技術領域

本發明涉及基于虛擬機的入侵檢測系統部署技術，尤其涉及一種入侵檢測系統部署方法。

背景技術

入侵檢測系統(Intrusion?Detection?Systems；以下簡稱：IDS)作為網絡安全的一個重要組成部分，已成功應用于政府、企業與各大公司的網絡環境中，并發揮著極為重要的作用。IDS主要包括傳感器、入侵分析模塊、入侵響應模塊和管理控制臺等功能模塊，其工作時，利用傳感器來截獲網絡中包含報文的原始數據包，傳輸給入侵分析模塊尋找入侵蹤跡以及其他敏感信息，并提供給入侵響應模塊與管理控制臺以完成對入侵的響應。目前，如何部署IDS以準確、有效地檢測到入侵與攻擊是IDS成功的關鍵。

目前，市場上絕大多數的IDS都是硬件與軟件的結合體。IDS在網絡中部署的關鍵是傳感器的部署，需要將硬件傳感器放置在關鍵的網絡出口以及需要重點監控的網段，其部署方式與網絡組織和結構有關。在共享式網絡中，計算機之間共享網絡鏈路，傳感器可以直接監聽到網段中所有的數據包。而在目前所廣泛采用的交換式網絡中，則存在著諸多問題。如果交換設備支持端口鏡像功能，則可以將流向各端口的數據包復制一份給監控端口，而傳感器直接與監控端口相連接，但這種做法會在很大程度上影響交換設備的性能；如果交換設備是不支持鏡像功能的，則需在網絡中增加其它設備改變網絡拓撲結構，如通過集線器采用共享式監聽方式，或通過分路器(TAP)設備對交換式網絡中的數據包進行分析和處理。除此以外，其它一些特定的IDS，例如“Cisco?IDS”，它的傳感器通常內置于“Cisco”自身的路由器和防火墻產品中。

另一個影響IDS部署成功與否的因素是IDS在網絡中的部署位置。按照IDS部署位置的不同可分為以下幾種方式：

(1)邊界保護：在大多數網絡中，邊界保護是指IDS部署在局域網和因特網(Internet)之間的鏈路，任何到因特網的連接都需要被監控。

(2)到商業伙伴的連接——外延網(Extranets)：IDS部署在本地局域網和商業伙伴局域網之間，傳感器可以監視本地局域網和商業伙伴局域網之間的鏈路上流動的數據流。因為如果任何一個局域網具有安全弱點，另一個局域網也會變得易受攻擊。

(3)IDS部署在內部網絡的關鍵網段：網絡攻擊的絕大多數損失來自于組織機構內部所進行的攻擊。在關鍵部門，例如研發部、財務部等的網絡入口部署IDS，可以有效監視不同部門網絡間的數據流。

另外，IDS常常與防火墻配合使用。按照IDS與防火墻部署位置之間的關系，IDS的部署可以有以下三種方式：

(1)部署于防火墻之外：這種安排使傳感器可以監測所有來自因特網的攻擊，可以保護隔離區(Demilitarized?Zone；以下簡稱：DMZ)中安裝的設備不受攻擊，同時還有效地保護了防火墻。缺點是IDS將直接面對進入網絡的全部流量，會大大增加自身的負載，同時面臨著被直接攻擊的危險；

(2)IDS部署于防火墻內：這種方式使IDS可以專注于穿透防火墻的攻擊與來自于局域網內部的攻擊，管理員可以清楚地看到哪些攻擊真正對自己的網絡構成了威脅；

(3)IDS部署于防火墻內外：可以檢測來自內部和外部的所有攻擊，但會使成本顯著增加。

綜合上述介紹可以看出，當前IDS的部署存在著諸多問題：

首先，目前的IDS絕大部分是基于硬件的產品，成本高且部署起來不夠方便、靈活。

其次，IDS在網絡環境中的部署方式依賴于具體的網絡拓撲結構。共享式網絡中，雖然IDS能直接監測到所有網絡流量，但這種共享的方式也增加了安全風險，因為連接到此網絡的計算機只要將網卡設為混雜模式即可探測到其它計算機的網絡報文，同樣也可以截獲到IDS的報警信息；在交換式網絡中，則存在著需要額外的硬件支持、性能降低以及拓撲結構被改變等問題。

再次，隨著互聯網業務的不斷增長，各公司、企業的網絡規模不斷擴大，防火墻內外以及邊界保護等單一的部署方式已經無法滿足入侵檢測的需要，而多位置、全方位的部署無疑帶來高昂的成本開銷。由于網絡規模較大，IDS往往面對巨大的網絡流量，一方面大大增加了IDS的工作負載，另一方面使IDS很難區分正常流量與惡意攻擊。

最后，IDS一經部署位置就已固定，難以動態的調整監控的范圍，無法有針對性地對可疑的網絡流量和入侵行為進行檢測，從而導致誤報率和漏報率過高，很大程度上降低了入侵檢測系統的正確性和效率。

發明內容