一种基于虚拟机的入侵检测系统的部署方法及装置制造方法及图纸
A deployment method and device of an intrusion detection system based on virtual machine
The invention provides a method and device for the deployment of an intrusion detection system based on a virtual machine, which involves the field of network security technology. The method includes: creating a virtual machine image contains static data of intrusion detection system in the network file server; generating the virtual machine image data on the network file server in the configuration file; abnormal virtual machine monitored by monitoring, and according to the abnormal situation of the virtual machine is monitored, using image data the virtual machine and the configuration file, intrusion detection system is deployed in the intrusion detection system in a virtual machine; virtual machine is monitored in the preset time interval is not intrusion events, intrusion detection system revocation. The invention can solve the problem of deploying intrusion detection system on many Internet access points, resulting in high hardware cost and low availability. When the system is maintained or upgraded or expanded, it needs downtime to cause application interruption.
【技术实现步骤摘要】
一种基于虚拟机的入侵检测系统的部署方法及装置
本专利技术涉及网络安全
,尤其涉及一种基于虚拟机的入侵检测系统的部署方法及装置。
技术介绍
当前,随着计算机网络的发展,网络安全问题已经成为人们普遍关注的焦点。入侵检测系统(IntrusionDetectionSystems,简称IDS)作为网络安全的一个重要组成部分,已成功应用于政府、企业与各大公司的网络环境中,并发挥着极为重要的作用。入侵检测系统利用传感器来截获网络中的原始数据包,交由入侵分析模块寻找入侵踪迹以及其他敏感信息,并提供给入侵响应模块与管理控制台以完成对入侵的响应。而如何部署入侵检测系统以准确、有效地检测到入侵与攻击则是入侵检测系统成功的关键。目前,入侵检测系统大多部署在网络的互联网接入点,但随着政府、企业以及各大公司对网络需求不断增长,各单位、部门的网络规模不断扩大,往往存在着众多互联网接入点。而基于单一接入点的部署方式只能检测入侵检测系统所在节点是否被入侵,已经无法满足多个接入点同时被检测的要求。而若在众多互联网接入点上均部署入侵检测系统,则会造成硬件成本较高,且可用性低,系统维护和升级或者扩...
【技术保护点】
一种基于虚拟机的入侵检测系统的部署方法,其特征在于,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;所述方法包括:在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;在网络文件服务器中生成所述虚拟机镜像数据的配置文件;实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
【技术特征摘要】
1.一种基于虚拟机的入侵检测系统的部署方法,其特征在于,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;所述方法包括:在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;在网络文件服务器中生成所述虚拟机镜像数据的配置文件;实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。2.根据权利要求1所述的基于虚拟机的入侵检测系统的部署方法,其特征在于,所述在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据,包括:创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件;将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中;修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统;修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。3.根据权利要求1所述的基于虚拟机的入侵检测系统的部署方法,其特征在于,所述在网络文件服务器中生成所述虚拟机镜像数据的配置文件,包括:在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。4.根据权利要求1所述的基于虚拟机的入侵检测系统的部署方法,其特征在于,实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署,包括:实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况;在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况;若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行,则开始监测出现异常情况的被监测的虚拟机;若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行,则启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机;若计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统,则控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统。5.一种基于虚拟机的入侵检测系统的部署装置,其特征在于,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;所述装置包括:虚拟机镜像数据创建单元,用于在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;配置文件生成单元,用于在网络文件服务器中生成所述虚拟机镜像数据的配置文件;入侵检测系统部署单元,用于实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系...
【专利技术属性】
技术研发人员:张万才,吴琼,李红云,邵进,吴天宝,王兴勋,朱庆超,赵伟森,
申请(专利权)人:北京国网富达科技发展有限责任公司,国家电网公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。