[发明专利]一种面向云计算环境的入侵检测系统

说明书

技术领域

本发明涉及云计算环境中安全检测，具体来说，涉及一种面向云计算环境的入侵检测系统

背景技术

以提高资源利用率，实现资源大规模共享为目的的虚拟化技术最近几年得到了迅速发展。当前虚拟化技术主要存在两个研究方向：节点级虚拟化和应用级虚拟化。目前国际上应用级虚拟化研究的热点问题是利用网格和P2P方式，使大多数计算机协调工作，以便利用各个PC的闲置资源。但是，因为个人计算机在设计上就是一个封闭完整的系统，透过这个固有的系统屏障进行共享，效率上很难得到保障。而传统节点级虚拟技术也并不能完全达到这个目的。因此，一些学者突破传统虚拟机技术的局限性，提出了新的能力服务虚拟机技术^[1][2][3]。在这种新的虚拟机技术中，构造一个虚拟机的资源(CPU、memory、disk等)不是来自同一个物理主机，而是来自网络中不同的物理主机；当一个虚拟机上没有活跃的应用或用户时，可以将这个虚拟机中的资源还给物理主机，去用来构造新的虚拟机。这样可以充分利用平时大量闲置的资源。实现能力(如计算和存储)以服务的形式按需地、透明地、无处不在满足用户任何计算和存储的需求，为其上的服务计算提供执行的物质基础^[1]。这里为简便起见，我们将能力服务计算能够服务的范围称做能力服务域。面向虚拟计算环境的能力服务计算体系架构其资源的大规模共享、低成本、易用性、灵活性、可管理性、安全性、可扩展性和高可用性是其主要特征，也是在能力服务计算体系架构设计中的主要指导原则^[2]。当前能力服务系统第三代原型机正在展开研究，其中应用安全是其架构中一个非常重要的方面。能力服务系统逻辑结构如图1所示。

基于网格的应用级虚拟安全研究当前主要基于Keberos、SSL、SSH、XML加密(Xenc)，解决了网格环境下的身份认证和访问控制问题；并着重基于异构网格环境安全数据传输通道构架，但对基于应用的安全保护、资源安全复用并没有太多的涉及；面向节点的虚拟化环境下安全技术研究基于分区隔离、灾难恢复、分区热迁移、分区热备份等高可用技术解决了部分虚拟应用的安全及可靠问题(如Vmware、Virtual Station)，但当面临硬件级的虚拟化环境，由底层硬件直接管理分区中的资源，一旦发生较大的故障，而又不能被有效隔离，则该故障可能会扩散到所有使用该资源的分区，导致全局的故障(如：Xen、Intel的Virtualization Technology、AMD的Pacifica)；collapsa虚拟入侵检测中心^[4]提供虚拟蜜罐集中部署管理的方式，解决了管理的集中化和部署集中化问题，并提供全局入侵检测视图；但collapsa从虚拟机制本身还是集中于虚拟物理机之上的虚拟蜜罐，并没有解决大规模分布式环境下资源动态拆分、部件大规模共享所带来的安全监控管理、分布式入侵检测引擎、用户身份认证、用户空间隔离等诸多问题。类似能力服务应用虚拟环境安全研究目前企业界、学术界并没有相关技术及其解决方案。

基于能力计算应用的虚拟化技术主要是基于瘦客户端思想，通过在硬件层的拆分、系统与应用层的整合这三个层次上的虚拟化技术实现大规模资源共享，提高资源利用率；由此提供相同的计算能力所需要的资源总量大幅度下降，从而显著降低了举位计算能力的总成本。能力服务器工作模式如下图2所示：

与其它分布式系统的安全问题或网格计算环境下的安全问题相比，能力服务计算下虚拟环境的安全问题具有以下原因引起的几个核心问题：大规模动态用户数量、大规模动态虚拟资源对象、动态增加和缩减的计算负载、用户空间隔离和保护、通信安全等问题。其核心问题是在能力服务器应用模式下如何提供给用户一个完全私有的系统，为用户提供能力服务域内外部资源访问监控身份认证和加密数据传输通道，提供用户空间隔离和保护并最终保障基于能力服务器的应用安全。

虚拟资源安全监控管理

当用户请求到来时，能力服务器可根据不同的用户类型和需求，根据应用的类型和各个应用服务器及网格化部件的负载情况按照一定的调度算法把应用调度到某个应用服务器上去执行从而提供不同的用户服务。能力服务器设计中资源的大规模共享是衡量能力服务器设计成功与否的一个重要指标。^[1]其共享基于三种共享策略：部件级共享策略(部件的动态分配)、系统级的共享策略(系统的动态可重构)、应用级的共享策略(应用动态分发及迁移)。如何实现全域资源范畴内共享部件资源的可信监控管理，如何实现全域资源范筹内应用服务器的可信监控调度？

虚拟可扩展分布式入侵检测引擎