專利名稱:一種適用于虛擬機(jī)環(huán)境的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域和虛擬計(jì)算領(lǐng)域,為一種適用于虛擬機(jī)環(huán) 境的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)����。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在近些年得到迅 速普及�,并己成為全社會(huì)信息交流和共享的重要媒介,深刻地改變著人們 的工作和生活方式����。在計(jì)算機(jī)飛速發(fā)展的同時(shí),網(wǎng)絡(luò)信息安全問(wèn)題也變得 曰益嚴(yán)重���,并成為制約網(wǎng)絡(luò)和互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展的一個(gè)重要因素�。近年來(lái)����, 網(wǎng)絡(luò)攻擊活動(dòng)和信息安全事件層出不窮,涉及到的領(lǐng)域越來(lái)越廣�,造成的 危害也越來(lái)越大。
網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中入侵行為的網(wǎng) 絡(luò)信息安全技術(shù)���,它主要通過(guò)監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的狀態(tài)�、行為以及系統(tǒng) 的使用情況,通過(guò)捕獲到達(dá)計(jì)算機(jī)的數(shù)據(jù)包來(lái)檢測(cè)系統(tǒng)的越權(quán)和誤用行 為�����,以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷所進(jìn)行的攻擊行為����。入侵
檢測(cè)系統(tǒng)(IDS)被認(rèn)為是"防火墻"之后的第二道安全閘門�����,在網(wǎng)絡(luò)信息 安全體系中占有重要地位�,這些年已經(jīng)成為網(wǎng)絡(luò)信息安全領(lǐng)域的一個(gè)研究 熱點(diǎn)。在入侵檢測(cè)系統(tǒng)的研究中����,人們提出了各種成熟的理論模型,但是 也逐漸發(fā)現(xiàn)���,基于傳統(tǒng)計(jì)算機(jī)架構(gòu)的入侵檢測(cè)系統(tǒng)有其天生的弱點(diǎn)�,當(dāng)入 侵檢測(cè)系統(tǒng)所在的操作系統(tǒng)被破壞時(shí)���,入侵檢測(cè)系統(tǒng)本身的安全性無(wú)法得 到保障�,因此可能產(chǎn)生虛警現(xiàn)象,而對(duì)真正的入侵行為卻視而不見(jiàn)�����。于是����, 隨著虛擬機(jī)技術(shù)的日漸發(fā)展和成熟,研究者把目光轉(zhuǎn)向虛擬機(jī)�����,希望利用虛擬機(jī)技術(shù)來(lái)解決傳統(tǒng)的體系結(jié)構(gòu)無(wú)法解決的關(guān)于入侵檢測(cè)系統(tǒng)的安全 問(wèn)題���。同時(shí)也探討如何解決在虛擬機(jī)體系中出現(xiàn)的新的安全問(wèn)題��。
虛擬計(jì)算技術(shù)是最近非常流行的技術(shù)����,已經(jīng)受到越來(lái)越多的企業(yè)的關(guān)
注和應(yīng)用����,虛擬機(jī)技術(shù)通過(guò)一個(gè)軟件層(VMM或者Hypervisor)對(duì)底層物 理硬件進(jìn)行模擬��,使得多個(gè)虛擬機(jī)可以運(yùn)行于同一個(gè)物理機(jī)器之上�,而各 個(gè)虛擬機(jī)之間相互安全隔離�����。使用虛擬機(jī)技術(shù)可以節(jié)約企業(yè)運(yùn)營(yíng)成本��,更 有效的利用企業(yè)贏余計(jì)算能力����,對(duì)于計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)有重要意義���,同時(shí) 由于虛擬機(jī)系統(tǒng)提供的虛擬環(huán)境與底層硬件之間隔離的特性���,虛擬機(jī)也同 樣可以用來(lái)提高計(jì)算機(jī)系統(tǒng)對(duì)外來(lái)攻擊的安全性。在作為虛擬機(jī)核心的虛 擬機(jī)管理層�,其自身為安全軟件提供了一個(gè)與位于上層虛擬機(jī)中的客戶操 作系統(tǒng)隔離的觀察平臺(tái)。
傳統(tǒng)的入侵檢測(cè)系統(tǒng)主要有基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的 入侵檢測(cè)系統(tǒng)�。通過(guò)研究發(fā)現(xiàn),這兩種入侵檢測(cè)系統(tǒng)各自都有其優(yōu)勢(shì)和缺 陷基于主機(jī)的入侵檢測(cè)系統(tǒng)可以很好的檢測(cè)到系統(tǒng)中發(fā)生的入侵行為��, 對(duì)系統(tǒng)中發(fā)上的行為可以很好的檢測(cè)到��;但是主機(jī)入侵檢測(cè)系統(tǒng)本身卻無(wú) 法很好的抵御針對(duì)系統(tǒng)或者入侵檢測(cè)系統(tǒng)本身的攻擊,他本身對(duì)攻擊者而 言是可見(jiàn)的��,可以通過(guò)多種手段輕易地被探測(cè)����。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 對(duì)于入侵者而言是不可見(jiàn)的�,因而具有很好的健壯性,但是卻對(duì)系統(tǒng)發(fā)生 的入侵行為無(wú)法檢測(cè)到����,攻擊者一旦繞過(guò)該入侵檢測(cè)系統(tǒng),則不再受任何 控制��。除了上述兩個(gè)特點(diǎn)之外����,無(wú)論是基于主機(jī)的入侵檢測(cè)系統(tǒng)還是基于 網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),由于本身并沒(méi)有做到與其所位于的系統(tǒng)很好的保持 隔離性�����,因此��,攻擊者是很容易探測(cè)到這樣的入侵檢測(cè)系統(tǒng)的存在的���,這 對(duì)入侵檢測(cè)系統(tǒng)本身的安全性造成了極大的威脅����。
發(fā)明內(nèi)容
本發(fā)明的目的是為了克服傳統(tǒng)的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)本身的不足,提供一種適用于虛擬機(jī)環(huán)境的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�����,該系統(tǒng)既有對(duì) 主機(jī)系統(tǒng)有很好的檢測(cè)性�,又具有很好的健壯性。
本發(fā)明提供的適用于虛擬機(jī)環(huán)境的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�����,其特征在 于它包括位于入侵檢測(cè)虛擬機(jī)的服務(wù)器端域間通信控制模塊����,入侵檢測(cè) 引擎模塊和入侵響應(yīng)控制模塊��,以及位于被檢測(cè)的各應(yīng)用虛擬機(jī)中的客戶 端域間通信控制模塊����、分域事件探測(cè)器模塊和分域響應(yīng)控制模塊;
服務(wù)器端域間通信控制模塊和各客戶端域間通信控制模塊為對(duì)稱的
模塊��,用于入侵檢測(cè)虛擬機(jī)和各應(yīng)用虛擬機(jī)之間的信息傳遞;
分域事件探測(cè)器模塊把分域捕獲的事件信息通過(guò)相應(yīng)的客戶端域間 通信控制模塊傳遞到服務(wù)器端域間通信控制模塊���,然后由服務(wù)器端域間通 信控制模塊將該事件信息傳遞給入侵檢測(cè)弓I擎模塊����;
入侵檢測(cè)引擎模塊通過(guò)服務(wù)器端域間通信控制模塊接收來(lái)自于分域 事件探測(cè)器模塊的事件信息���;通過(guò)對(duì)該事件的信息進(jìn)行提取�����,檢測(cè)和分析��, 對(duì)確定為攻擊的事件信息生成攻擊事件消息���,然后傳遞給入侵響應(yīng)控制模 塊; '
入侵響應(yīng)控制模塊負(fù)責(zé)接收并處理來(lái)自于入侵檢測(cè)引擎模塊的攻擊 事件信息����;入侵響應(yīng)控制模塊根據(jù)攻擊事件信息的類型和預(yù)定義的該類型 攻擊事件信息的處理方式,選擇相應(yīng)的方式進(jìn)行響應(yīng)�;在需要分域響應(yīng)的 時(shí)候,入侵響應(yīng)控制模塊將響應(yīng)信息通過(guò)服務(wù)器端域間通信控制模塊傳遞 到各個(gè)域的客戶端域間通信控制模塊���;然后由客戶端域間通信控制模塊將 信息轉(zhuǎn)發(fā)到分域響應(yīng)控制模塊����;
分域事件探測(cè)器模塊負(fù)責(zé)監(jiān)視到達(dá)和離開(kāi)本虛擬機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包,并 對(duì)需要進(jìn)行檢測(cè)的數(shù)據(jù)包進(jìn)行捕獲����;隨后,分域事件探測(cè)器模塊將捕獲的 數(shù)據(jù)信息通過(guò)客戶端域間通信控制模塊傳遞給入侵檢測(cè)弓I擎模塊�,由入侵 檢測(cè)引擎模塊的數(shù)據(jù)信息進(jìn)行檢測(cè)。通過(guò)本發(fā)明提供的適用于虛擬機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),能夠很好的保 障入侵檢測(cè)系統(tǒng)本身的安全特性����,位于虛擬機(jī)中的入侵檢測(cè)系統(tǒng),即使在 被監(jiān)測(cè)系統(tǒng)已經(jīng)被攻破的情況下�����,入侵檢測(cè)系統(tǒng)依然能夠正確地對(duì)系統(tǒng)的 運(yùn)行狀況進(jìn)行檢測(cè)����。同時(shí)�����,本發(fā)明的入侵檢測(cè)系統(tǒng)可以具有更靈活的網(wǎng)絡(luò) 配置管理機(jī)制,既能集中控制入侵檢測(cè)規(guī)則��,又能細(xì)粒度的實(shí)現(xiàn)對(duì)各個(gè)具 體虛擬機(jī)的安全規(guī)則配置���。具體而言�,本發(fā)明主要具有的主要特點(diǎn)為-
(1) 系統(tǒng)安全性
本系統(tǒng)采用基于虛擬機(jī)來(lái)實(shí)現(xiàn)���,利用虛擬機(jī)管理器對(duì)虛擬機(jī)間的隔離 特征�����,使得位于虛擬機(jī)管理層的入侵檢測(cè)系統(tǒng)對(duì)于虛擬機(jī)用戶以及針對(duì)虛 擬機(jī)的供給者而言是不可見(jiàn)透明的����。而且即使在虛擬機(jī)系統(tǒng)本身被破壞的 情況下�����,入侵檢測(cè)系統(tǒng)不但自身是安全的�����,而且可以持續(xù)跟蹤被破壞系統(tǒng) 的狀態(tài),使得構(gòu)建于虛擬機(jī)之上的入侵檢測(cè)系統(tǒng)不僅具有安全性��,而且具 有極強(qiáng)的抗攻擊能力和健壯性���。
(2) 配置靈活性
本系統(tǒng)采用靈活的配置策略���,在本系統(tǒng)中,既可以通過(guò)集中配置���,實(shí) 現(xiàn)同一條入侵檢測(cè)規(guī)則對(duì)整個(gè)虛擬機(jī)系統(tǒng)起到安全檢測(cè)的作用�;同時(shí)也支 持單一配置���,使得入侵檢測(cè)系統(tǒng)規(guī)則能分別針對(duì)各虛擬機(jī)的不同的安全級(jí) 別實(shí)現(xiàn)單獨(dú)配置�。從而使得整個(gè)系統(tǒng)既能方便的實(shí)現(xiàn)全局統(tǒng)一配置����,保障 最低安全級(jí)別,又能區(qū)別配置���,滿足各種安全等級(jí)的需要。
(3) 實(shí)現(xiàn)高效性
本系統(tǒng)為了提高入侵檢測(cè)的速度��,并給系統(tǒng)帶來(lái)盡可能小的載荷影 響,采用了高效的入侵行為特征碼匹配算法�,同時(shí),在實(shí)現(xiàn)中采用了半虛 擬化的虛擬化實(shí)現(xiàn)方式�,使得系統(tǒng)在入侵檢測(cè)過(guò)程之中,盡可能的高效的 實(shí)現(xiàn)入侵檢測(cè)識(shí)別和入侵通知機(jī)制�����。
(4) 功能豐富性和數(shù)據(jù)規(guī)則性 本系統(tǒng)為了支持更多的基于本系統(tǒng)的二次開(kāi)發(fā)工作��,在設(shè)計(jì)中���,定義了良好的系統(tǒng)接口�,完整規(guī)則的入侵日志記錄文件以及可擴(kuò)展的規(guī)則庫(kù)接 □�����。
圖1為適用于虛擬機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的模塊結(jié)構(gòu)示意圖2為分域事件探測(cè)器模塊結(jié)構(gòu)及模塊交互示意圖3為入侵檢測(cè)引擎模塊結(jié)構(gòu)及模塊交互示意圖4為入侵響應(yīng)模塊結(jié)構(gòu)及模塊交互示意圖5為入侵檢測(cè)系統(tǒng)域間通信控制模塊結(jié)構(gòu)及模塊交互示意圖6為適用于虛擬機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的工作流程圖�����。
具體實(shí)施例方式
本發(fā)明利用虛擬機(jī)的隔離性�,底層系統(tǒng)的透明性,以及高效性而設(shè)計(jì) 的一種構(gòu)建于新型的虛擬機(jī)體系架構(gòu)之上的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�。在本系統(tǒng) 中�,不但利用虛擬機(jī)的結(jié)構(gòu)特征來(lái)實(shí)現(xiàn)更為安全��,更為健壯的入侵檢測(cè)系 統(tǒng)�����,同時(shí)�,也十分關(guān)注如何利用成熟的入侵檢測(cè)理論來(lái)為一種新型的基于 虛擬計(jì)算理論的計(jì)算機(jī)體系結(jié)構(gòu)實(shí)現(xiàn)安全保障。下面結(jié)合附圖對(duì)本發(fā)明作 進(jìn)一步詳細(xì)的說(shuō)明����。
如圖1所示,適用于虛擬機(jī)的安全網(wǎng)入侵檢測(cè)系統(tǒng)在體系結(jié)構(gòu)上主要 分為兩個(gè)部分 一部分是位于入侵檢測(cè)虛擬機(jī)1中的入侵檢測(cè)部分�,包括 服務(wù)器端域間通信控制模塊6,入侵檢測(cè)引擎模塊7和入侵響應(yīng)控制模塊
8��。另一部分位于被檢測(cè)的應(yīng)用虛擬機(jī)2.1........ 2.n中�,它包括客戶端
域間通信控制模塊3. 1、……�����、3.n,分域事件探測(cè)器模塊4.1.......�����、 4.n
和分域響應(yīng)控制模塊5.1��、 ......��、 5.n����,為表述方便,下文中將客戶端域間
通信控制模塊3.1�����、 ....... 3.n統(tǒng)稱為客戶端域間通信控制模塊3�,分域響
應(yīng)控制模塊4.1........ 4.n統(tǒng)稱為分域響應(yīng)控制模塊4,分域事件探測(cè)器模塊5.1........ 5.n統(tǒng)稱為分域事件探測(cè)器模塊5�����。其中�����,n為被檢測(cè)
的應(yīng)用虛擬機(jī)的個(gè)數(shù)��。
服務(wù)器端域間通信控制模塊6和各客戶端域間通信控制模塊3是一對(duì) 對(duì)稱的模塊���。在系統(tǒng)中�,入侵檢測(cè)虛擬機(jī)和應(yīng)用虛擬機(jī)通過(guò)這二個(gè)模塊實(shí) 現(xiàn)信息傳遞。分域事件探測(cè)器模塊5把分域捕獲的事件信息通過(guò)相應(yīng)的客 戶端域間通信控制模塊3傳遞到服務(wù)器端域間通信控制模塊6�����,然后由模 塊6將該事件信息傳遞給入侵檢測(cè)引擎模塊7��。
入侵檢測(cè)引擎模塊7通過(guò)服務(wù)器端域間通信控制模塊6接收來(lái)自于分 域事件探測(cè)器模塊5的事件信息����。通過(guò)對(duì)該事件的信息迸行提取,檢測(cè)和 分析�����,對(duì)確定為攻擊的事件信息生成攻擊事件消息�,然后傳遞給入侵響應(yīng) 控制模塊8。
入侵響應(yīng)控制模塊8負(fù)責(zé)接收并處理來(lái)自于入侵檢測(cè)引擎模塊7的攻 擊事件信息��。入侵響應(yīng)控制模塊8根據(jù)攻擊事件信息的類型和預(yù)定義的該 類型攻擊事件信息的處理方式�,選擇合適的方式進(jìn)行響應(yīng)。在需要分域響 應(yīng)的時(shí)候��,入侵響應(yīng)控制模塊8需要將響應(yīng)信息通過(guò)服務(wù)器端域間通信控 制模塊6傳遞到各個(gè)域的客戶端域間通信控制模塊3;然后由該模塊將信 息轉(zhuǎn)發(fā)到分域響應(yīng)控制模塊4��。
分域事件探測(cè)器模塊5分別位于各個(gè)應(yīng)用虛擬機(jī)中。分域事件探測(cè)器 模塊5負(fù)責(zé)監(jiān)視到達(dá)和離開(kāi)本虛擬機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包����,并對(duì)需要進(jìn)行檢測(cè)的 數(shù)據(jù)包進(jìn)行捕獲����。隨后,分域事件探測(cè)器模塊將捕獲的數(shù)據(jù)信息通過(guò)客戶 端域間通信控制模塊傳遞給位于入侵檢測(cè)虛擬機(jī)1中的入侵檢測(cè)引擎模 塊7�����,由該模塊的數(shù)據(jù)信息進(jìn)行檢測(cè)�����。
當(dāng)入侵響應(yīng)控制模塊8在接收到來(lái)自于入侵檢測(cè)引擎模塊7的入侵事 件信息���,并需要分域發(fā)送入侵響應(yīng)信息時(shí)�,它就會(huì)把生成的入侵相應(yīng)信息 發(fā)送到服務(wù)器端域間通信控制模塊6����,然后由服務(wù)器端域間通信控制模塊 傳遞給各客戶端域間通信控制模塊3?���?蛻舳擞蜷g通信控制模塊3再將給消息傳遞給分域響應(yīng)控制模塊4���,分域響應(yīng)控制模塊4根據(jù)傳遞的入侵響 應(yīng)消息的類型和內(nèi)容,采取相應(yīng)的方式進(jìn)行響應(yīng)��,把該響應(yīng)消息發(fā)給該虛 擬機(jī)的相關(guān)用戶和相應(yīng)控制程序��。
下面對(duì)本系統(tǒng)各個(gè)功能模塊分別進(jìn)行介紹���。
分域事件探測(cè)器模塊5在本系統(tǒng)主要負(fù)責(zé)從虛擬機(jī)的網(wǎng)絡(luò)環(huán)境中收 集各種用于入侵檢測(cè)的信息�,包括網(wǎng)絡(luò)配置信息�����,端口掃描信息�����,以及實(shí) 時(shí)網(wǎng)絡(luò)傳輸數(shù)據(jù)����。它主要是直接從位于VMM層的虛擬網(wǎng)絡(luò)橋接設(shè)備分配 給各個(gè)域的虛擬網(wǎng)絡(luò)接口上獲取數(shù)據(jù)信息����。如圖2所示���。
網(wǎng)絡(luò)設(shè)備檢測(cè)模塊5A在本系統(tǒng)中負(fù)責(zé)靜態(tài)和動(dòng)態(tài)地探測(cè)在虛擬網(wǎng)絡(luò) 中所有處于活動(dòng)狀態(tài)的網(wǎng)絡(luò)設(shè)備��。由于在虛擬機(jī)系統(tǒng)中�����,虛擬機(jī)可以動(dòng)態(tài) 創(chuàng)建,每一個(gè)配置了網(wǎng)絡(luò)的虛擬機(jī)都使用虛擬機(jī)管理器為它分配的一個(gè)虛 擬網(wǎng)絡(luò)接口來(lái)進(jìn)行對(duì)網(wǎng)絡(luò)的訪問(wèn)�。網(wǎng)絡(luò)設(shè)備檢測(cè)模塊必須具備在系統(tǒng)動(dòng)態(tài) 變化過(guò)程中,準(zhǔn)確探測(cè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備能力����;同時(shí),它還必須能夠通過(guò)虛 擬機(jī)網(wǎng)絡(luò)配置文件來(lái)獲取虛擬網(wǎng)絡(luò)的配置信息�,并根據(jù)此信息正確的分析 網(wǎng)絡(luò)數(shù)據(jù)的流向以及攻擊的目標(biāo),網(wǎng)絡(luò)設(shè)備檢測(cè)模塊從虛擬機(jī)網(wǎng)絡(luò)配置文 件庫(kù)5E中獲取網(wǎng)絡(luò)配置基本信息��,并從虛擬網(wǎng)絡(luò)接口 9動(dòng)態(tài)獲取網(wǎng)絡(luò)接 口信息�����。
網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊5B是在網(wǎng)絡(luò)設(shè)備檢測(cè)之后啟動(dòng)的。它通過(guò)網(wǎng)絡(luò)設(shè) 備檢測(cè)模塊對(duì)網(wǎng)絡(luò)設(shè)備的獲取和對(duì)虛擬網(wǎng)絡(luò)配置信息的分析�,識(shí)別虛擬網(wǎng) 絡(luò)組網(wǎng)方式(Bridge, NAT),并進(jìn)一步獲取網(wǎng)絡(luò)設(shè)備事件和流經(jīng)網(wǎng)絡(luò)設(shè)備 的數(shù)據(jù)流�����。在本模塊的分析過(guò)程中����,由于在采用DHCP技術(shù)的虛擬機(jī)中, 虛擬機(jī)的IP地址有DHCP服務(wù)器動(dòng)態(tài)分配���。本系統(tǒng)根據(jù)到達(dá)虛擬網(wǎng)橋的 數(shù)據(jù)包的MAC地址(VMM為每一個(gè)虛擬機(jī)的虛擬網(wǎng)絡(luò)設(shè)備分配一個(gè)虛 擬的MAC地址)來(lái)區(qū)分?jǐn)?shù)據(jù)包的流向�。網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊5B從虛擬網(wǎng)絡(luò)接口 9獲取網(wǎng)絡(luò)數(shù)據(jù)包并將這些數(shù)據(jù)包傳遞到數(shù)據(jù)預(yù)處理模塊5C���。
數(shù)據(jù)預(yù)處理模塊5C對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)或者事件信息進(jìn)行預(yù)處理���,它 可以根據(jù)預(yù)定義規(guī)則對(duì)網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊所獲取的數(shù)據(jù)進(jìn)行過(guò)濾或者優(yōu) 先處理。既可以減少無(wú)效數(shù)據(jù)�����,適當(dāng)減輕入侵分析模塊的輸入量�,同時(shí)也 可以加快入侵檢測(cè)系統(tǒng)對(duì)常規(guī)事件的反應(yīng)速度對(duì)于預(yù)定義規(guī)則范圍內(nèi)的 事件或數(shù)據(jù),無(wú)需通過(guò)整個(gè)入侵檢測(cè)分析流程,可以直接在預(yù)定義模塊做 出響應(yīng)�,這對(duì)于長(zhǎng)期困擾入侵檢測(cè)系統(tǒng)的效率將會(huì)有極大的改進(jìn)和提升。 該模塊從網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊5B接收數(shù)據(jù)�����,并在數(shù)據(jù)經(jīng)過(guò)預(yù)處理后����,將數(shù) 據(jù)上傳到數(shù)據(jù)提交模塊5D。
數(shù)據(jù)提交模塊5D對(duì)來(lái)自數(shù)據(jù)預(yù)處理模塊5C的數(shù)據(jù)包通過(guò)客戶端域 間通信控制模塊3向入侵檢測(cè)系統(tǒng)進(jìn)行提交�。在數(shù)據(jù)提交過(guò)程中,數(shù)據(jù)提 交模塊根據(jù)每個(gè)數(shù)據(jù)包的虛擬機(jī)標(biāo)志決定把數(shù)據(jù)包寫入相應(yīng)的數(shù)據(jù)接收 緩沖區(qū)��,數(shù)據(jù)包在緩沖區(qū)排隊(duì)等待入侵檢測(cè)引擎的處理���。
虛擬網(wǎng)絡(luò)配置文件庫(kù)5E提供了虛擬機(jī)系統(tǒng)內(nèi)部各個(gè)部署的虛擬機(jī)的 網(wǎng)絡(luò)配置信息以及整個(gè)虛擬子網(wǎng)的配置信息。該配置文件庫(kù)由虛擬機(jī)管理 器動(dòng)態(tài)更新�,通過(guò)對(duì)該配置文件庫(kù)的訪問(wèn),可以使得本系統(tǒng)能與虛擬機(jī)系 統(tǒng)的實(shí)際配置保持一致�。分域事件探測(cè)器模塊必須能適應(yīng)本配置文件內(nèi)容 的變化。
虛擬網(wǎng)絡(luò)接口模塊9是虛擬機(jī)中為了實(shí)現(xiàn)不同的虛擬機(jī)能夠共享同 一個(gè)物理網(wǎng)絡(luò)設(shè)備而設(shè)置的網(wǎng)絡(luò)通信模塊�。這種模塊在驅(qū)動(dòng)上分為前端驅(qū) 動(dòng)和后端驅(qū)動(dòng)兩部分。其中�,后端驅(qū)動(dòng)是具有特權(quán)級(jí)別的虛擬網(wǎng)絡(luò)接口, 它可以直接訪問(wèn)物理網(wǎng)卡的驅(qū)動(dòng)程序,主要負(fù)責(zé)管理來(lái)自不同虛擬機(jī)的對(duì) 網(wǎng)絡(luò)設(shè)備的訪問(wèn)���。而前端驅(qū)動(dòng)不具有直接訪問(wèn)物理網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)的權(quán)利��, 他們必須通過(guò)網(wǎng)絡(luò)后端設(shè)備才能訪問(wèn)物理網(wǎng)卡的驅(qū)動(dòng)程序�,在訪問(wèn)過(guò)程 中�����,先向后端驅(qū)動(dòng)發(fā)出訪問(wèn)請(qǐng)求���,由后端驅(qū)動(dòng)統(tǒng)一調(diào)度����。該模塊接收來(lái)自 網(wǎng)絡(luò)設(shè)備檢測(cè)模塊5A和網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊5B的訪問(wèn)請(qǐng)求����。如圖3示,入侵檢測(cè)引擎模塊7主要負(fù)責(zé)根據(jù)入侵事件行為特征庫(kù)��, 利用入侵檢測(cè)實(shí)施策略��,對(duì)來(lái)自于分域事件探測(cè)器模塊捕獲的數(shù)據(jù)進(jìn)行分 析處理����,并把檢測(cè)結(jié)果提交給入侵響應(yīng)模塊����。入侵檢測(cè)模塊是一個(gè)共享資 源���,各個(gè)域捕獲的數(shù)據(jù)包都需要通過(guò)入侵檢測(cè)引擎的檢測(cè)���??梢圆捎靡幌?列負(fù)載均衡的調(diào)度算法。本模塊主要包括數(shù)據(jù)包解析模塊7A���、入侵事件 提取模塊7B、入侵事件檢測(cè)模塊7C�、入侵事件特征提取模塊7D、檢測(cè) 策略定制模塊7E����、檢測(cè)策略庫(kù)7F和入侵規(guī)則庫(kù)7G。下面分別對(duì)各模塊 作具體的說(shuō)明�����。
數(shù)據(jù)包解析模塊7A主要是從服務(wù)器端域間通信控制模塊6獲取由分 域事件探測(cè)器模塊5提交的數(shù)據(jù)包����,按照數(shù)據(jù)包所屬的協(xié)議類型進(jìn)行協(xié)議 數(shù)據(jù)包的分析�。根據(jù)協(xié)議規(guī)則����,提取出數(shù)據(jù)包所封裝的數(shù)據(jù)信息。并將分 析后的數(shù)據(jù)信息提交給入侵事件提取模塊7B。
入侵事件提取模塊7B根據(jù)規(guī)則事件的定義����,從數(shù)據(jù)包解析模塊7A 解析過(guò)的數(shù)據(jù)包中提取需要的關(guān)鍵字信息,用于入侵事件檢測(cè)模塊7C進(jìn) 行檢測(cè)���,該事件的提取可以嚴(yán)格根據(jù)事件定義進(jìn)行提取��,也可以提取更多 的信息��,以便在規(guī)定的事件信息不充分時(shí)�����,作為對(duì)事件定義進(jìn)行精細(xì)劃分 的依據(jù),這取決于系統(tǒng)管理員配置的檢測(cè)策略���。
入侵事件檢測(cè)模塊7C根據(jù)入侵事件提取模塊7B提取出來(lái)的事件信 息�,判斷是否有可以識(shí)別的入侵事件發(fā)生��。在分析過(guò)程中,需要來(lái)自于入 侵事件庫(kù)7G的關(guān)于入侵事件行為特征的信息和來(lái)自與檢測(cè)策略庫(kù)7F的 入侵檢測(cè)策略信息。該模塊首先獲得檢測(cè)策略配置信息�,設(shè)置入侵檢測(cè)引 擎�,然后通過(guò)檢測(cè)策略定義的檢測(cè)算法��,來(lái)利用入侵事件特征碼對(duì)獲取的 入侵事件進(jìn)行檢測(cè)�。最后將經(jīng)過(guò)分析的入侵事件提交入侵響應(yīng)模塊8等待 處理。入侵事件特征提取模塊7D主要是用來(lái)從入侵事件庫(kù)7G提取入侵事 件信息和從檢測(cè)策略庫(kù)7F提取入侵檢測(cè)策略��,并將提取的信息提交給入 侵事件檢測(cè)模塊7C���,由入侵事件檢測(cè)模塊7C進(jìn)行入侵檢測(cè)。入侵事件庫(kù) G可以采用多種存儲(chǔ)方案����,可以根據(jù)實(shí)際需要靈活配置��。而對(duì)于入侵檢測(cè) 引擎而言,則要求統(tǒng)一�,固定的行為特征模式。因此�����,入侵事件特征提取 模塊7D可以用來(lái)滿足不同的存儲(chǔ)方案和一致的使用接口之間的兼容需 求��。該模塊從入侵事件庫(kù)7G中提取不同的規(guī)則定義����,并對(duì)規(guī)則進(jìn)行解析; 入侵事件特征提取模塊7D從檢測(cè)策略庫(kù)7F中提取入侵檢測(cè)策略配置方 案。根據(jù)提取的規(guī)則定義和入侵檢測(cè)策略配置方案��,并隨著系統(tǒng)管理員的 配置�,動(dòng)態(tài)構(gòu)建適用于不同虛擬機(jī)域的規(guī)則鏈��。入侵事件檢測(cè)模塊需要利 用規(guī)則鏈進(jìn)行入侵事件的檢測(cè)��。
檢測(cè)策略定制模塊7E是系統(tǒng)管理員來(lái)對(duì)本系統(tǒng)功能進(jìn)行定制和選擇 的接口�。系統(tǒng)管理員通過(guò)檢測(cè)策略定制模塊可以選擇本系統(tǒng)的工作模式, 響應(yīng)方式以及入侵檢測(cè)系統(tǒng)采取的檢測(cè)模式和接受安全檢測(cè)的域���,本模塊 還支持系統(tǒng)管理員對(duì)不同域進(jìn)行安全規(guī)則的配置�����,相應(yīng)的策略信息被存儲(chǔ) 到檢測(cè)策略庫(kù)7F中���。通過(guò)本模塊�,系統(tǒng)支持靈活的配置��。
檢測(cè)策略庫(kù)7F和入侵規(guī)則庫(kù)7G主要是為了使本系統(tǒng)能夠具有很好 的擴(kuò)展性,能支持多種入侵檢測(cè)策略而實(shí)現(xiàn)的功能模塊。本系統(tǒng)采用了插 件式的入侵檢測(cè)策略配置方案,可以通過(guò)定制不同的策略插件實(shí)現(xiàn)檢測(cè)引 擎的靈活配置����,也提供了良好的檢測(cè)策略定制和實(shí)現(xiàn)接口�。入侵規(guī)則庫(kù) 7G主要是對(duì)本系統(tǒng)擬采用的規(guī)則的存儲(chǔ)�,本系統(tǒng)采用的入侵檢測(cè)規(guī)則都 存儲(chǔ)在規(guī)則庫(kù)中�����。檢測(cè)策略庫(kù)7F則是對(duì)通過(guò)檢測(cè)策略定制模塊7E定制 的檢測(cè)策略的存儲(chǔ)�����。在系統(tǒng)運(yùn)行過(guò)程中,入侵檢測(cè)引擎將通過(guò)調(diào)用訪問(wèn)這 些庫(kù)的接口來(lái)實(shí)現(xiàn)對(duì)存儲(chǔ)信息的訪問(wèn)和提取��。
入侵響應(yīng)控制模塊8如圖4所示�,負(fù)責(zé)對(duì)入侵檢測(cè)系統(tǒng)檢測(cè)結(jié)果的輸出,以及根據(jù)事件響應(yīng)規(guī)則庫(kù)采取激發(fā)的入侵響應(yīng)活動(dòng)�����,確保系統(tǒng)能正確 行為�,保障自身的安全。入侵響應(yīng)機(jī)制是否健全����、準(zhǔn)確和安全,對(duì)入侵事 件的持續(xù)跟蹤能力�����、對(duì)入侵檢測(cè)規(guī)則庫(kù)和入侵事件行為特征庫(kù)的更新是否 及時(shí)以及虛擬機(jī)間的通信機(jī)制是否快速�����、安全��、高效是評(píng)價(jià)本系統(tǒng)是否成 功的關(guān)鍵因素�����。
入侵響應(yīng)引擎模塊8A主要根據(jù)入侵分析檢測(cè)模塊7所檢測(cè)到的入侵 事件,利用事件句柄訪問(wèn)響應(yīng)規(guī)則庫(kù)尋找對(duì)應(yīng)事件的響應(yīng)規(guī)則���。然后根據(jù) 規(guī)則決定通知一個(gè)或多個(gè)響應(yīng)模塊��。在入侵分析檢測(cè)模塊7獲得的是捕獲 的網(wǎng)絡(luò)數(shù)據(jù)包滿足入侵事件的事件定義句柄�����,在本模塊需要根據(jù)該句柄 來(lái)獲取對(duì)應(yīng)的事件響應(yīng)規(guī)則定義��。獲取響應(yīng)的方式和響應(yīng)的消息����。并根據(jù) 響應(yīng)的方式把響應(yīng)消息通知相應(yīng)的響應(yīng)模塊�����。
用戶接口模塊8B作為系統(tǒng)與外在環(huán)境的接口��,是各種面向用戶的接 口總稱��。主要包括各種策略定制接口�、規(guī)則定制接口以及直接面向用戶的 輸出接口 (輸出界面)�。從功能上分�,可以有管理員用戶接口和普通用戶 接口�����。該接口的設(shè)計(jì)是為了方便用戶使用和配置本系統(tǒng)而設(shè)置的�,該模塊 接收來(lái)自入侵響應(yīng)引擎模塊8A傳遞的響應(yīng)消息,并把檢測(cè)結(jié)果返回給用戶���。
響應(yīng)控制信息輸出模塊8C是入侵響應(yīng)引擎模塊8A向攻擊的目標(biāo)系 統(tǒng)傳遞控制信息的通信模塊�����。當(dāng)本系統(tǒng)檢測(cè)出入侵事件發(fā)生時(shí)���,優(yōu)先選擇 采取控制措施,避免入侵事件進(jìn)一步發(fā)生�����。該模塊也通過(guò)服務(wù)器端域間通 信控制模塊6和客戶端的域間通信控制模塊3來(lái)向各個(gè)虛擬機(jī)之間傳遞控 制信息����,激發(fā)相應(yīng)的安全措施。在本模塊中����,可以同防火墻等安全系統(tǒng)進(jìn) 行協(xié)作��,使入侵檢測(cè)系統(tǒng)能夠及時(shí)阻止到達(dá)網(wǎng)絡(luò)的入侵事件�。
事件持續(xù)跟蹤請(qǐng)求模塊8D是由于可疑入侵事件在當(dāng)前已有事件行為 特征庫(kù)無(wú)法匹配的情況下�,系統(tǒng)發(fā)出對(duì)事件進(jìn)行跟蹤的請(qǐng)求,以等待系統(tǒng) 對(duì)該事件進(jìn)行進(jìn)一步處理�。該模塊從入侵響應(yīng)弓I擎模塊8A獲取入侵消息,并將入侵事件信息發(fā)送到服務(wù)器端域間通信控制模塊6����。考慮到虛擬機(jī)系 統(tǒng)作為一種新的體系結(jié)構(gòu)��,可以用來(lái)從事各種安全分析檢測(cè)實(shí)驗(yàn)��,本接口 也可以作為一個(gè)預(yù)留接口��,可以基于本系統(tǒng)的對(duì)安全系統(tǒng)作進(jìn)一步的擴(kuò) 展��。
響應(yīng)規(guī)則定制模塊8E主要用于提供方便的響應(yīng)規(guī)則定制功能�����。用戶 可以通過(guò)本模塊方便的進(jìn)行系統(tǒng)響應(yīng)規(guī)則定制���。由于本系統(tǒng)是一個(gè)動(dòng)態(tài)的 系統(tǒng)�,系統(tǒng)在運(yùn)行過(guò)程中會(huì)根據(jù)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行調(diào)整����,系統(tǒng)的響應(yīng)方 式也可能根據(jù)部署在系統(tǒng)中服務(wù)的需求而發(fā)生動(dòng)態(tài)的變化,因此��,響應(yīng)規(guī) 則定制模塊8E對(duì)系統(tǒng)能在檢測(cè)的入侵事件以后采取爭(zhēng)取的行為是必不可 少的�����。
響應(yīng)規(guī)則庫(kù)8F存儲(chǔ)本系統(tǒng)使用的響應(yīng)規(guī)則���。入侵響應(yīng)引擎模塊8A 利用這些響應(yīng)規(guī)則來(lái)對(duì)由入侵檢測(cè)引擎模塊7傳遞來(lái)的入侵事件信息生 成入侵響應(yīng)信息�。響應(yīng)規(guī)則可以由響應(yīng)規(guī)則定制模塊8E進(jìn)行定制����。
域間通信控制模塊如圖5所示,在本系統(tǒng)中用來(lái)實(shí)現(xiàn)各個(gè)虛擬機(jī)之間 的高效�、快速的通信。在本模塊中�,利用了虛擬機(jī)本身提供的機(jī)制,有效 的解決了傳統(tǒng)實(shí)現(xiàn)方式中的信息被截取的問(wèn)題。在本系統(tǒng)中���,通信控制模 塊主要分為兩個(gè)部分�,位于入侵檢測(cè)虛擬機(jī)的服務(wù)器端域間通信控制模塊 6和位于各個(gè)應(yīng)用虛擬機(jī)的客戶端域間通信控制模塊3��。服務(wù)器端和客戶 端在實(shí)現(xiàn)上是對(duì)稱的�����。
EC (event channel,事件通道)預(yù)分配模塊3A和6A用來(lái)在開(kāi)始通信 之前��,分配事件通道(event channel)�����。每個(gè)虛擬機(jī)中都有若干個(gè)事件通道�, 通過(guò)EC預(yù)分配模塊,分配一個(gè)事件通道作為入侵檢測(cè)系統(tǒng)的事件通知機(jī) 制�����。該事件通道用來(lái)在域間傳遞輕量級(jí)消息��,主要用于在虛擬機(jī)連接建立 之前傳遞連接建立的信息和在連接建立之后��,傳遞對(duì)于通信區(qū)域的訪問(wèn)同步信息���。該模塊將預(yù)分配的事件通道傳遞給權(quán)限管理模塊3B和6B來(lái)輔 助建立域間連接�����。
權(quán)限管理模塊3B和6B是用于虛擬機(jī)連接建立的權(quán)限管理����。由于虛 擬機(jī)的各個(gè)域并不能隨意的通信�����,因此在通信模塊實(shí)現(xiàn)通信的過(guò)程中���,必 須進(jìn)行權(quán)限檢測(cè)��。主要通過(guò)權(quán)限映射配置來(lái)實(shí)現(xiàn)跨域的訪問(wèn)和資源共享��。 在本系統(tǒng)中��,利用權(quán)限映射表來(lái)存儲(chǔ)虛擬機(jī)間的權(quán)限映射信息�����。 一個(gè)虛擬 機(jī)授權(quán)另外一個(gè)虛擬機(jī)訪問(wèn)自己的某塊內(nèi)存區(qū)域�����,首先要取得自己虛擬地 址對(duì)應(yīng)的真實(shí)機(jī)器地址����,然后利用權(quán)限映射操作,將給地址授權(quán)給要通信 的另外一個(gè)虛擬機(jī)域訪問(wèn)����。在該授權(quán)中,除了授權(quán)區(qū)域�����,還包括授權(quán)的權(quán) 限范圍�����。權(quán)限管理模塊用于實(shí)現(xiàn)授權(quán)的映射管理�����。該授權(quán)信息上傳到連接 建立模塊以作為建立連接時(shí)的權(quán)限依據(jù)�。
連接建立模塊3C和6C用來(lái)實(shí)現(xiàn)在入侵檢測(cè)虛擬機(jī)和其他各個(gè)應(yīng)甩 虛擬機(jī)之間建立通訊連接�。首先通過(guò)事件通道模塊3A和6A所分配的事 件通道來(lái)傳遞連接建立信息���。然后各個(gè)域可以通過(guò)事件通道傳遞的連接建 立參數(shù)建立域間連接和消息共享區(qū)域。在該過(guò)程中需要權(quán)限管理模塊3B 和6B提供的權(quán)限映射信息�。連接建立后,在虛擬機(jī)域間形成消息傳遞通 路�,入侵檢測(cè)虛擬機(jī)1和應(yīng)用虛擬機(jī)2可以利用消息傳遞模塊3D、 6D和 消息接受模塊3F�����、 6F來(lái)實(shí)現(xiàn)消息的傳遞��。
信息傳遞模塊3D和6D和信息獲取模塊3E和6E負(fù)責(zé)實(shí)現(xiàn)不同虛擬 機(jī)間的信息傳遞��。在不同的域中��,與上述兩個(gè)模塊進(jìn)行通信的模塊不同���。 在域間通信服務(wù)器端模塊中���,入侵檢測(cè)引擎模塊7從信息獲取模塊獲取來(lái) 啟于應(yīng)甩虛擬機(jī)的事件信息,入侵響應(yīng)模塊8通過(guò)信息傳遞模塊向其他應(yīng) 用虛擬機(jī)傳遞響應(yīng)信息����。相應(yīng)的�����,在域間通信客戶端模塊����,分域事件探測(cè) 器模塊5利用信息傳遞模塊向服務(wù)器端傳遞事件信息��,而分域入侵響應(yīng)模 塊4利用信息獲取模塊從服務(wù)器端獲取入侵響應(yīng)信息�����。并提交客戶端處理 程序進(jìn)行處理���。權(quán)限映射表3F和6F是保存虛擬機(jī)之間權(quán)限映射的實(shí)體��。權(quán)限管理模 塊3B�、 6B在實(shí)施權(quán)限映射管理的過(guò)程中����,需要訪問(wèn)本文件。而在系統(tǒng)有 新的授權(quán)行為時(shí)���,也需要更新本權(quán)限映射表��,保持同步�����。
本發(fā)明的系統(tǒng)工作流程如圖6所示�,主要分成三個(gè)部分來(lái)對(duì)采用本發(fā) 明實(shí)現(xiàn)的虛擬機(jī)入侵檢測(cè)系統(tǒng)的工作流程做進(jìn)一步具體的描述�。
(1) 數(shù)據(jù)采集層的工作流程在數(shù)據(jù)采集層,虛擬網(wǎng)絡(luò)有著不同于 傳統(tǒng)的單網(wǎng)卡的網(wǎng)絡(luò)結(jié)構(gòu)���,在虛擬機(jī)環(huán)境中��,網(wǎng)絡(luò)設(shè)備分為物理網(wǎng)絡(luò)設(shè)備 和虛擬網(wǎng)絡(luò)設(shè)備��。物理網(wǎng)絡(luò)設(shè)備是虛擬機(jī)與外部網(wǎng)絡(luò)之間的唯一接口�;虛 擬網(wǎng)絡(luò)設(shè)備有虛擬網(wǎng)橋(virbr0)連接�,負(fù)責(zé)從虛擬網(wǎng)橋設(shè)備到各個(gè)虛擬 機(jī)域的數(shù)據(jù)分發(fā)和傳遞工作。因此在采用本發(fā)明實(shí)現(xiàn)的虛擬機(jī)網(wǎng)絡(luò)入侵檢 測(cè)系統(tǒng)中�,首先要正確識(shí)別網(wǎng)絡(luò)設(shè)備,包括物理網(wǎng)絡(luò)設(shè)備�����,虛擬網(wǎng)絡(luò)設(shè)備 和虛擬網(wǎng)橋設(shè)備,并能正確分析相關(guān)設(shè)備的網(wǎng)絡(luò)接口�。此后,網(wǎng)絡(luò)設(shè)備讀 取模塊繼續(xù)對(duì)該虛擬機(jī)所擁有的虛擬網(wǎng)絡(luò)進(jìn)行分析����。虛擬機(jī)的網(wǎng)絡(luò)配置信 息放在位于虛擬機(jī)的xenstore里面,設(shè)備讀取模塊利用xenstore的訪問(wèn) API來(lái)獲取網(wǎng)絡(luò)配置信息�����,并根據(jù)相應(yīng)的網(wǎng)絡(luò)配置方式來(lái)設(shè)定數(shù)據(jù)包的目 的地址解析策略��。完成對(duì)設(shè)備和網(wǎng)絡(luò)配置信息的初始化后�,數(shù)據(jù)采集層的 控制權(quán)轉(zhuǎn)交給數(shù)據(jù)捕獲模塊,由數(shù)據(jù)捕獲模塊從虛擬網(wǎng)橋設(shè)備捕獲來(lái)自于 外部網(wǎng)絡(luò)環(huán)境的到達(dá)虛擬機(jī)內(nèi)部虛擬網(wǎng)絡(luò)環(huán)境的所有數(shù)據(jù)包���,并按照網(wǎng)絡(luò) 配置方式對(duì)每個(gè)數(shù)據(jù)包的目的地址進(jìn)行解碼分析���,按照目的地址對(duì)數(shù)據(jù)包 進(jìn)行分類存儲(chǔ)。同時(shí)�,在數(shù)據(jù)采集層還要利用預(yù)定義的數(shù)據(jù)包預(yù)處理模塊 實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過(guò)濾,濾去信任的數(shù)據(jù)包和不符合標(biāo)準(zhǔn)定義的數(shù)據(jù)包��,減 少系統(tǒng)負(fù)載,加快處理頻率�。數(shù)據(jù)包預(yù)處理模塊還對(duì)截獲的數(shù)據(jù)包進(jìn)行加 工整理,以一種標(biāo)準(zhǔn)的形式提交給入侵檢測(cè)引擎模塊���。
(2) 入侵檢測(cè)分析流程:入侵檢測(cè)引擎模塊主要負(fù)責(zé)接收從信息采集 模塊傳遞過(guò)來(lái)的經(jīng)過(guò)預(yù)處理的數(shù)據(jù)包���,并進(jìn)行入侵檢測(cè)分析。數(shù)據(jù)包解析模塊首先按協(xié)議解析網(wǎng)絡(luò)數(shù)據(jù)包��,根據(jù)協(xié)議規(guī)則從網(wǎng)絡(luò)數(shù)據(jù)包中提取需要 進(jìn)行分析和模式匹配的關(guān)鍵協(xié)議部分和數(shù)據(jù)部分���。然后根據(jù)入侵事件庫(kù)預(yù) 定義的入侵行為特征來(lái)對(duì)提卻的用來(lái)進(jìn)行入侵檢測(cè)分析的數(shù)據(jù)進(jìn)行模式 匹配比較�,如果行為特征符合���,則可判斷有相應(yīng)的入侵行為發(fā)生,需要通 知響應(yīng)機(jī)制采取相應(yīng)的措施�����,如果判斷無(wú)入侵行為發(fā)生�����,則可以不作處理���, 簡(jiǎn)單通知數(shù)據(jù)傳遞機(jī)制轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的地��,否則數(shù)據(jù)包的入侵行為無(wú) 法判斷��,則需要通知系統(tǒng)管理員發(fā)現(xiàn)無(wú)法識(shí)別的入侵行為��,等待采取進(jìn)一 步的行動(dòng)��,此處可以通過(guò)多線程機(jī)制避免系統(tǒng)處于等待狀態(tài)而產(chǎn)生丟包行 為��。在入侵檢測(cè)分析的過(guò)程中�,需要用到虛擬機(jī)環(huán)境中的入侵行為特征庫(kù) 的信息作為行為檢測(cè)的依據(jù)。'
(3)入侵響應(yīng)流程在通過(guò)上述的入侵檢測(cè)分析之后�����,入侵事件被檢 測(cè)�,并通知入侵響應(yīng)模塊。入侵響應(yīng)引擎從響應(yīng)規(guī)則庫(kù)獲取配置信息����,對(duì) 相應(yīng)的入侵事件采取規(guī)則庫(kù)所規(guī)定的行為。系統(tǒng)的工作流程在此處分為兩 個(gè)部分來(lái)進(jìn)行���,如果該入侵行為具有相應(yīng)的規(guī)則集���,則按照規(guī)則定義采取 相應(yīng)措施����,包括發(fā)布入侵信息�,報(bào)警管理員發(fā)生入侵事件以及按照規(guī)則定 義采取防御措施等等。如果入侵行為沒(méi)有適用的規(guī)則����,則應(yīng)該報(bào)警通知管 理員,以采取進(jìn)一步安全措施���。此處規(guī)則的配置可以靈活多樣�����,但要求規(guī) 則定義必須清楚明白,符合規(guī)范��,便于解析和采取n向應(yīng)措施��。
權(quán)利要求
1��、一種適用于虛擬機(jī)環(huán)境的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于它包括位于入侵檢測(cè)虛擬機(jī)(1)的服務(wù)器端域間通信控制模塊(6)���,入侵檢測(cè)引擎模塊(7)和入侵響應(yīng)控制模塊(8)���,以及位于被檢測(cè)的各應(yīng)用虛擬機(jī)中的客戶端域間通信控制模塊(3)、分域事件探測(cè)器模塊(4)和分域響應(yīng)控制模塊(5)�;服務(wù)器端域間通信控制模塊(6)和各客戶端域間通信控制模塊(3)為對(duì)稱的模塊,用于入侵檢測(cè)虛擬機(jī)(1)和各應(yīng)用虛擬機(jī)之間的信息傳遞�����;分域事件探測(cè)器模塊(5)把分域捕獲的事件信息通過(guò)相應(yīng)的客戶端域間通信控制模塊(3)傳遞到服務(wù)器端域間通信控制模塊(6)���,然后由服務(wù)器端域間通信控制模塊(6)將該事件信息傳遞給入侵檢測(cè)引擎模塊(7)���;入侵檢測(cè)引擎模塊(7)通過(guò)服務(wù)器端域間通信控制模塊(6)接收來(lái)自于分域事件探測(cè)器模塊(5)的事件信息;通過(guò)對(duì)該事件的信息進(jìn)行提取���,檢測(cè)和分析����,對(duì)確定為攻擊的事件信息生成攻擊事件消息�����,然后傳遞給入侵響應(yīng)控制模塊(8);入侵響應(yīng)控制模塊(8)負(fù)責(zé)接收并處理來(lái)自于入侵檢測(cè)引擎模塊(7)的攻擊事件信息��;入侵響應(yīng)控制模塊(8)根據(jù)攻擊事件信息的類型和預(yù)定義的該類型攻擊事件信息的處理方式���,選擇相應(yīng)的方式進(jìn)行響應(yīng)����;在需要分域響應(yīng)的時(shí)候�����,入侵響應(yīng)控制模塊(8)將響應(yīng)信息通過(guò)服務(wù)器端域間通信控制模塊(6)傳遞到各個(gè)域的客戶端域間通信控制模塊(3)���;然后由客戶端域間通信控制模塊(3)將信息轉(zhuǎn)發(fā)到分域響應(yīng)控制模塊(4)����;分域事件探測(cè)器模塊(5)負(fù)責(zé)監(jiān)視到達(dá)和離開(kāi)本虛擬機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包����,并對(duì)需要進(jìn)行檢測(cè)的數(shù)據(jù)包進(jìn)行捕獲���;隨后�,分域事件探測(cè)器模塊(5)將捕獲的數(shù)據(jù)信息通過(guò)客戶端域間通信控制模塊(3)傳遞給入侵檢測(cè)引擎模塊(7),由入侵檢測(cè)引擎模塊(7)的數(shù)據(jù)信息進(jìn)行檢測(cè)���。
2���、根據(jù)權(quán)利要求1所述的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),其特征在于分 域事件探測(cè)器模塊(5)包括網(wǎng)絡(luò)設(shè)備檢測(cè)模塊(5A)�����、網(wǎng)絡(luò)數(shù)據(jù)捕獲模 塊(5B)��、數(shù)據(jù)預(yù)處理模塊(5C)���、數(shù)據(jù)提交模塊(5D)和虛擬網(wǎng)絡(luò)配置 文件庫(kù)(5E);網(wǎng)絡(luò)設(shè)備檢測(cè)模塊(5A)用于在系統(tǒng)動(dòng)態(tài)變化過(guò)程中�,準(zhǔn)確探測(cè)系 統(tǒng)中網(wǎng)絡(luò)設(shè)備�����;它通過(guò)虛擬機(jī)網(wǎng)絡(luò)配置文件來(lái)獲取虛擬網(wǎng)絡(luò)的配置信息����, 并根據(jù)此信息正確的分析網(wǎng)絡(luò)數(shù)據(jù)的流向以及攻擊的目標(biāo)��,網(wǎng)絡(luò)設(shè)備檢測(cè) 模塊(5A)從虛擬機(jī)網(wǎng)絡(luò)配置文件庫(kù)(5E)中獲取網(wǎng)絡(luò)配置基本信息���, 并從虛擬網(wǎng)絡(luò)接口 (9)動(dòng)態(tài)獲取網(wǎng)絡(luò)接口信息;網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊(5B)通過(guò)網(wǎng)絡(luò)設(shè)備檢測(cè)模塊(5A)對(duì)網(wǎng)絡(luò)設(shè)備 的獲取和對(duì)虛擬網(wǎng)絡(luò)配置信息的分析���,識(shí)別虛擬網(wǎng)絡(luò)組網(wǎng)方式�,并進(jìn)一步 獲取網(wǎng)絡(luò)設(shè)備事件和流經(jīng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)流�����;網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊(5B) 從虛擬網(wǎng)絡(luò)接口 (9)獲取網(wǎng)絡(luò)數(shù)據(jù)包并將這些數(shù)據(jù)包傳遞到數(shù)據(jù)預(yù)處理 模塊(5C);數(shù)據(jù)預(yù)處理模塊(5C)用于接收網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊(5B)提交的數(shù) 據(jù)���,根據(jù)預(yù)定義規(guī)則對(duì)接收的數(shù)據(jù)進(jìn)行過(guò)濾或者優(yōu)先處理��,并將處理后的 數(shù)據(jù)上傳到數(shù)據(jù)提交模塊(5D);數(shù)據(jù)提交模塊(5D)對(duì)來(lái)自數(shù)據(jù)預(yù)處理模塊(5C)的數(shù)據(jù)包通過(guò)客 戶端域間通信控制模塊(3)向入侵檢測(cè)系統(tǒng)進(jìn)行提交��;在數(shù)據(jù)提交過(guò)程 中�,數(shù)據(jù)提交模塊(5D)根據(jù)每個(gè)數(shù)據(jù)包的虛擬機(jī)標(biāo)志決定把數(shù)據(jù)包寫 入相應(yīng)的數(shù)據(jù)接收緩沖區(qū)���,數(shù)據(jù)包在緩沖區(qū)排隊(duì)等待入侵檢測(cè)引擎的處 理�;虛擬網(wǎng)絡(luò)配置文件庫(kù)(5E)用于提供虛擬機(jī)系統(tǒng)內(nèi)部的各應(yīng)用虛擬機(jī) 的網(wǎng)絡(luò)配置信息以及整個(gè)虛擬子網(wǎng)的配置信息���,使得本系統(tǒng)的配置信息與 虛擬機(jī)系統(tǒng)的實(shí)際配置信息保持動(dòng)態(tài)一致�����。
3��、根據(jù)權(quán)利要求1所述的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)��,其特征在于入侵檢測(cè)引擎模塊(7)包括數(shù)據(jù)包解析模塊(7A)�����、入侵事件提取 模塊(7B)��、入侵事件檢測(cè)模塊(7C)����、入侵事件特征提取模塊(7D)�、檢 測(cè)策略定制模塊(7E)、檢測(cè)策略庫(kù)(7F)和入侵規(guī)則庫(kù)(7G);數(shù)據(jù)包解析模塊(7A)用于從服務(wù)器端域間通信控制模塊(6)獲取 由分域事件探測(cè)器模塊(5)提交的數(shù)據(jù)包��,按照數(shù)據(jù)包所屬的協(xié)議類型 進(jìn)行協(xié)議數(shù)據(jù)包的分析;根據(jù)協(xié)議規(guī)則�����,提取出數(shù)據(jù)包所封裝的數(shù)據(jù)信息; 并將分析后的數(shù)據(jù)信息提交給入侵事件提取模塊(7B);入侵事件提取模塊(7B)根據(jù)規(guī)則事件的定義,從數(shù)據(jù)包解析模塊 (7A)解析過(guò)的數(shù)據(jù)包中提取需要的關(guān)鍵字信息�,用于入侵事件檢測(cè)模 塊(7C)進(jìn)行檢測(cè);檢測(cè)策略定制模塊(7E)提供用戶接口��,用于定制檢測(cè)策略���,并將 策略信息存儲(chǔ)到檢測(cè)策略庫(kù)(7F)中�����;檢測(cè)策略庫(kù)(7F)用于存儲(chǔ)檢測(cè)策略�����;入侵規(guī)則庫(kù)(7G)用于存儲(chǔ) 本系統(tǒng)擬采用的入侵檢測(cè)規(guī)則�����;入侵事件特征提取模塊(7D)從入侵事件庫(kù)(7G)中提取規(guī)則定義��, 從檢測(cè)策略庫(kù)(7F)中提取入侵檢測(cè)策略���,并將提取的規(guī)則定義和入侵檢 測(cè)策略提交給入侵事件檢測(cè)模塊(7C),由入侵事件檢測(cè)模塊(7C)進(jìn)行 入侵檢測(cè);入侵事件檢測(cè)模塊(7C)根據(jù)入侵事件特征提取模塊(7D)中提取 的規(guī)則定義和入侵檢測(cè)策略配置方案對(duì)來(lái)自于入侵事件提取模塊(7B) 的事件信息進(jìn)行判斷����,判斷是否有能夠識(shí)別的入侵事件發(fā)生;將經(jīng)過(guò)分析的入侵事件提交入侵響應(yīng)模塊(8)等待處理�����。
4�����、 根據(jù)權(quán)利要求1所述的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�,其特征在于入侵響應(yīng)控制模塊(8)包括入侵響應(yīng)引擎模塊(8A)����、用戶接口模塊(8B)、 響應(yīng)控制信息輸出模塊(8C)��、事件持續(xù)跟蹤請(qǐng)求模塊(8D)�、響應(yīng)規(guī)則 定制模塊(8E)和響應(yīng)規(guī)則庫(kù)(8F);入侵響應(yīng)引擎模塊(8A)根據(jù)入侵分析檢測(cè)模塊(7)所檢測(cè)到的入 侵事件,利用事件句柄訪問(wèn)響應(yīng)規(guī)則庫(kù)(8F)尋找對(duì)應(yīng)事件的響應(yīng)規(guī)則�����; 然后根據(jù)規(guī)則決定通知一個(gè)或多個(gè)響應(yīng)模塊;用戶接口模塊(8B)作為系統(tǒng)與用戶的接口�����,接收來(lái)自入侵響應(yīng)引 擎模塊(8A)傳遞的響應(yīng)消息��,并把檢測(cè)結(jié)果返回給用戶�;響應(yīng)控制信息輸出模塊(8C)用于入侵響應(yīng)引擎模塊(8A)向攻擊 的目標(biāo)系統(tǒng)傳遞控制信息;響應(yīng)控制信息輸出模塊(8C)還通過(guò)服務(wù)器 端域間通信控制模塊(6)到客戶端的域間通信控制模塊(3)來(lái)向各個(gè)虛 擬機(jī)之間傳遞控制信息����,激發(fā)相應(yīng)的安全措施;事件持續(xù)跟蹤請(qǐng)求模塊(8D)從入侵響應(yīng)引擎模塊(8A)獲取入侵 消息�,在當(dāng)前已有事件行為特征庫(kù)無(wú)法匹配的情況下,并通過(guò)服務(wù)器端域 間通信控制模塊(6)將跟蹤請(qǐng)求發(fā)送給相應(yīng)的應(yīng)用虛擬機(jī)�;響應(yīng)規(guī)則定制模塊(8E)將用戶提供的規(guī)則存儲(chǔ)到響應(yīng)規(guī)則庫(kù)(8F)。
5��、 根據(jù)權(quán)利要求1所述的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�����,其特征在于 服務(wù)器端域間通信控制模塊(6)和位于各個(gè)應(yīng)用虛擬機(jī)的客戶端域間通信控制模塊(3)均包括事件通道預(yù)分配模塊����、權(quán)限管理模塊、連接 建立模塊、信息傳遞模塊和權(quán)限映射表�;事件通道預(yù)分配模塊用于開(kāi)始通信之前分配事件通道,將預(yù)分配的事 件通道傳遞給權(quán)限管理模塊來(lái)輔助建立域間連接��;權(quán)限管理模塊用于虛擬機(jī)連接建立的權(quán)限管理���,并利用權(quán)限映射表存 儲(chǔ)虛擬機(jī)間的權(quán)限映射信息��;將授權(quán)信息上傳到連接建立模塊����;連接建立模塊通過(guò)事件通道模塊所分配的事件通道來(lái)傳遞連接建立 參數(shù)�����,并根據(jù)權(quán)限管理模塊提供的權(quán)限映射信息���,建立域間連接和消息共 享區(qū)域;信息傳遞模塊和信息獲取模塊負(fù)責(zé)實(shí)現(xiàn)入侵檢測(cè)虛擬機(jī)和應(yīng)用虛擬 機(jī)之間信息傳遞�����。
全文摘要
本發(fā)明公開(kāi)了一種適用于虛擬機(jī)環(huán)境的安全網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)���,它包括位于入侵檢測(cè)虛擬機(jī)的服務(wù)器端域間通信控制模塊���,入侵檢測(cè)引擎模塊和入侵響應(yīng)控制模塊�����,以及位于被檢測(cè)的各應(yīng)用虛擬機(jī)中的客戶端域間通信控制模塊�、分域事件探測(cè)器模塊和分域響應(yīng)控制模塊�����。針對(duì)虛擬機(jī)有虛擬機(jī)系統(tǒng)本身的安全性有待改進(jìn)��,而現(xiàn)有的入侵檢測(cè)系統(tǒng)又無(wú)法達(dá)到目的這一問(wèn)題���,本發(fā)明充分考慮了虛擬機(jī)網(wǎng)絡(luò)的分層結(jié)構(gòu)�,基于虛擬機(jī)的內(nèi)部網(wǎng)絡(luò)網(wǎng)上實(shí)現(xiàn)了對(duì)虛擬機(jī)系統(tǒng)的入侵檢測(cè)保護(hù)���,更好的提升了虛擬機(jī)系統(tǒng)應(yīng)用于生產(chǎn)實(shí)踐活動(dòng)的安全性��;同時(shí)����,也利用虛擬機(jī)的隔離安全特性,實(shí)現(xiàn)了入侵檢測(cè)系統(tǒng)與被保護(hù)系統(tǒng)的分離���;相比于傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�,該系統(tǒng)具有更好的安全性和可靠性��。
文檔編號(hào)H04L29/06GK101309180SQ20081004816
公開(kāi)日2008年11月19日 申請(qǐng)日期2008年6月21日 優(yōu)先權(quán)日2008年6月21日
發(fā)明者楊衛(wèi)平, 蔣雅利, 峰 趙, 鄒德清, 海 金, 項(xiàng)國(guó)富 申請(qǐng)人:華中科技大學(xué)