[发明专利]一种适用于虚拟机环境的安全网络入侵检测系统

说明书

技术领域

本发明属于计算机安全领域和虚拟计算领域，为一种适用于虚拟机环境的安全网络入侵检测系统。

背景技术

随着计算机技术和网络通信技术的发展，计算机网络在近些年得到迅速普及，并已成为全社会信息交流和共享的重要媒介，深刻地改变着人们的工作和生活方式。在计算机飞速发展的同时，网络信息安全问题也变得日益严重，并成为制约网络和互联网经济发展的一个重要因素。近年来，网络攻击活动和信息安全事件层出不穷，涉及到的领域越来越广，造成的危害也越来越大。

网络入侵检测技术是一种用于检测计算机网络系统中入侵行为的网络信息安全技术，它主要通过监控计算机网络系统的状态、行为以及系统的使用情况，通过捕获到达计算机的数据包来检测系统的越权和误用行为，以及系统外部的入侵者利用系统的安全缺陷所进行的攻击行为。入侵检测系统(IDS)被认为是“防火墙”之后的第二道安全闸门，在网络信息安全体系中占有重要地位，这些年已经成为网络信息安全领域的一个研究热点。在入侵检测系统的研究中，人们提出了各种成熟的理论模型，但是也逐渐发现，基于传统计算机架构的入侵检测系统有其天生的弱点，当入侵检测系统所在的操作系统被破坏时，入侵检测系统本身的安全性无法得到保障，因此可能产生虚警现象，而对真正的入侵行为却视而不见。于是，随着虚拟机技术的日渐发展和成熟，研究者把目光转向虚拟机，希望利用虚拟机技术来解决传统的体系结构无法解决的关于入侵检测系统的安全问题。同时也探讨如何解决在虚拟机体系中出现的新的安全问题。

虚拟计算技术是最近非常流行的技术，已经受到越来越多的企业的关注和应用，虚拟机技术通过一个软件层(VMM或者Hypervisor)对底层物理硬件进行模拟，使得多个虚拟机可以运行于同一个物理机器之上，而各个虚拟机之间相互安全隔离。使用虚拟机技术可以节约企业运营成本，更有效的利用企业赢余计算能力，对于计算机系统的设计有重要意义，同时由于虚拟机系统提供的虚拟环境与底层硬件之间隔离的特性，虚拟机也同样可以用来提高计算机系统对外来攻击的安全性。在作为虚拟机核心的虚拟机管理层，其自身为安全软件提供了一个与位于上层虚拟机中的客户操作系统隔离的观察平台。

传统的入侵检测系统主要有基于主机的入侵检测系统和基于网络的入侵检测系统。通过研究发现，这两种入侵检测系统各自都有其优势和缺陷：基于主机的入侵检测系统可以很好的检测到系统中发生的入侵行为，对系统中发上的行为可以很好的检测到；但是主机入侵检测系统本身却无法很好的抵御针对系统或者入侵检测系统本身的攻击，他本身对攻击者而言是可见的，可以通过多种手段轻易地被探测。基于网络的入侵检测系统对于入侵者而言是不可见的，因而具有很好的健壮性，但是却对系统发生的入侵行为无法检测到，攻击者一旦绕过该入侵检测系统，则不再受任何控制。除了上述两个特点之外，无论是基于主机的入侵检测系统还是基于网络的入侵检测系统，由于本身并没有做到与其所位于的系统很好的保持隔离性，因此，攻击者是很容易探测到这样的入侵检测系统的存在的，这对入侵检测系统本身的安全性造成了极大的威胁。

发明内容

本发明的目的是为了克服传统的基于网络的入侵检测系统本身的不足，提供一种适用于虚拟机环境的安全网络入侵检测系统，该系统既有对主机系统有很好的检测性，又具有很好的健壮性。

本发明提供的适用于虚拟机环境的安全网络入侵检测系统，其特征在于：它包括位于入侵检测虚拟机的服务器端域间通信控制模块，入侵检测引擎模块和入侵响应控制模块，以及位于被检测的各应用虚拟机中的客户端域间通信控制模块、分域事件探测器模块和分域响应控制模块；

服务器端域间通信控制模块和各客户端域间通信控制模块为对称的模块，用于入侵检测虚拟机和各应用虚拟机之间的信息传递；

分域事件探测器模块把分域捕获的事件信息通过相应的客户端域间通信控制模块传递到服务器端域间通信控制模块，然后由服务器端域间通信控制模块将该事件信息传递给入侵检测引擎模块；

入侵检测引擎模块通过服务器端域间通信控制模块接收来自于分域事件探测器模块的事件信息；通过对该事件的信息进行提取，检测和分析，对确定为攻击的事件信息生成攻击事件消息，然后传递给入侵响应控制模块；