一種分布組件化入侵檢測系統(tǒng)的設計的制作方法
【專利摘要】本發(fā)明專利涉及一種分布組件化入侵檢測系統(tǒng)的設計。本發(fā)明的技術方案在云計算環(huán)境下，通過在虛擬機上安裝入侵檢測防御組件，對進入虛擬機的入侵行為的過程與網絡會話數(shù)據(jù)特征匹配，為虛擬機提供定制性、組件化的主動入侵檢測防御服務。本發(fā)明的有益效果是可以滿足云計算環(huán)境下虛擬機的入侵檢測需求。
【專利說明】一種分布組件化入侵檢測系統(tǒng)的設計

【技術領域】
[0001] 本發(fā)明專利涉及一種分布組件化入侵檢測系統(tǒng)的設計。

【背景技術】
[0002] 目前的網絡環(huán)境要求入侵檢測系統(tǒng)能夠通過不同子網所發(fā)生的入侵跡象來判斷 整個網絡可能發(fā)生的分布式入侵程度，并對其做出實時檢測、及時預警和提出對應措施等。 現(xiàn)行的入侵檢測分為基于主機、基于網絡、混合型三種，基于主機的方式是以物理主機為節(jié) 點來進行入侵檢測，而云計算環(huán)境下，除了物理主機之外還包含大量的使用虛擬化技術產 生的虛擬機，不同虛擬機具備不同的特性，承載不同業(yè)務，面向的用戶、租戶也不盡相同，這 就使得基于主機的方式難度巨大，無法推進?；诰W絡的方式應用在基于局域網或者地區(qū) 網的小范圍區(qū)域，具有一定的局限性，對于云計算數(shù)據(jù)中心這樣大規(guī)模、網絡結構復雜的環(huán) 境來說，已經無法適應。


【發(fā)明內容】

[0003] 在云計算環(huán)境下，對于不同租戶、不同的物理機或虛擬機，入侵檢測的要求是不同 的，如果沿用傳統(tǒng)方式進行入侵檢測，則需要對每個節(jié)點安裝物理設備來提供防護功能，然 而對于云計算環(huán)境下眾多的物理機和虛擬機而言，這種方式不僅耗費大量的人力物力，管 理起來工作量巨大并且造價昂貴。
[0004] 本發(fā)明通過在物理安全節(jié)點上為虛擬機添加入侵檢測防御組件，通過攔截所有網 絡流量，使用基于已知攻擊模型的特征碼檢測技術，能夠檢測出網絡內部的惡意行為，實現(xiàn) 組件化實時檢測、分析網絡流量，阻斷攻擊會話的功能。在阻斷惡意用戶的同時，入侵防御 功能對于用戶完全透明，對網絡性能也沒有任何影響。入侵檢測的策略配置和制定，由統(tǒng)一 管理中心進行統(tǒng)一管理，并且可以根據(jù)不用的租戶、不同的虛擬機定制符合不同入侵檢測 要求的策略和規(guī)則。
[0005] 本發(fā)明由以下模塊組成： 1)網絡流量攔截模塊完成網絡流量攔截，對進入防護系統(tǒng)內部的網絡數(shù)據(jù)流量進行 攔截。
[0006] 2)網絡數(shù)據(jù)包檢測模塊根據(jù)策略庫中策略，完成數(shù)據(jù)流量的檢測功能。網絡數(shù)據(jù) 包檢測模塊包括數(shù)據(jù)包獲取子模塊和數(shù)據(jù)包分析子模塊，數(shù)據(jù)包由統(tǒng)一安全網關獲取，并 根據(jù)配置模塊設置的網絡數(shù)據(jù)包過濾規(guī)則進行分析，如果發(fā)現(xiàn)異常則交由事件處理模塊處 理。網絡數(shù)據(jù)包過濾規(guī)則指異常數(shù)據(jù)包的特征值，如包括特定數(shù)據(jù)、特定包格式等特征。
[0007] 3)事件處理模塊對照攻擊模型特征庫內容，完成數(shù)據(jù)流量的分析和處理。事件處 理模塊負責接收由系統(tǒng)狀態(tài)監(jiān)控模塊和網絡數(shù)據(jù)包檢測模塊傳遞來的異常信息，綜合分析 之后做出相應的處理。事件處理模塊保證在系統(tǒng)出現(xiàn)一定的異常時，盡快使系統(tǒng)恢復到正 常狀態(tài)。事件處理模塊包括進程異常處理模塊、文件異常處理模塊、端口異常處理模塊、數(shù) 據(jù)包異常處理模塊和綜合分析模塊等子模塊。
[0008] 本發(fā)明具備以下功能要點： 1)運行狀態(tài)監(jiān)控：獲取入侵防御組件運行狀態(tài)信息。
[0009] 2)運行狀態(tài)控制：控制入侵防御組件運行狀態(tài)。
[0010] 3)運行參數(shù)配置：配置入侵防御組件運行的相關參數(shù)。
[0011] 4)防御響應策略配置：配置入侵防御組件的入侵防御策略，事件響應策略。
[0012] 5)防御響應策略下發(fā)：針對入侵防御組件下發(fā)指定話的防御策略及事件響應策 略。
[0013] 6)防御響應策略庫導入導出：提供對方悅策略、事件響應策略的導入、導出功能。
[0014] 7)入侵事件告警：對檢測到的入侵事件分等級發(fā)布告警入侵事件告警、入侵響應 時間告警。
[0015] 8)特征庫升級：提供入侵行為檢測特征庫的數(shù)據(jù)升級功能。
[0016] 9)特征庫導入導出：提供入侵行為檢測特征庫的導入、導出功能。
[0017] 10)運行日志提?。禾崛∪肭址烙M件運行的全部日志信息。
[0018] 本發(fā)明的技術要點主要包含以下幾個方面： 1)可以設定特定的特征碼來阻止并記錄攻擊行為。
[0019] 2)使用自定義規(guī)則和變量來創(chuàng)建新的特征碼。
[0020] 本發(fā)明還包含一種流程如下： 1)旁路網絡流量在流入虛擬機之前，先進入入侵防護組件。
[0021] 2)入侵檢測/防御組件先對網絡數(shù)據(jù)流量進行攔截，然后依照策略庫中的策略配 置項對數(shù)據(jù)流進行檢測。
[0022] 3)依照攻擊模型特征庫對數(shù)據(jù)流量進行分析。
[0023] 4)最后將分析完成的數(shù)據(jù)流量傳入到虛擬機內部。
[0024] 針對云計算環(huán)境的以上特點以及傳統(tǒng)防護方式的弊端，本發(fā)明具備以下優(yōu)勢以滿 足云計算環(huán)境下虛擬機的入侵檢測需求。
[0025] 1)可配置的控制策略，根據(jù)配置策略對進出網絡內部數(shù)據(jù)流量類型進行掃描。
[0026] 2)HTTP:通過文件擴展名或MME類型進行可配置的掃描。
[0027] 3) SMTP:查殺病毒并可設定為清除感染、阻止或允許、包含或不包含發(fā)送者/接 收者。
[0028] 4)POP and IMAP:查殺病毒并可設定為清除感染或放行（POP和IMAP的協(xié)議特 性使郵件不能夠被阻止，但可被掃描并被清除。） 5)FTP:可以禁止FTP下載。
[0029]

【專利附圖】

【附圖說明】 圖1 :為網絡數(shù)據(jù)包檢測模塊流程圖。
[0030] 圖2 :為事件處理模塊流程圖。
[0031] 圖3 :為入侵檢測防御組件結構圖。
[0032] 圖4 :為入侵防御組件邏輯框架圖。
[0033] 圖5 :為入侵防御組件流程圖。

【具體實施方式】
[0034] 為了使本發(fā)明所要解決的技術問題、技術方案及有益效果更加清楚、明白，以 下結合附圖和實施例，對本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實 施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0035] 本發(fā)明一種分布組件化入侵檢測系統(tǒng)的設計，還包含一種流程如下： 1)旁路網絡流量在流入虛擬機之前，先進入入侵防護組件。
[0036] 2)入侵檢測/防御組件先對網絡數(shù)據(jù)流量進行攔截，然后依照策略庫中的策略配 置項對數(shù)據(jù)流進行檢測。
[0037] 3)依照攻擊模型特征庫對數(shù)據(jù)流量進行分析。
[0038] 4)最后將分析完成的數(shù)據(jù)流量傳入到虛擬機內部。
【權利要求】
1. 一種分布組件化入侵檢測系統(tǒng)的設計，其特征在于，在云計算環(huán)境下，在虛擬機中使 用入侵防護組件，為眾多承載不同業(yè)務擁有不同顆粒度的虛擬機提供定制化、分布式、組件 化的入侵防護服務。
2. -種分布組件化入侵檢測系統(tǒng)的設計，其特征在于，入侵防御通過對入侵行為的過 程與網絡會話數(shù)據(jù)特征匹配，根據(jù)相關策略檢測和分析數(shù)據(jù)流量，并進行主動防御。
3. -種分布組件化入侵檢測系統(tǒng)的設計，其特征在于，本發(fā)明還包含一種流程如下： 101旁路網絡流量在流入虛擬機之前，先進入入侵防護組件； 102入侵檢測/防御組件先對網絡數(shù)據(jù)流量進行攔截，然后依照策略庫中的策略配置 項對數(shù)據(jù)流進行檢測； 103依照攻擊模型特征庫對數(shù)據(jù)流量進行分析； 104最后將分析完成的數(shù)據(jù)流量傳入到虛擬機內部。
【文檔編號】H04L29/06GK104113521SQ201410056720
【公開日】2014年10月22日 申請日期:2014年2月20日 優(yōu)先權日:2014年2月20日
【發(fā)明者】王茜, 葛新, 張磊, 魏巍, 朱志祥 申請人:西安未來國際信息股份有限公司, 西安郵電大學