入侵检测方法及系统的制作方法

入侵检测方法及系统的制作方法
【专利摘要】本发明涉及一种入侵检测方法及系统。入侵检测方法用于检测虚拟计算环境中的虚拟机节点的安全威胁，包括：步骤一，为检测目标远程部署检测文件，以及为检测目标远程创建入侵检测线程，入侵检测线程至少包含一条安全检测策略；步骤二，执行步骤一创建的入侵检测线程，通过将数据包协议与入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测检测目标中的安全威胁，以及根据检测结果进行响应，数据包协议为从检测目标的数据包中剥离出来的协议；步骤三，定期查询安全检测策略的更新信息，并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。本发明的入侵检测方法及系统提高了虚拟计算环境的安全威胁检测性能。
【专利说明】入侵检测方法及系统
【技术领域】
[0001]本发明涉及信息【技术领域】，尤其涉及ー种入侵检测方法及系统。
【背景技术】
[0002]随着虚拟化技术的日益流行，针对虚拟化计算资源的攻击日益增多。因此虚拟化安全监控受到众多研究学者的青睐。然而由于虚拟机具有快速启动、快速恢复、关闭以及迁移等特点，且同一物理主机可能存在多种不同操作系统类型的虚拟机，同时虚拟化计算环境经常需要在不同的物理主机上部署。上述原因导致传统的网络入侵检测手段已不能很好的适用于虚拟化异常网络流量的检测。
[0003]目前针对虚拟化的入侵检测方法主要包括基于有限状态自动机、基于特定操作系统类型与特定服务、基于多机联合检测、基于新建入侵检测域等方法。
[0004]( 1)基于有限状态自动机的方法。提出根据虚拟机状态的动态性变化，构建有限状态自动机，利用有限状态自动机自动适应虚拟机状态变化，实现异常行为的检测与响应。
[0005](2)基于特定操作系统类型与特定服务的方法。考虑到虚拟机数目众多以及运行其中的各种服务对网络入侵检测性能的影响，提出了只加载特定操作系统以及运行服务的入侵检测规则，減少入侵检测规则的加载数目，提高入侵检测系统的检测性能；利用虚拟机System Map获取虚拟机的操作系统类型以及运行服务的状态，加载特定的入侵规则，快速检测异常网络行为。
[0006](3)基于多机联合检测的方法。创建ー个与Xen的特权域(以下简称Domain 0)具有相同特权的客户域(以下简称Domain U)用于部署入侵检测系统的管理控制模块，通过超级调用完整性检测以及获取超级调用的根源来检测异常行为，并采取相应的响应措施；当一台物理主机中的入侵检测系统的管理控制模块异常或失效时，它能够通过虚拟网络的交流信道将异常行为特征传递至其他物理主机中的入侵检测系统，实现“异地”检测异常行为的目的。
[0007](4)基于新建入侵检测域方法。通过建立一个单独的入侵检测域来为其他虚拟机提供入侵检测服务，VMM (Virtual Machine Monitor,虚拟机监控器)的事件传感器拦截虚拟机中的系统调用，并通过VMM接ロ传递至入侵检测域的入侵检测系统，根据不同的安全策略，VMM的入侵检测域助手能够针对入侵采取相应的响应。
[0008]这几种入侵检测方法存在的缺陷是:1)未考虑虚拟化网络拓扑结构以及虚拟化物理环境的变化给入侵检测的部署与检测带来的影响；2)不能充分有效检测虚拟机节点的动态变化，不能有效获取虚拟机节点的基本信息，以进行针对性的入侵检测；3)不能动态检测虚拟计算环境的异常网络行为。

【发明内容】

[0009]本发明所要解决的技术问题是提供ー种入侵检测方法及系统，提高虚拟计算环境的安全威胁检测性能。[0010]为解决上述技术问题，本发明提出了ー种入侵检测方法，用于检测虚拟计算环境中的虚拟机节点的安全威胁，包括:
[0011]步骤一，为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略；
[0012]步骤ニ，执行步骤ー创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议；
[0013]步骤三，定期查询安全检测策略的更新信息，井根据该更新信息更新步骤ニ所执行的入侵检测线程中的安全检测策略。
[0014]进ー步地，上述入侵检测方法还可具有以下特点，所述步骤一包括子步骤11:为所述检测目标远程创建虚拟机节点动态变化监控线程；则
[0015]所述入侵检测方法还包括
[0016]步骤四，执行所述虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息并上报；
[0017]所述步骤三包括子步骤31:根据步骤四上报的动态变化信息控制入侵检测线程的更新操作。
[0018]进ー步地，上述入侵检测方法还可具有以下特点，所述子步骤31包括:
[0019]在动态变化信息为虚拟机节点启动信息时,为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略；
[0020]在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略；
[0021]在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程；
[0022]在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检測。
[0023]进ー步地，上述入侵检测方法还可具有以下特点，所述步骤ニ包括:
[0024]步骤21，从虚拟机节点对应的后端网卡捕获数据包；
[0025]步骤22，从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配；
[0026]步骤23，在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时，判定此数据包为异常数据包，否则判定此数据包为正常数据包；
[0027]步骤24，根据预设的响应策略和步骤23的判定结果处理捕获的数据包。
[0028]进ー步地，上述入侵检测方法还可具有以下特点，所述步骤一包括:
[0029]读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息；
[0030]根据所述服务器信息，在服务器的对应目录下远程建立监控目录；
[0031]远程向所述监控目录分发检测文件；
[0032]远程控制所述监控目录中的检测文件执行，创建入侵检测线程。[0033]为解决上述技术问题，本发明还提出了ー种入侵检测系统，用于检测虚拟计算环境中的虚拟机节点的安全威胁，包括:
[0034]部署模块，用于为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略；
[0035]检测模块，用于执行部署模块创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议；
[0036]更新模块，用于定期查询安全检测策略的更新信息，井根据该更新信息更新检测模块所执行的入侵检测线程中的安全检测策略。
[0037]进ー步地，上述入侵检测系统还可具有以下特点，所述部署模块包括监控部署单元，用于为所述检测目标远程创建虚拟机节点动态变化监控线程；
[0038]则所述入侵检测系统还包括监控模块，用于执行监控部署单元创建的虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息，井上报给部署模块；
[0039]更新模块还包括控制单元，用于根据监控模块上报的动态变化信息控制入侵检测线程的更新操作。
[0040]进ー步地，上述入侵检测系统还可具有以下特点，所述控制単元包括:
[0041 ]启动控制子单元,用于在动态变化信息为虚拟机节点启动信息时，为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略；
[0042]迁移控制子単元，用于在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略；
[0043]关闭控制子単元，用于在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程；
[0044]更新控制子単元，用于在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检测。
[0045]进ー步地，上述入侵检测系统还可具有以下特点，所述检测模块包括:
[0046]捕获单元，用于从虚拟机节点对应的后端网卡捕获数据包；
[0047]匹配単元，用于从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配；
[0048]判断単元，用于在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时，判定此数据包为异常数据包，否则判定此数据包为正常数据包；
[0049]响应单元，用于根据预设的响应策略和判断単元的判定结果处理捕获的数据包。
[0050]进ー步地，上述入侵检测系统还可具有以下特点，所述部署模块包括:
[0051]读取单元，用于读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息；
[0052]目录建立単元，用于根据读取单元提取出来的服务器信息，在服务器的对应目录下远程建立监控目录；
[0053]分发单元，用于远程向所述监控目录分发检测文件；
[0054]创建单元，用于远程控制所述监控目录中的检测文件执行，创建入侵检测线程。[0055]本发明的入侵检测方法及系统，适用范围广、可控性好、适应性强，因此提高了虚拟计算环境的安全威胁检测性能。并且，本发明的入侵检测方法及系统还可以实现更为细粒度的入侵检测。
【专利附图】

【附图说明】
[0056]图1为本发明实施例中入侵检测方法的流程图；
[0057]图2为本发明实施例中的部署流程图；
[0058]图3为本发明实施例中的检测流程图；
[0059]图4为本发明实施例中动态规则检测树结构示意图；
[0060]图5为本发明实施例中的更新流程图；
[0061]图6为本发明实施例中入侵检测系统的结构框图。
【具体实施方式】
[0062]以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。
[0063]本发明的入侵检测方法用于检测虚拟计算环境中的虚拟机节点的安全威胁。
[0064]图1为本发明实施例中入侵检测方法的流程图。如图1所示，本实施例中，入侵检测方法可以包括如下步骤:
[0065]步骤S101，为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，其中，入侵检测线程至少包含一条安全检测策略；
[0066](1)入侵检测线程和虚拟机节点的动态变化检测线程是通过执行入侵检测程序自动创建的。
[0067](2)检测文件即是入侵检测程序文件，是要部署在支撑服务器上的。
[0068](3)检测文件的远程部署是通过支撑服务器的资源列表文件。
[0069]具体地，本步骤的部署操作由虚拟化平台的管理集群服务器来执行。本发明的入侵检测方法摒弃了不同虚拟化平台之间的差异性，利用了不同虚拟化平台的共性，是ー种基于虚拟化的通用入侵检测方法，适用于已存在的所有虚拟化平台，与现有技术相比大大拓展了适用范围。
[0070]通过管理集群服务器统一部署的方式，本发明的入侵检测方法还可以实现检测过程的集中管理控制。比如，能够根据虚拟支撑环境的实际情况，集中控制入侵检测系统(执行本发明入侵检测方法的系统)的部署；能够根据虚拟机节点以及安全威胁检测需求，集中控制入侵检测线程的创建、更新、迁移以及消亡等；能够集中管理安全检测策略，以集中控制安全威胁检测过程。
[0071]步骤S102，执行S101创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁，以及根据检测结果进行响应，其中，数据包协议为从检测目标的数据包中剥离出来的协议；
[0072]步骤S103，定期查询安全检测策略的更新信息，井根据该更新信息更新S102所执行的入侵检测线程中的安全检测策略。[0073]通过本步骤，可以根据虚拟机节点的动态变化，动态完成入侵检测线程创建、迁移以及消亡等过程之间的自动切换，同时还能够针对新发现的安全威胁，动态更新入侵检测线程的安全检测策略，以有效检测新发现的安全威胁。
[0074]在本发明实施例中，步骤S101可以进一歩包括如下子步骤:
[0075]读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，其中服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息；
[0076]根据服务器信息，在服务器的对应目录下远程建立监控目录；
[0077]远程向监控目录分发检测文件；
[0078]远程控制监控目录中的检测文件执行，创建入侵检测线程。
[0079]在具体应用示例中，步骤S101可以采用图2所示的部署流程来实现。
[0080]图2为本发明实施例中的部署流程图。如图2所示，本实施例中，部署流程可以包括如下步骤:
[0081]步骤S201，读取虚拟计算环境的支撑服务器资源列表；
[0082]读取支撑服务器资源列表的目的是提取服务器信息，其中服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息等。
[0083]步骤S202，判断支撑服务器资源列表中是否还有未读服务器，若有则执行步骤S203，否则结束流程；
[0084]步骤S203，远程控制服务器创建监控目录；
[0085]虚拟化平台管理员根据虚拟支撑环境的资源列表文件通过管理集群服务器向虚拟机节点的支撑服务器远程拷贝入侵检测系统可执行文件(即检测文件，也称为入侵检测程序)，远程执行，控制入侵检测系统启动运行，并创建入侵检测主线程以及虚拟机节点动态变化监控线程，开始执行入侵检测任务，完成检测部署。
[0086]检测文件即入侵检测程序文件，检测文件通过远程控制部署在支撑服务器上。具体地，检测文件的远程部署是通过支撑服务器的资源列表文件实现的。入侵检测主线程和虚拟机节点的动态变化检测线程通过执行入侵检测程序自动创建的。
[0087]步骤S204，向支撑服务器远程发送检测文件；
[0088]步骤S205，远程控制检测文件在支撑服务器中运行；
[0089]步骤S206，创建入侵检测主线程；
[0090]在本步骤中，还可以同时创建虚拟机节点动态变化监控线程。
[0091]步骤S207，入侵检测主线程根据安全检测策略，创建入侵检测线程，由入侵检测线程加载安全检测策略，返回步骤S201。
[0092]也就是说，入侵检测主线程和入侵检测线程之间的关系是入侵检测线程由入侵检测主线程来创建。
[0093]在本发明实施例中，步骤S102可以包括如下子步骤:
[0094]从虚拟机节点对应的后端网卡捕获数据包；
[0095]从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配；
[0096]在捕获的数据包匹配了入侵检测线程中某一条安全检测策略对应的全部协议吋，判定此数据包为异常数据包，否则判定此数据包为正常数据包；[0097]根据预设的响应策略和判定结果处理捕获的数据包。
[0098]在具体应用示例中，步骤S102可以采用图3所示的检测流程来实现。图3为本发明实施例中的检测流程图。如图3所示，本实施例中，检测流程可以包括如下步骤:
[0099]步骤S301，从虚拟机节点虚拟网卡对应的后端网卡捕获数据包；
[0100]虚拟网卡是VMM分配给虚拟机节点的虚拟网络设备，是相对于真实的网络设备来说的。
[0101]通过本步骤可见，应用本发明的入侵检测方法，不仅能够检测节点粒度级的安全威胁，还能够深入至具体网卡，进行更为细粒度的安全威胁检测；在安全威胁检测广度方面，本发明不仅能够利用安全检测策略进行检测，还能够结合动态更新功能，获取虚拟机节点甚至网卡的网络流量的幅度变化，由虚拟化平台管理员利用其它的网络流分析方法，发现其中隐藏的安全威胁。
[0102]步骤S302，判断是否还有数据包未处理，若是则执行步骤S303，否则执行步骤S303 ；
[0103]步骤S303，从数据包中提取出数据包协议头，并与入侵检测线程中安全检测策略对应的协议进行匹配；
[0104]步骤S304，判断是否还有协议未匹配，若是则执行步骤S305，否则执行步骤S306 ；
[0105]步骤S305，判定该数据包无威胁；
[0106]步骤S306，判定该数据包为异常数据包，执行响应动作。
[0107]异常数据包即是指存在安全威胁的数据包。
[0108]响应动作可以根据预设的响应策略来执行。例如，假如经判定，数据包为异常数据包，则将该异常数据包的主要信息上传至管理集群数据库中，以备后期进ー步的研究分析确认。
[0109]为了执行安全检测，可以创建如图4所示的动态规则检测树结构。
[0110]图4所示的动态规则检测树结构的创建过程如下:
[0111](1)获取安全检测策略并分析，提取相应的数据包头信息，对于缺失的数据包头信息，用相应的通用规则头补充，比如安全检测策略:TCP.Sport=80&&TCP.Dport=6123Action=Log,则补充通用ethernet规则头与通用IP规则头，形成完整安全检测策略:Ethernet.Smac=0&&Ethernet.Dmac=0 IP.SIP=0&&IP.DIP=0 TCP.Sport=80&&TCP.Dport=6123 Action=Log ；
[0112](2)将完整的安全检测策略插入至动态规则检测树中，按照动态规则检测树的层次性，逐层分析以获取合适的插入位置；
[0113](3)若动态规则检测树当前不存在待插入安全检测策略的相应规则头信息，则给当前数据包协议头新建一孩子结点，以创建当前规则头信息，然后再依次根据剩余检测策略的数据，创建数据包协议头以及规则头，转向处理(7);
[0114](4)若动态规则检测树当前存在相应的规则头信息，则根据该子树结构相应的数据包协议头信息转向处理(5)或者处理(6)；
[0115](5)若相应的数据包协议头不存在，则创建该数据包协议头，井根据剩下的检测策略，创建其子孙结点，完成整条安全检测策略的规则头插入，转向处理(7);
[0116](6)若相应的数据包协议头存在，则根据相应数据包协议头的信息，重复处理(3)与处理(4)的操作，直至完成整条安全威胁检测策略的规则头插入，转向处理(7)；
[0117](7)若检测策略的规则头全部插入完毕，则对最后的规则头创建ー孩子结点，创建规则体结构，完成整条安全检测策略的插入。
[0118]安全检测策略匹配吋，对数据包进行逐层数据包头剥离，从底层协议到上层协议逐层与动态规则检测树相应协议头的规则头进行匹配，若能够完全匹配某ー个规则体结点，即叶子结点，则说明检测到安全威胁，执行相应的响应动作；若在匹配过程中，未能在动态规则检测树中匹配到相应的协议头或者规则头，或者规则体并不完全匹配，则说明此数据包不存在安全威胁。
[0119]在本发明实施例中，步骤S101可以包括子步骤:为检测目标远程创建虚拟机节点动态变化监控线程；则此时，入侵检测方法还可以包括步骤:执行虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息井上报。则此时步骤S103包括子步骤:根据上报的动态变化信息控制入侵检测线程的更新操作。进ー步地，根据上报的动态变化信息控制入侵检测线程的更新操作，这一子步骤还可以进一歩包括如下子步骤:
[0120]在动态变化信息为虚拟机节点启动信息时,为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略；
[0121]在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略；
[0122]在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程。
[0123]在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检測。
[0124]对虚拟机节点的阻塞以及挂起等状态变化，入侵检测主线程不予采取任何操作。因为虚拟机节点的阻塞以及挂起状态不会产生网络数据包，其相应的入侵检测线程也会阻塞或挂起，因此入侵检测主线程对其不采取任何处理。
[0125]在本发明实施例中，入侵检测方法还可以包括步骤:执行虚拟机节点动态变化监控线程，获取虚拟机节点基本信息井上报。虚拟机节点基本信息可以包括节点状态、分配内存大小、内存使用量、CPU数量、网卡数量、网卡Mac地址以及网卡整体流量等等。
[0126]在具体应用示例中，步骤S103可以采用图5所示的更新流程来实现。
[0127]图5为本发明实施例中的更新流程图。如图5所示，本实施例中，更新流程可以包括如下步骤:
[0128]步骤S501，设置定时器以定期检测安全检测策略更新；
[0129]设置定时器时，需要对定时器參数如定时时间等进行设置。
[0130]步骤S502，判断定时时间是否已到，若是则执行步骤S503 ；
[0131]步骤S503，入侵检测主线程检测安全检测策略更新；
[0132]步骤S504，判断是否有更新，若是则执行步骤S505，否则执行步骤S511 ；
[0133]步骤S505，判断更新的策略是否有相应的入侵检测线程存在，若是则执行步骤S506，否则执行步骤S508 ；
[0134]步骤S506，入侵检测线程逆序加载更新的安全检测策略，执行步骤S507 ；
[0135]步骤S507，判断是否加载完毕，若是则执行步骤S510 ；[0136]步骤S508，入侵检测主线程创建入侵检测线程，执行步骤S509 ；
[0137]步骤S509，新建入侵检测线程加载更新的安全检测策略，执行步骤S510 ；
[0138]步骤S510，根据更新的入侵检测线程执行安全检测；
[0139]步骤S511，判断虚拟机节点是否变化，若是则执行步骤S512，否则执行步骤S502 ；
[0140]步骤S512，判断虚拟机节点是否启动，若是则执行步骤S514，否则执行步骤S513 ；
[0141]步骤S513，对关闭的虚拟机节点，释放该虚拟机节点相应的入侵检测线程，执行步骤 S514 ；
[0142]步骤S514,更新虚拟机节点信息。
[0143]本发明的入侵检测方法具有如下优点:
[0144](1)本发明的入侵检测方法是ー种基于虚拟化的通用网络入侵检测框架，即具有通用性。本发明摒弃了不同虚拟化平台之间的差异性，利用了不同虚拟化平台的共性，是ー种基于虚拟化的通用网络入侵检测框架，适用于已存在的所有虚拟化平台。
[0145](2)本发明的入侵检测方法能够实现集中管理控制功能。本发明能够集中管理虚拟计算环境，为虚拟化平台管理员提供集中、统ー的管理功能:能够根据虚拟支撑环境的实际情况，集中控制入侵检测系统的部署；能够根据虚拟机节点以及安全威胁检测需求，集中控制入侵检测线程的创建、更新、迁移以及消亡等；能够集中管理安全威胁策略，以集中控制安全威胁检测过程。
[0146](3)本发明的入侵检测方法能够实现动态更新功能。本发明不仅能够根据虚拟机节点的动态变化，动态完成入侵检测线程创建、迁移以及消亡等过程之间的自动切换；同时也能够针对新发现的安全威胁，动态更新入侵检测线程的安全威胁策略，以有效检测新发现的安全威胁。
[0147](4)本发明的入侵检测方法能够实现细粒度检测功能。本发明不仅能够检测节点粒度级的安全威胁，也能够深入至具体网卡，进行更为细粒度的安全威胁检測。
[0148]可见，本发明的入侵检测方法，具有适用范围广、可控性好、适应性强等优点，并且还可以实现更为细粒度的入侵检测。
[0149]本发明还提出了ー种入侵检测系统，用以执行上述的入侵检测方法，上述本发明入侵检测方法部分的说明均适用于本发明的入侵检测系统。
[0150]图6为本发明实施例中入侵检测系统的结构框图。如图6所示，本实施例中，入侵检测系统用于检测虚拟计算环境中的虚拟机节点的安全威胁，该系统可以包括部署模块610、检测模块620和更新模块630。部署模块610、检测模块620和更新模块630顺次相连。其中，部署模块610用于为检测目标远程部署检测文件，以及为检测目标远程创建入侵检测线程，其中，入侵检测线程至少包含一条安全检测策略。检测模块620用于执行部署模块610创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测安全威胁，以及根据检测结果进行响应，其中，数据包协议为从检测目标的数据包中剥离出来的协议。更新模块630用于定期查询更新信息，井根据该更新信息更新检测模块620所执行的入侵检测线程中的安全检测策略。
[0151]在本发明实施例中，部署模块610可以包括监控部署単元。监控部署単元用于为检测目标远程创建虚拟机节点动态变化监控线程。此时，入侵检测系统还包括监控模块，监控模块用于执行监控部署单元创建的虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息，井上报给部署模块。此时，更新模块还包括控制单元，控制单元用于根据监控模块上报的动态变化信息控制入侵检测线程的更新操作。
[0152]进ー步地,该控制单元可以进ー步包括启动控制子单元、迁移控制子单元、关闭控制子単元和更新控制子単元。其中，启动控制子単元用于在动态变化信息为虚拟机节点启动信息吋，为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略。迁移控制子単元用于在动态变化信息为虚拟机节点迁移信息吋，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略。关闭控制子単元用于在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程。更新控制子単元用于在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检測。
[0153]在本发明实施例中，检测模块620可以进一歩包括捕获单元、匹配単元、判断単元和响应单元。其中，捕获单元用于从虚拟机节点对应的后端网卡捕获数据包。匹配単元用于从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配。判断単元用于在捕获的数据包匹配了入侵检测线程中某一条安全检测策略对应的全部协议吋，判定此数据包为异常数据包，否则判定此数据包为正常数据包。响应单元用于根据预设的响应策略和判断単元的判定结果处理捕获的数据包。
[0154]在本发明实施例中，部署模块可以包括读取单元、目录建立単元、分发单元和创建単元。其中，读取单元用于读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息。目录建立单元用于根据读取单元提取出来的服务器信息，在服务器的对应目录下远程建立监控目录。分发单元用于远程向所述监控目录分发检测文件。创建单元用于远程控制监控目录中的检测执行，创建入侵检测线程。
[0155]本发明的入侵检测系统，具有适用范围广、可控性好、适应性强等优点，并且还可以实现更为细粒度的入侵检测。
[0156]以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.ー种入侵检测方法，用于检测虚拟计算环境中的虚拟机节点的安全威胁，其特征在于，包括: 步骤一，为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略； 步骤ニ，执行步骤ー创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议； 步骤三，定期查询安全检测策略的更新信息，井根据该更新信息更新步骤ニ所执行的入侵检测线程中的安全检测策略。
2.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤一包括子步骤11:为所述检测目标远程创建虚拟机节点动态变化监控线程；则 所述入侵检测方法还包括 步骤四，执行所述虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息井上报； 所述步骤三包括子步骤31:根据步骤四上报的动态变化信息控制入侵检测线程的更新操作。
3.根据权利要求2所述的入侵检测方法，其特征在于，所述子步骤31包括: 在动态变化信息为虚拟机节点启动信息吋，为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的 安全检测策略； 在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略； 在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程； 在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检測。
4.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤ニ包括: 步骤21，从虚拟机节点对应的后端网卡捕获数据包； 步骤22，从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配； 步骤23，在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时，判定此数据包为异常数据包，否则判定此数据包为正常数据包； 步骤24，根据预设的响应策略和步骤23的判定结果处理捕获的数据包。
5.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤一包括: 读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息； 根据所述服务器信息，在服务器的对应目录下远程建立监控目录； 远程向所述监控目录分发检测文件； 远程控制所述监控目录中的检测文件执行，创建入侵检测线程。
6.ー种入侵检测系统，用于检测虚拟计算环境中的虚拟机节点的安全威胁，其特征在于，包括: 部署模块，用于为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略； 检测模块，用于执行部署模块创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议； 更新模块，用于定期查询安全检测策略的更新信息，井根据该更新信息更新检测模块所执行的入侵检测线程中的安全检测策略。
7.根据权利要求6所述的入侵检测系统，其特征在于，所述部署模块包括监控部署单元，用于为所述检测目标远程创建虚拟机节点动态变化监控线程； 则所述入侵检测系统还包括监控模块，用于执行监控部署单元创建的虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息，井上报给部署模块； 更新模块还包括控制单元，用于根据监控模块上报的动态变化信息控制入侵检测线程的更新操作。
8.根据权利要求7所述的入侵检测系统，其特征在于，所述控制単元包括: 启动控制子单元，用于在动态变化信息为虚拟机节点启动信息时，为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略； 迁移控制子単元，用于在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程`加载该虚拟机原有的安全检测策略； 关闭控制子単元，用于在动态变化信息为虚拟机节点死亡、崩溃或关闭信息吋，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程； 更新控制子単元，用于在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检測。
9.根据权利要求6所述的入侵检测系统，其特征在于，所述检测模块包括: 捕获单元，用于从虚拟机节点对应的后端网卡捕获数据包； 匹配単元，用于从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配； 判断単元，用于在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时，判定此数据包为异常数据包，否则判定此数据包为正常数据包； 响应单元，用于根据预设的响应策略和判断単元的判定结果处理捕获的数据包。
10.根据权利要求6所述的入侵检测系统，其特征在于，所述部署模块包括: 读取单元，用于读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息； 目录建立単元，用于根据读取单元提取出来的服务器信息，在服务器的对应目录下远程建立监控目录； 分发单元，用于远程向所述监控目录分发检测文件； 创建单元，用于远程控制所述监控目录中的检测文件执行，创建入侵检测线程。
【文档编号】H04L29/06GK103457945SQ201310381615
【公开日】2013年12月18日 申请日期:2013年8月28日 优先权日:2013年8月28日
【发明者】云晓春, 郝志宇, 丁振全, 张永铮, 李伦, 费海强 申请人:中国科学院信息工程研究所