[发明专利]入侵检测方法及系统

权利要求书

1.一种入侵检测方法，用于检测虚拟计算环境中的虚拟机节点的安全威胁，其特征在于，包括：

步骤一，为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略；

步骤二，执行步骤一创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议；

步骤三，定期查询安全检测策略的更新信息，并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。

2.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤一包括子步骤11：为所述检测目标远程创建虚拟机节点动态变化监控线程；则

所述入侵检测方法还包括

步骤四，执行所述虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息并上报；

所述步骤三包括子步骤31：根据步骤四上报的动态变化信息控制入侵检测线程的更新操作。

3.根据权利要求2所述的入侵检测方法，其特征在于，所述子步骤31包括：

在动态变化信息为虚拟机节点启动信息时，为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略；

在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略；

在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程；

在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检测。

4.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤二包括：

步骤21，从虚拟机节点对应的后端网卡捕获数据包；

步骤22，从捕获的数据包中逐次剥离出数据包协议，并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配；

步骤23，在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时，判定此数据包为异常数据包，否则判定此数据包为正常数据包；

步骤24，根据预设的响应策略和步骤23的判定结果处理捕获的数据包。

5.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤一包括：

读取虚拟计算环境的支撑服务器资源列表，提取服务器信息，所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息；

根据所述服务器信息，在服务器的对应目录下远程建立监控目录；

远程向所述监控目录分发检测文件；

远程控制所述监控目录中的检测文件执行，创建入侵检测线程。

6.一种入侵检测系统，用于检测虚拟计算环境中的虚拟机节点的安全威胁，其特征在于，包括：

部署模块，用于为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略；

检测模块，用于执行部署模块创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议；

更新模块，用于定期查询安全检测策略的更新信息，并根据该更新信息更新检测模块所执行的入侵检测线程中的安全检测策略。

7.根据权利要求6所述的入侵检测系统，其特征在于，所述部署模块包括监控部署单元，用于为所述检测目标远程创建虚拟机节点动态变化监控线程；

则所述入侵检测系统还包括监控模块，用于执行监控部署单元创建的虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息，并上报给部署模块；

更新模块还包括控制单元，用于根据监控模块上报的动态变化信息控制入侵检测线程的更新操作。