[发明专利]一种适用于虚拟机环境的安全网络入侵检测系统

摘要

本发明公开了一种适用于虚拟机环境的安全网络入侵检测系统，它包括位于入侵检测虚拟机的服务器端域间通信控制模块，入侵检测引擎模块和入侵响应控制模块，以及位于被检测的各应用虚拟机中的客户端域间通信控制模块、分域事件探测器模块和分域响应控制模块。针对虚拟机有虚拟机系统本身的安全性有待改进，而现有的入侵检测系统又无法达到目的这一问题，本发明充分考虑了虚拟机网络的分层结构，基于虚拟机的内部网络网上实现了对虚拟机系统的入侵检测保护，更好的提升了虚拟机系统应用于生产实践活动的安全性；同时，也利用虚拟机的隔离安全特性，实现了入侵检测系统与被保护系统的分离；相比于传统的网络入侵检测系统，该系统具有更好的安全性和可靠性。

主权项

1、一种适用于虚拟机环境的安全网络入侵检测系统，其特征在于：它包括位于入侵检测虚拟机(1)的服务器端域间通信控制模块(6)，入侵检测引擎模块(7)和入侵响应控制模块(8)，以及位于被检测的各应用虚拟机中的客户端域间通信控制模块(3)、分域事件探测器模块(4)和分域响应控制模块(5)；服务器端域间通信控制模块(6)和各客户端域间通信控制模块(3)为对称的模块，用于入侵检测虚拟机(1)和各应用虚拟机之间的信息传递；分域事件探测器模块(5)把分域捕获的事件信息通过相应的客户端域间通信控制模块(3)传递到服务器端域间通信控制模块(6)，然后由服务器端域间通信控制模块(6)将该事件信息传递给入侵检测引擎模块(7)；入侵检测引擎模块(7)通过服务器端域间通信控制模块(6)接收来自于分域事件探测器模块(5)的事件信息；通过对该事件的信息进行提取，检测和分析，对确定为攻击的事件信息生成攻击事件消息，然后传递给入侵响应控制模块(8)；入侵响应控制模块(8)负责接收并处理来自于入侵检测引擎模块(7)的攻击事件信息；入侵响应控制模块(8)根据攻击事件信息的类型和预定义的该类型攻击事件信息的处理方式，选择相应的方式进行响应；在需要分域响应的时候，入侵响应控制模块(8)将响应信息通过服务器端域间通信控制模块(6)传递到各个域的客户端域间通信控制模块(3)；然后由客户端域间通信控制模块(3)将信息转发到分域响应控制模块(4)；分域事件探测器模块(5)负责监视到达和离开本虚拟机的网络数据包，并对需要进行检测的数据包进行捕获；随后，分域事件探测器模块(5)将捕获的数据信息通过客户端域间通信控制模块(3)传递给入侵检测引擎模块(7)，由入侵检测引擎模块(7)的数据信息进行检测。