[发明专利]一种可按需服务的虚拟化网络入侵检测方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种可按需服务的虚拟化网络入侵检测方法和装置。

背景技术

云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后，可以极大的提高软件系统对硬件资源的利用率，并通过虚拟化平台对计算、存储、网络等资源的统一调度管理，实现按需高效的使用硬件资源。

提高硬件的利用率，充分利用硬件过盛的计算、存储和网络资源，从而降低硬件投资成本，是企业实施虚拟化的主要驱动力之一。由于现在硬件的更新换代太快，企业在购买硬件时一般无法做到完全按照软件的性能需求来配置服务器硬件，通常都会造成硬件的性能浪费，虚拟化技术把硬件资源池化后，以虚拟机的形态按需的分配资源给特定的虚拟化的服务器，从而达到资源的最大利用率。在传统的物理网络环境中，根据业务的安全防护需求，经常会存在一台物理服务器被设置为一个独立的虚拟网络安全域的情况，这时就需要配置一台的网络入侵检测硬件产品对其进行监控防护。网络入侵检测硬件产品通常可处理的网络带宽在1Gb甚至10Gb，而对于很多企业内部应用服务器来说，其需要被检测的网络流量往往远低于1Gb，甚至通常只有几十Mb，这样不仅对入侵检测硬件产品的计算能力是极大的浪费，而且对于企业来说，也增加了很多额外的无用投资。能否利用虚拟化技术改进如入侵检测这类安全产品的硬件资源利用率，为企业客户提供高效实用的安全解决方案也正成为安全公司需要面对的问题。

网络入侵检测系统是一种通过深度分析捕获的网络数据包，识别和检测网络入侵行为的软件系统。网络入侵检测系统的核心部分通常是由抓包引擎和检测引擎两部分构成，其中抓包引擎负责通过从接入到物理网络的抓包口抓取数据包，而检测引擎则负责分析抓取到的数据包，并且把识别出的异常行为和告警上报到管理中心。网络入侵检测虚拟引擎技术是网络入侵检测系统中一种通过多个进程模拟出多个虚拟的检测引擎，以提高网络入侵检测系统的硬件资源利用率的一种技术手段。但是，这种网络入侵检测虚拟引擎技术并无法做到对硬件资源的按需分配和使用，特别在被监控服务器数量较多，流量变化不稳定的情况下，容易造成抓包口的数据拥塞。

发明内容

本发明所要解决的技术问题是，提供一种应用于虚拟化网络中的可提供按需弹性服务的网络入侵检测方法和装置，以保证在低网络负载情况下具有较高的系统计算资源利用率，在高网络负载情况下具有足够的检测能力，且不会过多占用虚拟化服务器的资源。

为了解决上述问题，本发明公开了一种按需服务的虚拟化网络入侵检测装置，至少包括弹性服务调度模块和本地检测资源池管理模块，其中：

所述弹性服务调度模块，按照事先设定的安全策略中设置的每个网络安全域边界网络业务流的服务带宽评估本地检测资源池中的剩余资源是否能够提供本地检测服务，若能够提供本地检测服务，则下发本地检测资源调整的命令给所述本地检测资源池管理模块，若不能够提供本地检测服务，则根据所述安全策略将需要检测的流量导出到外部硬件网络入侵检测产品中；

所述本地检测资源池管理模块，提供本地检测资源池的分配和监控，并在接收到所述弹性服务调度模块发起的本地检测资源调整的命令时，从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。

可选地，上述装置还包括：

网络数据包捕获模块，监听虚拟交换机上的网络数据流，从中捕获事先设定的安全策略中指定网络接口的数据包；

流量分类整形模块，计算每个需要检测的网络流的实时流速，将所述网络数据包捕获模块所捕获的每个需要检测的数据包放入虚拟网络安全域边界的待检测队列中，并在所述本地检测资源池管理模块分配有本地检测资源时，使用本地检测资源检测所述待检测队列中的各数据包，在所述本地检测资源池管理模块未分配本地检测资源时，使用外部硬件网络入侵检测产品检测所述待检测队列中的各数据包。