用于云计算环境的入侵检测系统、方法及设备的制作方法
【专利摘要】本发明提出了用于云计算环境的入侵检测系统、方法及设备。其中,所述方法包括:至少一个主机中的入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器;入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。本发明所公开的用于云计算环境的入侵检测系统、方法及设备具有高的适配性、灵活性和扩展性并能够进行关联分析。
【专利说明】用于云计算环境的入侵检测系统、方法及设备
【技术领域】
[0001]本发明涉及入侵检测系统、方法及设备,更具体地,涉及用于云计算环境的入侵检测系统、方法及设备。
【背景技术】
[0002]目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,用于云计算环境的入侵检测系统、方法及设备变得越来越重要。
[0003]在云计算环境的常见模式中,通过虚拟化技术将数据中心的服务器、存储器、网络等资源抽象成逻辑的虚拟资源池,并通过网络传递给用户,从而实现资源的有效利用,例如,最常见的形式是将资源分配为不同的虚拟机以供用户使用。
[0004]然而,现有的用于云计算环境的入侵检测系统及方法存在如下问题:(1)用户身份的多样化导致用户不是完全可信,即可能成为潜在的入侵者;(2)单个虚拟机的安全无法得到保障;(3)虚拟机的集中式管理导致安全漏洞集中出现,即如果单个虚拟机被黑客控制则可能导致多个虚拟机被集体入侵;(4)由于入侵事件仅发生在由虚拟机构成的内网之中,故边界的网络防护不具有针对入侵事件的安全防护功能。
[0005]因此,存在如下需求:提供具有高的适配性、灵活性和扩展性并能够进行关联分析的针对云计算环境中的主机(包括虚拟主机)的入侵检测系统、方法及设备。
【发明内容】
[0006]为了解决上述现有技术方案所存在的问题,本发明提出了具有高的适配性、灵活性和扩展性并能够进行关联分析的针对云计算环境中的主机(包括虚拟主机)的入侵检测系统、方法及设备。
[0007]本发明的目的是通过以下技术方案实现的:
一种用于云计算环境的入侵检测系统,所述用于云计算环境的入侵检测系统包括:
至少一个主机,所述至少一个主机中的每个包括入侵检测客户端,所述入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器;
入侵检测服务器,所述入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
[0008]在上面所公开的方案中,优选地,所述至少一个主机是云计算环境中的主机。
[0009]在上面所公开的方案中,优选地,当发生与安全性相关的严重事件时,所述入侵检测客户端构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,其中,所述事件响应请求包含该严重事件的信息。
[0010]在上面所公开的方案中,优选地,所述入侵检测服务器进一步包括: 关联分析模块,所述关联分析模块接收所述至少一个主机发送来的主机事件并执行关联分析操作,以及根据分析结果生成相关的告警指令,并将所述告警指令传送到告警模块;
告警模块,所述告警模块基于所述告警指令执行告警操作;
响应请求处理模块,所述响应请求处理模块接收并分析所述事件响应请求,并基于分析结果触发响应机制以响应所述事件响应请求对应的严重事件;
规则管理模块,所述规则管理模块管理和维护入侵检测规则,其中,所述入侵检测规则包括监控规则和关联分析规则;
主机管理模块,所述主机管理模块管理和维护所述至少一个主机的状态信息,以及对所述至少一个主机进行分类并基于分类结果将不同类型的监控规则应用到对应的主机;用户接口,所述用户接口接收并转发来自用户的管理指令以执行相关的管理操作,所述管理指令包括针对所述入侵检测规则的配置指令。
[0011]在上面所公开的方案中,优选地,所述入侵检测客户端周期性地将监控规则更新请求传送到所述入侵检测服务器以更新所使用的监控规则,其中,所述监控规则更新请求包含当前使用的监控规则的信息。
[0012]在上面所公开的方案中,优选地,所述入侵检测服务器基于接收到的监控规则更新请求将最新的监控规则传送回对应的入侵检测客户端以更新该入侵检测客户端所使用的监控规则。
[0013]在上面所公开的方案中,优选地,所述响应机制包括手动的响应所述事件响应请求或者驱动对应的入侵检测客户端自动地执行针对所述事件响应请求的响应操作。
[0014]在上面所公开的方案中,优选地,所述主机事件至少包括日志事件、文件事件、帐号事件和注册表改动事件,并且每个主机事件包括事件标识符、分类标识符、源地址、目的地址、源端口、目的端口以及时间。
[0015]在上面所公开的方案中,优选地,所述入侵检测客户端进一步包括日志监控单元、文件监控单元、帐号监控单元、恶意软件检查单元和注册表监控单元,其中,所述恶意软件检查单元周期性地检查是否存在恶意软件,并且如果发现存在恶意软件,则执行相应的处理过程,并且其中,所述监控规则至少包括日志监控规则、文件检查规则、帐号事件规则和注册表监控规则。
[0016]在上面所公开的方案中,优选地,所述日志监控单元周期性地执行如下日志监控操作:(I)读取日志监控规则,所述日志监控规则指定了所有需要监控的日志文件路径;(2 )收集所述日志监控规则所指定的日志;(3 )根据所述日志监控规则中的日志解码规则提取所收集的日志中的日志事件;(4)根据所述日志监控规则中的日志事件规则对每个日志事件进行分析和判断,并且如果所述日志事件与所述日志事件规则不匹配,则丢弃所述日志事件,而如果所述日志事件与所述日志事件规则相匹配,则判断所述日志事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将所述日志事件传送到所述入侵检测服务器。
[0017]在上面所公开的方案中,优选地,所述文件监控单元周期性地执行如下文件监控操作:(I)从文件检查规则中读取需要检查的文件目录;(2)基于所述文件目录检查每个对应的文件,以获取该文件的权限和该文件的哈希值;(3)将当前文件检查的结果与上次文件检查的结果相比较,以找出有变化的文件,并随之生成相应的文件事件且将所述文件事件传送到所述入侵检测服务器,以及将当前文件检查的结果存储并归档。
[0018]在上面所公开的方案中,优选地,所述帐号监控单元周期性地执行如下帐号监控操作:(I)将所述日志监控操作所得到的每个日志事件和/或所述文件监控操作所得到的每个文件事件与帐号事件规则相比较,并且如果与帐号事件规则不匹配,则丢弃该日志事件和/或文件事件,而如果与帐号事件规则不匹配,则判断该日志事件和/或文件事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将与该日志事件和/或文件事件相关联的帐号事件传送到所述入侵检测服务器。
[0019]在上面所公开的方案中,优选地,所述注册表监控单元周期性地执行如下注册表监控操作:(I)实时地监控注册表改动事件;(2)在发生注册表改动事件时,将该注册表改动事件与注册表监控规则相比较,如果该注册表改动事件与注册表监控规则不匹配,则丢弃该注册表改动事件,而如果该注册表改动事件与注册表监控规则相匹配,则判断该注册表改动事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将该注册表改动事件传送到所述入侵检测服务器。
[0020]在上面所公开的方案中,优选地,所述关联分析模块以如下方式执行所述关联分析操作:(I)实时地收集所述至少一个主机传送来的主机事件;(2)对所收集的主机事件的事件标识符、分类标识符、源地址和目标地址参数进行频率计数;(3)将所收集的主机事件的所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相比较,如果所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相匹配,则生成对应的新的威胁事件,并构造包含所述新的威胁事件的告警指令且将所述告警指令传送到告警模块以执行告警操作;(4)重置命中关联分析规则的主机事件的频率数据,以开始重新计数,而在预定的时间阈值之后将未命中关联分析规则的主机事件的频率数据重置,以开始重新计数。
[0021]本发明的目的也可以通过以下技术方案实现:
一种包含入侵检测客户端的主机,其中,所述入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,以执行后续的入侵检测过程。
[0022]本发明的目的也可以通过以下技术方案实现:
一种用于云计算环境的入侵检测服务器,所述入侵检测服务器根据接收到的来自至少一个主机的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
[0023]本发明的目的也可以通过以下技术方案实现:
一种用于云计算环境的入侵检测方法,所述方法包括下列步骤:
(Al)至少一个主机中的入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器;
(A2)所述入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
[0024]本发明所公开的用于云计算环境的入侵检测系统、方法及设备具有以下优点:
(1)具有高的适配性,即可以适用于包含运行各种类型的操作系统的主机的云计算环境;
(2)具有高的配置灵活性,即可以灵活配置和部署监控规则和关联分析规则;(3)由于实现了针对入侵事件的关联分析,故具有增强的安全性。
【专利附图】
【附图说明】
[0025]结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的用于云计算环境的入侵检测系统的示意性结构图;
图2是根据本发明的实施例的用于云计算环境的入侵检测方法的流程图。
【具体实施方式】
[0026]图1是根据本发明的实施例的用于云计算环境的入侵检测系统的示意性结构图。如图1所示,本发明所公开的用于云计算环境的入侵检测系统包括至少一个主机I以及入侵检测服务器2。其中,所述至少一个主机I中的每个包括入侵检测客户端3,所述入侵检测客户端3监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器2,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2。所述入侵检测服务器2根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
[0027]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述至少一个主机I是云计算环境中的主机(包括实体主机和/或虚拟主机)。
[0028]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,当发生与安全性相关的严重事件时,所述入侵检测客户端3构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,其中,所述事件响应请求包含该严重事件的信息。
[0029]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述入侵检测服务器2进一步包括响应请求处理模块4、关联分析模块5、告警模块6、主机管理模块7、规则管理模块8和用户接口 9。其中,所述关联分析模块5接收所述至少一个主机I发送来的主机事件并执行关联分析操作,以及根据分析结果生成相关的告警指令,并将所述告警指令传送到告警模块6。所述告警模块6基于所述告警指令执行告警操作。所述响应请求处理模块4接收并分析所述事件响应请求,并基于分析结果触发响应机制以响应所述事件响应请求对应的严重事件。所述规则管理模块8管理和维护入侵检测规则,其中,所述入侵检测规则包括监控规则和关联分析规则。所述主机管理模块7管理和维护所述至少一个主机I的状态信息,以及对所述至少一个主机I进行分类并基于分类结果将不同类型的监控规则应用到对应的主机。所述用户接口 9接收并转发来自用户(例如入侵检测系统的操作者和/或管理者)的管理指令以执行相关的管理操作,所述管理指令包括针对所述入侵检测规则的配置指令。
[0030]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述入侵检测客户端3周期性地(示例性地,每隔5分钟)将监控规则更新请求传送到所述入侵检测服务器2以更新所使用的监控规则,其中,所述监控规则更新请求包含当前使用的监控规则的信息。
[0031]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述入侵检测服务器2基于接收到的监控规则更新请求将最新的监控规则传送回对应的入侵检测客户端3以更新该入侵检测客户端3所使用的监控规则。
[0032]示例性地,在本发明所公开的用于云计算环境的入侵检测系统中,所述告警模块6以发送邮件或短信的方式执行所述告警操作。
[0033]示例性地,在本发明所公开的用于云计算环境的入侵检测系统中,所述响应机制包括手动的响应所述事件响应请求或者驱动对应的入侵检测客户端3自动地执行针对所述事件响应请求的响应操作。
[0034]示例性地,在本发明所公开的用于云计算环境的入侵检测系统中,所述入侵检测客户端3基于UDP协议将所监测到的主机事件传送到所述入侵检测服务器2。
[0035]示例性地,在本发明所公开的用于云计算环境的入侵检测系统中,所述入侵检测客户端3基于HTTP SOAP协议实现与所述事件响应请求和所述监控规则更新相关联的数据通信。
[0036]示例性地,在本发明所公开的用于云计算环境的入侵检测系统中,所述主机事件至少包括日志事件、文件事件、帐号事件和注册表改动事件,并且每个主机事件包括事件标识符、分类标识符、源地址、目的地址、源端口、目的端口以及时间。
[0037]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述入侵检测客户端3进一步包括日志监控单元、文件监控单元、帐号监控单元、恶意软件(例如Rootkit,其是攻击者用来隐藏自己的踪迹和保留root访问权限的工具)检查单元和注册表监控单元,其中,所述恶意软件检查单元周期性地检查是否存在恶意软件,并且如果发现存在恶意软件,则执行相应的处理过程,并且其中,所述监控规则至少包括日志监控规则、文件检查规则、帐号事件规则和注册表监控规则。
[0038]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述日志监控单元周期性地执行如下日志监控操作:(I)读取日志监控规则,所述日志监控规则指定了所有需要监控的日志文件路径(示例性地,针对windows操作系统日志,所述日志监控规则定义了要监控的windows操作日志的类别(例如系统日志,安全日志,应用程序日志等等));
(2)收集所述日志监控规则所指定的日志;(3)根据所述日志监控规则中的日志解码规则提取所收集的日志中的日志事件(由于不同平台以及不同应用的日志格式不相同,故需要对所收集的日志进行解码以提取日志事件);(4)根据所述日志监控规则中的日志事件规则对每个日志事件进行分析和判断,并且如果所述日志事件与所述日志事件规则不匹配,则丢弃所述日志事件,而如果所述日志事件与所述日志事件规则相匹配,则判断所述日志事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,如果不是,则将所述日志事件传送到所述入侵检测服务器2。
[0039]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述文件监控单元周期性地(例如每次间隔12小时)执行如下文件监控操作:(I)从文件检查规则中读取需要检查的文件目录;(2)基于所述文件目录检查每个对应的文件,以获取该文件的权限和该文件的哈希(Hash)值;(3)将当前文件检查的结果与上次文件检查的结果相比较,以找出有变化的文件,并随之生成相应的文件事件且将所述文件事件传送到所述入侵检测服务器2,以及将当前文件检查的结果存储并归档。
[0040]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述帐号监控单元周期性地执行如下帐号监控操作:(I)将所述日志监控操作所得到的每个日志事件和/或所述文件监控操作所得到的每个文件事件与帐号事件规则相比较,并且如果与帐号事件规则不匹配,则丢弃该日志事件和/或文件事件,而如果与帐号事件规则不匹配,则判断该日志事件和/或文件事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,如果不是,则将与该日志事件和/或文件事件相关联的帐号事件传送到所述入侵检测服务器2(账号监控是基于日志监控和文件监控而实现的,因为通常系统日志会记录账号的变动,同时记录账号信息的文件也会发生变动)。
[0041]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述注册表监控单元周期性地执行如下注册表监控操作:(1)实时地监控注册表改动事件;(2)在发生注册表改动事件时,将该注册表改动事件与注册表监控规则相比较,如果该注册表改动事件与注册表监控规则不匹配,则丢弃该注册表改动事件,而如果该注册表改动事件与注册表监控规则相匹配,则判断该注册表改动事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,如果不是,则将该注册表改动事件传送到所述入侵检测服务器2。
[0042]优选地,在本发明所公开的用于云计算环境的入侵检测系统中,所述关联分析模块5以如下方式执行所述关联分析操作:(I)实时地收集所述至少一个主机I传送来的主机事件;(2)对所收集的主机事件的事件标识符、分类标识符、源地址和目标地址参数进行频率计数;(3)将所收集的主机事件的所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相比较,如果所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相匹配,则生成对应的新的威胁事件,并构造包含所述新的威胁事件的告警指令且将所述告警指令传送到告警模块6以执行告警操作;(4)重置命中关联分析规则的主机事件的频率数据,以开始重新计数,而在预定的时间阈值(例如20分钟)之后将未命中关联分析规则的主机事件的频率数据重置,以开始重新计数。
[0043]由上可见,本发明所公开的用于云计算环境的入侵检测系统具有下列优点:(I)具有高的适配性,即可以适用于包含运行各种类型的操作系统的主机的云计算环境;(2)具有高的配置灵活性,即可以灵活配置和部署监控规则和关联分析规则;(3)由于实现了针对入侵事件的关联分析,故具有增强的安全性。
[0044]如图1所示,本发明公开了包含入侵检测客户端3的主机,所述入侵检测客户端3监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器2,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,以执行后续的入侵检测过程。
[0045]优选地,本发明所公开的包含入侵检测客户端3的主机是云计算环境中的主机(包括实体主机和/或虚拟主机)。
[0046]优选地,在本发明所公开的包含入侵检测客户端3的主机中,当发生与安全性相关的严重事件时,所述入侵检测客户端3构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,其中,所述事件响应请求包含该严重事件的信
肩、O
[0047]优选地,在本发明所公开的包含入侵检测客户端3的主机中,所述入侵检测客户端3周期性地(示例性地,每隔5分钟)将监控规则更新请求传送到所述入侵检测服务器2以更新所使用的监控规则,其中,所述监控规则更新请求包含当前使用的监控规则的信息。
[0048]示例性地,在本发明所公开的包含入侵检测客户端3的主机中,所述入侵检测客户端3基于UDP协议将所监测到的主机事件传送到所述入侵检测服务器2。
[0049]示例性地,在本发明所公开的包含入侵检测客户端3的主机中,所述入侵检测客户端3基于HTTP SOAP协议实现与所述事件响应请求和所述监控规则更新相关联的数据通?目。
[0050]示例性地,在本发明所公开的包含入侵检测客户端3的主机中,所述主机事件至少包括日志事件、文件事 件、帐号事件和注册表改动事件,并且每个主机事件包括事件标识符、分类标识符、源地址、目的地址、源端口、目的端口以及时间。
[0051]优选地,在本发明所公开的包含入侵检测客户端3的主机中,所述入侵检测客户端3进一步包括日志监控单元、文件监控单元、帐号监控单元、恶意软件(例如Rootkit,其是攻击者用来隐藏自己的踪迹和保留root访问权限的工具)检查单元和注册表监控单元,其中,所述恶意软件检查单元周期性地检查是否存在恶意软件,并且如果发现存在恶意软件,则执行相应的处理过程,并且其中,所述监控规则至少包括日志监控规则、文件检查规则、帐号事件规则和注册表监控规则。
[0052]优选地,在本发明所公开的包含入侵检测客户端3的主机中,所述日志监控单元周期性地执行如下日志监控操作:(1)读取日志监控规则,所述日志监控规则指定了所有需要监控的日志文件路径(示例性地,针对windows操作系统日志,所述日志监控规则定义了要监控的windows操作日志的类别(例如系统日志,安全日志,应用程序日志等等));(2)收集所述日志监控规则所指定的日志;(3 )根据所述日志监控规则中的日志解码规则提取所收集的日志中的日志事件(由于不同平台以及不同应用的日志格式不相同,故需要对所收集的日志进行解码以提取日志事件);(4)根据所述日志监控规则中的日志事件规则对每个日志事件进行分析和判断,并且如果所述日志事件与所述日志事件规则不匹配,则丢弃所述日志事件,而如果所述日志事件与所述日志事件规则相匹配,则判断所述日志事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,如果不是,则将所述日志事件传送到所述入侵检测服务器2。
[0053]优选地,在本发明所公开的包含入侵检测客户端3的主机中,所述文件监控单元周期性地(例如每次间隔12小时)执行如下文件监控操作:(1)从文件检查规则中读取需要检查的文件目录;(2)基于所述文件目录检查每个对应的文件,以获取该文件的权限和该文件的哈希(Hash)值;(3)将当前文件检查的结果与上次文件检查的结果相比较,以找出有变化的文件,并随之生成相应的文件事件且将所述文件事件传送到所述入侵检测服务器2,以及将当前文件检查的结果存储并归档。
[0054]优选地,在本发明所公开的包含入侵检测客户端3的主机中,所述帐号监控单元周期性地执行如下帐号监控操作:(I)将所述日志监控操作所得到的每个日志事件和/或所述文件监控操作所得到的每个文件事件与帐号事件规则相比较,并且如果与帐号事件规则不匹配,则丢弃该日志事件和/或文件事件,而如果与帐号事件规则不匹配,则判断该日志事件和/或文件事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,如果不是,则将与该日志事件和/或文件事件相关联的帐号事件传送到所述入侵检测服务器2 (账号监控是基于日志监控和文件监控而实现的,因为通常系统日志会记录账号的变动,同时记录账号信息的文件也会发生变动)。
[0055]优选地,在本发明所公开的包含入侵检测客户端3的主机中,所述注册表监控单元周期性地执行如下注册表监控操作:(1)实时地监控注册表改动事件;(2)在发生注册表改动事件时,将该注册表改动事件与注册表监控规则相比较,如果该注册表改动事件与注册表监控规则不匹配,则丢弃该注册表改动事件,而如果该注册表改动事件与注册表监控规则相匹配,则判断该注册表改动事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器2,如果不是,则将该注册表改动事件传送到所述入侵检测服务器2。
[0056]如图1所示,本发明公开了用于云计算环境的入侵检测服务器2,所述入侵检测服务器2根据接收到的来自至少一个主机I的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
[0057]优选地,本发明所公开的用于云计算环境的入侵检测服务器2进一步包括响应请求处理模块4、关联分析模块5、告警模块6、主机管理模块7、规则管理模块8和用户接口 9。其中,所述关联分析模块5接收所述至少一个主机I发送来的主机事件并执行关联分析操作,以及根据分析结果生成相关的告警指令,并将所述告警指令传送到告警模块6。所述告警模块6基于所述告警指令执行告警操作。所述响应请求处理模块4接收并分析所述事件响应请求,并基于分析结果触发响应机制以响应所述事件响应请求对应的严重事件。所述规则管理模块8管理和维护入侵检测规则,其中,所述入侵检测规则包括监控规则和关联分析规则。所述主机管理模块7管理和维护所述至少一个主机I的状态信息,以及对所述至少一个主机I进行分类并基于分类结果将不同类型的监控规则应用到对应的主机。所述用户接口 9接收并转发来自用户(例如入侵检测系统的操作者和/或管理者)的管理指令以执行相关的管理操作,所述管理指令包括针对所述入侵检测规则的配置指令。
[0058]优选地,本发明所公开的用于云计算环境的入侵检测服务器2基于接收到的来自所述至少一个主机I的监控规则更新请求将最新的监控规则传送回对应的主机的入侵检测客户端3以更新该入侵检测客户端3所使用的监控规则。
[0059]示例性地,在本发明所公开的用于云计算环境的入侵检测服务器2中,所述告警模块6以发送邮件或短信的方式执行所述告警操作。
[0060]示例性地,在本发明所公开的用于云计算环境的入侵检测服务器2中,所述响应机制包括手动的响应所述事件响应请求或者驱动对应的入侵检测客户端3自动地执行针对所述事件响应请求的响应操作。
[0061]示例性地,在本发明所公开的用于云计算环境的入侵检测服务器2中,所述主机事件至少包括日志事件、文件事件、帐号事件和注册表改动事件,并且每个主机事件包括事件标识符、分类标识符、源地址、目的地址、源端口、目的端口以及时间。
[0062]优选地,在本发明所公开的用于云计算环境的入侵检测服务器2中,所述关联分析模块5以如下方式执行所述关联分析操作:(I)实时地收集所述至少一个主机I传送来的主机事件;(2)对所收集的主机事件的事件标识符、分类标识符、源地址和目标地址参数进行频率计数;(3)将所收集的主机事件的所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相比较,如果所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相匹配,则生成对应的新的威胁事件,并构造包含所述新的威胁事件的告警指令且将所述告警指令传送到告警模块6以执行告警操作;(4)重置命中关联分析规则的主机事件的频率数据,以开始重新计数,而在预定的时间阈值(例如20分钟)之后将未命中关联分析规则的主机事件的频率数据重置,以开始重新计数。
[0063]图2是根据本发明的实施例的用于云计算环境的入侵检测方法的流程图。如图2所示,本发明所公开的用于云计算环境的入侵检测方法包括下列步骤:(Al)至少一个主机中的入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器;(A2)所述入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
[0064]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述至少一个主机是云计算环境中的主机(包括实体主机和/或虚拟主机)。
[0065]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述步骤(Al)进一步包括:当发生与安全性相关的严重事件时,所述入侵检测客户端构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,其中,所述事件响应请求包含该严重事件的信息。
[0066]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述步骤(A2)进一步包括:所述入侵检测服务器接收所述至少一个主机发送来的主机事件并执行关联分析操作,以及根据分析结果执行相关的告警操作。
[0067]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述步骤(A2)进一步包括:所述入侵检测服务器接收并分析所述事件响应请求,并基于分析结果触发响应机制以响应所述事件响应请求对应的严重事件。
[0068]优选地,本发明所公开的用于云计算环境的入侵检测方法进一步包括:所述入侵检测服务器管理和维护入侵检测规则,其中,所述入侵检测规则包括监控规则和关联分析规则。[0069]优选地,本发明所公开的用于云计算环境的入侵检测方法进一步包括:所述入侵检测服务器管理和维护所述至少一个主机的状态信息,以及对所述至少一个主机进行分类并基于分类结果将不同类型的监控规则应用到对应的主机。
[0070]优选地,本发明所公开的用于云计算环境的入侵检测方法进一步包括:所述入侵检测服务器接收来自用户(例如入侵检测系统的操作者和/或管理者)的管理指令以执行相关的管理操作,所述管理指令包括针对所述入侵检测规则的配置指令。
[0071]优选地,本发明所公开的用于云计算环境的入侵检测方法进一步包括:所述入侵检测客户端周期性地(示例性地,每隔5分钟)将监控规则更新请求传送到所述入侵检测服务器以更新所使用的监控规则,其中,所述监控规则更新请求包含当前使用的监控规则的信息。
[0072]优选地,本发明所公开的用于云计算环境的入侵检测方法进一步包括:所述入侵检测服务器基于接收到的监控规则更新请求将最新的监控规则传送回对应的入侵检测客户端以更新该入侵检测客户端所使用的监控规则。
[0073]示例性地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测服务器以发送邮件或短信的方式执行所述告警操作。
[0074]示例性地,在本发明所公开的用于云计算环境的入侵检测方法中,所述响应机制包括手动的响应所述事件响应请求或者驱动对应的入侵检测客户端自动地执行针对所述事件响应请求的响应操作。
[0075]示例性地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测客户端基于UDP协议将所监测到的主机事件传送到所述入侵检测服务器。
[0076]示例性地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测客户端基于HTTP SOAP协议实现与所述事件响应请求和所述监控规则更新相关联的数据通?目。
[0077]示例性地,在本发明所公开的用于云计算环境的入侵检测方法中,所述主机事件至少包括日志事件、文件事件、帐号事件和注册表改动事件,并且每个主机事件包括事件标识符、分类标识符、源地址、目的地址、源端口、目的端口以及时间。
[0078]优选地,本发明所公开的用于云计算环境的入侵检测方法进一步包括:所述入侵检测客户端周期性地检查是否存在恶意软件,并且如果发现存在恶意软件,则执行相应的处理过程。
[0079]示例性地,在本发明所公开的用于云计算环境的入侵检测方法中,所述监控规则至少包括日志监控规则、文件检查规则、帐号事件规则和注册表监控规则。
[0080]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测客户端以如下方式执行日志监控操作:(I)读取日志监控规则,所述日志监控规则指定了所有需要监控的日志文件路径(示例性地,针对windows操作系统日志,所述日志监控规则定义了要监控的windows操作日志的类别(例如系统日志,安全日志,应用程序日志等等));
(2)收集所述日志监控规则所指定的日志;(3)根据所述日志监控规则中的日志解码规则提取所收集的日志中的日志事件(由于不同平台以及不同应用的日志格式不相同,故需要对所收集的日志进行解码以提取日志事件);(4)根据所述日志监控规则中的日志事件规则对每个日志事件进行分析和判断,并且如果所述日志事件与所述日志事件规则不匹配,则丢弃所述日志事件,而如果所述日志事件与所述日志事件规则相匹配,则判断所述日志事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将所述日志事件传送到所述入侵检测服务器。
[0081]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测客户端周期性地(例如每次间隔12小时)以如下方式执行文件监控操作:(I)从文件检查规则中读取需要检查的文件目录;(2)基于所述文件目录检查每个对应的文件,以获取该文件的权限和该文件的哈希(Hash)值;(3)将当前文件检查的结果与上次文件检查的结果相比较,以找出有变化的文件,并随之生成相应的文件事件且将所述文件事件传送到所述入侵检测服务器2,以及将当前文件检查的结果存储并归档。
[0082]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测客户端周期性地以如下方式执行帐号监控操作:(I)将所述日志监控操作所得到的每个日志事件和/或所述文件监控操作所得到的每个文件事件与帐号事件规则相比较,并且如果与帐号事件规则不匹配,则丢弃该日志事件和/或文件事件,而如果与帐号事件规则不匹配,则判断该日志事件和/或文件事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将与该日志事件和/或文件事件相关联的帐号事件传送到所述入侵检测服务器(账号监控是基于日志监控和文件监控而实现的,因为通常系统日志会记录账号的变动,同时记录账号信息的文件也会发生变动)。
[0083]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测客户端周期性地以如下方式执行注册表监控操作:(I)实时地监控注册表改动事件;(2)在发生注册表改动事件时,将该注册表改动事件与注册表监控规则相比较,如果该注册表改动事件与注册表监控规则不匹配,则丢弃该注册表改动事件,而如果该注册表改动事件与注册表监控规则相匹配,则判断该注册表改动事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将该注册表改动事件传送到所述入侵检测服务器。
[0084]优选地,在本发明所公开的用于云计算环境的入侵检测方法中,所述入侵检测服务器以如下方式执行所述关联分析操作:(1)实时地收集所述至少一个主机传送来的主机事件;(2)对所收集的主机事件的事件标识符、分类标识符、源地址和目标地址参数进行频率计数;(3)将所收集的主机事件的所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相比较,如果所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相匹配,则生成对应的新的威胁事件,并构造包含所述新的威胁事件的告警指令且将所述告警指令传送到告警模块6以执行告警操作;(4)重置命中关联分析规则的主机事件的频率数据,以开始重新计数,而在预定的时间阈值(例如20分钟)之后将未命中关联分析规则的主机事件的频率数据重置,以开始重新计数。
[0085]由上可见,本发明所公开的用于云计算环境的入侵检测方法具有下列优点:(I)具有高的适配性,即可以适用于包含运行各种类型的操作系统的主机的云计算环境;(2)具有高的配置灵活性,即可以灵活配置和部署监控规则和关联分析规则;(3)由于实现了针对入侵事件的关联分析,故具有增强的安全性。
[0086]尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。
【权利要求】
1.一种用于云计算环境的入侵检测系统,所述用于云计算环境的入侵检测系统包括: 至少一个主机,所述至少一个主机中的每个包括入侵检测客户端,所述入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器; 入侵检测服务器,所述入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
2.根据权利要求1所述的用于云计算环境的入侵检测系统,其特征在于,所述至少一个主机是云计算环境中的主机。
3.根据权利要求2所述的用于云计算环境的入侵检测系统,其特征在于,当发生与安全性相关的严重事件时,所述入侵检测客户端构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,其中,所述事件响应请求包含该严重事件的信息。
4.根据权利要求3所述的用于云计算环境的入侵检测系统,其特征在于,所述入侵检测服务器进一步包括: 关联分析模块,所述关联分析模块接收所述至少一个主机发送来的主机事件并执行关联分析操作,以及根据分析结果生成相关的告警指令,并将所述告警指令传送到告警模块; 告警模块,所述告警模炔基于所述告警指令执行告警操作; 响应请求处理模块,所述响应请求处理模块接收并分析所述事件响应请求,并基于分析结果触发响应机制以响应所述事件响应请求对应的严重事件; 规则管理模块,所述规则管理模块管理和维护入侵检测规则,其中,所述入侵检测规则包括监控规则和关联分析规则; 主机管理模块,所述主机管理模块管理和维护所述至少一个主机的状态信息,以及对所述至少一个主机进行分类并基于分类结果将不同类型的监控规则应用到对应的主机; 用户接口,所述用户接口接收并转发来自用户的管理指令以执行相关的管理操作,所述管理指令包括针对所述入侵检测规则的配置指令。
5.根据权利要求4所述的用于云计算环境的入侵检测系统,其特征在于,所述入侵检测客户端周期性地将监控规则更新请求传送到所述入侵检测服务器以更新所使用的监控规则,其中,所述监控规则更新请求包含当前使用的监控规则的信息。
6.根据权利要求5所述的用于云计算环境的入侵检测系统,其特征在于,所述入侵检测服务器基于接收到的监控规则更新请求将最新的监控规则传送回对应的入侵检测客户端以更新该入侵检测客户端所使用的监控规则。
7.根据权利要求6所述的用于云计算环境的入侵检测系统,其特征在于,所述响应机制包括手动的响应所述事件响应请求或者驱动对应的入侵检测客户端自动地执行针对所述事件响应请求的响应操作。
8.根据权利要求7所述的用于云计算环境的入侵检测系统,其特征在于,所述主机事件至少包括日志事件、文件事件、帐号事件和注册表改动事件,并且每个主机事件包括事件标识符、分类标识符、源地址、目的地址、源端口、目的端口以及时间。
9.根据权利要求8所述的用于云计算环境的入侵检测系统,其特征在于,所述入侵检测客户端进一步包括日志监控单元、文件监控单元、帐号监控单元、恶意软件检查单元和注册表监控单元,其中,所述恶意软件检查单元周期性地检查是否存在恶意软件,并且如果发现存在恶意软件,则执行相应的处理过程,并且其中,所述监控规则至少包括日志监控规则、文件检查规则、帐号事件规则和注册表监控规则。
10.根据权利要求9所述的用于云计算环境的入侵检测系统,其特征在于,所述日志监控单元周期性地执行如下日志监控操作:(1)读取日志监控规则,所述日志监控规则指定了所有需要监控的日志文件路径;(2)收集所述日志监控规则所指定的日志;(3)根据所述日志监控规则中的日志解码规则提取所收集的日志中的日志事件;(4)根据所述日志监控规则中的日志事件规则对每个日志事件进行分析和判断,并且如果所述日志事件与所述日志事件规则不匹配,则丢弃所述日志事件,而如果所述日志事件与所述日志事件规则相匹配,则判断所述日志事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将所述日志事件传送到所述入 侵检测服务器。
11.根据权利要求10所述的用于云计算环境的入侵检测系统,其特征在于,所述文件监控单元周期性地执行如下文件监控操作:(I)从文件检查规则中读取需要检查的文件目录;(2)基于所述文件目录检查每个对应的文件,以获取该文件的权限和该文件的哈希值;(3)将当前文件检查的结果与上次文件检查的结果相比较,以找出有变化的文件,并随之生成相应的文件事件且将所述文件事件传送到所述入侵检测服务器,以及将当前文件检查的结果存储并归档。
12.根据权利要求11所述的用于云计算环境的入侵检测系统,其特征在于,所述帐号监控单元周期性地执行如下帐号监控操作:(I)将所述日志监控操作所得到的每个日志事件和/或所述文件监控操作所得到的每个文件事件与帐号事件规则相比较,并且如果与帐号事件规则不匹配,则丢弃该日志事件和/或文件事件,而如果与帐号事件规则不匹配,则判断该日志事件和/或文件事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将与该日志事件和/或文件事件相关联的帐号事件传送到所述入侵检测服务器。
13.根据权利要求12所述的用于云计算环境的入侵检测系统,其特征在于,所述注册表监控单元周期性地执行如下注册表监控操作:(I)实时地监控注册表改动事件;(2)在发生注册表改动事件时,将该注册表改动事件与注册表监控规则相比较,如果该注册表改动事件与注册表监控规则不匹配,则丢弃该注册表改动事件,而如果该注册表改动事件与注册表监控规则相匹配,则判断该注册表改动事件是否是需要发起事件响应请求的严重事件,如果是,则构造对应于该严重事件的事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,如果不是,则将该注册表改动事件传送到所述入侵检测服务器。
14.根据权利要求13所述的用于云计算环境的入侵检测系统,其特征在于,所述关联分析模块以如下方式执行所述关联分析操作:(I)实时地收集所述至少一个主机传送来的主机事件;(2)对所收集的主机事件的事件标识符、分类标识符、源地址和目标地址参数进行频率计数;(3)将所收集的主机事件的所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相比较,如果所述事件标识符、分类标识符、源地址、目标地址参数以及相关联的频率参数与关联分析规则相匹配,则生成对应的新的威胁事件,并构造包含所述新的威胁事件的告警指令且将所述告警指令传送到告警模块以执行告警操作;(4)重置命中关联分析规则的主机事件的频率数据,以开始重新计数,而在预定的时间阈值之后将未命中关联分析规则的主机事件的频率数据重置,以开始重新计数。
15.一种包含入侵检测客户端的主机,其中,所述入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器,以执行后续的入侵检测过程。
16.一种用于云计算环境的入侵检测服务器,所述入侵检测服务器根据接收到的来自至少一个主机的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。
17.一种用于云计算环境的入侵检测方法,所述方法包括下列步骤: (Al)至少一个主机中的入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件,并基于预定的监控规则执行下列操作以实施相关的入侵检测过程:将所监测到的主机事件传送到入侵检测服务器,或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器; (A2)所述入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测 过程。
【文档编号】H04L29/06GK104038466SQ201310068974
【公开日】2014年9月10日 申请日期:2013年3月5日 优先权日:2013年3月5日
【发明者】王明博, 鲁志军, 何朔, 华锦芝 申请人:中国银联股份有限公司