一种可按需服务的虚拟化网络入侵检测方法和装置的制造方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,尤其涉及一种可按需服务的虚拟化网络入侵检测 方法和装置。
【背景技术】
[0002] 云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用 户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来 看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。 由于硬件技术的快速发展,使得一台普通的物理服务器的所具有性能远远超过普通的单一 用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机, 提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后,可以极大的 提高软件系统对硬件资源的利用率,并通过虚拟化平台对计算、存储、网络等资源的统一调 度管理,实现按需高效的使用硬件资源。
[0003] 提高硬件的利用率,充分利用硬件过盛的计算、存储和网络资源,从而降低硬件投 资成本,是企业实施虚拟化的主要驱动力之一。由于现在硬件的更新换代太快,企业在购买 硬件时一般无法做到完全按照软件的性能需求来配置服务器硬件,通常都会造成硬件的性 能浪费,虚拟化技术把硬件资源池化后,以虚拟机的形态按需的分配资源给特定的虚拟化 的服务器,从而达到资源的最大利用率。在传统的物理网络环境中,根据业务的安全防护需 求,经常会存在一台物理服务器被设置为一个独立的虚拟网络安全域的情况,这时就需要 配置一台的网络入侵检测硬件产品对其进行监控防护。网络入侵检测硬件产品通常可处理 的网络带宽在IGb甚至10Gb,而对于很多企业内部应用服务器来说,其需要被检测的网络 流量往往远低于1Gb,甚至通常只有几十Mb,这样不仅对入侵检测硬件产品的计算能力是 极大的浪费,而且对于企业来说,也增加了很多额外的无用投资。能否利用虚拟化技术改进 如入侵检测这类安全产品的硬件资源利用率,为企业客户提供高效实用的安全解决方案也 正成为安全公司需要面对的问题。
[0004] 网络入侵检测系统是一种通过深度分析捕获的网络数据包,识别和检测网络入侵 行为的软件系统。网络入侵检测系统的核心部分通常是由抓包引擎和检测引擎两部分构 成,其中抓包引擎负责通过从接入到物理网络的抓包口抓取数据包,而检测引擎则负责分 析抓取到的数据包,并且把识别出的异常行为和告警上报到管理中心。网络入侵检测虚拟 引擎技术是网络入侵检测系统中一种通过多个进程模拟出多个虚拟的检测引擎,以提高网 络入侵检测系统的硬件资源利用率的一种技术手段。但是,这种网络入侵检测虚拟引擎技 术并无法做到对硬件资源的按需分配和使用,特别在被监控服务器数量较多,流量变化不 稳定的情况下,容易造成抓包口的数据拥塞。
【发明内容】
[0005] 本发明所要解决的技术问题是,提供一种应用于虚拟化网络中的可提供按需弹性 服务的网络入侵检测方法和装置,以保证在低网络负载情况下具有较高的系统计算资源利 用率,在高网络负载情况下具有足够的检测能力,且不会过多占用虚拟化服务器的资源。
[0006] 为了解决上述问题,本发明公开了一种按需服务的虚拟化网络入侵检测装置,至 少包括弹性服务调度模块和本地检测资源池管理模块,其中:
[0007] 所述弹性服务调度模块,按照事先设定的安全策略中设置的每个网络安全域边界 网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务,若 能够提供本地检测服务,则下发本地检测资源调整的命令给所述本地检测资源池管理模 块,若不能够提供本地检测服务,则根据所述安全策略将需要检测的流量导出到外部硬件 网络入侵检测产品中;
[0008] 所述本地检测资源池管理模块,提供本地检测资源池的分配和监控,并在接收到 所述弹性服务调度模块发起的本地检测资源调整的命令时,从本地检测资源池中的剩余资 源分配相应的资源为本地检测资源。
[0009] 可选地,上述装置还包括:
[0010] 网络数据包捕获模块,监听虚拟交换机上的网络数据流,从中捕获事先设定的安 全策略中指定网络接口的数据包;
[0011] 流量分类整形模块,计算每个需要检测的网络流的实时流速,将所述网络数据包 捕获模块所捕获的每个需要检测的数据包放入虚拟网络安全域边界的待检测队列中,并在 所述本地检测资源池管理模块分配有本地检测资源时,使用本地检测资源检测所述待检测 队列中的各数据包,在所述本地检测资源池管理模块未分配本地检测资源时,使用外部硬 件网络入侵检测产品检测所述待检测队列中的各数据包。
[0012] 可选地,上述装置中,所述流量分类整形模块,判断当前网络流的实时流速小于所 述安全策略中设置的该网络流的带宽上限时,将属于该网络流的数据包放入该网络流对应 的待检测队列,判断当前网络流的实时流速等于或大于所述安全策略中设置的该网络流的 带宽上限,则根据安全策略进行带宽限制或申请扩展检测资源。
[0013] 可选地,上述装置装置通过Inter VT-d技术为前端网络入侵检测虚拟机配置PCI 透传网卡专门用于流量的导出。
[0014] 本发明还公开了一种按需服务的虚拟化网络入侵检测方法,该方法包括:
[0015] 按需服务的虚拟化网络入侵检测装置按照事先设定的安全策略中设置的每个网 络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本 地检测服务,若能够提供本地检测服务,则从本地检测资源池中的剩余资源中分配相应的 资源为本地检测资源以进行本地检测,若不能够提供本地检测服务,则根据所述安全策略 将需要检测的流量导出到外部硬件网络入侵检测产品中。
[0016] 可选地,上述方法中,按需服务的虚拟化网络入侵检测装置按照事先设定的安全 策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余 资源是否能够提供本地检测服务指:
[0017] 根据每个不同的网络业务流的实际流量峰值选择监控源,当某网络业务流量较 小,且本地检测资源池的剩余资源可满足其流量峰值时,判断能够提供本地检测服务,将 其监控源设置为本地入侵检测资源池。
[0018] 可选地,上述方法还包括:按需服务的虚拟化网络入侵检测装置监听虚拟交换机 上的网络数据流,从中捕获事先设定的安全策略中指定网络接口的数据包;
[0019] 计算每个需要检测的网络流的实时流速,将所述网络数据包捕获模块所捕获的每 个需要检测的数据包放入本地检测资源池中对应的虚拟网络安全域边界的待检测队列中, 当分配有本地检测资源时,使用本地检测资源检测所述待检测队列中的各数据包,当未分 配本地检测资源时,使用外部硬件网络入侵检测产品检测所述待检测队列中的各数据包。
[0020] 可选地,上述方法中,按需服务的虚拟化网络入侵检测装置根据安全策略进行带 宽限制或申请扩展检测资源的过程如下:
[0021] 判断当前网络流的实时流速小于所述安全策略中设置的该网络流的带宽上限时, 将属于该网络流的数据包放入该网络流对应的待检测队列,判断当前网络流的实时流速等 于或大于所述安全策略中设置的该网络流的带宽上限,则根据安全策略进行带宽限制或申 请扩展检测资源。
[0022] 可选地,上述方法中,所述按需服务的虚拟化网络入侵检测装置通过Inter VT-d 技术为前端网络入侵检测虚拟机配置PCI透传网卡专门用于流量的导出。
[0023] 本申请技术方案有效解决了虚拟化网络环境中,对服务器虚拟化应用场景的安全 防护问题。本方案提供的按需可弹性扩展的网络入侵检测监控方案,能够高效的利用虚拟 化平台