基于虚拟机业务数据流的入侵检测分析系统的制作方法
【技术领域】
[0001]本发明具体涉及一种基于虚拟机业务数据流的入侵检测分析系统。
【背景技术】
[0002]近来,信息攻击已经严重威胁到网络的稳定性。这些攻击利用网络的互联、交互特性,传播的速度非常快,而且攻击技术越来越高明,攻击手段越来越复杂。传统的信息安全系统例如防火墙、入侵检测系统(IDS)等,在网络攻击预报方面存在着严重不足,通常在这些攻击造成了严重破坏之后才响应。
[0003]大多数传统的入侵检测系统采用基于网络或基于主机的方法识别和响应攻击。这些系统常常采用两类入侵检测手段,即异常入侵检测和特征入侵检测。异常检测是通过检测与可接受行为的偏差,即当用户活动与正常行为有重大偏差时被认为是入侵;特征检测,收集非正常操作的行为特征,建立相关的特征库,当检测到用户或系统行为与特征相匹配时,系统就认为这种行为是入侵。基于主机的入侵检测系统通过分析主机事件日志、系统调用及安全审计记录等,来发现、提取攻击特征和异常行为;而基于网络的入侵检测系统是基于网络上的数据流量来发现、提取攻击模式和异常行为的。而大多数情况下,入侵者利用应用系统的漏洞及不安全的配置来入侵系统,应用层攻击能够利用合法用户的边界防御后门来入侵系统,因此,上述两种IDS系统很难检测这类攻击。因此亟需一种基于虚拟机业务数据流的入侵检测分析系统以解决上述问题。
【发明内容】
[0004]本发明的目的在于针对现有技术的不足,提供一种基于虚拟机业务数据流的入侵检测分析系统,该基于虚拟机业务数据流的入侵检测分析系统可以很好地解决上述问题。
[0005]为达到上述要求,本发明采取的技术方案是:提供一种基于虚拟机业务数据流的入侵检测分析系统,该基于虚拟机业务数据流的入侵检测分析系统包括:
[0006]数据采集模块,用于访问请求操作开始时,采集审计数据;
[0007]入侵检测模块,用于分析采集的审计数据,检测其是否是入侵事件;
[0008]通讯接口,用于入侵检测模块与数据采集模块进行双向通讯;
[0009]报警响应模块,用于入侵事件发生时,入侵检测系统生成报警信息,并发送给安全管理模块进行可视化显示;
[0010]安全管理模块,包括安全数据库、通信接口、数据调度、数据分析引擎及人机界面,用于对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警响应模块发送的安全更新信息;
[0011]虚拟业务网络(VSN),包括一个虚拟业务网络控制器(VSNC),它适应于控制虚拟业务网络的资源,并在每个想要通过上述数据传送网络传送的用户数据流上执行按用户的许可控制,所述数据传送网络是一个虚拟专用网络(VPN),它适应于为虚拟业务网络提供一个保证的数据传送容量;所述虚拟业务网络控制器(VSNC)适应于管理(VSN SLA)。
[0012]该基于虚拟机业务数据流的入侵检测分析系统具有的优点如下:
[0013](I)采用特定应用场景作为数据源来检测用户的动机,不但可以用来检测入侵和异常行为,还能够处理内部攻击、系统故障、硬件退化、异常环境条件及意外误用操作等,非常适用于工业控制领域的安全防御;
[0014](2)采用基于访问控制机制及混合入侵预报的灵活架构,采用动态的入侵检测策略,而不是不变的内建算法,大大增加了系统的鲁棒性,使得细粒度的入侵行为检测成为可能,能够检测复杂的攻击,提高了入侵检测的准确率;
[0015](3)采用基于应用场景自适应调整预报策略,根据网络攻击或攻击的可能性来动态调整防御策略,该策略就是选取合适的信息,作为评估场景来激活或关闭特定的策略项,用于调整对应用目标的访问,该安全策略可以完成对一些实时攻击方法的检测,提高了入侵检测的准确率。
【附图说明】
[0016]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0017]图1示意性地示出了根据本申请一个实施例的基于虚拟机业务数据流的入侵检测分析系统的结构示意图。
【具体实施方式】
[0018]为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
[0019]在以下描述中,对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度,但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外,重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例,但并非必然指代相同的实施例。
[0020]为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。
[0021]该基于虚拟机业务数据流的入侵检测分析系统包括:
[0022]数据采集模块1,用于访问请求操作开始时,采集审计数据,并对数据进行简单处理,使其满足系统接口要求。为了进行有效及准确的入侵分析,需要制定有效的数据采集策略来减少非典型数据、降低数据数量,增强系统分析的实时性。数据采集主要是为了描述不同应用场合典型用户行为轮廓特征的,可以采用如下的一些特征进行自适应数据选择:时间特征,不同的应用场合在不同的时间点有不同的行为特征,可以通过分析系统时间特性,利用更利于收集可疑行为的时间来进行数据收集;系统负载,根据系统负载情况,采取不同的数据收集策略;访问身份,特殊用户的行为更有可能是入侵行为,如新用户、未信任用户、来宾用户等;访问权限的类型,特定操作的类型也要重点关注,如系统关机等。可以将每一个审计数据都被赋予一个特殊的标签,该标签用于将审计数据与特定的分类器或预报方法联系起来,系统的安全策略可以通过标签对数据进行动态控制;
[0023]入侵检测模块3,用于分析采集的审计数据,检测其是否是入侵事件,包括标准化模块34,由于数据采集模块I收集的数据是未结构化的数据集,不适合分类器的处理,因此需要标准化模块34对采集的审计数据进行标准化处理,转换为数据分析方法能够识别的数据格式;数据预处理模块33,数据预处理模块33根据访问控制策略及相关应用场景信息,在可利用的数据集中提取审计数据的少数重要特征,系统根据每个审计数据存储的标签来产生不同的输出,这样就可以进行特征的自适应选择,数据预处理过程可以周期性的离线进行;预报模块32,用于根据数据预处理模块33提取的特征及编码的策略,应用组合的预报方法对事件行为进行预报,判断是否为可疑入侵事件。决策模块31,用于结合可疑攻击事件和告警关联信息,确定该事件是否是入侵事件;
[0024]通讯接口 2,用于入侵检测模块3与数据采集模块I进行双向通讯;
[0