用于云計算環(huán)境的入侵檢測系統(tǒng)���、方法及設(shè)備的制作方法
【專利摘要】本發(fā)明提出了用于云計算環(huán)境的入侵檢測系統(tǒng)、方法及設(shè)備。其中�,所述方法包括:至少一個主機中的入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件���,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器���,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器;入侵檢測服務(wù)器根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程。本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)��、方法及設(shè)備具有高的適配性、靈活性和擴展性并能夠進行關(guān)聯(lián)分析。
【專利說明】用于云計算環(huán)境的入侵檢測系統(tǒng)��、方法及設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及入侵檢測系統(tǒng)、方法及設(shè)備,更具體地,涉及用于云計算環(huán)境的入侵檢測系統(tǒng)、方法及設(shè)備��。
【背景技術(shù)】
[0002]目前,隨著計算機和網(wǎng)絡(luò)應(yīng)用的日益廣泛以及不同領(lǐng)域的業(yè)務(wù)種類的日益豐富,用于云計算環(huán)境的入侵檢測系統(tǒng)��、方法及設(shè)備變得越來越重要����。
[0003]在云計算環(huán)境的常見模式中,通過虛擬化技術(shù)將數(shù)據(jù)中心的服務(wù)器����、存儲器、網(wǎng)絡(luò)等資源抽象成邏輯的虛擬資源池,并通過網(wǎng)絡(luò)傳遞給用戶�,從而實現(xiàn)資源的有效利用��,例如�����,最常見的形式是將資源分配為不同的虛擬機以供用戶使用。
[0004]然而����,現(xiàn)有的用于云計算環(huán)境的入侵檢測系統(tǒng)及方法存在如下問題:(1)用戶身份的多樣化導致用戶不是完全可信����,即可能成為潛在的入侵者;(2)單個虛擬機的安全無法得到保障�;(3)虛擬機的集中式管理導致安全漏洞集中出現(xiàn)�����,即如果單個虛擬機被黑客控制則可能導致多個虛擬機被集體入侵�;(4)由于入侵事件僅發(fā)生在由虛擬機構(gòu)成的內(nèi)網(wǎng)之中,故邊界的網(wǎng)絡(luò)防護不具有針對入侵事件的安全防護功能。
[0005]因此�����,存在如下需求:提供具有高的適配性����、靈活性和擴展性并能夠進行關(guān)聯(lián)分析的針對云計算環(huán)境中的主機(包括虛擬主機)的入侵檢測系統(tǒng)�、方法及設(shè)備�����。
【發(fā)明內(nèi)容】
[0006]為了解決上述現(xiàn)有技術(shù)方案所存在的問題��,本發(fā)明提出了具有高的適配性、靈活性和擴展性并能夠進行關(guān)聯(lián)分析的針對云計算環(huán)境中的主機(包括虛擬主機)的入侵檢測系統(tǒng)、方法及設(shè)備�����。
[0007]本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的:
一種用于云計算環(huán)境的入侵檢測系統(tǒng)���,所述用于云計算環(huán)境的入侵檢測系統(tǒng)包括:
至少一個主機���,所述至少一個主機中的每個包括入侵檢測客戶端�,所述入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件����,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器���,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器��;
入侵檢測服務(wù)器�,所述入侵檢測服務(wù)器根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程���。
[0008]在上面所公開的方案中���,優(yōu)選地,所述至少一個主機是云計算環(huán)境中的主機����。
[0009]在上面所公開的方案中,優(yōu)選地���,當發(fā)生與安全性相關(guān)的嚴重事件時,所述入侵檢測客戶端構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器�,其中����,所述事件響應(yīng)請求包含該嚴重事件的信息。
[0010]在上面所公開的方案中,優(yōu)選地��,所述入侵檢測服務(wù)器進一步包括: 關(guān)聯(lián)分析模塊��,所述關(guān)聯(lián)分析模塊接收所述至少一個主機發(fā)送來的主機事件并執(zhí)行關(guān)聯(lián)分析操作,以及根據(jù)分析結(jié)果生成相關(guān)的告警指令��,并將所述告警指令傳送到告警模塊���;
告警模塊���,所述告警模塊基于所述告警指令執(zhí)行告警操作����;
響應(yīng)請求處理模塊�,所述響應(yīng)請求處理模塊接收并分析所述事件響應(yīng)請求,并基于分析結(jié)果觸發(fā)響應(yīng)機制以響應(yīng)所述事件響應(yīng)請求對應(yīng)的嚴重事件�;
規(guī)則管理模塊���,所述規(guī)則管理模塊管理和維護入侵檢測規(guī)則�����,其中�,所述入侵檢測規(guī)則包括監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則����;
主機管理模塊,所述主機管理模塊管理和維護所述至少一個主機的狀態(tài)信息�,以及對所述至少一個主機進行分類并基于分類結(jié)果將不同類型的監(jiān)控規(guī)則應(yīng)用到對應(yīng)的主機;用戶接口,所述用戶接口接收并轉(zhuǎn)發(fā)來自用戶的管理指令以執(zhí)行相關(guān)的管理操作���,所述管理指令包括針對所述入侵檢測規(guī)則的配置指令。
[0011]在上面所公開的方案中,優(yōu)選地��,所述入侵檢測客戶端周期性地將監(jiān)控規(guī)則更新請求傳送到所述入侵檢測服務(wù)器以更新所使用的監(jiān)控規(guī)則,其中,所述監(jiān)控規(guī)則更新請求包含當前使用的監(jiān)控規(guī)則的信息��。
[0012]在上面所公開的方案中��,優(yōu)選地,所述入侵檢測服務(wù)器基于接收到的監(jiān)控規(guī)則更新請求將最新的監(jiān)控規(guī)則傳送回對應(yīng)的入侵檢測客戶端以更新該入侵檢測客戶端所使用的監(jiān)控規(guī)則�����。
[0013]在上面所公開的方案中�,優(yōu)選地,所述響應(yīng)機制包括手動的響應(yīng)所述事件響應(yīng)請求或者驅(qū)動對應(yīng)的入侵檢測客戶端自動地執(zhí)行針對所述事件響應(yīng)請求的響應(yīng)操作��。
[0014]在上面所公開的方案中,優(yōu)選地�,所述主機事件至少包括日志事件�����、文件事件����、帳號事件和注冊表改動事件���,并且每個主機事件包括事件標識符�����、分類標識符、源地址���、目的地址��、源端口�、目的端口以及時間���。
[0015]在上面所公開的方案中����,優(yōu)選地��,所述入侵檢測客戶端進一步包括日志監(jiān)控單元�����、文件監(jiān)控單元、帳號監(jiān)控單元��、惡意軟件檢查單元和注冊表監(jiān)控單元,其中�����,所述惡意軟件檢查單元周期性地檢查是否存在惡意軟件,并且如果發(fā)現(xiàn)存在惡意軟件��,則執(zhí)行相應(yīng)的處理過程,并且其中�,所述監(jiān)控規(guī)則至少包括日志監(jiān)控規(guī)則、文件檢查規(guī)則、帳號事件規(guī)則和注冊表監(jiān)控規(guī)則�。
[0016]在上面所公開的方案中,優(yōu)選地����,所述日志監(jiān)控單元周期性地執(zhí)行如下日志監(jiān)控操作:(I)讀取日志監(jiān)控規(guī)則���,所述日志監(jiān)控規(guī)則指定了所有需要監(jiān)控的日志文件路徑��;(2 )收集所述日志監(jiān)控規(guī)則所指定的日志;(3 )根據(jù)所述日志監(jiān)控規(guī)則中的日志解碼規(guī)則提取所收集的日志中的日志事件;(4)根據(jù)所述日志監(jiān)控規(guī)則中的日志事件規(guī)則對每個日志事件進行分析和判斷,并且如果所述日志事件與所述日志事件規(guī)則不匹配�����,則丟棄所述日志事件�,而如果所述日志事件與所述日志事件規(guī)則相匹配,則判斷所述日志事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器,如果不是,則將所述日志事件傳送到所述入侵檢測服務(wù)器。
[0017]在上面所公開的方案中��,優(yōu)選地,所述文件監(jiān)控單元周期性地執(zhí)行如下文件監(jiān)控操作:(I)從文件檢查規(guī)則中讀取需要檢查的文件目錄���;(2)基于所述文件目錄檢查每個對應(yīng)的文件,以獲取該文件的權(quán)限和該文件的哈希值����;(3)將當前文件檢查的結(jié)果與上次文件檢查的結(jié)果相比較,以找出有變化的文件�,并隨之生成相應(yīng)的文件事件且將所述文件事件傳送到所述入侵檢測服務(wù)器�,以及將當前文件檢查的結(jié)果存儲并歸檔����。
[0018]在上面所公開的方案中���,優(yōu)選地����,所述帳號監(jiān)控單元周期性地執(zhí)行如下帳號監(jiān)控操作:(I)將所述日志監(jiān)控操作所得到的每個日志事件和/或所述文件監(jiān)控操作所得到的每個文件事件與帳號事件規(guī)則相比較�����,并且如果與帳號事件規(guī)則不匹配,則丟棄該日志事件和/或文件事件����,而如果與帳號事件規(guī)則不匹配,則判斷該日志事件和/或文件事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件�,如果是,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器,如果不是,則將與該日志事件和/或文件事件相關(guān)聯(lián)的帳號事件傳送到所述入侵檢測服務(wù)器�����。
[0019]在上面所公開的方案中�����,優(yōu)選地����,所述注冊表監(jiān)控單元周期性地執(zhí)行如下注冊表監(jiān)控操作:(I)實時地監(jiān)控注冊表改動事件���;(2)在發(fā)生注冊表改動事件時���,將該注冊表改動事件與注冊表監(jiān)控規(guī)則相比較����,如果該注冊表改動事件與注冊表監(jiān)控規(guī)則不匹配�����,則丟棄該注冊表改動事件�����,而如果該注冊表改動事件與注冊表監(jiān)控規(guī)則相匹配�����,則判斷該注冊表改動事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器��,如果不是�,則將該注冊表改動事件傳送到所述入侵檢測服務(wù)器。
[0020]在上面所公開的方案中�,優(yōu)選地,所述關(guān)聯(lián)分析模塊以如下方式執(zhí)行所述關(guān)聯(lián)分析操作:(I)實時地收集所述至少一個主機傳送來的主機事件���;(2)對所收集的主機事件的事件標識符�、分類標識符���、源地址和目標地址參數(shù)進行頻率計數(shù)���;(3)將所收集的主機事件的所述事件標識符�����、分類標識符���、源地址���、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相比較�,如果所述事件標識符���、分類標識符���、源地址、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相匹配�����,則生成對應(yīng)的新的威脅事件�����,并構(gòu)造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊以執(zhí)行告警操作�����;(4)重置命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù),以開始重新計數(shù),而在預定的時間閾值之后將未命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)重置����,以開始重新計數(shù)����。
[0021]本發(fā)明的目的也可以通過以下技術(shù)方案實現(xiàn):
一種包含入侵檢測客戶端的主機�,其中,所述入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器����,以執(zhí)行后續(xù)的入侵檢測過程�。
[0022]本發(fā)明的目的也可以通過以下技術(shù)方案實現(xiàn):
一種用于云計算環(huán)境的入侵檢測服務(wù)器���,所述入侵檢測服務(wù)器根據(jù)接收到的來自至少一個主機的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程。
[0023]本發(fā)明的目的也可以通過以下技術(shù)方案實現(xiàn):
一種用于云計算環(huán)境的入侵檢測方法,所述方法包括下列步驟:
(Al)至少一個主機中的入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件��,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器��,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器����;
(A2)所述入侵檢測服務(wù)器根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程����。
[0024]本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)�、方法及設(shè)備具有以下優(yōu)點:
(1)具有高的適配性�����,即可以適用于包含運行各種類型的操作系統(tǒng)的主機的云計算環(huán)境��;
(2)具有高的配置靈活性�����,即可以靈活配置和部署監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則��;(3)由于實現(xiàn)了針對入侵事件的關(guān)聯(lián)分析��,故具有增強的安全性。
【專利附圖】
【附圖說明】
[0025]結(jié)合附圖���,本發(fā)明的技術(shù)特征以及優(yōu)點將會被本領(lǐng)域技術(shù)人員更好地理解,其中:
圖1是根據(jù)本發(fā)明的實施例的用于云計算環(huán)境的入侵檢測系統(tǒng)的示意性結(jié)構(gòu)圖�;
圖2是根據(jù)本發(fā)明的實施例的用于云計算環(huán)境的入侵檢測方法的流程圖。
【具體實施方式】
[0026]圖1是根據(jù)本發(fā)明的實施例的用于云計算環(huán)境的入侵檢測系統(tǒng)的示意性結(jié)構(gòu)圖��。如圖1所示,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)包括至少一個主機I以及入侵檢測服務(wù)器2�����。其中,所述至少一個主機I中的每個包括入侵檢測客戶端3,所述入侵檢測客戶端3監(jiān)控其駐留于其上的主機的預定類型的主機事件,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器2���,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2�。所述入侵檢測服務(wù)器2根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程。
[0027]優(yōu)選地���,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中,所述至少一個主機I是云計算環(huán)境中的主機(包括實體主機和/或虛擬主機)。
[0028]優(yōu)選地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中,當發(fā)生與安全性相關(guān)的嚴重事件時�����,所述入侵檢測客戶端3構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2���,其中���,所述事件響應(yīng)請求包含該嚴重事件的信息。
[0029]優(yōu)選地�����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中�����,所述入侵檢測服務(wù)器2進一步包括響應(yīng)請求處理模塊4��、關(guān)聯(lián)分析模塊5����、告警模塊6、主機管理模塊7�、規(guī)則管理模塊8和用戶接口 9。其中�,所述關(guān)聯(lián)分析模塊5接收所述至少一個主機I發(fā)送來的主機事件并執(zhí)行關(guān)聯(lián)分析操作����,以及根據(jù)分析結(jié)果生成相關(guān)的告警指令����,并將所述告警指令傳送到告警模塊6。所述告警模塊6基于所述告警指令執(zhí)行告警操作����。所述響應(yīng)請求處理模塊4接收并分析所述事件響應(yīng)請求���,并基于分析結(jié)果觸發(fā)響應(yīng)機制以響應(yīng)所述事件響應(yīng)請求對應(yīng)的嚴重事件。所述規(guī)則管理模塊8管理和維護入侵檢測規(guī)則��,其中,所述入侵檢測規(guī)則包括監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則。所述主機管理模塊7管理和維護所述至少一個主機I的狀態(tài)信息�,以及對所述至少一個主機I進行分類并基于分類結(jié)果將不同類型的監(jiān)控規(guī)則應(yīng)用到對應(yīng)的主機。所述用戶接口 9接收并轉(zhuǎn)發(fā)來自用戶(例如入侵檢測系統(tǒng)的操作者和/或管理者)的管理指令以執(zhí)行相關(guān)的管理操作�,所述管理指令包括針對所述入侵檢測規(guī)則的配置指令�����。
[0030]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中,所述入侵檢測客戶端3周期性地(示例性地���,每隔5分鐘)將監(jiān)控規(guī)則更新請求傳送到所述入侵檢測服務(wù)器2以更新所使用的監(jiān)控規(guī)則�����,其中��,所述監(jiān)控規(guī)則更新請求包含當前使用的監(jiān)控規(guī)則的信息�。
[0031]優(yōu)選地��,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中���,所述入侵檢測服務(wù)器2基于接收到的監(jiān)控規(guī)則更新請求將最新的監(jiān)控規(guī)則傳送回對應(yīng)的入侵檢測客戶端3以更新該入侵檢測客戶端3所使用的監(jiān)控規(guī)則�����。
[0032]示例性地��,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中,所述告警模塊6以發(fā)送郵件或短信的方式執(zhí)行所述告警操作�。
[0033]示例性地��,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中,所述響應(yīng)機制包括手動的響應(yīng)所述事件響應(yīng)請求或者驅(qū)動對應(yīng)的入侵檢測客戶端3自動地執(zhí)行針對所述事件響應(yīng)請求的響應(yīng)操作��。
[0034]示例性地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中�����,所述入侵檢測客戶端3基于UDP協(xié)議將所監(jiān)測到的主機事件傳送到所述入侵檢測服務(wù)器2。
[0035]示例性地�����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中�,所述入侵檢測客戶端3基于HTTP SOAP協(xié)議實現(xiàn)與所述事件響應(yīng)請求和所述監(jiān)控規(guī)則更新相關(guān)聯(lián)的數(shù)據(jù)通信�����。
[0036]示例性地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中���,所述主機事件至少包括日志事件、文件事件、帳號事件和注冊表改動事件���,并且每個主機事件包括事件標識符�、分類標識符����、源地址���、目的地址��、源端口、目的端口以及時間����。
[0037]優(yōu)選地���,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中�����,所述入侵檢測客戶端3進一步包括日志監(jiān)控單元����、文件監(jiān)控單元、帳號監(jiān)控單元���、惡意軟件(例如Rootkit,其是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具)檢查單元和注冊表監(jiān)控單元,其中,所述惡意軟件檢查單元周期性地檢查是否存在惡意軟件�,并且如果發(fā)現(xiàn)存在惡意軟件��,則執(zhí)行相應(yīng)的處理過程��,并且其中,所述監(jiān)控規(guī)則至少包括日志監(jiān)控規(guī)則、文件檢查規(guī)則�、帳號事件規(guī)則和注冊表監(jiān)控規(guī)則���。
[0038]優(yōu)選地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中���,所述日志監(jiān)控單元周期性地執(zhí)行如下日志監(jiān)控操作:(I)讀取日志監(jiān)控規(guī)則���,所述日志監(jiān)控規(guī)則指定了所有需要監(jiān)控的日志文件路徑(示例性地���,針對windows操作系統(tǒng)日志���,所述日志監(jiān)控規(guī)則定義了要監(jiān)控的windows操作日志的類別(例如系統(tǒng)日志,安全日志,應(yīng)用程序日志等等))�;
(2)收集所述日志監(jiān)控規(guī)則所指定的日志���;(3)根據(jù)所述日志監(jiān)控規(guī)則中的日志解碼規(guī)則提取所收集的日志中的日志事件(由于不同平臺以及不同應(yīng)用的日志格式不相同��,故需要對所收集的日志進行解碼以提取日志事件)��;(4)根據(jù)所述日志監(jiān)控規(guī)則中的日志事件規(guī)則對每個日志事件進行分析和判斷,并且如果所述日志事件與所述日志事件規(guī)則不匹配��,則丟棄所述日志事件�����,而如果所述日志事件與所述日志事件規(guī)則相匹配,則判斷所述日志事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是���,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2��,如果不是���,則將所述日志事件傳送到所述入侵檢測服務(wù)器2�����。
[0039]優(yōu)選地����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中�����,所述文件監(jiān)控單元周期性地(例如每次間隔12小時)執(zhí)行如下文件監(jiān)控操作:(I)從文件檢查規(guī)則中讀取需要檢查的文件目錄;(2)基于所述文件目錄檢查每個對應(yīng)的文件,以獲取該文件的權(quán)限和該文件的哈希(Hash)值;(3)將當前文件檢查的結(jié)果與上次文件檢查的結(jié)果相比較,以找出有變化的文件,并隨之生成相應(yīng)的文件事件且將所述文件事件傳送到所述入侵檢測服務(wù)器2�����,以及將當前文件檢查的結(jié)果存儲并歸檔。
[0040]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中��,所述帳號監(jiān)控單元周期性地執(zhí)行如下帳號監(jiān)控操作:(I)將所述日志監(jiān)控操作所得到的每個日志事件和/或所述文件監(jiān)控操作所得到的每個文件事件與帳號事件規(guī)則相比較�����,并且如果與帳號事件規(guī)則不匹配��,則丟棄該日志事件和/或文件事件,而如果與帳號事件規(guī)則不匹配����,則判斷該日志事件和/或文件事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是����,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2���,如果不是���,則將與該日志事件和/或文件事件相關(guān)聯(lián)的帳號事件傳送到所述入侵檢測服務(wù)器2(賬號監(jiān)控是基于日志監(jiān)控和文件監(jiān)控而實現(xiàn)的���,因為通常系統(tǒng)日志會記錄賬號的變動,同時記錄賬號信息的文件也會發(fā)生變動)��。
[0041]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中��,所述注冊表監(jiān)控單元周期性地執(zhí)行如下注冊表監(jiān)控操作:(1)實時地監(jiān)控注冊表改動事件����;(2)在發(fā)生注冊表改動事件時��,將該注冊表改動事件與注冊表監(jiān)控規(guī)則相比較�����,如果該注冊表改動事件與注冊表監(jiān)控規(guī)則不匹配,則丟棄該注冊表改動事件�,而如果該注冊表改動事件與注冊表監(jiān)控規(guī)則相匹配�����,則判斷該注冊表改動事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件��,如果是,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2�,如果不是��,則將該注冊表改動事件傳送到所述入侵檢測服務(wù)器2。
[0042]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)中,所述關(guān)聯(lián)分析模塊5以如下方式執(zhí)行所述關(guān)聯(lián)分析操作:(I)實時地收集所述至少一個主機I傳送來的主機事件��;(2)對所收集的主機事件的事件標識符、分類標識符�����、源地址和目標地址參數(shù)進行頻率計數(shù)����;(3)將所收集的主機事件的所述事件標識符���、分類標識符、源地址�、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相比較,如果所述事件標識符、分類標識符��、源地址���、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相匹配�,則生成對應(yīng)的新的威脅事件�,并構(gòu)造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊6以執(zhí)行告警操作�;(4)重置命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)���,以開始重新計數(shù),而在預定的時間閾值(例如20分鐘)之后將未命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)重置,以開始重新計數(shù)。
[0043]由上可見����,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測系統(tǒng)具有下列優(yōu)點:(I)具有高的適配性�,即可以適用于包含運行各種類型的操作系統(tǒng)的主機的云計算環(huán)境;(2)具有高的配置靈活性�,即可以靈活配置和部署監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則��;(3)由于實現(xiàn)了針對入侵事件的關(guān)聯(lián)分析����,故具有增強的安全性��。
[0044]如圖1所示����,本發(fā)明公開了包含入侵檢測客戶端3的主機�,所述入侵檢測客戶端3監(jiān)控其駐留于其上的主機的預定類型的主機事件�����,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器2����,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2�,以執(zhí)行后續(xù)的入侵檢測過程���。
[0045]優(yōu)選地�,本發(fā)明所公開的包含入侵檢測客戶端3的主機是云計算環(huán)境中的主機(包括實體主機和/或虛擬主機)�。
[0046]優(yōu)選地,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中��,當發(fā)生與安全性相關(guān)的嚴重事件時�����,所述入侵檢測客戶端3構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2���,其中��,所述事件響應(yīng)請求包含該嚴重事件的信
肩����、O
[0047]優(yōu)選地�����,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中���,所述入侵檢測客戶端3周期性地(示例性地,每隔5分鐘)將監(jiān)控規(guī)則更新請求傳送到所述入侵檢測服務(wù)器2以更新所使用的監(jiān)控規(guī)則,其中,所述監(jiān)控規(guī)則更新請求包含當前使用的監(jiān)控規(guī)則的信息�。
[0048]示例性地��,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中�����,所述入侵檢測客戶端3基于UDP協(xié)議將所監(jiān)測到的主機事件傳送到所述入侵檢測服務(wù)器2�。
[0049]示例性地,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中�,所述入侵檢測客戶端3基于HTTP SOAP協(xié)議實現(xiàn)與所述事件響應(yīng)請求和所述監(jiān)控規(guī)則更新相關(guān)聯(lián)的數(shù)據(jù)通?目�。
[0050]示例性地����,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中�����,所述主機事件至少包括日志事件���、文件事 件���、帳號事件和注冊表改動事件����,并且每個主機事件包括事件標識符、分類標識符����、源地址、目的地址����、源端口、目的端口以及時間����。
[0051]優(yōu)選地,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中��,所述入侵檢測客戶端3進一步包括日志監(jiān)控單元、文件監(jiān)控單元�、帳號監(jiān)控單元、惡意軟件(例如Rootkit���,其是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具)檢查單元和注冊表監(jiān)控單元���,其中���,所述惡意軟件檢查單元周期性地檢查是否存在惡意軟件�,并且如果發(fā)現(xiàn)存在惡意軟件��,則執(zhí)行相應(yīng)的處理過程��,并且其中���,所述監(jiān)控規(guī)則至少包括日志監(jiān)控規(guī)則、文件檢查規(guī)則�����、帳號事件規(guī)則和注冊表監(jiān)控規(guī)則�����。
[0052]優(yōu)選地���,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中,所述日志監(jiān)控單元周期性地執(zhí)行如下日志監(jiān)控操作:(1)讀取日志監(jiān)控規(guī)則��,所述日志監(jiān)控規(guī)則指定了所有需要監(jiān)控的日志文件路徑(示例性地����,針對windows操作系統(tǒng)日志���,所述日志監(jiān)控規(guī)則定義了要監(jiān)控的windows操作日志的類別(例如系統(tǒng)日志,安全日志���,應(yīng)用程序日志等等))����;(2)收集所述日志監(jiān)控規(guī)則所指定的日志���;(3 )根據(jù)所述日志監(jiān)控規(guī)則中的日志解碼規(guī)則提取所收集的日志中的日志事件(由于不同平臺以及不同應(yīng)用的日志格式不相同��,故需要對所收集的日志進行解碼以提取日志事件);(4)根據(jù)所述日志監(jiān)控規(guī)則中的日志事件規(guī)則對每個日志事件進行分析和判斷,并且如果所述日志事件與所述日志事件規(guī)則不匹配�����,則丟棄所述日志事件�,而如果所述日志事件與所述日志事件規(guī)則相匹配,則判斷所述日志事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是��,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2���,如果不是,則將所述日志事件傳送到所述入侵檢測服務(wù)器2���。
[0053]優(yōu)選地����,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中�,所述文件監(jiān)控單元周期性地(例如每次間隔12小時)執(zhí)行如下文件監(jiān)控操作:(1)從文件檢查規(guī)則中讀取需要檢查的文件目錄;(2)基于所述文件目錄檢查每個對應(yīng)的文件��,以獲取該文件的權(quán)限和該文件的哈希(Hash)值���;(3)將當前文件檢查的結(jié)果與上次文件檢查的結(jié)果相比較����,以找出有變化的文件�����,并隨之生成相應(yīng)的文件事件且將所述文件事件傳送到所述入侵檢測服務(wù)器2�,以及將當前文件檢查的結(jié)果存儲并歸檔�����。
[0054]優(yōu)選地,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中�,所述帳號監(jiān)控單元周期性地執(zhí)行如下帳號監(jiān)控操作:(I)將所述日志監(jiān)控操作所得到的每個日志事件和/或所述文件監(jiān)控操作所得到的每個文件事件與帳號事件規(guī)則相比較�����,并且如果與帳號事件規(guī)則不匹配����,則丟棄該日志事件和/或文件事件���,而如果與帳號事件規(guī)則不匹配����,則判斷該日志事件和/或文件事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是�����,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2,如果不是�,則將與該日志事件和/或文件事件相關(guān)聯(lián)的帳號事件傳送到所述入侵檢測服務(wù)器2 (賬號監(jiān)控是基于日志監(jiān)控和文件監(jiān)控而實現(xiàn)的,因為通常系統(tǒng)日志會記錄賬號的變動����,同時記錄賬號信息的文件也會發(fā)生變動)。
[0055]優(yōu)選地�����,在本發(fā)明所公開的包含入侵檢測客戶端3的主機中�,所述注冊表監(jiān)控單元周期性地執(zhí)行如下注冊表監(jiān)控操作:(1)實時地監(jiān)控注冊表改動事件��;(2)在發(fā)生注冊表改動事件時,將該注冊表改動事件與注冊表監(jiān)控規(guī)則相比較,如果該注冊表改動事件與注冊表監(jiān)控規(guī)則不匹配����,則丟棄該注冊表改動事件���,而如果該注冊表改動事件與注冊表監(jiān)控規(guī)則相匹配��,則判斷該注冊表改動事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是��,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器2,如果不是��,則將該注冊表改動事件傳送到所述入侵檢測服務(wù)器2����。
[0056]如圖1所示,本發(fā)明公開了用于云計算環(huán)境的入侵檢測服務(wù)器2����,所述入侵檢測服務(wù)器2根據(jù)接收到的來自至少一個主機I的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程。
[0057]優(yōu)選地���,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測服務(wù)器2進一步包括響應(yīng)請求處理模塊4、關(guān)聯(lián)分析模塊5、告警模塊6、主機管理模塊7�����、規(guī)則管理模塊8和用戶接口 9���。其中,所述關(guān)聯(lián)分析模塊5接收所述至少一個主機I發(fā)送來的主機事件并執(zhí)行關(guān)聯(lián)分析操作,以及根據(jù)分析結(jié)果生成相關(guān)的告警指令,并將所述告警指令傳送到告警模塊6。所述告警模塊6基于所述告警指令執(zhí)行告警操作���。所述響應(yīng)請求處理模塊4接收并分析所述事件響應(yīng)請求����,并基于分析結(jié)果觸發(fā)響應(yīng)機制以響應(yīng)所述事件響應(yīng)請求對應(yīng)的嚴重事件��。所述規(guī)則管理模塊8管理和維護入侵檢測規(guī)則�����,其中�,所述入侵檢測規(guī)則包括監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則。所述主機管理模塊7管理和維護所述至少一個主機I的狀態(tài)信息,以及對所述至少一個主機I進行分類并基于分類結(jié)果將不同類型的監(jiān)控規(guī)則應(yīng)用到對應(yīng)的主機���。所述用戶接口 9接收并轉(zhuǎn)發(fā)來自用戶(例如入侵檢測系統(tǒng)的操作者和/或管理者)的管理指令以執(zhí)行相關(guān)的管理操作����,所述管理指令包括針對所述入侵檢測規(guī)則的配置指令�。
[0058]優(yōu)選地�����,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測服務(wù)器2基于接收到的來自所述至少一個主機I的監(jiān)控規(guī)則更新請求將最新的監(jiān)控規(guī)則傳送回對應(yīng)的主機的入侵檢測客戶端3以更新該入侵檢測客戶端3所使用的監(jiān)控規(guī)則�����。
[0059]示例性地��,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測服務(wù)器2中,所述告警模塊6以發(fā)送郵件或短信的方式執(zhí)行所述告警操作。
[0060]示例性地����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測服務(wù)器2中,所述響應(yīng)機制包括手動的響應(yīng)所述事件響應(yīng)請求或者驅(qū)動對應(yīng)的入侵檢測客戶端3自動地執(zhí)行針對所述事件響應(yīng)請求的響應(yīng)操作���。
[0061]示例性地�����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測服務(wù)器2中,所述主機事件至少包括日志事件�����、文件事件�����、帳號事件和注冊表改動事件,并且每個主機事件包括事件標識符���、分類標識符���、源地址�����、目的地址�、源端口、目的端口以及時間�。
[0062]優(yōu)選地���,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測服務(wù)器2中,所述關(guān)聯(lián)分析模塊5以如下方式執(zhí)行所述關(guān)聯(lián)分析操作:(I)實時地收集所述至少一個主機I傳送來的主機事件�����;(2)對所收集的主機事件的事件標識符�、分類標識符����、源地址和目標地址參數(shù)進行頻率計數(shù)�;(3)將所收集的主機事件的所述事件標識符、分類標識符�����、源地址���、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相比較��,如果所述事件標識符、分類標識符����、源地址����、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相匹配����,則生成對應(yīng)的新的威脅事件���,并構(gòu)造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊6以執(zhí)行告警操作����;(4)重置命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)���,以開始重新計數(shù),而在預定的時間閾值(例如20分鐘)之后將未命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)重置,以開始重新計數(shù)��。
[0063]圖2是根據(jù)本發(fā)明的實施例的用于云計算環(huán)境的入侵檢測方法的流程圖���。如圖2所示��,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法包括下列步驟:(Al)至少一個主機中的入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件�����,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器;(A2)所述入侵檢測服務(wù)器根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程���。
[0064]優(yōu)選地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述至少一個主機是云計算環(huán)境中的主機(包括實體主機和/或虛擬主機)�。
[0065]優(yōu)選地���,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中����,所述步驟(Al)進一步包括:當發(fā)生與安全性相關(guān)的嚴重事件時����,所述入侵檢測客戶端構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器��,其中�,所述事件響應(yīng)請求包含該嚴重事件的信息���。
[0066]優(yōu)選地�����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中�,所述步驟(A2)進一步包括:所述入侵檢測服務(wù)器接收所述至少一個主機發(fā)送來的主機事件并執(zhí)行關(guān)聯(lián)分析操作�����,以及根據(jù)分析結(jié)果執(zhí)行相關(guān)的告警操作�。
[0067]優(yōu)選地���,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中��,所述步驟(A2)進一步包括:所述入侵檢測服務(wù)器接收并分析所述事件響應(yīng)請求��,并基于分析結(jié)果觸發(fā)響應(yīng)機制以響應(yīng)所述事件響應(yīng)請求對應(yīng)的嚴重事件�����。
[0068]優(yōu)選地��,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法進一步包括:所述入侵檢測服務(wù)器管理和維護入侵檢測規(guī)則��,其中����,所述入侵檢測規(guī)則包括監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則。[0069]優(yōu)選地���,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法進一步包括:所述入侵檢測服務(wù)器管理和維護所述至少一個主機的狀態(tài)信息����,以及對所述至少一個主機進行分類并基于分類結(jié)果將不同類型的監(jiān)控規(guī)則應(yīng)用到對應(yīng)的主機��。
[0070]優(yōu)選地�,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法進一步包括:所述入侵檢測服務(wù)器接收來自用戶(例如入侵檢測系統(tǒng)的操作者和/或管理者)的管理指令以執(zhí)行相關(guān)的管理操作,所述管理指令包括針對所述入侵檢測規(guī)則的配置指令��。
[0071]優(yōu)選地,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法進一步包括:所述入侵檢測客戶端周期性地(示例性地,每隔5分鐘)將監(jiān)控規(guī)則更新請求傳送到所述入侵檢測服務(wù)器以更新所使用的監(jiān)控規(guī)則���,其中,所述監(jiān)控規(guī)則更新請求包含當前使用的監(jiān)控規(guī)則的信息。
[0072]優(yōu)選地���,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法進一步包括:所述入侵檢測服務(wù)器基于接收到的監(jiān)控規(guī)則更新請求將最新的監(jiān)控規(guī)則傳送回對應(yīng)的入侵檢測客戶端以更新該入侵檢測客戶端所使用的監(jiān)控規(guī)則�����。
[0073]示例性地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中��,所述入侵檢測服務(wù)器以發(fā)送郵件或短信的方式執(zhí)行所述告警操作���。
[0074]示例性地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述響應(yīng)機制包括手動的響應(yīng)所述事件響應(yīng)請求或者驅(qū)動對應(yīng)的入侵檢測客戶端自動地執(zhí)行針對所述事件響應(yīng)請求的響應(yīng)操作。
[0075]示例性地����,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述入侵檢測客戶端基于UDP協(xié)議將所監(jiān)測到的主機事件傳送到所述入侵檢測服務(wù)器�����。
[0076]示例性地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中�,所述入侵檢測客戶端基于HTTP SOAP協(xié)議實現(xiàn)與所述事件響應(yīng)請求和所述監(jiān)控規(guī)則更新相關(guān)聯(lián)的數(shù)據(jù)通?目�。
[0077]示例性地��,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述主機事件至少包括日志事件��、文件事件、帳號事件和注冊表改動事件,并且每個主機事件包括事件標識符�����、分類標識符��、源地址����、目的地址��、源端口���、目的端口以及時間。
[0078]優(yōu)選地,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法進一步包括:所述入侵檢測客戶端周期性地檢查是否存在惡意軟件�����,并且如果發(fā)現(xiàn)存在惡意軟件���,則執(zhí)行相應(yīng)的處理過程。
[0079]示例性地�,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中����,所述監(jiān)控規(guī)則至少包括日志監(jiān)控規(guī)則�����、文件檢查規(guī)則、帳號事件規(guī)則和注冊表監(jiān)控規(guī)則�����。
[0080]優(yōu)選地��,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述入侵檢測客戶端以如下方式執(zhí)行日志監(jiān)控操作:(I)讀取日志監(jiān)控規(guī)則��,所述日志監(jiān)控規(guī)則指定了所有需要監(jiān)控的日志文件路徑(示例性地,針對windows操作系統(tǒng)日志,所述日志監(jiān)控規(guī)則定義了要監(jiān)控的windows操作日志的類別(例如系統(tǒng)日志,安全日志���,應(yīng)用程序日志等等))����;
(2)收集所述日志監(jiān)控規(guī)則所指定的日志;(3)根據(jù)所述日志監(jiān)控規(guī)則中的日志解碼規(guī)則提取所收集的日志中的日志事件(由于不同平臺以及不同應(yīng)用的日志格式不相同��,故需要對所收集的日志進行解碼以提取日志事件)��;(4)根據(jù)所述日志監(jiān)控規(guī)則中的日志事件規(guī)則對每個日志事件進行分析和判斷��,并且如果所述日志事件與所述日志事件規(guī)則不匹配,則丟棄所述日志事件��,而如果所述日志事件與所述日志事件規(guī)則相匹配,則判斷所述日志事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是�����,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器����,如果不是�,則將所述日志事件傳送到所述入侵檢測服務(wù)器���。
[0081]優(yōu)選地���,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述入侵檢測客戶端周期性地(例如每次間隔12小時)以如下方式執(zhí)行文件監(jiān)控操作:(I)從文件檢查規(guī)則中讀取需要檢查的文件目錄;(2)基于所述文件目錄檢查每個對應(yīng)的文件�����,以獲取該文件的權(quán)限和該文件的哈希(Hash)值�;(3)將當前文件檢查的結(jié)果與上次文件檢查的結(jié)果相比較,以找出有變化的文件�����,并隨之生成相應(yīng)的文件事件且將所述文件事件傳送到所述入侵檢測服務(wù)器2����,以及將當前文件檢查的結(jié)果存儲并歸檔。
[0082]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中���,所述入侵檢測客戶端周期性地以如下方式執(zhí)行帳號監(jiān)控操作:(I)將所述日志監(jiān)控操作所得到的每個日志事件和/或所述文件監(jiān)控操作所得到的每個文件事件與帳號事件規(guī)則相比較�,并且如果與帳號事件規(guī)則不匹配,則丟棄該日志事件和/或文件事件��,而如果與帳號事件規(guī)則不匹配,則判斷該日志事件和/或文件事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件��,如果是,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器,如果不是����,則將與該日志事件和/或文件事件相關(guān)聯(lián)的帳號事件傳送到所述入侵檢測服務(wù)器(賬號監(jiān)控是基于日志監(jiān)控和文件監(jiān)控而實現(xiàn)的����,因為通常系統(tǒng)日志會記錄賬號的變動���,同時記錄賬號信息的文件也會發(fā)生變動)。
[0083]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中�,所述入侵檢測客戶端周期性地以如下方式執(zhí)行注冊表監(jiān)控操作:(I)實時地監(jiān)控注冊表改動事件���;(2)在發(fā)生注冊表改動事件時�,將該注冊表改動事件與注冊表監(jiān)控規(guī)則相比較�,如果該注冊表改動事件與注冊表監(jiān)控規(guī)則不匹配�����,則丟棄該注冊表改動事件����,而如果該注冊表改動事件與注冊表監(jiān)控規(guī)則相匹配���,則判斷該注冊表改動事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件�����,如果是�����,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器�,如果不是,則將該注冊表改動事件傳送到所述入侵檢測服務(wù)器�。
[0084]優(yōu)選地,在本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法中,所述入侵檢測服務(wù)器以如下方式執(zhí)行所述關(guān)聯(lián)分析操作:(1)實時地收集所述至少一個主機傳送來的主機事件;(2)對所收集的主機事件的事件標識符、分類標識符�、源地址和目標地址參數(shù)進行頻率計數(shù)�;(3)將所收集的主機事件的所述事件標識符���、分類標識符�、源地址�����、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相比較�����,如果所述事件標識符�����、分類標識符�����、源地址�、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相匹配��,則生成對應(yīng)的新的威脅事件����,并構(gòu)造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊6以執(zhí)行告警操作�����;(4)重置命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)�����,以開始重新計數(shù),而在預定的時間閾值(例如20分鐘)之后將未命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)重置,以開始重新計數(shù)��。
[0085]由上可見�,本發(fā)明所公開的用于云計算環(huán)境的入侵檢測方法具有下列優(yōu)點:(I)具有高的適配性���,即可以適用于包含運行各種類型的操作系統(tǒng)的主機的云計算環(huán)境�����;(2)具有高的配置靈活性����,即可以靈活配置和部署監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則�����;(3)由于實現(xiàn)了針對入侵事件的關(guān)聯(lián)分析,故具有增強的安全性����。
[0086]盡管本發(fā)明是通過上述的優(yōu)選實施方式進行描述的���,但是其實現(xiàn)形式并不局限于上述的實施方式。應(yīng)該認識到:在不脫離本發(fā)明主旨和范圍的情況下���,本領(lǐng)域技術(shù)人員可以對本發(fā)明做出不同的變化和修改�。
【權(quán)利要求】
1.一種用于云計算環(huán)境的入侵檢測系統(tǒng)����,所述用于云計算環(huán)境的入侵檢測系統(tǒng)包括: 至少一個主機,所述至少一個主機中的每個包括入侵檢測客戶端�,所述入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器; 入侵檢測服務(wù)器��,所述入侵檢測服務(wù)器根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程。
2.根據(jù)權(quán)利要求1所述的用于云計算環(huán)境的入侵檢測系統(tǒng)�����,其特征在于,所述至少一個主機是云計算環(huán)境中的主機�。
3.根據(jù)權(quán)利要求2所述的用于云計算環(huán)境的入侵檢測系統(tǒng)����,其特征在于,當發(fā)生與安全性相關(guān)的嚴重事件時,所述入侵檢測客戶端構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器,其中��,所述事件響應(yīng)請求包含該嚴重事件的信息��。
4.根據(jù)權(quán)利要求3所述的用于云計算環(huán)境的入侵檢測系統(tǒng)�����,其特征在于��,所述入侵檢測服務(wù)器進一步包括: 關(guān)聯(lián)分析模塊����,所述關(guān)聯(lián)分析模塊接收所述至少一個主機發(fā)送來的主機事件并執(zhí)行關(guān)聯(lián)分析操作����,以及根據(jù)分析結(jié)果生成相關(guān)的告警指令��,并將所述告警指令傳送到告警模塊��; 告警模塊��,所述告警模炔基于所述告警指令執(zhí)行告警操作��; 響應(yīng)請求處理模塊,所述響應(yīng)請求處理模塊接收并分析所述事件響應(yīng)請求����,并基于分析結(jié)果觸發(fā)響應(yīng)機制以響應(yīng)所述事件響應(yīng)請求對應(yīng)的嚴重事件�����; 規(guī)則管理模塊�����,所述規(guī)則管理模塊管理和維護入侵檢測規(guī)則����,其中�����,所述入侵檢測規(guī)則包括監(jiān)控規(guī)則和關(guān)聯(lián)分析規(guī)則��; 主機管理模塊�����,所述主機管理模塊管理和維護所述至少一個主機的狀態(tài)信息���,以及對所述至少一個主機進行分類并基于分類結(jié)果將不同類型的監(jiān)控規(guī)則應(yīng)用到對應(yīng)的主機�; 用戶接口,所述用戶接口接收并轉(zhuǎn)發(fā)來自用戶的管理指令以執(zhí)行相關(guān)的管理操作��,所述管理指令包括針對所述入侵檢測規(guī)則的配置指令�����。
5.根據(jù)權(quán)利要求4所述的用于云計算環(huán)境的入侵檢測系統(tǒng)�����,其特征在于,所述入侵檢測客戶端周期性地將監(jiān)控規(guī)則更新請求傳送到所述入侵檢測服務(wù)器以更新所使用的監(jiān)控規(guī)則����,其中��,所述監(jiān)控規(guī)則更新請求包含當前使用的監(jiān)控規(guī)則的信息���。
6.根據(jù)權(quán)利要求5所述的用于云計算環(huán)境的入侵檢測系統(tǒng)�����,其特征在于,所述入侵檢測服務(wù)器基于接收到的監(jiān)控規(guī)則更新請求將最新的監(jiān)控規(guī)則傳送回對應(yīng)的入侵檢測客戶端以更新該入侵檢測客戶端所使用的監(jiān)控規(guī)則。
7.根據(jù)權(quán)利要求6所述的用于云計算環(huán)境的入侵檢測系統(tǒng),其特征在于�����,所述響應(yīng)機制包括手動的響應(yīng)所述事件響應(yīng)請求或者驅(qū)動對應(yīng)的入侵檢測客戶端自動地執(zhí)行針對所述事件響應(yīng)請求的響應(yīng)操作��。
8.根據(jù)權(quán)利要求7所述的用于云計算環(huán)境的入侵檢測系統(tǒng)����,其特征在于����,所述主機事件至少包括日志事件���、文件事件、帳號事件和注冊表改動事件,并且每個主機事件包括事件標識符、分類標識符��、源地址����、目的地址、源端口�、目的端口以及時間���。
9.根據(jù)權(quán)利要求8所述的用于云計算環(huán)境的入侵檢測系統(tǒng),其特征在于�����,所述入侵檢測客戶端進一步包括日志監(jiān)控單元�����、文件監(jiān)控單元��、帳號監(jiān)控單元�、惡意軟件檢查單元和注冊表監(jiān)控單元�,其中��,所述惡意軟件檢查單元周期性地檢查是否存在惡意軟件����,并且如果發(fā)現(xiàn)存在惡意軟件�����,則執(zhí)行相應(yīng)的處理過程,并且其中��,所述監(jiān)控規(guī)則至少包括日志監(jiān)控規(guī)則�、文件檢查規(guī)則、帳號事件規(guī)則和注冊表監(jiān)控規(guī)則���。
10.根據(jù)權(quán)利要求9所述的用于云計算環(huán)境的入侵檢測系統(tǒng),其特征在于,所述日志監(jiān)控單元周期性地執(zhí)行如下日志監(jiān)控操作:(1)讀取日志監(jiān)控規(guī)則,所述日志監(jiān)控規(guī)則指定了所有需要監(jiān)控的日志文件路徑�����;(2)收集所述日志監(jiān)控規(guī)則所指定的日志�����;(3)根據(jù)所述日志監(jiān)控規(guī)則中的日志解碼規(guī)則提取所收集的日志中的日志事件;(4)根據(jù)所述日志監(jiān)控規(guī)則中的日志事件規(guī)則對每個日志事件進行分析和判斷�����,并且如果所述日志事件與所述日志事件規(guī)則不匹配�����,則丟棄所述日志事件,而如果所述日志事件與所述日志事件規(guī)則相匹配�,則判斷所述日志事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件����,如果是���,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器,如果不是��,則將所述日志事件傳送到所述入 侵檢測服務(wù)器。
11.根據(jù)權(quán)利要求10所述的用于云計算環(huán)境的入侵檢測系統(tǒng)��,其特征在于�����,所述文件監(jiān)控單元周期性地執(zhí)行如下文件監(jiān)控操作:(I)從文件檢查規(guī)則中讀取需要檢查的文件目錄��;(2)基于所述文件目錄檢查每個對應(yīng)的文件�,以獲取該文件的權(quán)限和該文件的哈希值;(3)將當前文件檢查的結(jié)果與上次文件檢查的結(jié)果相比較���,以找出有變化的文件��,并隨之生成相應(yīng)的文件事件且將所述文件事件傳送到所述入侵檢測服務(wù)器�,以及將當前文件檢查的結(jié)果存儲并歸檔��。
12.根據(jù)權(quán)利要求11所述的用于云計算環(huán)境的入侵檢測系統(tǒng)����,其特征在于,所述帳號監(jiān)控單元周期性地執(zhí)行如下帳號監(jiān)控操作:(I)將所述日志監(jiān)控操作所得到的每個日志事件和/或所述文件監(jiān)控操作所得到的每個文件事件與帳號事件規(guī)則相比較�����,并且如果與帳號事件規(guī)則不匹配,則丟棄該日志事件和/或文件事件,而如果與帳號事件規(guī)則不匹配�����,則判斷該日志事件和/或文件事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是��,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器,如果不是,則將與該日志事件和/或文件事件相關(guān)聯(lián)的帳號事件傳送到所述入侵檢測服務(wù)器�����。
13.根據(jù)權(quán)利要求12所述的用于云計算環(huán)境的入侵檢測系統(tǒng)�,其特征在于�,所述注冊表監(jiān)控單元周期性地執(zhí)行如下注冊表監(jiān)控操作:(I)實時地監(jiān)控注冊表改動事件�����;(2)在發(fā)生注冊表改動事件時,將該注冊表改動事件與注冊表監(jiān)控規(guī)則相比較���,如果該注冊表改動事件與注冊表監(jiān)控規(guī)則不匹配,則丟棄該注冊表改動事件���,而如果該注冊表改動事件與注冊表監(jiān)控規(guī)則相匹配���,則判斷該注冊表改動事件是否是需要發(fā)起事件響應(yīng)請求的嚴重事件,如果是���,則構(gòu)造對應(yīng)于該嚴重事件的事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器����,如果不是�����,則將該注冊表改動事件傳送到所述入侵檢測服務(wù)器����。
14.根據(jù)權(quán)利要求13所述的用于云計算環(huán)境的入侵檢測系統(tǒng)���,其特征在于,所述關(guān)聯(lián)分析模塊以如下方式執(zhí)行所述關(guān)聯(lián)分析操作:(I)實時地收集所述至少一個主機傳送來的主機事件�;(2)對所收集的主機事件的事件標識符、分類標識符、源地址和目標地址參數(shù)進行頻率計數(shù)�;(3)將所收集的主機事件的所述事件標識符、分類標識符、源地址����、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相比較�����,如果所述事件標識符�、分類標識符����、源地址、目標地址參數(shù)以及相關(guān)聯(lián)的頻率參數(shù)與關(guān)聯(lián)分析規(guī)則相匹配�����,則生成對應(yīng)的新的威脅事件���,并構(gòu)造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊以執(zhí)行告警操作;(4)重置命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)����,以開始重新計數(shù)�����,而在預定的時間閾值之后將未命中關(guān)聯(lián)分析規(guī)則的主機事件的頻率數(shù)據(jù)重置,以開始重新計數(shù)�。
15.一種包含入侵檢測客戶端的主機�,其中��,所述入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件���,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器�,以執(zhí)行后續(xù)的入侵檢測過程�。
16.一種用于云計算環(huán)境的入侵檢測服務(wù)器�����,所述入侵檢測服務(wù)器根據(jù)接收到的來自至少一個主機的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測過程。
17.一種用于云計算環(huán)境的入侵檢測方法����,所述方法包括下列步驟: (Al)至少一個主機中的入侵檢測客戶端監(jiān)控其駐留于其上的主機的預定類型的主機事件�����,并基于預定的監(jiān)控規(guī)則執(zhí)行下列操作以實施相關(guān)的入侵檢測過程:將所監(jiān)測到的主機事件傳送到入侵檢測服務(wù)器��,或者基于所監(jiān)測到的主機事件構(gòu)造事件響應(yīng)請求并將所述事件響應(yīng)請求傳送到所述入侵檢測服務(wù)器�; (A2)所述入侵檢測服務(wù)器根據(jù)接收到的主機事件或事件響應(yīng)請求并基于預定的入侵檢測規(guī)則執(zhí)行入侵檢測 過程���。
【文檔編號】H04L29/06GK104038466SQ201310068974
【公開日】2014年9月10日 申請日期:2013年3月5日 優(yōu)先權(quán)日:2013年3月5日
【發(fā)明者】王明博, 魯志軍, 何朔, 華錦芝 申請人:中國銀聯(lián)股份有限公司