1.一種入侵檢測系統部署方法，其特征在于，包括：

步驟10、異常監控模塊監測各虛擬機的異常值以識別異常虛擬機；

步驟20、當所述異常監控模塊識別到異常虛擬機時，指示部署執行器在本地啟動運行入侵檢測虛擬機；

步驟30、所述部署執行器從所述異常監控模塊獲取異常虛擬機標識，并根據所述異常虛擬機標識設置虛擬交換機與所述入侵檢測虛擬機的連接；

步驟40、所述虛擬交換機將發往或來自所述異常虛擬機的報文通過入侵檢測虛擬機上的檢測專用虛擬網卡發送給所述入侵檢測虛擬機，以進行入侵檢測分析。

2.根據權利要求1所述的入侵檢測系統部署方法，其特征在于，所述步驟10具體為：

步驟a11、所述異常監控模塊分別監測各虛擬機的CPU占用率、內存使用率和網絡帶寬占用率；

步驟a12、當所述異常監控模塊監測到CPU占用率、內存使用率和網絡帶寬占用率中任一個達到設定閥值時，識別對應的虛擬機為異常虛擬機。

3.根據權利要求1所述的入侵檢測系統部署方法，其特征在于，所述步驟10具體為：

步驟b11、所述異常監控模塊掛載各虛擬機的虛擬磁盤文件，計算所述虛擬磁盤文件中關鍵系統文件的哈希值，并保存到緩存中；

步驟b12、所述異常監控模塊在設定時間周期后，重新計算所述關鍵系統文件的哈希值，并將重新計算的哈希值與已緩存的哈希值進行比較；

步驟b13、當所述異常監控模塊判斷出比較結果不一致時，則識別對應的虛擬機為異常虛擬機。

4.根據權利要求1所述的入侵檢測系統部署方法，其特征在于，所述步驟20具體為：?

步驟21、當所述異常監控模塊識別到異常虛擬機時，指示所述部署執行器在本地系統中查詢是否存在入侵檢測虛擬機，若存在，則執行步驟22，若不存在，則執行步驟23；

步驟22、所述部署執行器判斷本地的所述入侵檢測虛擬機是否運行，若是，則執行步驟30，若否，則啟動運行所述入侵檢測虛擬機，并執行步驟30；

步驟23、所述部署執行器從本地或從網絡文件服務器中獲取入侵檢測虛擬機鏡像文件；

步驟24、所述部署執行器根據所述入侵檢測虛擬機鏡像文件在本地啟動運行所述入侵檢測虛擬機。

5.根據權利要求4所述的入侵檢測系統部署方法，其特征在于，所述步驟24具體為：

步驟241、所述部署執行器根據所述入侵檢測虛擬機鏡像文件中的配置文件中的基本信息啟動所述入侵檢測虛擬機；

步驟242、所述部署執行器根據所述配置文件中的網絡配置信息，分別啟動所述入侵檢測虛擬機上的普通虛擬網卡和檢測專用虛擬網卡，以分別連入所述虛擬交換機。

6.根據權利要求1所述的入侵檢測系統部署方法，其特征在于：

所述虛擬交換機包括普通虛擬交換機，所述步驟30具體為：

步驟a31、所述部署執行器從所述異常監控模塊獲取異常虛擬機標識，將所述異常虛擬機標識發送給本地的普通虛擬交換機；

步驟a32、所述普通虛擬交換機根據所述異常虛擬機標識開啟鏡像端口，并建立所述鏡像端口與所述入侵檢測虛擬機上的檢測專用虛擬網卡的連接，所述鏡像端口用于復制發往或來自異常虛擬機的報文并傳輸給

所述檢測專用虛擬網卡，

所述步驟40具體為：

步驟a41、所述普通虛擬交換機將發往或來自所述異常虛擬機的報?文，復制到所述鏡像端口并發送到所述檢測專用虛擬網卡，從而發送給所述入侵檢測虛擬機，以進行入侵檢測分析。

7.根據權利要求6所述的入侵檢測系統部署方法，其特征在于，所述步驟a41之后還包括：

步驟a51、在所述入侵檢測虛擬機運行后，所述異常監控模塊啟動計時器，當接收到所述入侵檢測虛擬機發送的報警信息時將計時器清零；

步驟a52、所述異常監控模塊判斷所述計時器是否達到設定時間值，若是，則執行步驟a53；

步驟a53、所述異常監控模塊指示所述部署執行器分別發送監控取消消息給所述普通虛擬交換機和所述入侵檢測虛擬機，以關閉所述普通虛擬交換機的鏡像端口，且停止運行所述入侵檢測虛擬機。