CN107896215A - 一种基于虚拟机的入侵检测系统的部署方法及装置 - Google Patents
一种基于虚拟机的入侵检测系统的部署方法及装置 Download PDFInfo
- Publication number
- CN107896215A CN107896215A CN201711191743.1A CN201711191743A CN107896215A CN 107896215 A CN107896215 A CN 107896215A CN 201711191743 A CN201711191743 A CN 201711191743A CN 107896215 A CN107896215 A CN 107896215A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- detection system
- intruding detection
- monitored
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45583—Memory management, e.g. access or allocation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于虚拟机的入侵检测系统的部署方法及装置,涉及网络安全技术领域。方法包括:在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;在网络文件服务器中生成所述虚拟机镜像数据的配置文件;实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。本发明可以解决在众多互联网接入点上均部署入侵检测系统,会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,造成应用中断的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于虚拟机的入侵检测系统的部署方法及装置。
背景技术
当前,随着计算机网络的发展,网络安全问题已经成为人们普遍关注的焦点。入侵检测系统(Intrusion Detection Systems,简称IDS)作为网络安全的一个重要组成部分,已成功应用于政府、企业与各大公司的网络环境中,并发挥着极为重要的作用。入侵检测系统利用传感器来截获网络中的原始数据包,交由入侵分析模块寻找入侵踪迹以及其他敏感信息,并提供给入侵响应模块与管理控制台以完成对入侵的响应。而如何部署入侵检测系统以准确、有效地检测到入侵与攻击则是入侵检测系统成功的关键。
目前,入侵检测系统大多部署在网络的互联网接入点,但随着政府、企业以及各大公司对网络需求不断增长,各单位、部门的网络规模不断扩大,往往存在着众多互联网接入点。而基于单一接入点的部署方式只能检测入侵检测系统所在节点是否被入侵,已经无法满足多个接入点同时被检测的要求。而若在众多互联网接入点上均部署入侵检测系统,则会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,会造成应用中断。
发明内容
本发明的实施例提供一种基于虚拟机的入侵检测系统的部署方法及装置,以解决在众多互联网接入点上均部署入侵检测系统,会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,造成应用中断的问题。
为达到上述目的,本发明采用如下技术方案:
一种基于虚拟机的入侵检测系统的部署方法,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;
所述方法包括:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
具体的,所述在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据,包括:
创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件;
将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中;
修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统;
修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。
具体的,所述在网络文件服务器中生成所述虚拟机镜像数据的配置文件,包括:
在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。
具体的,实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署,包括:
实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况;
在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况;
若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行,则开始监测出现异常情况的被监测的虚拟机;
若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行,则启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机;
若计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统,则控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统。
一种基于虚拟机的入侵检测系统的部署装置,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;
所述装置包括:
虚拟机镜像数据创建单元,用于在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
配置文件生成单元,用于在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
入侵检测系统部署单元,用于实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
入侵检测系统撤销单元,用于在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
具体的,所述虚拟机镜像数据创建单元,包括:
标准镜像格式文件创建模块,用于创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件;
拷贝模块,用于将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中;
启动文件修改模块,用于修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统;
网卡配置信息修改模块,用于修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。
此外,所述配置文件生成单元,具体用于:
在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。
具体的,所述入侵检测系统部署单元,包括:
监测模块,用于实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况;
部署情况判断模块,用于在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况;
异常虚拟机监测模块,用于在计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行时,开始监测出现异常情况的被监测的虚拟机;
入侵检测系统虚拟机启动模块,用于在计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行时,启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机;
入侵检测系统部署模块,用于在计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统时,控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
一种计算机设备,包括存储器、处理器及存储在存储上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
本发明实施例提供的一种基于虚拟机的入侵检测系统的部署方法及装置,首先在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;并在网络文件服务器中生成所述虚拟机镜像数据的配置文件;然后,实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;另外,在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。可见,本发明实施例采用在计算机设备中运行虚拟机的软件部署方式,将入侵检测系统封装于虚拟机镜像中,利用虚拟机动态灵活部署的特点实现入侵检测系统的按需部署。同时,入侵检测系统和被监控系统之间无需额外硬件支持以及无需拓扑结构的改变即可进行网络互联。且本发明实施例引入自动部署机制,实时监测各被监测的虚拟机的异常情况,无需人工干预即可进行自动部署和调整监测范围,及时对恶意流量和入侵行为进行监测,提高了监测的效率和准确性。本发明可以解决在众多互联网接入点上均部署入侵检测系统,会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,造成应用中断的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于虚拟机的入侵检测系统的部署方法的流程图一;
图2为本发明实施例提供的虚拟机环境系统的结构示意图;
图3为本发明实施例提供的一种基于虚拟机的入侵检测系统的部署方法的流程图二;
图4为本发明实施例中的一种网络连接原理示意图一;
图5为本发明实施例中的一种网络连接原理示意图二;
图6为本发明实施例中的一种网络连接原理示意图三;
图7为本发明实施例提供的一种基于虚拟机的入侵检测系统的部署装置的结构示意图一;
图8为本发明实施例提供的一种基于虚拟机的入侵检测系统的部署装置的结构示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在实现本发明具体实施例的过程中,发明人发现,现有技术的入侵检测系统的部署方式是将硬件传感器放置在关键的网络出口以及需要重点监控的网段。在共享式网络中,计算机之间共享网络链路,传感器可以直接监听到网段中所有的数据包。
而对于上述现有技术的部署方式,存在一些影响部署的因素:
例如,如果交换设备支持端口镜像功能,则可以将流向各端口的数据包复制一份给监控端口,而传感器直接与监控端口相连接,但这种方式会在很大程度上影响交换设备的性能;如果交换设备不支持端口镜像功能,则需在网络中增加其它设备改变网络拓扑结构,如通过集线器(共享式监听方式),或通过分路器设备对交换式网络中的数据包进行分析和处理。
另一个影响入侵检测系统部署成功与否的因素是其在网络中的部署位置。按照部署位置的不同可分为以下几种方式:
边界保护:在大多数网络中,边界保护是指在内部网络和互连网之间的链路。任何到互连网的连接都需要被监控。
到商业伙伴的连接(简称Extranets):传感器可以监视内部网络和商业伙伴网络之间的链路上流动的数据流。因为如果任何一个网络具有安全弱点,另一个网络也会变得易受攻击。
内部网络的关键网段:网络攻击的绝大多数损失来自于组织机构内部所进行的攻击。在关键部门(如研发部、财务部等)的网络入口部署,有效监视不同部门网络间的数据流。
另外,入侵检测系统常常与防火墙配合使用。按照入侵检测系统与防火墙部署位置之间的关系,有以下三种方式:
位于防火墙之外:这种安排使传感器可以看见所有来自互联网的攻击,可以保护隔离区(Demilitarized Zone,简称DMZ)中安装的设备不受攻击,同时还有效地保护了防火墙。缺点是入侵检测系统将直接面对进入网络的全部流量,会大大增加自身的负载,同时面临着被直接攻击的危险。
位于防火墙内:这种方式使入侵检测系统可以专注于穿透防火墙的攻击与来自于局域网内部的攻击,管理员可以清楚地看到哪些攻击真正对自己的网络构成了威胁。
位于防火墙内外:可以检测来自内部和外部的所有攻击,但同时也增加了成本。
可见,通过背景技术和上述现有技术的部署方式和影响,可以获知,当前入侵检测系统的部署存在着诸多问题。
首先,目前入侵检测系统绝大部分是基于硬件的产品,成本高,部署起来不够方便和灵活。
其次,入侵检测系统在网络环境中的部署方式依赖于具体的网络拓扑结构。在共享式网络中,虽然入侵检测系统能直接监测到所有网络流量,但这种共享的方式也增加了安全风险,因为连接到此网络的计算机只要将网卡设为混杂模式即可观测到其它计算机的网络报文,同样也可以截获到入侵检测系统的报警信息;在交换式网络中,则存在着需要额外的硬件支持、性能降低以及拓扑结构被改变等问题。
再次,随着互联网业务的不断增长,各公司、企业的网络规模不断扩大,防火墙内外以及边界保护等单一的部署方式已经无法满足入侵检测的需要,而多位置、全方位的部署无疑会带来高昂的成本开销。由于网络规模较大,入侵监测系统往往面对巨大的网络流量,一方面大大增加了入侵检测系统的工作负载,另一方面使入侵检测系统很难区分正常流量与恶意攻击。
最后,入侵检测系统一经部署,位置就已固定,难以动态的调整监控的范围,无法有针对性地对可疑的网络流量和入侵行为进行检测,从而导致误报率和漏报率过高,很大程度上降低了入侵检测系统的正确性和效率。
为了克服上述问题,如图1所示,本发明实施例提供一种基于虚拟机的入侵检测系统的部署方法,应用于一如图2所示的虚拟机环境系统20,所述虚拟机环境系统20包括计算机设备21和网络文件服务器22,在所述计算机设备21的系统中运行有被监测的虚拟机211以及入侵检测系统虚拟机212(此处的虚拟机可以是通过计算机设备中的虚拟机软件,如vmware、xen等软件实现,入侵检测系统虚拟机又可称为IDS虚拟机);另外,被监测的虚拟机211以及入侵检测系统虚拟机212之间可以通过虚拟交换机进行通信。另外,在计算机设备21的系统中还运行有虚拟机监控器213。另外该计算机设备21还具有硬件层214,该硬件层214可以包含CPU、存储器以及输入输出端口(I/O),输入输出端口通过物理网络23与网络文件服务器22通信连接。
所述方法包括:
步骤101、在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据。
步骤102、在网络文件服务器中生成所述虚拟机镜像数据的配置文件。
步骤103、实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署。
步骤104、在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
本发明实施例提供的一种基于虚拟机的入侵检测系统的部署方法,采用在计算机设备中运行虚拟机的软件部署方式,将入侵检测系统封装于虚拟机镜像中,利用虚拟机动态灵活部署的特点实现入侵检测系统的按需部署。同时,入侵检测系统和被监控系统之间无需额外硬件支持以及无需拓扑结构的改变即可进行网络互联。且本发明实施例引入自动部署机制,实时监测各被监测的虚拟机的异常情况,无需人工干预即可进行自动部署和调整监测范围,及时对恶意流量和入侵行为进行监测,提高了监测的效率和准确性。本发明可以解决在众多互联网接入点上均部署入侵检测系统,会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,造成应用中断的问题。
为了使本领域的技术人员更好的了解本发明,下面列举一个更为详细的实施例,如图3所示,本发明实施例提供一种基于虚拟机的入侵检测系统的部署方法,包括:
步骤201、创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件。
步骤202、将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中。
该操作系统文件和入侵检测系统可以是在其他计算机设备中先行以最小化方式安装一操作系统,并安装入侵检测系统,再从其他计算机设备处将操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中。
步骤203、修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统。
步骤204、修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。
步骤205、在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。
此处在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息属于配置入侵检测系统虚拟机的基本信息。此处的入侵检测系统虚拟机的网络信息中需要设置两块虚拟网卡的连接信息,一块与虚拟交换机相连,用作入侵检测系统虚拟机本身的通信,另一块专门用于接收需要监控的网络流量。
步骤206、实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况。
步骤207、在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况。
具体的,虚拟机监控器作为虚拟机软件的重要组成部分,可以实时监测运行其上的虚拟机的CPU占用率、内存使用率、网络的带宽占用率等。网络攻击与入侵事件往往伴随着CPU负载过高、网络带宽耗尽等现象,本发明实施例根据虚拟机监控器所提供的实时运行数据来判断是否需要部署入侵检测系统虚拟机,该步骤207可以通过如下方式实现:
通过虚拟机监控器实时采集当前虚拟机的运行数据,主要包括CPU占用率、内存使用率、网络带宽占用率;可以分别为这三种运行数据预先设定阀值;
如果某台被监测的虚拟机其中任何一种运行数据的占用率超过预设阀值则提出确定出现异常。
一般情况下,黑客在入侵计算机系统的过程中,为了以后重新进入或远程控制该主机,往往要留下“后门”,最常见的做法是修改关键系统文件(如windows下注册表、Linux下的/etc/passwd、/etc/shadow等)。针对这种类型的入侵行为,本发明实施例采用了一种方法,定期检查这些关键系统文件,如果发现文件改动,则确定出现异常,即实时确定系统关键文件出现的异常情况。具体步骤可以如下:
挂载当前运行的被监测的虚拟机的虚拟磁盘文件,计算其中关键系统文件的哈希值,保存到异常监控模块的缓存中。
每隔一定时间间隔重新计算这些关键系统文件的哈希值。
与预先缓存的哈希值作比较,如果不完全一样,则不匹配,确定出现异常。
在步骤207之后,执行步骤208、209或者步骤210。
步骤208、若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行,则开始监测出现异常情况的被监测的虚拟机。
具体的,在计算机设备的系统中可以设有专用存储空间来存放入侵检测系统虚拟机镜像;这样,检查该存储空间中是否存在虚拟机镜像文件和配置文件来确定是否已经部署了入侵检测系统;并可通过虚拟机监控器内置命令来检测入侵检测系统是否正常运行。
步骤209、若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行,则启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机。
入侵检测系统虚拟机的配置文件提供了虚拟机基本信息和网络配置信息。其中基本信息给出了虚拟机名称、磁盘镜像文件路径等启动必备信息,而网络配置信息则与入侵检测系统虚拟机的部署密切相关。启动入侵检测系统虚拟机并进行网络流量监控有两种方式,分别是虚拟交换机镜像端口方式和新增虚拟交换机方式。
其中,虚拟交换机镜像端口方式与硬件交换机流量镜像端口的功能类似,其具体步骤如下:
根据配置文件中的基本信息启动入侵检测系统虚拟机。
根据配置文件中的网络配置信息启动一个虚拟网卡连入虚拟交换机(其具体实现为网桥),该虚拟网卡用于入侵检测系统虚拟机的正常网络通信;入侵检测系统的控制信息、检测到攻击时所产生的报警信息都通过该网卡进行传送。
启动供入侵检测专用虚拟网卡,只要任何网络流量被发送到该网卡就会被入侵检测系统所监测。
确定虚拟交换机需要监控某台虚拟机网络流量。
当来自或发往该虚拟机的流量到达虚拟交换机时,虚拟交换机复制该流量,并转发到入侵检测专用虚拟网卡。
入侵检测系统虚拟机接收到网络流量,进行检测和分析。
任何不经由虚拟交换机直接发往专用虚拟网卡的流量都被丢弃。
如图4所示的网络连接原理,可以获知系统中的虚拟机通过虚拟交换机连接,虚拟交换机与外界网络相连。当虚拟交换机接收到网络报文,它会将报文转发到目的虚拟机,而其他虚拟机并不会收到报文。
另外一种方式为双虚拟交换机方式,这一方式通过新增一个入侵检测系统专用虚拟交换机(Linux中为网桥),将被监控的虚拟机的虚拟网卡加入这个虚拟交换机,即可实现监控。网络连接关系如图5所示。当发往被监控虚拟机的网络流量到达物理网络后,将沿着箭头方向,从①到④到达被监控虚拟机。途中都将流经IDS虚拟机,因此可以被监测到。被监控虚拟机发出的网络报文与箭头走向相反,途中也流经IDS虚拟机。在这种方式下,IDS虚拟机充当了路由器的角色,因此需要将IDS虚拟机中的路由转发功能打开(Linux中对应的是ip_forward设置)。
步骤210、若计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统,则控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统,并启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机。
在步骤208、209和步骤210之后,继续执行步骤211。
步骤211、在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
此处,进行入侵检测系统的撤销的方式有两种:
一种为镜像端口方式:
对于被IDS(入侵检测系统)监控的虚拟机,如果在指定的时间间隔内未发现入侵事件,则撤销对系统的监控,具体步骤如下:
①、接收入侵检测虚拟机所发来的报警信息。如果指定时间间隔(如1分钟)内未接收到报警信息,则取消监控;
②、首先发消息给虚拟交换机,通知其关闭镜像端口。具体操作为,当流量到达虚拟交换机时,取消复制相应的流量。
③、关闭入侵检测虚拟机。
另一种为双虚拟交换机方式:
该方式与镜像端口方式仅在步骤②处有所不同。
其步骤②的方式为:分别发消息给普通虚拟交换机和IDS专用虚拟机交换机,通知它们将IDS虚拟机的两个虚拟网卡移除;接着将被监控虚拟机的虚拟网卡从IDS专用虚拟交换机上转移到普通虚拟交换机上。之后的网络结构如图6所示。之后即可关闭入侵检测虚拟机。
本发明实施例提供的一种基于虚拟机的入侵检测系统的部署方法,采用在计算机设备中运行虚拟机的软件部署方式,将入侵检测系统封装于虚拟机镜像中,利用虚拟机动态灵活部署的特点实现入侵检测系统的按需部署。同时,入侵检测系统和被监控系统之间无需额外硬件支持以及无需拓扑结构的改变即可进行网络互联。且本发明实施例引入自动部署机制,实时监测各被监测的虚拟机的异常情况,无需人工干预即可进行自动部署和调整监测范围,及时对恶意流量和入侵行为进行监测,提高了监测的效率和准确性。本发明可以解决在众多互联网接入点上均部署入侵检测系统,会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,造成应用中断的问题。
对应于上述图1和图3所述的方法实施例,如图7所示,本发明实施例还提供一种基于虚拟机的入侵检测系统的部署装置,应用于如图2所示的虚拟机环境系统,所述装置包括:
虚拟机镜像数据创建单元31,用于在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据。
配置文件生成单元32,用于在网络文件服务器中生成所述虚拟机镜像数据的配置文件。
入侵检测系统部署单元33,用于实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署。
入侵检测系统撤销单元34,用于在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
具体的,如图8所示,所述虚拟机镜像数据创建单元31,包括:
标准镜像格式文件创建模块311,用于创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件。
拷贝模块312,用于将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中。
启动文件修改模块313,用于修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统。
网卡配置信息修改模块314,用于修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。
此外,所述配置文件生成单元32,具体用于:
在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。
具体的,如图8所示,所述入侵检测系统部署单元33,包括:
监测模块331,用于实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况。
部署情况判断模块332,用于在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况。
异常虚拟机监测模块333,用于在计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行时,开始监测出现异常情况的被监测的虚拟机。
入侵检测系统虚拟机启动模块334,用于在计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行时,启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机。
入侵检测系统部署模块335,用于在计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统时,控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统。
本发明实施例提供的一种基于虚拟机的入侵检测系统的部署装置,采用在计算机设备中运行虚拟机的软件部署方式,将入侵检测系统封装于虚拟机镜像中,利用虚拟机动态灵活部署的特点实现入侵检测系统的按需部署。同时,入侵检测系统和被监控系统之间无需额外硬件支持以及无需拓扑结构的改变即可进行网络互联。且本发明实施例引入自动部署机制,实时监测各被监测的虚拟机的异常情况,无需人工干预即可进行自动部署和调整监测范围,及时对恶意流量和入侵行为进行监测,提高了监测的效率和准确性。本发明可以解决在众多互联网接入点上均部署入侵检测系统,会造成硬件成本较高,且可用性低,系统维护和升级或者扩容时候需要停机进行,造成应用中断的问题。
另外,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据。
在网络文件服务器中生成所述虚拟机镜像数据的配置文件。
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署。
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
另外,本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据。
在网络文件服务器中生成所述虚拟机镜像数据的配置文件。
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署。
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于虚拟机的入侵检测系统的部署方法,其特征在于,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;
所述方法包括:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
2.根据权利要求1所述的基于虚拟机的入侵检测系统的部署方法,其特征在于,所述在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据,包括:
创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件;
将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中;
修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统;
修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。
3.根据权利要求1所述的基于虚拟机的入侵检测系统的部署方法,其特征在于,所述在网络文件服务器中生成所述虚拟机镜像数据的配置文件,包括:
在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。
4.根据权利要求1所述的基于虚拟机的入侵检测系统的部署方法,其特征在于,实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署,包括:
实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况;
在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况;
若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行,则开始监测出现异常情况的被监测的虚拟机;
若计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行,则启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机;
若计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统,则控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统。
5.一种基于虚拟机的入侵检测系统的部署装置,其特征在于,应用于一虚拟机环境系统,所述虚拟机环境系统包括计算机设备和网络文件服务器,在所述计算机设备的系统中运行有被监测的虚拟机以及入侵检测系统虚拟机;
所述装置包括:
虚拟机镜像数据创建单元,用于在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
配置文件生成单元,用于在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
入侵检测系统部署单元,用于实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
入侵检测系统撤销单元,用于在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
6.根据权利要求5所述的基于虚拟机的入侵检测系统的部署装置,其特征在于,所述虚拟机镜像数据创建单元,包括:
标准镜像格式文件创建模块,用于创建一符合虚拟机软件版本和硬件条件的标准镜像格式文件;
拷贝模块,用于将预先设置的操作系统文件和入侵检测系统拷贝到所述标准镜像格式文件中;
启动文件修改模块,用于修改操作系统文件中的启动文件,使得入侵检测系统虚拟机在启动时自动加载所述入侵检测系统;
网卡配置信息修改模块,用于修改操作系统文件中的网卡配置信息,以在操作系统中新增一网卡,以用于监测网络报文。
7.根据权利要求5所述的基于虚拟机的入侵检测系统的部署装置,其特征在于,所述配置文件生成单元,具体用于:
在网络文件服务器中配置入侵检测系统虚拟机的虚拟机名称和磁盘信息,并配置入侵检测系统虚拟机的网络信息,形成所述配置文件。
8.根据权利要求5所述的基于虚拟机的入侵检测系统的部署装置,其特征在于,所述入侵检测系统部署单元,包括:
监测模块,用于实时监测各被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件被篡改的情况;
部署情况判断模块,用于在被监测的虚拟机的CPU占用率、内存使用率、带宽占用率以及系统关键文件出现异常情况时,判断计算机设备的系统中入侵检测系统虚拟机的入侵检测系统的部署情况;
异常虚拟机监测模块,用于在计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统正常运行时,开始监测出现异常情况的被监测的虚拟机;
入侵检测系统虚拟机启动模块,用于在计算机设备的系统中入侵检测系统虚拟机已经部署了入侵检测系统,且入侵检测系统未运行时,启动所述入侵检测系统虚拟机,并将入侵检测系统虚拟机连接入虚拟网络,以开始监测出现异常情况的被监测的虚拟机;
入侵检测系统部署模块,用于在计算机设备的系统中入侵检测系统虚拟机未部署入侵检测系统时,控制入侵检测系统虚拟机从所述网络文件服务器下载所述虚拟机镜像数据和所述配置文件,并保存到入侵检测系统虚拟机的本地目录中,以部署入侵检测系统。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现以下步骤:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
10.一种计算机设备,包括存储器、处理器及存储在存储上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
在网络文件服务器中创建静态的包含入侵检测系统的虚拟机镜像数据;
在网络文件服务器中生成所述虚拟机镜像数据的配置文件;
实时监测各被监测的虚拟机的异常情况,并根据各被监测的虚拟机的异常情况,采用所述虚拟机镜像数据和所述配置文件,在入侵检测系统虚拟机上进行入侵检测系统的部署;
在被监测的虚拟机在预先设置的时间间隔内未发生入侵事件,则进行入侵检测系统的撤销。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711191743.1A CN107896215A (zh) | 2017-11-24 | 2017-11-24 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711191743.1A CN107896215A (zh) | 2017-11-24 | 2017-11-24 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107896215A true CN107896215A (zh) | 2018-04-10 |
Family
ID=61806028
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711191743.1A Pending CN107896215A (zh) | 2017-11-24 | 2017-11-24 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107896215A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108804122A (zh) * | 2018-06-04 | 2018-11-13 | 北京知道创宇信息技术有限公司 | 信息安全处理系统、虚拟专用服务器及其控制方法 |
CN110737502A (zh) * | 2018-07-19 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 镜像文件的处理方法、装置和系统 |
CN110866245A (zh) * | 2019-11-13 | 2020-03-06 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
CN110875900A (zh) * | 2018-08-31 | 2020-03-10 | 重庆小雨点小额贷款有限公司 | 企业安全管理方法、装置及安全管理服务器 |
CN110912899A (zh) * | 2019-11-27 | 2020-03-24 | 王向远 | 网络安全入侵检测方法、装置、服务器及可读存储介质 |
CN110943974A (zh) * | 2019-11-06 | 2020-03-31 | 国网上海市电力公司 | 一种DDoS异常检测方法及云平台主机 |
CN114553798A (zh) * | 2022-01-14 | 2022-05-27 | 奇安信科技集团股份有限公司 | 流量镜像方法、装置、电子设备、介质及产品 |
CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
CN115001754A (zh) * | 2022-05-13 | 2022-09-02 | 国科华盾(北京)科技有限公司 | 一种可对敏感数字信息传输进行实时监控的网络安全系统 |
CN115225297A (zh) * | 2021-04-16 | 2022-10-21 | 中国移动通信集团江苏有限公司 | 一种阻断网络入侵的方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
WO2013048111A2 (ko) * | 2011-09-26 | 2013-04-04 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스로의 침입을 탐지하는 방법 및 장치 |
CN103178988A (zh) * | 2013-02-06 | 2013-06-26 | 中电长城网际系统应用有限公司 | 一种性能优化的虚拟化资源的监控方法和系统 |
-
2017
- 2017-11-24 CN CN201711191743.1A patent/CN107896215A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
WO2013048111A2 (ko) * | 2011-09-26 | 2013-04-04 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스로의 침입을 탐지하는 방법 및 장치 |
CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
CN103178988A (zh) * | 2013-02-06 | 2013-06-26 | 中电长城网际系统应用有限公司 | 一种性能优化的虚拟化资源的监控方法和系统 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108804122A (zh) * | 2018-06-04 | 2018-11-13 | 北京知道创宇信息技术有限公司 | 信息安全处理系统、虚拟专用服务器及其控制方法 |
CN108804122B (zh) * | 2018-06-04 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 信息安全处理系统、虚拟专用服务器及其控制方法 |
CN110737502B (zh) * | 2018-07-19 | 2023-05-05 | 阿里巴巴集团控股有限公司 | 镜像文件的处理方法、装置和系统 |
CN110737502A (zh) * | 2018-07-19 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 镜像文件的处理方法、装置和系统 |
CN110875900A (zh) * | 2018-08-31 | 2020-03-10 | 重庆小雨点小额贷款有限公司 | 企业安全管理方法、装置及安全管理服务器 |
CN110943974A (zh) * | 2019-11-06 | 2020-03-31 | 国网上海市电力公司 | 一种DDoS异常检测方法及云平台主机 |
CN110866245A (zh) * | 2019-11-13 | 2020-03-06 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
CN110866245B (zh) * | 2019-11-13 | 2023-11-07 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
CN110912899A (zh) * | 2019-11-27 | 2020-03-24 | 王向远 | 网络安全入侵检测方法、装置、服务器及可读存储介质 |
CN110912899B (zh) * | 2019-11-27 | 2022-05-31 | 深圳第一线通信有限公司 | 网络安全入侵检测方法、装置、服务器及可读存储介质 |
CN115225297A (zh) * | 2021-04-16 | 2022-10-21 | 中国移动通信集团江苏有限公司 | 一种阻断网络入侵的方法及装置 |
CN115225297B (zh) * | 2021-04-16 | 2024-05-03 | 中国移动通信集团江苏有限公司 | 一种阻断网络入侵的方法及装置 |
CN114553798A (zh) * | 2022-01-14 | 2022-05-27 | 奇安信科技集团股份有限公司 | 流量镜像方法、装置、电子设备、介质及产品 |
CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
CN114978963B (zh) * | 2022-04-26 | 2024-07-05 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
CN115001754A (zh) * | 2022-05-13 | 2022-09-02 | 国科华盾(北京)科技有限公司 | 一种可对敏感数字信息传输进行实时监控的网络安全系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107896215A (zh) | 一种基于虚拟机的入侵检测系统的部署方法及装置 | |
CN101465770B (zh) | 入侵检测系统部署方法 | |
US10462188B2 (en) | Computer network security system | |
CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
EP1495616B1 (en) | Detecting and countering malicious code in enterprise networks | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
Sandhu et al. | A survey of intrusion detection & prevention techniques | |
US10412109B2 (en) | Method for detecting vulnerabilities in a virtual production server of a virtual or cloud computer system | |
CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
US10862921B2 (en) | Application-aware intrusion detection system | |
CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
EP1451999A1 (en) | Detecting intrusions in a network | |
CN110826058B (zh) | 基于用户交互的恶意软件检测的设备、方法、介质 | |
JP2002251374A (ja) | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
Suma | Automatic spotting of sceptical activity with visualization using elastic cluster for network traffic in educational campus | |
CN113315666A (zh) | 一种面向信息网络安全的防御控制方法及系统 | |
Zhong et al. | A safe mobile agent system for distributed intrusion detection | |
Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures | |
CN117319032A (zh) | 网络安全主动防御方法及系统 | |
KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
KR20190134287A (ko) | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 | |
Mohammadi et al. | Detecting malicious packet drops and misroutings using header space analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180410 |