一種分布組件化入侵檢測系統(tǒng)的設(shè)計的制作方法
【專利摘要】本發(fā)明專利涉及一種分布組件化入侵檢測系統(tǒng)的設(shè)計。本發(fā)明的技術(shù)方案在云計算環(huán)境下��,通過在虛擬機(jī)上安裝入侵檢測防御組件�,對進(jìn)入虛擬機(jī)的入侵行為的過程與網(wǎng)絡(luò)會話數(shù)據(jù)特征匹配,為虛擬機(jī)提供定制性���、組件化的主動入侵檢測防御服務(wù)����。本發(fā)明的有益效果是可以滿足云計算環(huán)境下虛擬機(jī)的入侵檢測需求����。
【專利說明】一種分布組件化入侵檢測系統(tǒng)的設(shè)計
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明專利涉及一種分布組件化入侵檢測系統(tǒng)的設(shè)計。
【背景技術(shù)】
[0002] 目前的網(wǎng)絡(luò)環(huán)境要求入侵檢測系統(tǒng)能夠通過不同子網(wǎng)所發(fā)生的入侵跡象來判斷 整個網(wǎng)絡(luò)可能發(fā)生的分布式入侵程度��,并對其做出實時檢測����、及時預(yù)警和提出對應(yīng)措施等。 現(xiàn)行的入侵檢測分為基于主機(jī)��、基于網(wǎng)絡(luò)�、混合型三種,基于主機(jī)的方式是以物理主機(jī)為節(jié) 點(diǎn)來進(jìn)行入侵檢測����,而云計算環(huán)境下��,除了物理主機(jī)之外還包含大量的使用虛擬化技術(shù)產(chǎn) 生的虛擬機(jī)��,不同虛擬機(jī)具備不同的特性����,承載不同業(yè)務(wù)���,面向的用戶、租戶也不盡相同�,這 就使得基于主機(jī)的方式難度巨大,無法推進(jìn)�����?��;诰W(wǎng)絡(luò)的方式應(yīng)用在基于局域網(wǎng)或者地區(qū) 網(wǎng)的小范圍區(qū)域�����,具有一定的局限性�,對于云計算數(shù)據(jù)中心這樣大規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的環(huán) 境來說��,已經(jīng)無法適應(yīng)�����。
【發(fā)明內(nèi)容】
[0003] 在云計算環(huán)境下���,對于不同租戶����、不同的物理機(jī)或虛擬機(jī)����,入侵檢測的要求是不同 的,如果沿用傳統(tǒng)方式進(jìn)行入侵檢測����,則需要對每個節(jié)點(diǎn)安裝物理設(shè)備來提供防護(hù)功能,然 而對于云計算環(huán)境下眾多的物理機(jī)和虛擬機(jī)而言����,這種方式不僅耗費(fèi)大量的人力物力,管 理起來工作量巨大并且造價昂貴�����。
[0004] 本發(fā)明通過在物理安全節(jié)點(diǎn)上為虛擬機(jī)添加入侵檢測防御組件,通過攔截所有網(wǎng) 絡(luò)流量���,使用基于已知攻擊模型的特征碼檢測技術(shù)�����,能夠檢測出網(wǎng)絡(luò)內(nèi)部的惡意行為�����,實現(xiàn) 組件化實時檢測、分析網(wǎng)絡(luò)流量����,阻斷攻擊會話的功能。在阻斷惡意用戶的同時��,入侵防御 功能對于用戶完全透明�,對網(wǎng)絡(luò)性能也沒有任何影響。入侵檢測的策略配置和制定����,由統(tǒng)一 管理中心進(jìn)行統(tǒng)一管理���,并且可以根據(jù)不用的租戶、不同的虛擬機(jī)定制符合不同入侵檢測 要求的策略和規(guī)則����。
[0005] 本發(fā)明由以下模塊組成: 1)網(wǎng)絡(luò)流量攔截模塊完成網(wǎng)絡(luò)流量攔截,對進(jìn)入防護(hù)系統(tǒng)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行 攔截��。
[0006] 2)網(wǎng)絡(luò)數(shù)據(jù)包檢測模塊根據(jù)策略庫中策略��,完成數(shù)據(jù)流量的檢測功能���。網(wǎng)絡(luò)數(shù)據(jù) 包檢測模塊包括數(shù)據(jù)包獲取子模塊和數(shù)據(jù)包分析子模塊���,數(shù)據(jù)包由統(tǒng)一安全網(wǎng)關(guān)獲取,并 根據(jù)配置模塊設(shè)置的網(wǎng)絡(luò)數(shù)據(jù)包過濾規(guī)則進(jìn)行分析���,如果發(fā)現(xiàn)異常則交由事件處理模塊處 理��。網(wǎng)絡(luò)數(shù)據(jù)包過濾規(guī)則指異常數(shù)據(jù)包的特征值��,如包括特定數(shù)據(jù)����、特定包格式等特征。
[0007] 3)事件處理模塊對照攻擊模型特征庫內(nèi)容�����,完成數(shù)據(jù)流量的分析和處理�����。事件處 理模塊負(fù)責(zé)接收由系統(tǒng)狀態(tài)監(jiān)控模塊和網(wǎng)絡(luò)數(shù)據(jù)包檢測模塊傳遞來的異常信息�,綜合分析 之后做出相應(yīng)的處理。事件處理模塊保證在系統(tǒng)出現(xiàn)一定的異常時���,盡快使系統(tǒng)恢復(fù)到正 常狀態(tài)��。事件處理模塊包括進(jìn)程異常處理模塊、文件異常處理模塊�、端口異常處理模塊、數(shù) 據(jù)包異常處理模塊和綜合分析模塊等子模塊����。
[0008] 本發(fā)明具備以下功能要點(diǎn): 1)運(yùn)行狀態(tài)監(jiān)控:獲取入侵防御組件運(yùn)行狀態(tài)信息。
[0009] 2)運(yùn)行狀態(tài)控制:控制入侵防御組件運(yùn)行狀態(tài)�。
[0010] 3)運(yùn)行參數(shù)配置:配置入侵防御組件運(yùn)行的相關(guān)參數(shù)。
[0011] 4)防御響應(yīng)策略配置:配置入侵防御組件的入侵防御策略�����,事件響應(yīng)策略。
[0012] 5)防御響應(yīng)策略下發(fā):針對入侵防御組件下發(fā)指定話的防御策略及事件響應(yīng)策 略�。
[0013] 6)防御響應(yīng)策略庫導(dǎo)入導(dǎo)出:提供對方悅策略、事件響應(yīng)策略的導(dǎo)入����、導(dǎo)出功能。
[0014] 7)入侵事件告警:對檢測到的入侵事件分等級發(fā)布告警入侵事件告警����、入侵響應(yīng) 時間告警。
[0015] 8)特征庫升級:提供入侵行為檢測特征庫的數(shù)據(jù)升級功能���。
[0016] 9)特征庫導(dǎo)入導(dǎo)出:提供入侵行為檢測特征庫的導(dǎo)入�、導(dǎo)出功能��。
[0017] 10)運(yùn)行日志提?。禾崛∪肭址烙M件運(yùn)行的全部日志信息。
[0018] 本發(fā)明的技術(shù)要點(diǎn)主要包含以下幾個方面: 1)可以設(shè)定特定的特征碼來阻止并記錄攻擊行為���。
[0019] 2)使用自定義規(guī)則和變量來創(chuàng)建新的特征碼����。
[0020] 本發(fā)明還包含一種流程如下: 1)旁路網(wǎng)絡(luò)流量在流入虛擬機(jī)之前,先進(jìn)入入侵防護(hù)組件����。
[0021] 2)入侵檢測/防御組件先對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行攔截,然后依照策略庫中的策略配 置項對數(shù)據(jù)流進(jìn)行檢測�。
[0022] 3)依照攻擊模型特征庫對數(shù)據(jù)流量進(jìn)行分析。
[0023] 4)最后將分析完成的數(shù)據(jù)流量傳入到虛擬機(jī)內(nèi)部��。
[0024] 針對云計算環(huán)境的以上特點(diǎn)以及傳統(tǒng)防護(hù)方式的弊端�,本發(fā)明具備以下優(yōu)勢以滿 足云計算環(huán)境下虛擬機(jī)的入侵檢測需求。
[0025] 1)可配置的控制策略����,根據(jù)配置策略對進(jìn)出網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流量類型進(jìn)行掃描。
[0026] 2)HTTP:通過文件擴(kuò)展名或MME類型進(jìn)行可配置的掃描��。
[0027] 3) SMTP:查殺病毒并可設(shè)定為清除感染���、阻止或允許、包含或不包含發(fā)送者/接 收者�。
[0028] 4)POP and IMAP:查殺病毒并可設(shè)定為清除感染或放行(POP和IMAP的協(xié)議特 性使郵件不能夠被阻止,但可被掃描并被清除���。) 5)FTP:可以禁止FTP下載��。
[0029]
【專利附圖】
【附圖說明】 圖1 :為網(wǎng)絡(luò)數(shù)據(jù)包檢測模塊流程圖��。
[0030] 圖2 :為事件處理模塊流程圖����。
[0031] 圖3 :為入侵檢測防御組件結(jié)構(gòu)圖。
[0032] 圖4 :為入侵防御組件邏輯框架圖���。
[0033] 圖5 :為入侵防御組件流程圖�。
【具體實施方式】
[0034] 為了使本發(fā)明所要解決的技術(shù)問題��、技術(shù)方案及有益效果更加清楚����、明白,以 下結(jié)合附圖和實施例���,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�。應(yīng)當(dāng)理解�,此處所描述的具體實 施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明����。
[0035] 本發(fā)明一種分布組件化入侵檢測系統(tǒng)的設(shè)計����,還包含一種流程如下: 1)旁路網(wǎng)絡(luò)流量在流入虛擬機(jī)之前���,先進(jìn)入入侵防護(hù)組件��。
[0036] 2)入侵檢測/防御組件先對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行攔截���,然后依照策略庫中的策略配 置項對數(shù)據(jù)流進(jìn)行檢測。
[0037] 3)依照攻擊模型特征庫對數(shù)據(jù)流量進(jìn)行分析�。
[0038] 4)最后將分析完成的數(shù)據(jù)流量傳入到虛擬機(jī)內(nèi)部。
【權(quán)利要求】
1. 一種分布組件化入侵檢測系統(tǒng)的設(shè)計�,其特征在于,在云計算環(huán)境下�,在虛擬機(jī)中使 用入侵防護(hù)組件,為眾多承載不同業(yè)務(wù)擁有不同顆粒度的虛擬機(jī)提供定制化�����、分布式��、組件 化的入侵防護(hù)服務(wù)����。
2. -種分布組件化入侵檢測系統(tǒng)的設(shè)計,其特征在于�,入侵防御通過對入侵行為的過 程與網(wǎng)絡(luò)會話數(shù)據(jù)特征匹配,根據(jù)相關(guān)策略檢測和分析數(shù)據(jù)流量��,并進(jìn)行主動防御���。
3. -種分布組件化入侵檢測系統(tǒng)的設(shè)計�,其特征在于�,本發(fā)明還包含一種流程如下: 101旁路網(wǎng)絡(luò)流量在流入虛擬機(jī)之前,先進(jìn)入入侵防護(hù)組件�; 102入侵檢測/防御組件先對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行攔截,然后依照策略庫中的策略配置 項對數(shù)據(jù)流進(jìn)行檢測���; 103依照攻擊模型特征庫對數(shù)據(jù)流量進(jìn)行分析�����; 104最后將分析完成的數(shù)據(jù)流量傳入到虛擬機(jī)內(nèi)部����。
【文檔編號】H04L29/06GK104113521SQ201410056720
【公開日】2014年10月22日 申請日期:2014年2月20日 優(yōu)先權(quán)日:2014年2月20日
【發(fā)明者】王茜, 葛新, 張磊, 魏巍, 朱志祥 申請人:西安未來國際信息股份有限公司, 西安郵電大學(xué)