本发明专利技术提供了一种应用于动态虚拟化环境的分布式入侵检测系统及方法,该系统包括检测管理中心和位于物理服务器上的入侵检测引擎,其中:所述检测管理中心,用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息,通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置;所述入侵检测引擎,用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测,在配置了停止入侵检测安全策略后,停止对对应物理服务器上的特定虚拟机进行入侵检测。本发明专利技术可实现对虚拟机的连续监控。
【技术实现步骤摘要】
本专利技术涉及一种入侵检测系统,尤其涉及一种。
技术介绍
服务器虚拟化是一种新型IT技术,它可以将一台物理服务器虚拟成多台虚拟的逻辑上隔离的服务器,并在各虚拟机上部署不同的业务,这样可以提高服务器的资源利用率,减少服务器硬件的购置数量,也可以大大节约企业的购置和运营费用。同时,基于服务器虚拟化技术的服务器集群技术在数据保护和灾难恢复方面也具有非常明显的优势。服务器虚拟化的一个主要特点是动态性,即运行在某一物理服务器上的虚拟机可以在不中断其业务的情况下动态迁移到其它物理服务器上,从而实现虚拟化环境中资源的优化配置。但服务器虚拟化的这种动态特性使得传统的入侵检测系统无法正常工作。传统入侵检测系统假设其所在网络环境是静态的,所监控的对象所在位置也是静态的。但在虚拟化环境中,当所监控的虚拟机迁移时,传统的入侵检测系统则无法感知到虚拟机的迁移,因此无法实现对虚拟机的连续监控。因此,有必要研发一种适合动态虚拟化环境的分布式入侵检测系统,实现对虚拟机在动态迁移过程中的不间断的安全监控。
技术实现思路
本专利技术实施例提供了一种,以解决在动态虚拟化环境中,无法对虚拟机进行连续监控的问题。本专利技术实施例提供了一种应用于动态虚拟化环境的分布式入侵检测系统,该系统包括检测管理中心和位于物理服务器上的入侵检测引擎,其中所述检测管理中心,用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息,通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置;所述入侵检测引擎,用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测,在配置了停止入侵检测安全策略后,停止对对应物理服务器上的特定虚拟机进行入侵检测。优选地,所述特定虚拟机是指配置在检测管理中心上的安全策略要求监控的一个或多个虚拟机。优选地,所述入侵检测引擎包括一个运行在虚拟机监视器上的虚拟机和一个位于所述虚拟机监视器中的内核模块,所述虚拟机为一个享有调用所述虚拟机监视器内监控接口的特权虚拟机,所述特权虚拟机,用于接收来自所述检测管理中心的安全策略和配置所述内核模块;所述内核模块,用于完成对所述特定虚拟机的入侵检测;或者所述入侵检测引擎为在所述虚拟化平台上加载的一个虚拟机,所述检测管理中心,还用于通过所述虚拟管理服务器配置对应物理服务器上的虚拟交换机上的镜像端口,使得虚拟机形态的入侵检测引擎能够捕获到进出对应物理服务器上的特定控虚拟机的网络流量,从而实现入侵检测。优选地,所述检测管理中心位于一台单独的物理服务器上,或者与所述虚拟管理服务器集成在一起。优选地,所述内核模块,还用于通过所述监控接口对对应物理服务器上的特定虚拟机的网络流量以及内部行为进行安全监控。优选地,所述入侵检测引擎,还用于在检测到攻击事件后向所述检测管理中心发送所述攻击事件;所述检测管理中心,还用于在收到所述攻击事件后,对所述攻击事件进行关联分析和做出响应。优选地,所述检测管理中心,还用于在所述虚拟管理服务器注册虚拟机迁移事件,以及接收所述虚拟管理服务器在迁移虚拟机时发送的迁移通知事件,并根据所述迁移通知事件获得虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息。本专利技术实施例还提供了一种应用于动态虚拟化环境的分布式入侵检测方法,该方法包括获得当前虚拟机发生迁移前后所属的源物理服务器信息和目标物理服务器信息;对所述源物理服务器信息对应的源物理服务器上的入侵检测引擎进行配置,使所述源物理服务器上的入侵检测引擎停止对所述源物理服务器上的虚拟机进行监控;对所述目标物理服务器信息对应的目标物理服务器上的入侵检测引擎进行配置,使所述目标物理服务器上的入侵检测引擎开始对所述目标物理服务器上的虚拟机进行监控。优选地,所述获得当前虚拟机发生迁移前后所属的源物理服务器信息和目标物理服务器信息之前,该方法还包括注册所述当前虚拟机迁移事件,接收所述当前虚拟机发生迁移时发送的迁移通知事件;所述获得当前虚拟机发生迁移前后所属的源物理服务器信息和目标物理服务器信息,包括根据所述迁移通知事件获得迁移前后所属的源物理服务器信息和目标物理服务器信息。优选地,所述方法还包括在监控到攻击事件后,对所述攻击事件进行关联分析和做出响应。上述分布式入侵检测系统中,入侵检测引擎为标准虚拟机或者为虚拟机监视器中的一个内核模块,是软件形态产品,购置成本较低;由检测管理中心实现对系统内所有入侵检测引擎的统一管理,拥有全局视野的检测管理中心可以通过实时调整各入侵检测引擎的工作负载优化系统内的入侵检测资源;检测管理中心可以获知虚拟化环境中的虚拟机迁移事件,并相应的对系统内的入侵检测系统进行调整,从而可以实现对虚拟化环境中虚拟机的不间断监控,不留监控死角。附图说明图1为本专利技术分布式入侵检测系统的结构示意图;图2为采用虚拟机监控器监控接口的入侵检测引擎的结构示意图;图3为采用虚拟交换机镜像端口的入侵检测引擎的结构示意图;图4为本专利技术入侵检测系统在虚拟机迁移过程中的工作流程图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚明白,下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。本专利技术实施例提供了一种应用于动态虚拟化环境的分布式入侵检测系统,该系统包括检测管理中心和位于物理服务器上的入侵检测引擎,其中所述检测管理中心,用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息,通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置;所述入侵检测引擎,用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测,在配置了停止入侵检测安全策略后,停止对对应物理服务器上的特定虚拟机进行入侵检测。上述分布式入侵检测系统,通过获知虚拟化环境中的虚拟机的动态迁移事件,并相应地调整相关入侵检测引擎的工作方式来实现对迁移后的虚拟机的持续监控。如图1所示,本专利技术实施例提供的适于动态虚拟化环境的分布式入侵检测系统包括检测管理中心11和部署在各物理服务器上的入侵检测引擎12,各入侵检测引擎直接受检测管理中心的管理。所述入侵检测引擎为一台可在虚拟机监视器13上调度的标准虚拟机,它接收来自检测管理中心的安全策略,根据安全策略实现对特定虚拟机的入侵检测;所述入侵检测引擎在检测到攻击事件后将攻击事件及时通知给检测管理中心,由检测管理中心对攻击事件进行关联分析和及时响应。所述特定虚拟机,是指配置在检测管理中心上的安全策略要求监控的一个或多个虚拟机。本实施例还支持在一个物理服务器上部署多个入侵检测引擎,这些入侵检测弓I擎在检测管理中心的集中管理和协同下,共同实现当前物理服务器上所有虚拟机的入侵检测。在一个物理服务器上部署多个入侵检测引擎的优势如下1)可以根据不同业务的安全需求部署不同的入侵检测引擎;2)可以对不同的租户分配不同的入侵检测引擎;3)可以由多个入侵检测引擎分担检测负载,从而提升检测效率。所述检测管理中心一方面需要实现对入侵检测引擎的配置,另一方面则需要对入侵检测引擎的状态进行监本文档来自技高网...
【技术保护点】
一种应用于动态虚拟化环境的分布式入侵检测系统,其特征在于,该系统包括检测管理中心和位于物理服务器上的入侵检测引擎,其中:所述检测管理中心,用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息,通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置;所述入侵检测引擎,用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测,在配置了停止入侵检测安全策略后,停止对对应物理服务器上的特定虚拟机进行入侵检测。
【技术特征摘要】
1.一种应用于动态虚拟化环境的分布式入侵检测系统,其特征在于,该系统包括检测管理中心和位于物理服务器上的入侵检测引擎,其中 所述检测管理中心,用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息,通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置;所述入侵检测引擎,用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测,在配置了停止入侵检测安全策略后,停止对对应物理服务器上的特定虚拟机进行入侵检测。2.根据权利要求1所述的系统,其特征在于 所述特定虚拟机是指配置在检测管理中心上的安全策略要求监控的一个或多个虚拟机。3.根据权利要求1所述的系统,其特征在于 所述入侵检测引擎包括一个运行在虚拟机监视器上的虚拟机和一个位于所述虚拟机监视器中的内核模块,所述虚拟机为一个享有调用所述虚拟机监视器内监控接口的特权虚拟机,所述特权虚拟机,用于接收来自所述检测管理中心的安全策略和配置所述内核模块;所述内核模块,用于完成对所述特定虚拟机的入侵检测;或者 所述入侵检测引擎为在所述虚拟化平台上加载的一个虚拟机,所述检测管理中心,还用于通过所述虚拟管理服务器配置对应物理服务器上的虚拟交换机上的镜像端口,使得虚拟机形态的入侵检测引擎能够捕获到进出对应物理服务器上的特定控虚拟机的网络流量,从而实现入侵检测。4.根据权利要求1所述的系统,其特征在于 所述检测管理中心位于一台单独的物理服务器上,或者与所述虚拟管理服务器集成在一起。5.根据权利要求3所述的系统,其特征在于 所述内核模块,还用于通过所述监控接口对对应物理服务器上的特...
【专利技术属性】
技术研发人员:叶润国,刘新刚,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。