CN104580120A - 一种可按需服务的虚拟化网络入侵检测方法和装置 - Google Patents
一种可按需服务的虚拟化网络入侵检测方法和装置 Download PDFInfo
- Publication number
- CN104580120A CN104580120A CN201310516271.8A CN201310516271A CN104580120A CN 104580120 A CN104580120 A CN 104580120A CN 201310516271 A CN201310516271 A CN 201310516271A CN 104580120 A CN104580120 A CN 104580120A
- Authority
- CN
- China
- Prior art keywords
- network
- detected
- service
- local
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种可按需服务的虚拟化网络入侵检测方法和装置,涉及信息安全技术领域。本发明公开的虚拟化网络入侵检测装置,包括:弹性服务调度模块,评估本地检测资源池中的剩余资源是否能够提供本地检测服务,如果能提供,则下发本地检测资源调整的命令给本地检测资源池管理模块,如果不能提供,则将需要检测的流量导出到外部硬件网络入侵检测产品中;本地检测资源池管理模块,在接收到本地检测资源调整的命令时,从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。本发明还公开了一种按需服务的虚拟化网络入侵检测方法。本申请技术方案有效解决了虚拟化网络环境中,对服务器虚拟化应用场景的安全防护问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种可按需服务的虚拟化网络入侵检测方法和装置。
背景技术
云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后,可以极大的提高软件系统对硬件资源的利用率,并通过虚拟化平台对计算、存储、网络等资源的统一调度管理,实现按需高效的使用硬件资源。
提高硬件的利用率,充分利用硬件过盛的计算、存储和网络资源,从而降低硬件投资成本,是企业实施虚拟化的主要驱动力之一。由于现在硬件的更新换代太快,企业在购买硬件时一般无法做到完全按照软件的性能需求来配置服务器硬件,通常都会造成硬件的性能浪费,虚拟化技术把硬件资源池化后,以虚拟机的形态按需的分配资源给特定的虚拟化的服务器,从而达到资源的最大利用率。在传统的物理网络环境中,根据业务的安全防护需求,经常会存在一台物理服务器被设置为一个独立的虚拟网络安全域的情况,这时就需要配置一台的网络入侵检测硬件产品对其进行监控防护。网络入侵检测硬件产品通常可处理的网络带宽在1Gb甚至10Gb,而对于很多企业内部应用服务器来说,其需要被检测的网络流量往往远低于1Gb,甚至通常只有几十Mb,这样不仅对入侵检测硬件产品的计算能力是极大的浪费,而且对于企业来说,也增加了很多额外的无用投资。能否利用虚拟化技术改进如入侵检测这类安全产品的硬件资源利用率,为企业客户提供高效实用的安全解决方案也正成为安全公司需要面对的问题。
网络入侵检测系统是一种通过深度分析捕获的网络数据包,识别和检测网络入侵行为的软件系统。网络入侵检测系统的核心部分通常是由抓包引擎和检测引擎两部分构成,其中抓包引擎负责通过从接入到物理网络的抓包口抓取数据包,而检测引擎则负责分析抓取到的数据包,并且把识别出的异常行为和告警上报到管理中心。网络入侵检测虚拟引擎技术是网络入侵检测系统中一种通过多个进程模拟出多个虚拟的检测引擎,以提高网络入侵检测系统的硬件资源利用率的一种技术手段。但是,这种网络入侵检测虚拟引擎技术并无法做到对硬件资源的按需分配和使用,特别在被监控服务器数量较多,流量变化不稳定的情况下,容易造成抓包口的数据拥塞。
发明内容
本发明所要解决的技术问题是,提供一种应用于虚拟化网络中的可提供按需弹性服务的网络入侵检测方法和装置,以保证在低网络负载情况下具有较高的系统计算资源利用率,在高网络负载情况下具有足够的检测能力,且不会过多占用虚拟化服务器的资源。
为了解决上述问题,本发明公开了一种按需服务的虚拟化网络入侵检测装置,至少包括弹性服务调度模块和本地检测资源池管理模块,其中:
所述弹性服务调度模块,按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务,若能够提供本地检测服务,则下发本地检测资源调整的命令给所述本地检测资源池管理模块,若不能够提供本地检测服务,则根据所述安全策略将需要检测的流量导出到外部硬件网络入侵检测产品中;
所述本地检测资源池管理模块,提供本地检测资源池的分配和监控,并在接收到所述弹性服务调度模块发起的本地检测资源调整的命令时,从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。
可选地,上述装置还包括:
网络数据包捕获模块,监听虚拟交换机上的网络数据流,从中捕获事先设定的安全策略中指定网络接口的数据包;
流量分类整形模块,计算每个需要检测的网络流的实时流速,将所述网络数据包捕获模块所捕获的每个需要检测的数据包放入虚拟网络安全域边界的待检测队列中,并在所述本地检测资源池管理模块分配有本地检测资源时,使用本地检测资源检测所述待检测队列中的各数据包,在所述本地检测资源池管理模块未分配本地检测资源时,使用外部硬件网络入侵检测产品检测所述待检测队列中的各数据包。
可选地,上述装置中,所述流量分类整形模块,判断当前网络流的实时流速小于所述安全策略中设置的该网络流的带宽上限时,将属于该网络流的数据包放入该网络流对应的待检测队列,判断当前网络流的实时流速等于或大于所述安全策略中设置的该网络流的带宽上限,则根据安全策略进行带宽限制或申请扩展检测资源。
可选地,上述装置装置通过Inter VT-d技术为前端网络入侵检测虚拟机配置PCI透传网卡专门用于流量的导出。
本发明还公开了一种按需服务的虚拟化网络入侵检测方法,该方法包括:
按需服务的虚拟化网络入侵检测装置按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务,若能够提供本地检测服务,则从本地检测资源池中的剩余资源中分配相应的资源为本地检测资源以进行本地检测,若不能够提供本地检测服务,则根据所述安全策略将需要检测的流量导出到外部硬件网络入侵检测产品中。
可选地,上述方法中,按需服务的虚拟化网络入侵检测装置按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务指:
根据每个不同的网络业务流的实际流量峰值选择监控源,当某网络业务流量较小,且本地检测资源池的剩余资源可满足其流量峰值时,判断能够提供本地检测服务,将其监控源设置为本地入侵检测资源池。
可选地,上述方法还包括:按需服务的虚拟化网络入侵检测装置监听虚拟交换机上的网络数据流,从中捕获事先设定的安全策略中指定网络接口的数据包;
计算每个需要检测的网络流的实时流速,将所述网络数据包捕获模块所捕获的每个需要检测的数据包放入本地检测资源池中对应的虚拟网络安全域边界的待检测队列中,当分配有本地检测资源时,使用本地检测资源检测所述待检测队列中的各数据包,当未分配本地检测资源时,使用外部硬件网络入侵检测产品检测所述待检测队列中的各数据包。
可选地,上述方法中,按需服务的虚拟化网络入侵检测装置根据安全策略进行带宽限制或申请扩展检测资源的过程如下:
判断当前网络流的实时流速小于所述安全策略中设置的该网络流的带宽上限时,将属于该网络流的数据包放入该网络流对应的待检测队列,判断当前网络流的实时流速等于或大于所述安全策略中设置的该网络流的带宽上限,则根据安全策略进行带宽限制或申请扩展检测资源。
可选地,上述方法中,所述按需服务的虚拟化网络入侵检测装置通过Inter VT-d技术为前端网络入侵检测虚拟机配置PCI透传网卡专门用于流量的导出。
本申请技术方案有效解决了虚拟化网络环境中,对服务器虚拟化应用场景的安全防护问题。本方案提供的按需可弹性扩展的网络入侵检测监控方案,能够高效的利用虚拟化平台提供的计算资源为轻量级的网络应用服务提供本地的虚拟化检测引擎的网络入侵检测服务,对于高流量高带宽的网络应用服务,可按需弹性扩展或者通过配置导向外部硬件物理网络入侵检测产品进行检测,该方案充分体现了云计算环境中按需服务和弹性可扩展的特性,既极大提高了系统资源的利用率,降低了用户对硬件网络入侵检测产品的过分投资,又能够保证虚拟化环境中网络入侵检测系统的检测性能,同时极大的降低了虚拟化安全产品对业务系统资源的消耗和影响,也提高了网络安全产品部署的灵活性。该方案的另外一个优势是不需要特殊VMM的API支持,比如VMWare EPSEC API,具有很好的平台适应性,可以同时应用于ESXI、KVM、XEN等多种虚拟化平台上。
附图说明
图1令牌桶算法示意图;
图2为入侵检测前端虚拟机计算资源分配示意图;
图3为本实施例中可按需服务的虚拟化网络入侵检测装置的结构示意图;
图4为按需弹性分配网络入侵检测服务资源的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
实施例1
本发明公开了一种虚拟化网络中可按需服务的网络入侵检测装置,至少包括网络数据包捕获模块、流量分类整形模块、弹性服务调度模块、本地检测资源池管理模块、网络入侵检测引擎模块和安全策略模块,其中:
所述网络数据包捕获模块,运行于网络入侵检测前端虚拟机的内核态,监听虚拟交换机上的网络数据流,从中捕获安全策略指定网络接口的数据包。其中,安全策略指定网络接口指安全策略给出的需要被监控的虚拟机或虚拟网络对应的虚拟交换机上的网络接口(如按虚拟机IP地址或按虚拟网络所属vlan指定监听的网络流);
所述流量分类整形模块,运行于网络入侵检测前端虚拟机的内核态,计算每个需要被检测的网络流的实时流速,把每个需要被检测的数据包放入其所属虚拟网络安全域边界的待检测队列中或根据安全策略丢弃。其中每个需要被检测的网络流都对应安全策略中所给出的一个需要被监控的虚拟机或一个需要被监控的虚拟网络安全域的边界的网络流。计算网络流实时流速的目的是为了判断当前网络流的实时流速是否小于安全策略中给出的该网络流的带宽上限,若满足该条件,则把属于该网络流的数据包放入该网络流对应的待检测队列,否则根据安全策略进行带宽限制或申请扩展检测资源。具体地,申请扩展检测资源时,可以从本地检测资源池的剩余资源中扩展部分或全部剩余资源为检测资源,也可以从外部硬件设备上申请资源为检测资源。
所述带宽限制采用经典令牌桶算法实现,如图1所示,经典令牌桶算法的三个关键参数:令牌桶的深度L(bytes)、令牌的刷新速率K(bytes/S)、令牌桶H中的剩余令牌数量M(bytes)。L反应该令牌算法所容忍的突发度,K反映数据流的平均速率,M则是决定包能否入队的依据。
所述弹性服务调度模块,运行于网络入侵检测前端虚拟机的内核态,按照安全策略设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源,若能够提供本地检测服务,则通过申请扩展本地检测资源来提供本地检测服务,否则根据安全策略将流量导出到外部硬件网络入侵检测产品中。本装置通过Inter VT-d技术为前端网络入侵检测虚拟机配置PCI透传网卡专门用于流量的导出,这样在流量导出时将不会占用业务网络的带宽。
所述本地检测资源池管理模块,运行于网络入侵检测前端机的内核态,负责管理本地检测资源池,提供包括本地检测资源的分配和监控和对待检测队列、网络入侵检测虚拟引擎的创建和管理。弹性服务调度模块根据安全策略的设置和实时的网络流流速情况,向本地检测资源池管理模块下发本地检测资源调整的命令。
所述本地检测资源池,是可分配给网络入侵检测虚拟引擎所使用的计算资源,该资源池的大小由整个安全虚拟机所分配的总计算资源和转发网络流所使用的物理网卡性能所决定,如图2所示,满足:μ=σ-δ,其中μ为本地检测资源池总资源,σ为整个安全虚拟机所分配的总计算资源,δ为转发网卡峰值流量时所使用的计算资源,这里σ由前端网络入侵检测虚拟机创建时确定,可根据用户的设置值进行调整,δ为一固定参数值,根据抓包口和发包口的带宽确定,则μ为一可计算的值。由于μ所代表的计算资源是分配给网络入侵检测虚拟引擎所使用,因此有公式:其中为待检测网络流的带宽峰值,f为计算资源与网络流带宽峰值之间的映射关系,可通过实际的测试数据计算出,即当μ、符合f的映射关系条件时,分配μ的计算资源,能满足处理带宽的网络流量的需求而不会丢包。经过这个映射,本地检测资源池的量化指标就转变为了待处理的网络流的带宽,这样就可以通过按需分配网络流带宽的方式来进行对本地检测资源池资源的分配。
所述网络入侵检测虚拟引擎模块,运行于网络入侵检测前端虚拟机的用户态,每个入侵检测虚拟引擎进程与其所对应的待检测队列一起被创建出来,该进程运行于用户态,在所属队列中存在数据包时,进程被调度到执行状态,根据队列中排队数据包的长度,动态调整各个进程的调度优先级,优先级高的进程会被优先调度到执行状态。每个网络入侵检测虚拟引擎进程将根据其对应的检测策略对所属队列中的数据包进行检测。
所述安全策略模块,运行于网络入侵检测前端机的内核态,接收由安全策略管配中心下发的安全策略,维护管理接收到的安全策略。所述安全策略包括虚拟网络安全域边界安全策略和每个安全域边界对应的流量策略。其中网络安全域边界是通过给出属于该虚拟网络安全域的虚拟机列表来表示的,即当有数据包的源或目的其中一端属于该列表,而另外一端不在该列表中,则该数据包属于该虚拟网络安全域的边界流量。所述虚拟网络安全域边界安全策略即给出了需要被监控的安全域。所述安全域边界对应的流量策略是指用户设定的该安全域的正常边界流量的带宽上限。当该流量的带宽上限值被设置为-1时,表示无限制,则该流量将被直接导出到外部硬件网络入侵检测系统中,当设置为其他大于0的值时,将会在申请本地检测资源时通过映射公式被映射为一个待检测队列的长度。
本发明还公开了一种可按需提供弹性服务的虚拟化网络入侵检测方法,该方法包括:
网络入侵检测前端虚拟机根据其自身计算资源的分配,计算出可用于本地检测资源池的总资源,以可用总网络带宽为量化指标提供给用户进行分配,用户在配置监控策略时,可采用两种不同的配置策略,第一种是按需分配固定流量值的监控策略,即根据每个不同的网络业务流的实际流量峰值选择监控源,当某网络业务流量较小,且本地检测资源池的剩余资源可满足其流量峰值时,将其监控源设置为本地入侵检测资源池,而将流量较大,超出本地检测资源池剩余可用资源网络带宽的业务流的监控源设置为导向外部硬件网络入侵检测源,在该配置状态,若检测源为本地网络入侵检测资源池时,若被监控网络业务流的实时流量峰值超过了其所配置的带宽上限,则采取丢包策略,并通过本地检测虚拟引擎产生警报,向用户报警;第二种网络业务流的监控策略可以定义为自动弹性扩展策略,即预先为某一被监控网络业务流分配一定大小的带宽,保证该带宽能够满足当前该网络业务流的监控需求,当该网络业务流超过分配的带宽大小时,若本地网络入侵检测资源池还有剩余资源,将自动为其增加资源,若本地网络入侵检测资源池已无剩余资源,则将该网络业务流的检测源自动切换到导向外部硬件网络入侵检测源。
在物理服务器虚拟化后,多个虚拟机形态的业务服务器运行在一台虚拟化服务器上(如VMWare的ESXi),这些虚拟机共用一个物理网络出口(即一块物理网卡),这样能够充分利用硬件服务器的计算资源和物理链路的带宽资源。但同时,如果仍然使用传统的硬件网络入侵检测产品对这些物理链路通过镜像交换机端口的方式进行数据包检测,无法准确捕获到每个网络入侵检测产品所对应监控的虚拟机形态的业务服务器的网络流。为了能够准确捕获被监控虚拟机的网络流,同时充分利用虚拟化的特点,根据每个被监控网流的带宽大小,按需的分配计算资源来提供网络入侵检测等服务,同时保证对高负载检测任务提供足够的检测性能,本申请发明人提出一种可按需服务的虚拟化网络入侵检测装置,通过一种新的系统架构方式,实现为虚拟化环境中的网络业务流提供可按需分配检测计算资源的网络入侵检测服务,且通过整合本地计算资源和外部硬件网络入侵检测产品构建可弹性扩展的网络入侵检测弹性计算环境,使得当出现高负载任务,本地计算资源不能满足检测所需计算资源时,不再更多抢占虚拟化平台的计算资源,而把网络流导引到外部硬件网络入侵检测产品,扩展整个系统的检测能力。
该装置至少包括网络数据包捕获模块、流量分类整形模块、弹性服务调度模块、本地检测资源池管理模块、网络入侵检测引擎模块和安全策略模块。如图3所示。
下面具体介绍各模块的功能和整个系统的工作过程。
所述网络数据包捕获模块,运行于网络入侵检测前端虚拟机的内核态,通过混杂端口组或端口镜像的方法监听虚拟交换机上的网络数据流,从中捕获虚拟网络边界安全策略指定网络接口的数据包。其中,虚拟网络边界安全策略指从安全策略管配中心下发的安全策略,该策略给出了当前物理虚拟化平台上所运行的哪些虚拟机的网络业务流需要被监控,且分别属于哪个虚拟网络或vlan。安全策略指定的网络接口只根据策略中的信息,选择性的监听某些vlan或者某些ip地址的网络数据包。为了提高整个系统的处理性能,系统在初始化时会通过Mmap技术申请一块内核态与用户态共享的内存区域,在接收数据包时,在内核态通过网卡的驱动把该内存区域按数据包大小映射给DMA,并在数据包到来时由DMA写入数据包到该内存区域,若数据包需要由用户态的网络入侵检测虚拟引擎处理,则用户态的检测虚拟引擎进程将直接读取这块内存区域的数据包,若数据包需要被导流到外部硬件网络入侵检测产品,则通过网卡的DMA直接将数据包发送到网络上,这样就实现了整个业务处理过程的零拷贝;
所述流量分类整形模块,运行于网络入侵检测前端虚拟机的内核态,计算每个需要被检测的网络流的实时流速,把每个需要被检测的数据包放入其所属虚拟网络安全域边界的待检测队列中或根据安全策略丢弃。对于每一条新加入的虚拟网络安全域边界的流量策略,若其流量带宽上限值不为-1,则将创建一个长度为0的待检测队列,当属于该队列的第一个数据包到来后,流量分类整形模块会判断队列长度,若队列长度为0,则调用弹性服务调度模块为其弹性扩展可用检测资源;对于存在待检测队列的数据包,则直接带宽限制算法的结果将其入队或丢弃。
所述弹性服务调度模块,运行于网络入侵检测前端虚拟机的内核态,按照安全策略设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源,按需弹性的提供网络入侵检测监控服务。在运行过程中,该模块对每个待检测队列的数据包入队情况监控,若发现入队数据包连续超过该队列分配的服务能力上限而持续丢包,则以报警的方式通知用户或根据安全策略的设定为该待检测队列增加分配的资源(即增加该待检测队列的服务带宽),若已无可分配资源,则产生报警或自动将流量导流到物理网络入侵检测产品。
所述本地检测资源池管理模块,运行于网络入侵检测前端机的内核态,负责管理本地检测资源池,提供包括本地检测资源的分配和监控和对待检测队列、网络入侵检测虚拟引擎的创建和管理。弹性服务调度模块根据安全策略的设置和实时的网络流流速情况,向本地检测资源池管理模块下发本地检测资源调整的命令。在系统初始化时,会根据安全策略把所有流量带宽上限值不为-1的虚拟网络安全域边界流量的待检测队列长度初始化为0。
所述网络入侵检测虚拟引擎模块,运行于网络入侵检测前端虚拟机的用户态,每个入侵检测虚拟引擎进程与其所对应的待检测队列一起被创建出来,该进程运行于用户态,在所属队列中存在数据包时,进程被调度到执行状态,根据队列中排队数据包的长度,动态调整各个进程的调度优先级,优先级高的进程会被优先调度到执行状态。每个网络入侵检测虚拟引擎进程将根据其对应的检测策略对所属队列中的数据包进行检测。该模块是在基于x86架构的物理网络入侵检测产品的网络入侵检测虚拟引擎的基础上移植而来,并不具有按需分配计算资源提供服务的特点,需要通过弹性服务调度模块结合待检测队列的长度来控制每个检测引擎所使用的计算资源上限。
所述安全策略模块,运行于网络入侵检测前端机的内核态,接收由安全策略管配中心下发的安全策略,维护管理接收到的安全策略。所述安全策略包括虚拟网络安全域边界安全策略和每个安全域边界对应的流量策略。其中网络安全域边界是通过给出属于该虚拟网络安全域的虚拟机列表来表示的,即当有数据包的源或目的其中一端属于该列表,而另外一端不在该列表中,则该数据包属于该虚拟网络安全域的边界流量。所述虚拟网络安全域边界安全策略即给出了需要被监控的安全域。所述安全域边界对应的流量策略是指用户设定的该安全域的正常边界流量的带宽上限。当该流量的带宽上限值被设置为-1时,表示无限制,则该流量将被直接导出到外部硬件网络入侵检测系统中,当设置为其他大于0的值时,将会在申请本地检测资源时通过映射公式被映射为一个待检测队列的长度。流量策略还具有一个弹性扩展属性,若该属性设置为false,则当应用该策略的网络流的流量速度高于其安全策略设置的带宽上限时,产生丢包并告警;若该属性为true,则当应用该策略的网络流的流量速度高于其安全策略设置的带宽上限时,会先判断本地检测资源的剩余资源是否够扩展给该网络流用于的检测,若足够,则从本地检测资源池进行分配,否则把整个网络流导出到外部硬件网络入侵检测产品。
下面以如图3所示的系统架构为例,介绍整个系统的工作过程。
首先,在步骤1中,由安全策略管配中心下发策略到前端网络入侵检测虚拟机,有其中的安全策略模块的守护进程进行策略的接收。
在策略接收完成后,步骤2,系统会启动网络数据包捕获模块,开启数据包捕获,并且初始化所有的安全策略对应的本地检测队列。
在有数据包达到后,步骤3.1,流量分类整形模块将根据策略的配置情况,对数据包进行按网络安全域边界的分类,同时,步骤3.2,对未分配本地检测资源的队列调用弹性服务调度模块,申请本地检测资源。
步骤4.1中弹性服务调度模块根据安全策略中的流量策略对每个网络流所对应的检测资源进行资源的按需弹性扩展,若需要申请本地检测资源,则有步骤4.2,调用本地检测资源池管理模块进行资源的扩展。
步骤5.1、5.2,弹性服务调度模块根据安全策略把已经分配好检测源的数据包调度到相应的检测源进行检测。
实施例2
本发明还公开了一种可按需提供弹性服务的虚拟化网络入侵检测方法,该方法的详细流程如图4所示,包括以下操作:
当抓取到某个网络业务流的数据包后,首先根据安全策略中的虚拟网络安全域边界策略判断该数据包是否需要被监控,若不需要则丢弃,否则查找该网络流对应的检测源的配置,若流量带宽上限值为-1,则直接通过弹性服务调度模块导出到硬件网络入侵检测产品,否则根据安全策略对其进行分类,找到该数据包所属的本地检测源对应的待检测队列,并通过带宽限制算法计算是否允许该数据包执行入队操作,若数据包为该队列的第一个数据包则,需要为先其分配本地检测资源,即设置待检测队列的长度,若队列长度已经设定,则判断是否满足带宽限制条件,即该网络流的流速小于限定的带宽上限,则把该数据包放入待检测队列,等待被本地检测引擎检测,否则当网络流的流速大于限定的带宽上限时,判断是否支持弹性扩展,若其对应安全策略的弹性扩展属性为false,则将该数据包丢弃,并产生一个告警,否则先判断本地检测资源是否足够进行扩展,若能够扩展则增加对应的待检测队列带宽,并将数据包放入队列,否则将其导出到外部硬件网络入侵检测产品。
从上述实施例可以看出,本申请技术方案采用归属路由器获取终端移动信息,使得终端在IP网络中移动时,保持同一IP地址,路由器快速刷新转发端口表,进而保持业务连续。这样,单一的承载网络便可转发数据并支持IP移动,避免了叠加另一套网络协议来支持IP移动(如MIP/PMIP等协议)。更可与未来的软件定义网络、控制与转发分离等网络架构无缝整合。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种按需服务的虚拟化网络入侵检测装置,其特征在于,至少包括弹性服务调度模块和本地检测资源池管理模块,其中:
所述弹性服务调度模块,按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务,若能够提供本地检测服务,则下发本地检测资源调整的命令给所述本地检测资源池管理模块,若不能够提供本地检测服务,则根据所述安全策略将需要检测的流量导出到外部硬件网络入侵检测产品中;
所述本地检测资源池管理模块,提供本地检测资源池的分配和监控,并在接收到所述弹性服务调度模块发起的本地检测资源调整的命令时,从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。
2.如权利要求1所述的装置,其特征在于,该装置还包括:
网络数据包捕获模块,监听虚拟交换机上的网络数据流,从中捕获事先设定的安全策略中指定网络接口的数据包;
流量分类整形模块,计算每个需要检测的网络流的实时流速,将所述网络数据包捕获模块所捕获的每个需要检测的数据包放入虚拟网络安全域边界的待检测队列中,并在所述本地检测资源池管理模块分配有本地检测资源时,使用本地检测资源检测所述待检测队列中的各数据包,在所述本地检测资源池管理模块未分配本地检测资源时,使用外部硬件网络入侵检测产品检测所述待检测队列中的各数据包。
3.如权利要求2所述的装置,其特征在于,
所述流量分类整形模块,判断当前网络流的实时流速小于所述安全策略中设置的该网络流的带宽上限时,将属于该网络流的数据包放入该网络流对应的待检测队列,判断当前网络流的实时流速等于或大于所述安全策略中设置的该网络流的带宽上限,则根据安全策略进行带宽限制或申请扩展检测资源。
4.如权利要求1至3任一项所述的装置,其特征在于,所述装置通过Inter VT-d技术为前端网络入侵检测虚拟机配置PCI透传网卡专门用于流量的导出。
5.一种按需服务的虚拟化网络入侵检测方法,其特征在于,该方法包括:
按需服务的虚拟化网络入侵检测装置按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务,若能够提供本地检测服务,则从本地检测资源池中的剩余资源中分配相应的资源为本地检测资源以进行本地检测,若不能够提供本地检测服务,则根据所述安全策略将需要检测的流量导出到外部硬件网络入侵检测产品中。
6.如权利要求5所述的方法,其特征在于,按需服务的虚拟化网络入侵检测装置按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务指:
根据每个不同的网络业务流的实际流量峰值选择监控源,当某网络业务流量较小,且本地检测资源池的剩余资源可满足其流量峰值时,判断能够提供本地检测服务,将其监控源设置为本地入侵检测资源池。
7.如权利要求5或6所述的方法,其特征在于,该方法还包括:
按需服务的虚拟化网络入侵检测装置监听虚拟交换机上的网络数据流,从中捕获事先设定的安全策略中指定网络接口的数据包;
计算每个需要检测的网络流的实时流速,将所述网络数据包捕获模块所捕获的每个需要检测的数据包放入本地检测资源池中对应的虚拟网络安全域边界的待检测队列中,当分配有本地检测资源时,使用本地检测资源检测所述待检测队列中的各数据包,当未分配本地检测资源时,使用外部硬件网络入侵检测产品检测所述待检测队列中的各数据包。
8.如权利要求7所述的方法,其特征在于,按需服务的虚拟化网络入侵检测装置根据安全策略进行带宽限制或申请扩展检测资源的过程如下:
判断当前网络流的实时流速小于所述安全策略中设置的该网络流的带宽上限时,将属于该网络流的数据包放入该网络流对应的待检测队列,判断当前网络流的实时流速等于或大于所述安全策略中设置的该网络流的带宽上限,则根据安全策略进行带宽限制或申请扩展检测资源。
9.如权利要求7所述的方法,其特征在于,所述按需服务的虚拟化网络入侵检测装置通过Inter VT-d技术为前端网络入侵检测虚拟机配置PCI透传网卡专门用于流量的导出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310516271.8A CN104580120A (zh) | 2013-10-28 | 2013-10-28 | 一种可按需服务的虚拟化网络入侵检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310516271.8A CN104580120A (zh) | 2013-10-28 | 2013-10-28 | 一种可按需服务的虚拟化网络入侵检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104580120A true CN104580120A (zh) | 2015-04-29 |
Family
ID=53095314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310516271.8A Pending CN104580120A (zh) | 2013-10-28 | 2013-10-28 | 一种可按需服务的虚拟化网络入侵检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580120A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453550A (zh) * | 2016-10-09 | 2017-02-22 | 武汉烽火网络有限责任公司 | 一种基于云计算的深度包检测系统及方法 |
| CN110120978A (zh) * | 2019-05-17 | 2019-08-13 | 电子科技大学 | 一种弹性用户云计算资源的安全保护方法 |
| CN110298381A (zh) * | 2019-05-24 | 2019-10-01 | 中山大学 | 一种云安全服务功能树网络入侵检测系统 |
| CN110336801A (zh) * | 2019-06-20 | 2019-10-15 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
| CN111277509A (zh) * | 2020-01-13 | 2020-06-12 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN112153077A (zh) * | 2020-10-20 | 2020-12-29 | 西安工程大学 | 具有非强占优先检测权的ids理论建模方法 |
| CN112258683A (zh) * | 2020-10-20 | 2021-01-22 | 云账户技术(天津)有限公司 | 一种业务系统的巡检方法及装置 |
| CN112291217A (zh) * | 2020-10-20 | 2021-01-29 | 西安工程大学 | 检测引擎处理能力不同的dids理论建模方法 |
| CN112787929A (zh) * | 2020-12-31 | 2021-05-11 | 中盈优创资讯科技有限公司 | 一种三层vpn业务资源自动分配和管理方法及装置 |
| CN113507441A (zh) * | 2021-06-08 | 2021-10-15 | 中国联合网络通信集团有限公司 | 安全资源扩充方法及安全防护管理平台、数据节点 |
| CN113660316A (zh) * | 2021-07-29 | 2021-11-16 | 广州汇通国信科技有限公司 | 基于容器云平台的网络资源自适应配置方法、系统及介质 |
| CN115225297A (zh) * | 2021-04-16 | 2022-10-21 | 中国移动通信集团江苏有限公司 | 一种阻断网络入侵的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436966A (zh) * | 2008-12-23 | 2009-05-20 | 北京航空航天大学 | 虚拟机环境下的网络监控与分析系统 |
| CN101902348A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 网络安全系统及其系统负荷自动调整方法 |
| CN101986274A (zh) * | 2010-11-11 | 2011-03-16 | 东软集团股份有限公司 | 一种私有云环境下资源调配系统及资源调配方法 |
| US20110255538A1 (en) * | 2010-04-16 | 2011-10-20 | Udayakumar Srinivasan | Method of identifying destination in a virtual environment |
| CN103067380A (zh) * | 2012-12-26 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 一种虚拟安全设备的部署配置方法及系统 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
-
2013
- 2013-10-28 CN CN201310516271.8A patent/CN104580120A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436966A (zh) * | 2008-12-23 | 2009-05-20 | 北京航空航天大学 | 虚拟机环境下的网络监控与分析系统 |
| CN101902348A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 网络安全系统及其系统负荷自动调整方法 |
| US20110255538A1 (en) * | 2010-04-16 | 2011-10-20 | Udayakumar Srinivasan | Method of identifying destination in a virtual environment |
| CN101986274A (zh) * | 2010-11-11 | 2011-03-16 | 东软集团股份有限公司 | 一种私有云环境下资源调配系统及资源调配方法 |
| CN103067380A (zh) * | 2012-12-26 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 一种虚拟安全设备的部署配置方法及系统 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陈荣: "面向网格计算的按需入侵检测模型及关键技术研究", 《中国优秀博士学位论文全文数据库 信息科技辑》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453550B (zh) * | 2016-10-09 | 2019-08-27 | 烽火通信科技股份有限公司 | 一种基于云计算的深度包检测系统及方法 |
| CN106453550A (zh) * | 2016-10-09 | 2017-02-22 | 武汉烽火网络有限责任公司 | 一种基于云计算的深度包检测系统及方法 |
| CN110120978A (zh) * | 2019-05-17 | 2019-08-13 | 电子科技大学 | 一种弹性用户云计算资源的安全保护方法 |
| CN110298381A (zh) * | 2019-05-24 | 2019-10-01 | 中山大学 | 一种云安全服务功能树网络入侵检测系统 |
| CN110298381B (zh) * | 2019-05-24 | 2022-09-20 | 中山大学 | 一种云安全服务功能树网络入侵检测系统 |
| CN110336801B (zh) * | 2019-06-20 | 2021-07-06 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
| CN110336801A (zh) * | 2019-06-20 | 2019-10-15 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
| CN111277509A (zh) * | 2020-01-13 | 2020-06-12 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN111277509B (zh) * | 2020-01-13 | 2023-12-05 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN112258683A (zh) * | 2020-10-20 | 2021-01-22 | 云账户技术(天津)有限公司 | 一种业务系统的巡检方法及装置 |
| CN112291217A (zh) * | 2020-10-20 | 2021-01-29 | 西安工程大学 | 检测引擎处理能力不同的dids理论建模方法 |
| CN112258683B (zh) * | 2020-10-20 | 2022-07-01 | 云账户技术(天津)有限公司 | 一种业务系统的巡检方法及装置 |
| CN112153077A (zh) * | 2020-10-20 | 2020-12-29 | 西安工程大学 | 具有非强占优先检测权的ids理论建模方法 |
| CN112787929A (zh) * | 2020-12-31 | 2021-05-11 | 中盈优创资讯科技有限公司 | 一种三层vpn业务资源自动分配和管理方法及装置 |
| CN112787929B (zh) * | 2020-12-31 | 2022-10-04 | 中盈优创资讯科技有限公司 | 一种三层vpn业务资源自动分配和管理方法及装置 |
| CN115225297B (zh) * | 2021-04-16 | 2024-05-03 | 中国移动通信集团江苏有限公司 | 一种阻断网络入侵的方法及装置 |
| CN115225297A (zh) * | 2021-04-16 | 2022-10-21 | 中国移动通信集团江苏有限公司 | 一种阻断网络入侵的方法及装置 |
| CN113507441A (zh) * | 2021-06-08 | 2021-10-15 | 中国联合网络通信集团有限公司 | 安全资源扩充方法及安全防护管理平台、数据节点 |
| CN113507441B (zh) * | 2021-06-08 | 2023-04-28 | 中国联合网络通信集团有限公司 | 安全资源扩充方法及安全防护管理平台、数据节点 |
| CN113660316B (zh) * | 2021-07-29 | 2024-03-12 | 广州汇通国信科技有限公司 | 基于容器云平台的网络资源自适应配置方法、系统及介质 |
| CN113660316A (zh) * | 2021-07-29 | 2021-11-16 | 广州汇通国信科技有限公司 | 基于容器云平台的网络资源自适应配置方法、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580120A (zh) | 一种可按需服务的虚拟化网络入侵检测方法和装置 | |
| EP3382543B1 (en) | Micro-level monitoring, visibility and control of shared resources internal to a processor of a host machine for a virtual environment | |
| CN103368768B (zh) | 混合云环境中自动缩放网络覆盖的方法、装置及设备 | |
| CN102427475B (zh) | 一种云计算环境中负载均衡调度的系统 | |
| EP3934206B1 (en) | Scalable control plane for telemetry data collection within a distributed computing system | |
| CN103294521B (zh) | 一种降低数据中心通信负载及能耗的方法 | |
| CN105337789A (zh) | 一种监控虚拟网络流量的方法和装置 | |
| CN102185774A (zh) | 虚拟机无缝迁移的方法、管理器及系统 | |
| CN103354530A (zh) | 虚拟化网络边界数据流汇聚方法及装置 | |
| CN104219075A (zh) | 一种基于开放流协议的lacp环路检测方法和装置 | |
| CN106134141A (zh) | 一种更新网络服务描述器nsd的方法及装置 | |
| CN105516292A (zh) | 一种智能变电站云平台的热备方法 | |
| WO2018001030A1 (zh) | 虚拟化宽带接入服务器的控制方法、装置及通信系统 | |
| CN107977254B (zh) | 云数据系统中请求的响应方法和计算机可读存储介质 | |
| WO2014202026A1 (zh) | 虚拟网络映射保护方法、系统及计算机存储介质 | |
| CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| CN104468397A (zh) | 一种虚拟机热迁移转发不丢包的方法和装置 | |
| CN108965148A (zh) | 一种处理器及报文处理方法 | |
| CN105939356B (zh) | 一种虚拟防火墙划分方法和装置 | |
| WO2018027449A1 (zh) | 私有云管理平台 | |
| CN110661865A (zh) | 一种网络通信方法及网络通信架构 | |
| Hanafy et al. | A new infrastructure elasticity control algorithm for containerized cloud | |
| CN105553948A (zh) | 一种基于虚拟机的弹性防攻击方法 | |
| CN109032982A (zh) | 一种数据处理方法、装置、设备、系统、fpga板卡及其组合 | |
| Lin et al. | Flow-and-VM migration for optimizing throughput and energy in SDN-based cloud datacenter |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150429 |
|
| RJ01 | Rejection of invention patent application after publication |