲的數據包匹配了入侵檢測線程中一條安全檢測策略對應的全部協議時，判定此數據包為異常數據包，否則判定此數據包為正常數據包； 步驟24，根據預設的響應策略和步驟23的判定結果處理捕獲的數據包。
5.根據權利要求1所述的入侵檢測方法，其特征在于，所述步驟一包括: 讀取虛擬計算環境的支撐服務器資源列表，提取服務器信息，所述服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息； 根據所述服務器信息，在服務器的對應目錄下遠程建立監控目錄； 遠程向所述監控目錄分發檢測文件； 遠程控制所述監控目錄中的檢測文件執行，創建入侵檢測線程。
6.ー種入侵檢測系統，用于檢測虛擬計算環境中的虛擬機節點的安全威脅，其特征在于，包括: 部署模塊，用于為檢測目標遠程部署檢測文件，以及為所述檢測目標遠程創建入侵檢測線程，所述入侵檢測線程至少包含一條安全檢測策略； 檢測模塊，用于執行部署模塊創建的入侵檢測線程，通過將數據包協議與所述入侵檢測線程中的每一條安全檢測策略的全部協議進行匹配的方式來檢測安全威脅，以及根據檢測結果進行響應，所述數據包協議為從所述檢測目標的數據包中剝離出來的協議； 更新模塊，用于定期查詢安全檢測策略的更新信息，井根據該更新信息更新檢測模塊所執行的入侵檢測線程中的安全檢測策略。
7.根據權利要求6所述的入侵檢測系統，其特征在于，所述部署模塊包括監控部署單元，用于為所述檢測目標遠程創建虛擬機節點動態變化監控線程； 則所述入侵檢測系統還包括監控模塊，用于執行監控部署單元創建的虛擬機節點動態變化監控線程，獲取虛擬機節點動態變化信息，井上報給部署模塊； 更新模塊還包括控制單元，用于根據監控模塊上報的動態變化信息控制入侵檢測線程的更新操作。
8.根據權利要求7所述的入侵檢測系統，其特征在于，所述控制単元包括: 啟動控制子單元，用于在動態變化信息為虛擬機節點啟動信息時，為啟動的虛擬機節點創建入侵檢測線程并控制該線程加載默認的安全檢測策略； 遷移控制子単元，用于在動態變化信息為虛擬機節點遷移信息時，為遷移的虛擬機節點創建入侵檢測線程并控制該線程`加載該虛擬機原有的安全檢測策略； 關閉控制子単元，用于在動態變化信息為虛擬機節點死亡、崩潰或關閉信息吋，釋放該虛擬機的入侵檢測資源，并關閉該虛擬機的入侵檢測線程； 更新控制子単元，用于在動態變化信息為安全檢測策略更新信息時，控制相應的入侵檢測線程完成安全檢測策略更新操作，使入侵檢測線程利用更新后的安全檢測策略進行檢測。
9.根據權利要求6所述的入侵檢測系統，其特征在于，所述檢測模塊包括: 捕獲單元，用于從虛擬機節點對應的后端網卡捕獲數據包； 匹配単元，用于從捕獲的數據包中逐次剝離出數據包協議，并將剝離出的數據包協議依次與入侵檢測線程中安全檢測策略對應的協議進行匹配； 判斷単元，用于在捕獲的數據包匹配了入侵檢測線程中一條安全檢測策略對應的全部協議時，判定此數據包為異常數據包，否則判定此數據包為正常數據包； 響應單元，用于根據預設的響應策略和判斷単元的判定結果處理捕獲的數據包。
10.根據權利要求6所述的入侵檢測系統，其特征在于，所述部署模塊包括: 讀取單元，用于讀取虛擬計算環境的支撐服務器資源列表，提取服務器信息，所述服務器信息包括服務器IP地址、服務器用戶名以及服務器對應的密碼信息； 目錄建立単元，用于根據讀取單元提取出來的服務器信息，在服務器的對應目錄下遠程建立監控目錄； 分發單元，用于遠程向所述監控目錄分發檢測文件； 創建單元，用于遠程控制所述監控目錄中的檢測文件執行，創建入侵檢測線程。
【文檔編號】H04L29/06GK103457945SQ201310381615
【公開日】2013年12月18日 申請日期:2013年8月28日 優先權日:2013年8月28日
【發明者】云曉春, 郝志宇, 丁振全, 張永錚, 李倫, 費海強 申請人:中國科學院信息工程研究所