[发明专利]入侵检测方法及系统

说明书

技术领域

本发明涉及信息技术领域，尤其涉及一种入侵检测方法及系统。

背景技术

随着虚拟化技术的日益流行，针对虚拟化计算资源的攻击日益增多。因此虚拟化安全监控受到众多研究学者的青睐。然而由于虚拟机具有快速启动、快速恢复、关闭以及迁移等特点，且同一物理主机可能存在多种不同操作系统类型的虚拟机，同时虚拟化计算环境经常需要在不同的物理主机上部署。上述原因导致传统的网络入侵检测手段已不能很好的适用于虚拟化异常网络流量的检测。

目前针对虚拟化的入侵检测方法主要包括基于有限状态自动机、基于特定操作系统类型与特定服务、基于多机联合检测、基于新建入侵检测域等方法。

（1）基于有限状态自动机的方法。提出根据虚拟机状态的动态性变化，构建有限状态自动机，利用有限状态自动机自动适应虚拟机状态变化，实现异常行为的检测与响应。

（2）基于特定操作系统类型与特定服务的方法。考虑到虚拟机数目众多以及运行其中的各种服务对网络入侵检测性能的影响，提出了只加载特定操作系统以及运行服务的入侵检测规则，减少入侵检测规则的加载数目，提高入侵检测系统的检测性能；利用虚拟机System Map获取虚拟机的操作系统类型以及运行服务的状态，加载特定的入侵规则，快速检测异常网络行为。

（3）基于多机联合检测的方法。创建一个与Xen的特权域（以下简称Domain 0）具有相同特权的客户域（以下简称Domain U）用于部署入侵检测系统的管理控制模块，通过超级调用完整性检测以及获取超级调用的根源来检测异常行为，并采取相应的响应措施；当一台物理主机中的入侵检测系统的管理控制模块异常或失效时，它能够通过虚拟网络的交流信道将异常行为特征传递至其他物理主机中的入侵检测系统，实现“异地”检测异常行为的目的。

（4）基于新建入侵检测域方法。通过建立一个单独的入侵检测域来为其他虚拟机提供入侵检测服务，VMM（Virtual Machine Monitor，虚拟机监控器）的事件传感器拦截虚拟机中的系统调用，并通过VMM接口传递至入侵检测域的入侵检测系统，根据不同的安全策略，VMM的入侵检测域助手能够针对入侵采取相应的响应。

这几种入侵检测方法存在的缺陷是：1）未考虑虚拟化网络拓扑结构以及虚拟化物理环境的变化给入侵检测的部署与检测带来的影响；2）不能充分有效检测虚拟机节点的动态变化，不能有效获取虚拟机节点的基本信息，以进行针对性的入侵检测；3）不能动态检测虚拟计算环境的异常网络行为。

发明内容

本发明所要解决的技术问题是提供一种入侵检测方法及系统，提高虚拟计算环境的安全威胁检测性能。

为解决上述技术问题，本发明提出了一种入侵检测方法，用于检测虚拟计算环境中的虚拟机节点的安全威胁，包括：

步骤一，为检测目标远程部署检测文件，以及为所述检测目标远程创建入侵检测线程，所述入侵检测线程至少包含一条安全检测策略；

步骤二，执行步骤一创建的入侵检测线程，通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁，以及根据检测结果进行响应，所述数据包协议为从所述检测目标的数据包中剥离出来的协议；

步骤三，定期查询安全检测策略的更新信息，并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。

进一步地，上述入侵检测方法还可具有以下特点，所述步骤一包括子步骤11：为所述检测目标远程创建虚拟机节点动态变化监控线程；则

所述入侵检测方法还包括

步骤四，执行所述虚拟机节点动态变化监控线程，获取虚拟机节点动态变化信息并上报；

所述步骤三包括子步骤31：根据步骤四上报的动态变化信息控制入侵检测线程的更新操作。

进一步地，上述入侵检测方法还可具有以下特点，所述子步骤31包括：

在动态变化信息为虚拟机节点启动信息时，为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略；

在动态变化信息为虚拟机节点迁移信息时，为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略；

在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时，释放该虚拟机的入侵检测资源，并关闭该虚拟机的入侵检测线程；

在动态变化信息为安全检测策略更新信息时，控制相应的入侵检测线程完成安全检测策略更新操作，使入侵检测线程利用更新后的安全检测策略进行检测。

进一步地，上述入侵检测方法还可具有以下特点，所述步骤二包括：