基于虛擬網(wǎng)絡的入侵告警系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于虛擬網(wǎng)絡的入侵告警系統(tǒng)����,包括:入侵檢測系統(tǒng)IDS引擎節(jié)點�����,分別配置在云計算中心的每一臺云主機上����,IDS引擎節(jié)點包括:檢測模塊,用于監(jiān)聽流入IDS引擎節(jié)點所在的云主機的數(shù)據(jù)包��,并將數(shù)據(jù)包與存儲的入侵檢測規(guī)則庫中的入侵檢測規(guī)則進行匹配���;告警模塊��,用于在檢測到數(shù)據(jù)包與入侵檢測規(guī)則庫中的某條入侵檢測規(guī)則匹配時���,產(chǎn)生告警信息����。本發(fā)明提出的這種基于虛擬網(wǎng)絡的入侵告警系統(tǒng)�����,可以實現(xiàn)對入侵檢測系統(tǒng)IDS引擎節(jié)點的分布式管理����。
【專利說明】基于虛擬網(wǎng)絡的入侵告警系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及計算機【技術領域】,更具體地����,涉及一種基于虛擬網(wǎng)絡的入侵告警系統(tǒng)?���!颈尘凹夹g】
[0002]入侵檢測系統(tǒng)(intrusion detection system,簡稱“IDS”)是一種對網(wǎng)絡傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑數(shù)據(jù)流時發(fā)出警報的網(wǎng)絡安全設備����。在傳統(tǒng)網(wǎng)絡中���,一般會把入侵檢測系統(tǒng)掛接在所有關注流量必經(jīng)的鏈路上。這樣就可以監(jiān)控到關注流量的所有數(shù)據(jù)包�,并且依賴入侵檢測規(guī)則檢測出可疑的數(shù)據(jù)流。
[0003]在虛擬化網(wǎng)絡中環(huán)境中����,物理網(wǎng)絡資源是所有的虛擬網(wǎng)絡用戶所共享的,但是對于用戶而言,網(wǎng)絡是獨占���,而且與其他用戶的網(wǎng)絡是隔離的。每個用戶或者業(yè)務流網(wǎng)絡都會依照自己的網(wǎng)絡的業(yè)務特征擁有不同的網(wǎng)絡安全需求���,對于入侵檢測系統(tǒng)的部署��、配置和策略需求各不相同�。由于虛擬網(wǎng)絡的可擴展伸縮性����,從物理網(wǎng)絡的角度來看用戶的網(wǎng)絡邊界是不確定的,這樣無法依照傳統(tǒng)方式部署入侵檢測系統(tǒng)�,無法滿足虛擬網(wǎng)絡用戶的安全需求�。
[0004]針對相關技術中的問題���,目前尚未提出有效的解決方案��。
【發(fā)明內容】
[0005]針對相關技術中的問題�����,本發(fā)明提出一種基于虛擬網(wǎng)絡的入侵告警系統(tǒng)����,以實現(xiàn)對入侵檢測系統(tǒng)IDS引擎節(jié)點的分布式管理�����。
[0006]為實現(xiàn)上述目的�����,本發(fā)明提供了一種基于虛擬網(wǎng)絡的入侵告警系統(tǒng)����,包括:入侵檢測系統(tǒng)IDS引擎節(jié)點,分別配置在云計算中心的每一臺云主機上����,IDS引擎節(jié)點包括:檢測模塊����,用于監(jiān)聽流入IDS引擎節(jié)點所在的云主機的數(shù)據(jù)包���,并將數(shù)據(jù)包與存儲的入侵檢測規(guī)則庫中的入侵檢測規(guī)則進行匹配�����;告警模塊��,用于在檢測到數(shù)據(jù)包與入侵檢測規(guī)則庫中的某條入侵檢測規(guī)則匹配時����,產(chǎn)生告警信息����。
[0007]根據(jù)本發(fā)明���,入侵告警系統(tǒng)還包括:IDS分布式管理器����,用于針對虛擬網(wǎng)絡抽象出多個邏輯獨立的IDS引擎節(jié)點,并對IDS引擎節(jié)點進行管理和調度�。
[0008]根據(jù)本發(fā)明,入侵告警系統(tǒng)還包括IDS服務管理器�,IDS服務管理器包括:用于與用戶交互以選擇檢測的目標云主機或者目標虛擬網(wǎng)絡的控制模塊;用于設置入侵檢測規(guī)則的設置模塊�。
[0009]根據(jù)本發(fā)明,IDS分布式管理器����,還用于根據(jù)用戶網(wǎng)絡的標識識別出用戶網(wǎng)絡中所有的虛擬機接口信息,以及虛擬機接口對應的云主機�����;以及將IDS服務管理器下發(fā)的入侵檢測規(guī)則��,發(fā)送到所識別的云主機上的IDS引擎節(jié)點�����。
[0010]根據(jù)本發(fā)明���,告警模塊�,還用于將告警信息反饋給IDS分布式管理器�����。
[0011]根據(jù)本發(fā)明,IDS引擎節(jié)點還包括通信模塊�����,用于通過REST服務接口配置入侵檢測規(guī)則庫以及運行參數(shù)���。
[0012]根據(jù)本發(fā)明���,每臺云主機上配置有通過網(wǎng)橋連接的多臺虛擬機;在網(wǎng)橋上創(chuàng)建分別對應于各虛擬機網(wǎng)絡接口的多個端口鏡像���;IDS引擎節(jié)點將其上的監(jiān)聽接口設置為鏡像端口���,以監(jiān)聽通過網(wǎng)橋上的多個端口鏡像的數(shù)據(jù)包。
[0013]相比于現(xiàn)有技術�,本發(fā)明的有益效果為:
[0014]在本發(fā)明的入侵警告系統(tǒng)中���,在云計算中心的每一臺云主機上分別配置有入侵檢測系統(tǒng)IDS引擎節(jié)點��。利用IDS引擎節(jié)點的檢測模塊和告警模塊可進行入侵檢測�,從而可使得每一臺云主機可以分別在各自的數(shù)據(jù)包與入侵檢測規(guī)則匹配時產(chǎn)生告警信息。通過這種方式�,可以實現(xiàn),對入侵檢測系統(tǒng)IDS引擎節(jié)點的分布式管理�,進而實現(xiàn)支持多臺云主機
的入侵告警。
【專利附圖】
【附圖說明】
[0015]圖1是根據(jù)本發(fā)明一實施例的入侵告警系統(tǒng)的結構示意圖���;
[0016]圖2是根據(jù)本發(fā)明另一實施例的入侵告警系統(tǒng)的結構示意圖���。
【具體實施方式】
[0017]下面結合附圖對發(fā)明作進一步的說明。
[0018]如圖1和圖2所示���,本發(fā)明的入侵告警系統(tǒng)包括:入侵檢測系統(tǒng)IDS引擎節(jié)點10��,該引擎節(jié)點分別配置在云計算中心的每一臺云主機上�。每個IDS引擎節(jié)點均包括:檢測模塊20和告警模塊30�����,其中,檢測模塊20用于監(jiān)聽流入IDS引擎節(jié)點所在的云主機的數(shù)據(jù)包,并將數(shù)據(jù)包與存儲的入侵檢測規(guī)則庫中的入侵檢測規(guī)則進行匹配�;而告警模塊30用于在檢測到數(shù)據(jù)包與入侵檢測規(guī)則庫中的某條入侵檢測規(guī)則匹配時,產(chǎn)生告警信息。
[0019]更具體地,入侵告警系統(tǒng)還包括:IDS分布式管理器和IDS服務管理器�。其中�����,IDS分布式管理器用于針對虛擬網(wǎng)絡抽象出多個邏輯獨立的IDS引擎節(jié)點�����,并對IDS引擎節(jié)點進行管理和調度����。而IDS服務管理器包括控制模塊和設置模塊�,其中,控制模塊用于與用戶交互以選擇檢測的目標云主機或者目標虛擬網(wǎng)絡����;而設置模塊用于設置入侵檢測規(guī)則。
[0020]此外�,IDS分布式管理器還用于根據(jù)用戶網(wǎng)絡的標識識別出用戶網(wǎng)絡中所有的虛擬機接口信息,以及虛擬機接口對應的云主機�����;以及將IDS服務管理器下發(fā)的入侵檢測規(guī)貝U�����,發(fā)送到所識別的云主機上的IDS引擎節(jié)點���。
[0021]優(yōu)選地�����,告警模塊30還用于將告警信息反饋給IDS分布式管理器���。
[0022]在本發(fā)明的一個可選實施例中,IDS引擎節(jié)點還包括通信模塊��。該通信模塊可用于通過REST (Representational State Transfer,表述性狀態(tài)轉移)服務接口配置入侵檢測規(guī)則庫以及運行參數(shù)����。
[0023]根據(jù)本發(fā)明的一個優(yōu)選實施例,每臺云主機上配置有通過網(wǎng)橋連接的多臺虛擬機���;在網(wǎng)橋上創(chuàng)建分別對應于各虛擬機網(wǎng)絡接口的多個端口鏡像��;IDS引擎節(jié)點將其上的監(jiān)聽接口設置為鏡像端口�,以監(jiān)聽通過網(wǎng)橋上的多個端口鏡像的數(shù)據(jù)包�。
[0024]更具體的如上所述,在本發(fā)明的入侵告警系統(tǒng)中,主要包括三個部分:IDS引擎節(jié)點����、IDS分布式管理器、入侵檢測服務管理端��。
[0025]其中���,IDS引擎節(jié)點是分布式地部署在云計算中心的每一臺云主機上����,并且由IDS分布式管理器管理和調度��。IDS分布式管理器對虛擬網(wǎng)絡上抽象出了若干邏輯獨立的IDS設備并由IDS服務管理器管理���,并且可以將IDS服務管理器下發(fā)的檢測目標或者入侵檢測規(guī)則��,根據(jù)用戶的網(wǎng)絡元素發(fā)送到對應的IDS引擎節(jié)點上���,從而可以使不同用戶的配置和命令互相不會干擾,而實現(xiàn)用戶服務的邏輯隔離���。入侵檢測服務管理端是提供給虛擬網(wǎng)絡用戶的控制端����,在這里用戶可以根據(jù)自己的網(wǎng)絡元素,設置入侵檢測的目標網(wǎng)絡接口以及入侵檢測規(guī)則庫��。
[0026]更詳細地����,IDS引擎節(jié)點是部署在每一臺云主機上的��。在云主機上��,所有的虛擬機都是橋接在Linux網(wǎng)橋上的����,發(fā)往虛擬機的數(shù)據(jù)包會通過云主機的網(wǎng)卡并通過網(wǎng)橋發(fā)往虛擬機所連接的虛接口上。首先�����,需要在網(wǎng)橋上創(chuàng)建所有虛擬機網(wǎng)絡接口的端口鏡像���,這樣發(fā)往虛擬機的數(shù)據(jù)包會被復制到端口鏡像上���。IDS引擎節(jié)點將監(jiān)聽接口設置為鏡像端口��。這樣IDS引擎節(jié)點就會監(jiān)聽到云主機上所有虛擬機的數(shù)據(jù)包并根據(jù)數(shù)據(jù)包的特征���,從而發(fā)現(xiàn)入侵檢測事件。具體地�,該節(jié)點包括三個模塊:IDS引擎、告警模塊30和通信模塊��。
[0027]IDS引擎依賴一套入侵檢測的規(guī)則庫截獲流入的每個數(shù)據(jù)包�,并對其進行拆分、重組等一系列預處理����,然后與規(guī)則庫進行匹配。如果發(fā)現(xiàn)與某條規(guī)則匹配�����,則產(chǎn)生告警信息并將數(shù)據(jù)包的相關信息記錄到文件中�����。在IDS引擎上的配置數(shù)據(jù)以及入侵規(guī)則庫數(shù)據(jù)包含了網(wǎng)絡用戶的標識信息�,以實現(xiàn)不同用戶的數(shù)據(jù)隔離。而告警模塊30會監(jiān)聽上述的告警信息文件���,實時的將告警信息回饋到IDS分布式管理器上�。此外,通訊模塊可提供REST服務接口����,外部可以通過該服務接口配置IDS引擎的規(guī)則庫,以及運行時參數(shù)���。
[0028]在本發(fā)明的一個實施例中,IDS分布式管理器可以對所有的IDS引擎節(jié)點進行分布式管理���,并且在虛擬網(wǎng)絡層對每個虛擬網(wǎng)絡抽象出了一個邏輯獨立的IDS虛擬設備����,該虛擬設備存在于用戶虛擬網(wǎng)絡的邊界����,對每個虛擬網(wǎng)絡進行入情監(jiān)測。換句話說�����,IDS服務管理端將用戶隔離的檢測目標和規(guī)則庫信息發(fā)送至IDS分布式管理器�,分布式管理器會依據(jù)用戶網(wǎng)絡的標識找到用戶網(wǎng)絡中所有的虛擬機接口信息以及虛擬機接口所對應的云主機����,然后將規(guī)則信息下發(fā)至對應的IDS引擎���。同時該分布式管理器還用于監(jiān)聽所有IDS節(jié)點回饋的告警信息�����,并且將告警信息按照用戶標識分類寫入告警事件數(shù)據(jù)庫����。
[0029]對于本發(fā)明的入侵檢測服務管理端來說����,其為用戶提供了一個獨立的虛擬IDS視圖,用戶可以根據(jù)自己的需求選擇開關或者配置IDS服務��,這包括選擇檢測的目標虛擬機�����、配置入侵檢測規(guī)則庫等���,此外該管理端還可將用戶的規(guī)則發(fā)送至IDS分布管理器�����。管理端同時還提供了入侵告警事件的視圖����,其會根據(jù)用戶信息實時的從入侵事件數(shù)據(jù)庫中提取相應用戶的網(wǎng)絡告警事件,展示給入侵檢測服務的用戶��。
[0030]綜上所述��,在本發(fā)明的入侵警告系統(tǒng)中��,在云計算中心的每一臺云主機上分別配置有入侵檢測系統(tǒng)IDS引擎節(jié)點10��。利用IDS引擎節(jié)點的檢測模塊20和告警模塊30可進行入侵檢測�����,從而可使得每一臺云主機可以分別在各自的數(shù)據(jù)包與入侵檢測規(guī)則匹配時產(chǎn)生告警信息��。通過這種方式�����,可以實現(xiàn)����,對入侵檢測系統(tǒng)IDS引擎節(jié)點10的分布式管理,進而實現(xiàn)支持多臺云主機的入侵告警�。
[0031]進一步在本發(fā)明的實際應用中,通過對在云主機上部署IDS引擎節(jié)點并且對所有的IDS引擎節(jié)點的分布式管理����,實現(xiàn)了支持多租戶的入侵告警系統(tǒng),從而可以為虛擬網(wǎng)絡用戶提供邏輯獨立的入侵告警服務��。
[0032]此外本發(fā)明還支持用戶對入侵告警系統(tǒng)的管理和配置���,進一步實現(xiàn)了入侵檢測服務對多租戶的支持和用戶數(shù)據(jù)的隔離���。
[0033]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內,所作的任何修改���、等同替換����、改進等,均應包含在本發(fā)明的保護范圍之內�。
【權利要求】
1.一種基于虛擬網(wǎng)絡的入侵告警系統(tǒng),包括: 入侵檢測系統(tǒng)IDS引擎節(jié)點��,分別配置在云計算中心的每一臺云主機上����,所述IDS引擎節(jié)點包括: 檢測模塊,用于監(jiān)聽流入IDS引擎節(jié)點所在的云主機的數(shù)據(jù)包�,并將數(shù)據(jù)包與存儲的入侵檢測規(guī)則庫中的入侵檢測規(guī)則進行匹配; 告警模塊����,用于在檢測到數(shù)據(jù)包與所述入侵檢測規(guī)則庫中的某條入侵檢測規(guī)則匹配時,產(chǎn)生告警信息�����。
2.根據(jù)權利要求1所述的入侵告警系統(tǒng)��,其特征在于�,所述入侵告警系統(tǒng)還包括: IDS分布式管理器�,用于針對虛擬網(wǎng)絡抽象出多個邏輯獨立的所述IDS引擎節(jié)點,并對所述IDS引擎節(jié)點進行管理和調度。
3.根據(jù)權利要求1所述的入侵告警系統(tǒng)����,其特征在于,所述入侵告警系統(tǒng)還包括IDS服務管理器�,所述IDS服務管理器包括: 用于與用戶交互以選擇檢測的目標云主機或者目標虛擬網(wǎng)絡的控制模塊; 用于設置入侵檢測規(guī)則的設置模塊���。
4.根據(jù)權利要求3所述的入侵告警系統(tǒng)��,其特征在于�,所述IDS分布式管理器����,還用于根據(jù)用戶網(wǎng)絡的標識識別出用戶網(wǎng)絡中所有的虛擬機接口信息,以及虛擬機接口對應的云主機����;以及 將所述IDS服務管理器下發(fā)的入侵檢測規(guī)則,發(fā)送到所識別的云主機上的IDS引擎節(jié)點����。
5.根據(jù)權利要求1所述的入侵告警系統(tǒng),其特征在于���,所述告警模塊�����,還用于將告警信息反饋給所述IDS分布式管理器�。
6.根據(jù)權利要求1所述的入侵告警系統(tǒng),其特征在于���,所述IDS引擎節(jié)點還包括通信模塊�,用于通過REST服務接口配置所述入侵檢測規(guī)則庫以及運行參數(shù)��。
7.根據(jù)權利要求1所述的入侵告警系統(tǒng)���,其特征在于�����,每臺云主機上配置有通過網(wǎng)橋連接的多臺虛擬機���; 在網(wǎng)橋上創(chuàng)建分別對應于各虛擬機網(wǎng)絡接口的多個端口鏡像; 所述IDS引擎節(jié)點將其上的監(jiān)聽接口設置為鏡像端口�,以監(jiān)聽通過所述網(wǎng)橋上的多個端口鏡像的數(shù)據(jù)包�。
【文檔編號】H04L29/06GK103731426SQ201310752007
【公開日】2014年4月16日 申請日期:2013年12月31日 優(yōu)先權日:2013年12月31日
【發(fā)明者】張翔, 王軍林, 唐明, 徐博, 成書晟 申請人:曙光云計算技術有限公司