应用于动态虚拟化环境的分布式入侵检测系统及方法

摘要

本发明提供了一种应用于动态虚拟化环境的分布式入侵检测系统及方法，该系统包括检测管理中心和位于物理服务器上的入侵检测引擎，其中：所述检测管理中心，用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息，通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置；所述入侵检测引擎，用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测，在配置了停止入侵检测安全策略后，停止对对应物理服务器上的特定虚拟机进行入侵检测。本发明可实现对虚拟机的连续监控。

说明书

技术领域

本发明涉及一种入侵检测系统，尤其涉及一种应用于动态虚拟化环境的 分布式入侵检测系统及方法。

背景技术

服务器虚拟化是一种新型IT技术，它可以将一台物理服务器虚拟成多台 虚拟的逻辑上隔离的服务器，并在各虚拟机上部署不同的业务，这样可以提 高服务器的资源利用率，减少服务器硬件的购置数量，也可以大大节约企业 的购置和运营费用。同时，基于服务器虚拟化技术的服务器集群技术在数据 保护和灾难恢复方面也具有非常明显的优势。

服务器虚拟化的一个主要特点是动态性，即运行在某一物理服务器上的 虚拟机可以在不中断其业务的情况下动态迁移到其它物理服务器上，从而实 现虚拟化环境中资源的优化配置。但服务器虚拟化的这种动态特性使得传统 的入侵检测系统无法正常工作。传统入侵检测系统假设其所在网络环境是静 态的，所监控的对象所在位置也是静态的。但在虚拟化环境中，当所监控的 虚拟机迁移时，传统的入侵检测系统则无法感知到虚拟机的迁移，因此无法 实现对虚拟机的连续监控。因此，有必要研发一种适合动态虚拟化环境的分 布式入侵检测系统，实现对虚拟机在动态迁移过程中的不间断的安全监控。

发明内容

本发明实施例提供了一种应用于动态虚拟化环境的分布式入侵检测系统 及方法，以解决在动态虚拟化环境中，无法对虚拟机进行连续监控的问题。

本发明实施例提供了一种应用于动态虚拟化环境的分布式入侵检测系 统，该系统包括检测管理中心和位于物理服务器上的入侵检测引擎，其中：

所述检测管理中心，用于获得当前虚拟机迁移前后所属的源物理服务器 信息和目标物理服务器信息，通过虚拟化平台中的虚拟化管理服务器对源物 理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的 入侵检测引擎进行开始入侵检测配置；

所述入侵检测引擎，用于在配置了开始入侵检测安全策略后对对应的物 理服务器上的特定虚拟机进行入侵检测，在配置了停止入侵检测安全策略后， 停止对对应物理服务器上的特定虚拟机进行入侵检测。

优选地，所述特定虚拟机是指配置在检测管理中心上的安全策略要求监 控的一个或多个虚拟机。

优选地，所述入侵检测引擎包括一个运行在虚拟机监视器上的虚拟机和 一个位于所述虚拟机监视器中的内核模块，所述虚拟机为一个享有调用所述 虚拟机监视器内监控接口的特权虚拟机，所述特权虚拟机，用于接收来自所 述检测管理中心的安全策略和配置所述内核模块；所述内核模块，用于完成 对所述特定虚拟机的入侵检测；或者

所述入侵检测引擎为在所述虚拟化平台上加载的一个虚拟机，所述检测 管理中心，还用于通过所述虚拟管理服务器配置对应物理服务器上的虚拟交 换机上的镜像端口，使得虚拟机形态的入侵检测引擎能够捕获到进出对应物 理服务器上的特定控虚拟机的网络流量，从而实现入侵检测。

优选地，所述检测管理中心位于一台单独的物理服务器上，或者与所述 虚拟管理服务器集成在一起。

优选地，所述内核模块，还用于通过所述监控接口对对应物理服务器上 的特定虚拟机的网络流量以及内部行为进行安全监控。

优选地，所述入侵检测引擎，还用于在检测到攻击事件后向所述检测管 理中心发送所述攻击事件；

所述检测管理中心，还用于在收到所述攻击事件后，对所述攻击事件进 行关联分析和做出响应。

优选地，所述检测管理中心，还用于在所述虚拟管理服务器注册虚拟机 迁移事件，以及接收所述虚拟管理服务器在迁移虚拟机时发送的迁移通知事 件，并根据所述迁移通知事件获得虚拟机迁移前后所属的源物理服务器信息 和目标物理服务器信息。

本发明实施例还提供了一种应用于动态虚拟化环境的分布式入侵检测方 法，该方法包括：

获得当前虚拟机发生迁移前后所属的源物理服务器信息和目标物理服务 器信息；

对所述源物理服务器信息对应的源物理服务器上的入侵检测引擎进行配 置，使所述源物理服务器上的入侵检测引擎停止对所述源物理服务器上的虚 拟机进行监控；对所述目标物理服务器信息对应的目标物理服务器上的入侵 检测引擎进行配置，使所述目标物理服务器上的入侵检测引擎开始对所述目 标物理服务器上的虚拟机进行监控。

优选地，所述获得当前虚拟机发生迁移前后所属的源物理服务器信息和 目标物理服务器信息之前，该方法还包括：

注册所述当前虚拟机迁移事件，接收所述当前虚拟机发生迁移时发送的 迁移通知事件；

所述获得当前虚拟机发生迁移前后所属的源物理服务器信息和目标物理 服务器信息，包括：

根据所述迁移通知事件获得迁移前后所属的源物理服务器信息和目标物 理服务器信息。

优选地，所述方法还包括：在监控到攻击事件后，对所述攻击事件进行 关联分析和做出响应。

上述分布式入侵检测系统中，入侵检测引擎为标准虚拟机或者为虚拟机 监视器中的一个内核模块，是软件形态产品，购置成本较低；由检测管理中 心实现对系统内所有入侵检测引擎的统一管理，拥有全局视野的检测管理中 心可以通过实时调整各入侵检测引擎的工作负载优化系统内的入侵检测资 源；检测管理中心可以获知虚拟化环境中的虚拟机迁移事件，并相应的对系 统内的入侵检测系统进行调整，从而可以实现对虚拟化环境中虚拟机的不间 断监控，不留监控死角。

附图说明

图1为本发明分布式入侵检测系统的结构示意图；

图2为采用虚拟机监控器监控接口的入侵检测引擎的结构示意图；

图3为采用虚拟交换机镜像端口的入侵检测引擎的结构示意图；

图4为本发明入侵检测系统在虚拟机迁移过程中的工作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图 对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申 请中的实施例及实施例中的特征可以相互任意组合。

本发明实施例提供了一种应用于动态虚拟化环境的分布式入侵检测系 统，该系统包括检测管理中心和位于物理服务器上的入侵检测引擎，其中：

所述检测管理中心，用于获得当前虚拟机迁移前后所属的源物理服务器 信息和目标物理服务器信息，通过虚拟化平台中的虚拟化管理服务器对源物 理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的 入侵检测引擎进行开始入侵检测配置；

所述入侵检测引擎，用于在配置了开始入侵检测安全策略后对对应的物 理服务器上的特定虚拟机进行入侵检测，在配置了停止入侵检测安全策略后， 停止对对应物理服务器上的特定虚拟机进行入侵检测。

上述分布式入侵检测系统，通过获知虚拟化环境中的虚拟机的动态迁移 事件，并相应地调整相关入侵检测引擎的工作方式来实现对迁移后的虚拟机 的持续监控。

如图1所示，本发明实施例提供的适于动态虚拟化环境的分布式入侵检 测系统包括检测管理中心11和部署在各物理服务器上的入侵检测引擎12， 各入侵检测引擎直接受检测管理中心的管理。所述入侵检测引擎为一台可在 虚拟机监视器13上调度的标准虚拟机，它接收来自检测管理中心的安全策 略，根据安全策略实现对特定虚拟机的入侵检测；所述入侵检测引擎在检测 到攻击事件后将攻击事件及时通知给检测管理中心，由检测管理中心对攻击 事件进行关联分析和及时响应。

所述特定虚拟机，是指配置在检测管理中心上的安全策略要求监控的一 个或多个虚拟机。

本实施例还支持在一个物理服务器上部署多个入侵检测引擎，这些入侵 检测引擎在检测管理中心的集中管理和协同下，共同实现当前物理服务器上 所有虚拟机的入侵检测。在一个物理服务器上部署多个入侵检测引擎的优势 如下：1）可以根据不同业务的安全需求部署不同的入侵检测引擎；2）可以 对不同的租户分配不同的入侵检测引擎；3）可以由多个入侵检测引擎分担检 测负载，从而提升检测效率。

所述检测管理中心一方面需要实现对入侵检测引擎的配置，另一方面则 需要对入侵检测引擎的状态进行监控。检测管理中心通过虚拟化环境中的虚 拟管理服务器14所提供的公开接口实现对入侵检测引擎的配置和状态监控。 对于VMWare虚拟化环境，公开的虚拟化接口为VMware vsphere API或 VMware Cloud Director环境下的vCloud API。对于其它的虚拟化环境，其虚 拟管理平台都会开放类似的管理接口，供第三方软件模块调用。

此外，检测管理中心还通过虚拟管理服务器所提供的公开接口注册虚拟 机迁移事件，从而主动跟踪虚拟化环境中其安全策略所关注的各虚拟机的迁 移情况；当发现所关注的虚拟机发生迁移时，检测管理中心将配置源主机上 的入侵检测引擎停止对对应的虚拟机进行监控，配置目标主机上的入侵检测 引擎开始对对应的虚拟机进行监控，实现对所述虚拟机不间断的入侵检测。

如图2所示，本发明实施例分布式入侵检测系统中，部署在物理服务器 上的入侵检测引擎包括一个运行在虚拟机监视器上的虚拟机和一个位于虚拟 机监视器中的内核模块，所述虚拟机为一个享有调用底层虚拟机监视器内的 监控接口的特权虚拟机，它接收来自检测管理中心的安全策略和配置内核模 块，而对特定虚拟机的入侵检测则是由位于虚拟机监视器中的内核模块完成。 所述内核模块对特定虚拟机的监控通过虚拟机监视器所提供的监控接口实 现。在VMware vsphere环境中，所述监控接口称为VMsafe，VMsafe接口允 许特权虚拟机通过在虚拟机监视器中加载安全模块来实现对其它虚拟机 CPU、内存、网络流和磁盘I/O的全面监控，可实现各种安全功能，包括入 侵检测系统（IDS）、基于主机的入侵防御系统（HIPS）、网络入侵防御系 统（NIPS）、防病毒（AV）等。采用该方法实现的入侵检测引擎可以实现 对特定虚拟机的网络流和内部行为进行监控，因此，同时具有主机IDS和网 络IDS的功能。

如图3所示，本发明分布式入侵检测系统还支持标准虚拟机形态的入侵 检测引擎，所述入侵检测引擎就是一个为一个可在虚拟化平台上加载的标准 虚拟机，它并不存在运行在虚拟机监视器中的内核模块。检测管理中心通过 配置物理服务器上的虚拟交换机上的镜像端口（SPAN）实现对特定虚拟机 的入侵检测。

本发明所述分布式入侵检测系统中，所述的检测管理中心可以作为一个 软件运行在一台单独物理服务器上，也可以作为一个管理模块和虚拟管理服 务器软件集成在一起；同时，安装了检测管理中心软件的服务器还可以为一 台虚拟机，运行在虚拟化环境中。

上述分布式入侵检测系统中，入侵检测引擎为标准虚拟机或者为虚拟机 监视器中的一个内核模块，是软件形态产品，购置成本较低；由检测管理中 心实现对系统内所有入侵检测引擎的统一管理，拥有全局视野的检测管理中 心可以通过实时调整各入侵检测引擎的工作负载优化系统内的入侵检测资 源；检测管理中心可以获知虚拟化环境中的虚拟机迁移事件，并相应的对系 统内的入侵检测系统进行调整，从而可以实现对虚拟化环境中虚拟机的不间 断监控，不留监控死角。

如图4所示，为本发明所述入侵检测系统在虚拟机迁移过程中的工作流 程，所述工作流程包括以下步骤：

步骤401、检测管理中心向虚拟化环境中的虚拟管理服务器注册虚拟机 迁移事件；

该步骤为可选步骤；

步骤402、当虚拟机迁移时，检测管理中心获得虚拟机迁移通知事件， 检测管理中心获得虚拟机迁移前后所属的源和目标物理服务器的信息；

检测管理中心获得虚拟机迁移前后所属的源和目标物理服务器的信息之 前的操作为可选操作；

步骤403、检测管理中心对虚拟机所在源物理服务器上的入侵检测引擎 进行配置，使所述入侵检测引擎不要再对相关虚拟机进行监控；

步骤404、检测管理中心对虚拟机所在目标物理服务器上的入侵检测引 擎进行配置，使其开始对相关虚拟机进行安全监控。

另外，在监控到攻击事件后，还可以对所述攻击事件进行关联分析和做 出响应。

上述分布式入侵检测方法，通过获得虚拟机迁移前后的源物理服务器和 目标物理服务器的信息，控制源物理服务器上的入侵检测引擎停止监控，目 标物理服务器上的入侵检测引擎开始进行监控，从而可以有效地实现对虚拟 机的连续监控。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读 存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用 硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任 何特定形式的硬件和软件的结合。

以上实施例仅用以说明本发明的技术方案而非限制，仅仅参照较佳实施 例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发 明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范 围，均应涵盖在本发明的权利要求范围当中。