[发明专利]一种面向云计算环境的入侵检测系统

权利要求书

1.一种面向云计算环境的入侵检测系统，其特征在于：

所述系统为分级系统，每级由一个虚拟管理控制中心和一个管理控制台组成，当进行跨级操作时，经过的每一级的虚拟管理控制中心起信息路由和转发作用，通信协议为CIM over SSL；

所述虚拟管理控制中心负责保存安全策略和能力服务域对象化资源描述信息，保存并向上级传送资产、策略、报警和日志信息；向能力服务域内各级网格化部件、应用服务器和虚拟IDS引擎传达管理命令和分发安全策略；所述报警和日志信息在格式化处理后供统计分析和数据挖掘；

所述管理控制台提供图形界面给用户用于集中管理能力服务域，负责描述能力服务域域虚拟资产信息及网格化部件安全策略、日志和审计功能。

2.如权利要求1所述的系统，其特征在于：所述CIM over SSL协议以SSL为基础，以XML为数据描述格式，规定了22个操作原语，根据需要加入符合SOAP协议的通信接口。

3.如权利要求1所述的系统，其特征在于：所述虚拟IDS引擎采用集中式管理方式，集中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图。

4.如权利要求1所述的系统，其特征在于：所述虚拟IDS引擎基于自描述机制，在软件虚拟机构造或迁移、应用调度产生后自动完成虚拟IDS引擎的初始化、运行环境的实列化和安全策略的下载与运行。

5.如权利要求1所述的系统，其特征在于：所述能力服务域统一安全策略伴随物理虚拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高层虚拟管理控制中心分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而测试策略的效果，避免安全隐患发生。

6.如权利要求1所述的系统，其特征在于：所述能力服务域虚拟分布式入侵检测系统根据仿真结果动态调整安全策略，并由高层虚拟管理控制中心分发到能力服务域内各虚拟IDS引擎上。

7.如权利要求1所述的系统，其特征在于：所述安全策略的分析机制为，给定一个事件集，事件归并和过滤问题就是产生支持度和可信度分别大于策略给定的最小支持度和最小可信度的关联事件。

8.如权利要求1所述的系统，其特征在于：所述系统的网络异常描述语言建立在基于谓词逻辑的攻击与能力服务器域内资源、应用三者关联关系的建模上，采用XML规范、面向对象，提供能力服务域下正在发生的攻击场景。

9.如权利要求1所述的系统，其特征在于：所述能力服务域虚拟IDS引擎集成虚拟漏洞扫描、虚拟蜜罐模块和虚拟环境安全评估工具，主动验证、主动捕获入侵和能力服务器漏洞；当能力服务域下发现来自外网的攻击之后，可以通过与防火墙或者路由器联动截断攻击。

10.如权利要求1所述的系统，其特征在于：所述系统发现来自内网的安全攻击之后实施与交换机直接智能联动，其工作流程如下：

获取IP和MAC：检测到真正的安全攻击后，首先获取攻击源机器的IP和MAC地址；

智能发现最近交换机：通过能力服务器交换机发现算法，找到离攻击源机器最近的交换机，以及攻击源机器的网络包进入交换机的端口。对最近的交换机进行控制，可以使攻击和联动的影响面最小；

关闭端口或添加ACL规则：能力服务域虚拟可扩展分布式入侵检测系统利用其在交换机上配置的权限，关闭找到的交换机端口，或者在交换机上添加ACL规则，禁止攻击源机器的网络包通过。

11.如权利要求9所述的系统，其特征在于：所述主动验证和主动捕获入侵构架于物理虚拟机之上，在软件虚拟机中集成虚拟分布式IDS引擎，虚拟漏洞扫描、虚拟蜜罐模块和安全评估工具。

12.如权利要求1所述的系统，其特征在于：所述系统产生超过预定值的异常事件时，对事件进行归并和过滤。

13.如权利要求1所述的系统，其特征在于：所述系统的设备支持云计算环境下设备发现、设备协商和设备的动态加入与退出。