一种面向云计算环境的入侵检测系统.pdfVIP

(19)中华人民共和国国家知识产权局 *CN102724176A* (12)发明专利申请 (10)申请公布号 CN 102724176 A (43)申请公布 日 2012.10.10 (21)申请号 201210042048.X (22)申请 日 2012.02.23 (71)申请人 北京市计算中心 地址 100012 北京市朝阳区北苑路大羊坊 28 号北科创业大厦B 座1206 室 (72)发明人 曾宇 (74)专利代理机构 北京安博达知识产权代理有 限公司 11271 代理人 徐国文 (51) Int.C l. H04L 29/06 (2006.01) H04L 29/08 (2006.01) 权利要求书 2 页 说明书 6 页 附图 5 页 权利要求书2 页 说明书6 页 附图5 页 (54) 发明名称 一种面向云计算环境的入侵检测系统 (57) 摘要 本发明探讨了基于拆分及大规模共享虚拟计 算环境下的安全问题，并提出了基于虚拟机的面 向虚拟计算环境的安全框架及其大规模分布式可 扩展入侵检测系统，该系统为用户提供能力服务 域内外部资源访问监控身份认证和加密数据传输 通道，提供用户空间和系统空间的隔离和保护并 最终保障基于能力服务器的应用安全。解决了能 力服务器下由此带来的大规模动态用户数量、大 规模动态虚拟资源对象、动态增加和缩减的计算 负载、用户空间隔离、用户系统隔离和保护、防内 外网攻击、设备安全复用和共享、通信安全、统一 认证和访问控制等诸多安全问题。 A 6 7 1 4 2 7 2 0 1 N C CN 102724176 A 权 利 要 求 书 1/2 页 1. 一种面向云计算环境的入侵检测系统，其特征在于： 所述系统为分级系统，每级由一个虚拟管理控制中心和一个管理控制台组成，当进行 跨级操作时，经过的每一级的虚拟管理控制中心起信息路由和转发作用，通信协议为CIM over SSL ； 所述虚拟管理控制中心负责保存安全策略和能力服务域对象化资源描述信息，保存并 向上级传送资产、策略、报警和日志信息；向能力服务域内各级网格化部件、应用服务器和 虚拟IDS 引擎传达管理命令和分发安全策略；所述报警和日志信息在格式化处理后供统计 分析和数据挖掘； 所述管理控制台提供图形界面给用户用于集中管理能力服务域，负责描述能力服务域 域虚拟资产信息及网格化部件安全策略、日志和审计功能。 2. 如权利要求1 所述的系统，其特征在于：所述CIM over SSL 协议以SSL 为基础，以 XML 为数据描述格式，规定了22 个操作原语，根据需要加入符合SOAP 协议的通信接口。 3. 如权利要求1所述的系统，其特征在于：所述虚拟IDS 引擎采用集中式管理方式，集 中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚 拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图。 4. 如权利要求1所述的系统，其特征在于：所述虚拟IDS 引擎基于自描述机制，在软件 虚拟机构造或迁移、应用调度产生后自动完成虚拟IDS 引擎的初始化、运行环境的实列化 和安全策略的下载与运行。 5. 如权利要求1 所述的系统，其特征在于：所述能力服务域统一安全策略伴随物理虚 拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高 层虚拟管理控制中心分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而 测试策略的效果，避免安全隐患发生。 6. 如权利