本发明专利技术涉及一种入侵检测方法及系统。入侵检测方法用于检测虚拟计算环境中的虚拟机节点的安全威胁,包括:步骤一,为检测目标远程部署检测文件,以及为检测目标远程创建入侵检测线程,入侵检测线程至少包含一条安全检测策略;步骤二,执行步骤一创建的入侵检测线程,通过将数据包协议与入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测检测目标中的安全威胁,以及根据检测结果进行响应,数据包协议为从检测目标的数据包中剥离出来的协议;步骤三,定期查询安全检测策略的更新信息,并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。本发明专利技术的入侵检测方法及系统提高了虚拟计算环境的安全威胁检测性能。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及一种入侵检测方法及系统。入侵检测方法用于检测虚拟计算环境中的虚拟机节点的安全威胁,包括:步骤一,为检测目标远程部署检测文件,以及为检测目标远程创建入侵检测线程,入侵检测线程至少包含一条安全检测策略;步骤二,执行步骤一创建的入侵检测线程,通过将数据包协议与入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测检测目标中的安全威胁,以及根据检测结果进行响应,数据包协议为从检测目标的数据包中剥离出来的协议;步骤三,定期查询安全检测策略的更新信息,并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。本专利技术的入侵检测方法及系统提高了虚拟计算环境的安全威胁检测性能。【专利说明】入侵检测方法及系统
本专利技术涉及信息
,尤其涉及ー种入侵检测方法及系统。
技术介绍
随着虚拟化技术的日益流行,针对虚拟化计算资源的攻击日益增多。因此虚拟化安全监控受到众多研究学者的青睐。然而由于虚拟机具有快速启动、快速恢复、关闭以及迁移等特点,且同一物理主机可能存在多种不同操作系统类型的虚拟机,同时虚拟化计算环境经常需要在不同的物理主机上部署。上述原因导致传统的网络入侵检测手段已不能很好的适用于虚拟化异常网络流量的检测。目前针对虚拟化的入侵检测方法主要包括基于有限状态自动机、基于特定操作系统类型与特定服务、基于多机联合检测、基于新建入侵检测域等方法。( 1)基于有限状态自动机的方法。提出根据虚拟机状态的动态性变化,构建有限状态自动机,利用有限状态自动机自动适应虚拟机状态变化,实现异常行为的检测与响应。(2)基于特定操作系统类型与特定服务的方法。考虑到虚拟机数目众多以及运行其中的各种服务对网络入侵检测性能的影响,提出了只加载特定操作系统以及运行服务的入侵检测规则,減少入侵检测规则的加载数目,提高入侵检测系统的检测性能;利用虚拟机System Map获取虚拟机的操作系统类型以及运行服务的状态,加载特定的入侵规则,快速检测异常网络行为。(3)基于多机联合检测的方法。创建ー个与Xen的特权域(以下简称Domain 0)具有相同特权的客户域(以下简称Domain U)用于部署入侵检测系统的管理控制模块,通过超级调用完整性检测以及获取超级调用的根源来检测异常行为,并采取相应的响应措施;当一台物理主机中的入侵检测系统的管理控制模块异常或失效时,它能够通过虚拟网络的交流信道将异常行为特征传递至其他物理主机中的入侵检测系统,实现“异地”检测异常行为的目的。(4)基于新建入侵检测域方法。通过建立一个单独的入侵检测域来为其他虚拟机提供入侵检测服务,VMM (Virtual Machine Monitor,虚拟机监控器)的事件传感器拦截虚拟机中的系统调用,并通过VMM接ロ传递至入侵检测域的入侵检测系统,根据不同的安全策略,VMM的入侵检测域助手能够针对入侵采取相应的响应。这几种入侵检测方法存在的缺陷是:1)未考虑虚拟化网络拓扑结构以及虚拟化物理环境的变化给入侵检测的部署与检测带来的影响;2)不能充分有效检测虚拟机节点的动态变化,不能有效获取虚拟机节点的基本信息,以进行针对性的入侵检测;3)不能动态检测虚拟计算环境的异常网络行为。
技术实现思路
本专利技术所要解决的技术问题是提供ー种入侵检测方法及系统,提高虚拟计算环境的安全威胁检测性能。为解决上述技术问题,本专利技术提出了ー种入侵检测方法,用于检测虚拟计算环境中的虚拟机节点的安全威胁,包括:步骤一,为检测目标远程部署检测文件,以及为所述检测目标远程创建入侵检测线程,所述入侵检测线程至少包含一条安全检测策略;步骤ニ,执行步骤ー创建的入侵检测线程,通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁,以及根据检测结果进行响应,所述数据包协议为从所述检测目标的数据包中剥离出来的协议;步骤三,定期查询安全检测策略的更新信息,井根据该更新信息更新步骤ニ所执行的入侵检测线程中的安全检测策略。进ー步地,上述入侵检测方法还可具有以下特点,所述步骤一包括子步骤11:为所述检测目标远程创建虚拟机节点动态变化监控线程;则所述入侵检测方法还包括步骤四,执行所述虚拟机节点动态变化监控线程,获取虚拟机节点动态变化信息并上报;所述步骤三包括子步骤31:根据步骤四上报的动态变化信息控制入侵检测线程的更新操作。进ー步地,上述入侵检测方法还可具有以下特点,所述子步骤31包括:在动态变化信息为虚拟机节点启动信息时,为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略;在动态变化信息为虚拟机节点迁移信息时,为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略;在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时,释放该虚拟机的入侵检测资源,并关闭该虚拟机的入侵检测线程;在动态变化信息为安全检测策略更新信息时,控制相应的入侵检测线程完成安全检测策略更新操作,使入侵检测线程利用更新后的安全检测策略进行检測。进ー步地,上述入侵检测方法还可具有以下特点,所述步骤ニ包括:步骤21,从虚拟机节点对应的后端网卡捕获数据包;步骤22,从捕获的数据包中逐次剥离出数据包协议,并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配;步骤23,在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时,判定此数据包为异常数据包,否则判定此数据包为正常数据包;步骤24,根据预设的响应策略和步骤23的判定结果处理捕获的数据包。进ー步地,上述入侵检测方法还可具有以下特点,所述步骤一包括:读取虚拟计算环境的支撑服务器资源列表,提取服务器信息,所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息;根据所述服务器信息,在服务器的对应目录下远程建立监控目录;远程向所述监控目录分发检测文件;远程控制所述监控目录中的检测文件执行,创建入侵检测线程。为解决上述技术问题,本专利技术还提出了ー种入侵检测系统,用于检测虚拟计算环境中的虚拟机节点的安全威胁,包括:部署模块,用于为检测目标远程部署检测文件,以及为所述检测目标远程创建入侵检测线程,所述入侵检测线程至少包含一条安全检测策略;检测模块,用于执行部署模块创建的入侵检测线程,通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测安全威胁,以及根据检测结果进行响应,所述数据包协议为从所述检测目标的数据包中剥离出来的协议;更新模块,用于定期查询安全检测策略的更新信息,井根据该更新信息更新检测模块所执行的入侵检测线程中的安全检测策略。进ー步地,上述入侵检测系统还可具有以下特点,所述部署模块包括监控部署单元,用于为所述检测目标远程创建虚拟机节点动态变化监控线程;则所述入侵检测系统还包括监控模块,用于执行监控部署单元创建的虚拟机节点动态变化监控线程,获取虚拟机节点动态变化信息,井上报给部署模块;更新模块还包括控制单元,用于根据监控模块上报的动态变化信息控制入侵检测线程的更新操作。进ー步地,上述入侵检测系统还可具有以下特点,所述控制単元包括:启动控制子单元,用于在动态变化信息为虚拟机节点启动信息时,为启动的虚拟机节点创建入侵检测线程并本文档来自技高网...
【技术保护点】
一种入侵检测方法,用于检测虚拟计算环境中的虚拟机节点的安全威胁,其特征在于,包括:步骤一,为检测目标远程部署检测文件,以及为所述检测目标远程创建入侵检测线程,所述入侵检测线程至少包含一条安全检测策略;步骤二,执行步骤一创建的入侵检测线程,通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁,以及根据检测结果进行响应,所述数据包协议为从所述检测目标的数据包中剥离出来的协议;步骤三,定期查询安全检测策略的更新信息,并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。
【技术特征摘要】
【专利技术属性】
技术研发人员:云晓春,郝志宇,丁振全,张永铮,李伦,费海强,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。