[發(fā)明專利]一種分布組件化入侵檢測系統(tǒng)的設計在審
| 申請?zhí)枺?/td> | 201410056720.X | 申請日: | 2014-02-20 |
| 公開(公告)號: | CN104113521A | 公開(公告)日: | 2014-10-22 |
| 發(fā)明(設計)人: | 王茜;葛新;張磊;魏巍;朱志祥 | 申請(專利權)人: | 西安未來國際信息股份有限公司;西安郵電大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 710121 陜西*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 分布 組件 化入 檢測 系統(tǒng) 設計 | ||
技術領域
本發(fā)明專利涉及一種分布組件化入侵檢測系統(tǒng)的設計。
背景技術
目前的網(wǎng)絡環(huán)境要求入侵檢測系統(tǒng)能夠通過不同子網(wǎng)所發(fā)生的入侵跡象來判斷整個網(wǎng)絡可能發(fā)生的分布式入侵程度,并對其做出實時檢測、及時預警和提出對應措施等。現(xiàn)行的入侵檢測分為基于主機、基于網(wǎng)絡、混合型三種,基于主機的方式是以物理主機為節(jié)點來進行入侵檢測,而云計算環(huán)境下,除了物理主機之外還包含大量的使用虛擬化技術產(chǎn)生的虛擬機,不同虛擬機具備不同的特性,承載不同業(yè)務,面向的用戶、租戶也不盡相同,這就使得基于主機的方式難度巨大,無法推進。基于網(wǎng)絡的方式應用在基于局域網(wǎng)或者地區(qū)網(wǎng)的小范圍區(qū)域,具有一定的局限性,對于云計算數(shù)據(jù)中心這樣大規(guī)模、網(wǎng)絡結構復雜的環(huán)境來說,已經(jīng)無法適應。
發(fā)明內(nèi)容
在云計算環(huán)境下,對于不同租戶、不同的物理機或虛擬機,入侵檢測的要求是不同的,如果沿用傳統(tǒng)方式進行入侵檢測,則需要對每個節(jié)點安裝物理設備來提供防護功能,然而對于云計算環(huán)境下眾多的物理機和虛擬機而言,這種方式不僅耗費大量的人力物力,管理起來工作量巨大并且造價昂貴。
本發(fā)明通過在物理安全節(jié)點上為虛擬機添加入侵檢測防御組件,通過攔截所有網(wǎng)絡流量,使用基于已知攻擊模型的特征碼檢測技術,能夠檢測出網(wǎng)絡內(nèi)部的惡意行為,實現(xiàn)組件化實時檢測、分析網(wǎng)絡流量,阻斷攻擊會話的功能。在阻斷惡意用戶的同時,入侵防御功能對于用戶完全透明,對網(wǎng)絡性能也沒有任何影響。入侵檢測的策略配置和制定,由統(tǒng)一管理中心進行統(tǒng)一管理,并且可以根據(jù)不用的租戶、不同的虛擬機定制符合不同入侵檢測要求的策略和規(guī)則。
本發(fā)明由以下模塊組成:
1)??????網(wǎng)絡流量攔截模塊完成網(wǎng)絡流量攔截,對進入防護系統(tǒng)內(nèi)部的網(wǎng)絡數(shù)據(jù)流量進行攔截。
2)??????網(wǎng)絡數(shù)據(jù)包檢測模塊根據(jù)策略庫中策略,完成數(shù)據(jù)流量的檢測功能。網(wǎng)絡數(shù)據(jù)包檢測模塊包括數(shù)據(jù)包獲取子模塊和數(shù)據(jù)包分析子模塊,數(shù)據(jù)包由統(tǒng)一安全網(wǎng)關獲取,并根據(jù)配置模塊設置的網(wǎng)絡數(shù)據(jù)包過濾規(guī)則進行分析,如果發(fā)現(xiàn)異常則交由事件處理模塊處理。網(wǎng)絡數(shù)據(jù)包過濾規(guī)則指異常數(shù)據(jù)包的特征值,如包括特定數(shù)據(jù)、特定包格式等特征。
3)??????事件處理模塊對照攻擊模型特征庫內(nèi)容,完成數(shù)據(jù)流量的分析和處理。事件處理模塊負責接收由系統(tǒng)狀態(tài)監(jiān)控模塊和網(wǎng)絡數(shù)據(jù)包檢測模塊傳遞來的異常信息,綜合分析之后做出相應的處理。事件處理模塊保證在系統(tǒng)出現(xiàn)一定的異常時,盡快使系統(tǒng)恢復到正常狀態(tài)。事件處理模塊包括進程異常處理模塊、文件異常處理模塊、端口異常處理模塊、數(shù)據(jù)包異常處理模塊和綜合分析模塊等子模塊。
本發(fā)明具備以下功能要點:
1)??????運行狀態(tài)監(jiān)控:獲取入侵防御組件運行狀態(tài)信息。
2)??????運行狀態(tài)控制:控制入侵防御組件運行狀態(tài)。
3)??????運行參數(shù)配置:配置入侵防御組件運行的相關參數(shù)。
4)??????防御響應策略配置:配置入侵防御組件的入侵防御策略,事件響應策略。
5)??????防御響應策略下發(fā):針對入侵防御組件下發(fā)指定話的防御策略及事件響應策略。
6)??????防御響應策略庫導入導出:提供對方悅策略、事件響應策略的導入、導出功能。
7)??????入侵事件告警:對檢測到的入侵事件分等級發(fā)布告警入侵事件告警、入侵響應時間告警。
8)??????特征庫升級:提供入侵行為檢測特征庫的數(shù)據(jù)升級功能。
9)??????特征庫導入導出:提供入侵行為檢測特征庫的導入、導出功能。
10)運行日志提取:提取入侵防御組件運行的全部日志信息。
?
本發(fā)明的技術要點主要包含以下幾個方面:
1)??????可以設定特定的特征碼來阻止并記錄攻擊行為。
2)??????使用自定義規(guī)則和變量來創(chuàng)建新的特征碼。
?
本發(fā)明還包含一種流程如下:
1)??旁路網(wǎng)絡流量在流入虛擬機之前,先進入入侵防護組件。
2)??入侵檢測/防御組件先對網(wǎng)絡數(shù)據(jù)流量進行攔截,然后依照策略庫中的策略配置項對數(shù)據(jù)流進行檢測。
3)??依照攻擊模型特征庫對數(shù)據(jù)流量進行分析。
4)??最后將分析完成的數(shù)據(jù)流量傳入到虛擬機內(nèi)部。
針對云計算環(huán)境的以上特點以及傳統(tǒng)防護方式的弊端,本發(fā)明具備以下優(yōu)勢以滿足云計算環(huán)境下虛擬機的入侵檢測需求。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西安未來國際信息股份有限公司;西安郵電大學,未經(jīng)西安未來國際信息股份有限公司;西安郵電大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410056720.X/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
