漫谈IDS的虚拟化发展

漫谈IDS的虚拟化发展<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Jack Zhai

一、IDS为什么要虚拟化

***检测系统(IDS)是用来检测******的分析工具。早期的方法是对系统日志进行监测与分析(主机IDS)，后来因为日志容易被***“抹去”，而直接对流量镜像监测(网络IDS)。随着攻守双方的博弈，IDS的发展出现了两个技术瓶颈：一是由于***躲避技术的发展，发现***的“踪迹”越来越难了，最常使用的“特征识别”需要建立***者的“指纹库”，随着时间的推移，指纹库越来越庞大，比对一遍的时间自然就长了，在线监测设备往往只能捡最常用的特征比对，而忽略“不常用”的特征，***者“漏网”就是很平常的事了；二是检测的准确程度，因为单点取样，不能跨引擎分析，信息不足而产生大量的疑似“安全事件”，需要安全维护人员人工处理，因此，深度分析、多线索智能关联，减少疑似事件的数量是IDS发展的必然之路。

要解决这两个难点，大幅度增加IDS的处理能力都是必须的。靠多核CPU是一种方式，但面对网络带宽的日益更新，多核带来的增加是有限的。于是，人们想到了虚拟化：人们可以把多台普通的PC服务器虚拟化，成为一个大的逻辑服务器，能力堪比一台巨型计算机，怎么就不能把多台IDS变成一台巨型IDS呢？

当然，敦促IDS变革是另一个冲击波是云计算的兴起，因为云计算服务模式把不同用户的多种业务集中在一起，这个业务的合法者可能是另一个业务的***者，IDS需要根据不同用户的需求进行安全监测，业务边界模糊了，用户对IDS的需要，希望是按需使用。

总之，在云计算中，用户的业务“跑”在虚拟机中，不再对应具体的哪台服务器或存储设备，虚拟机之间的流量不再一定要经过网络设备，网络IDS已经找不到自己的监控位置了。

二、IDS如何虚拟化

虚拟化的目标是如同使用“自来水”一样调用IDS，也就是说根据用户的流量动态调整IDS的处理能力。一种方式，是把IDS变成调用程序(纯软件)，嵌入到用户的虚拟机中，象防病毒软件一样运行在用户的操作系统上，这种方式占用虚拟机的资源，并且可以被***者“穿透”或“卸载”；另一种方式，就是把用户的流量，在处理前导引导给IDS，净化后再继续业务处理，这就是我们说的虚拟IDS资源池。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

虚拟IDS资源池方式，虚拟化分为两步走：

1. 多虚一：也称为“硬虚软”，把多台物理的IDS(可以说不同厂家、不同型号的)虚拟为一个IDS资源池(或称为IDS群)。通过IDS群控制器调度池内的IDS资源，群控制器一般是双机热备方式，用来管理IDS资源池，调度并分配用户流量给后台的物理IDS，完成负载均衡的功能；

物理IDS通过高性能交换机连接，这样可以动态增加或卸载物理IDS，由IDS群控制器负责检查其“存活”状态，决定是否分配业务给它处理。

2. 一虚多：IDS虚拟化的门户，根据每个用户流量与安全需求的不同，分配一个虚拟的IDS(若允许直接阻断***行为，则称为用户虚拟IPS)，并给该用户的流量分配一个用户标签，在虚拟IDS系统中，这个标签就是用户流量的唯一标识；

由于用户的数据包上都包含用户标记，所以IDS群控制器负责分配用户流量后，只检测对应物理IDS的状态，后续数据包直接到达物理IDS，不经过IDS控制器，所以控制器的负载很小，只是控制流，而不是业务流的总和；

一个用户的流量分配给多个物理IDS处理时，建议采用有重复的时间段分割算法，这种可以在IDS缓冲区内完整恢复分段传输的恶意代码。

虚拟IDS检测的结果，同样挂上用户标签送给安全监控平台跟踪处理。

行为检测虚拟IDS：

为了适应IDS的行为匹配模式，跟踪***的“慢***”行为，特建立一个处理能力超强的行为检测虚拟IDS，对符合特定***行为规则的用户行为进行长期跟踪。由于慢***需要长期记录用户的行为，所以这个超大型的虚拟IDS，需要相当大的缓存空间。

三、IDS虚拟化的结构设计

该结构设计中IDS虚拟化管理平台是核心部分，其前部分支持用户虚拟化IDS服务，后部分是实现IDS处理能力的动态调配。

负载均衡管理负责虚拟IDS与物理IDS的对应，根据处理能力的不同，可以一对多，也可以多对一；并可以动态加入或卸载物理IDS，所以整个虚拟IDS池的容量变化不影响用户的应用。当整体处理能力不足时，前台的安全策略可以根据用户的流量与安全等级，优先分配资源，保证重点用户的需求。

虚拟IDS的镜像与迁移管理，保证虚拟IDS动态的运行在不同的物理IDS上，相互冗余备份，保证在某台物理IDS宕机时，虚拟IDS自动迁移到其他物理机上，不影响用户的业务。

漫谈IDS的虚拟化发展相关推荐

服务器虚拟化发展现状_无服务器艺术的现状
服务器虚拟化发展现状 Over the past 2 years, the Hydro team I lead at Berkeley's RISELab has been running hard ...
漫谈云计算、虚拟化、容器化--云平台技术栈05
导读:之前发布了云平台技术栈(ps:点击可查看),本文主要说一下其中的虚拟化! 什么是云计算? 1.1 云计算概念云计算是最近几年才兴起的概念,但是这样的需求其实早都有了,现阶段广为接受的是美国国家 ...
从ogre到黑火，漫谈畅游游戏引擎发展历程
作为一个畅游游戏的忠实玩家,从<天龙八部>玩到<鹿鼎记>,对畅游的游戏引擎也一直小有关注,直到畅游最近公布的game+游戏里也提到了几款全新的引擎,于是卖弄一下自己的引擎研究报 ...
虚拟化的发展历程和实现原理——图文详解
前言现在市场上最常见的虚拟化软件有VMWare workstation(VMWare).VirtualBox(Oracle).Hyper-V(Microsoft).KVM(Redhat).Xen等, ...
虚拟化技术发展编年史
作者 | 范桂飓责编 | 屠敏出品 | CSDN 博客前言我已经想不起来是从什么时候开始的,突然就对计算机历史产生了浓厚的兴趣.于是我想着,要不以后所有系列文章的开篇都先和大家聊聊历史吧.其实 ...
虚拟化技术发展与虚拟化体系结构
1.虚拟化技术发展历程 1. 虚拟化技术诞生虚拟化技术萌芽于上世纪 50 年代末,1959 年 6 月,牛津大学的计算机教授,克里斯·托弗(Christopher Strachey)在国际信息处理大 ...
网络虚拟化技术与NFV
一.虚拟化技术概述 1.虚拟化技术简介虚拟化,是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机.在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独 ...
虚拟化,可实现国产化替代
虽然在虚拟化领域,人们更多关注的还是国外的三大厂商,包括VMware.思杰和微软,但在虚拟化领域实现国产化替代已经是事实,以方物软件为代表的中国虚拟化软件厂商已经迈出了可喜的第一步. 在近日公布的20 ...
《VMware、Citrix和Microsoft虚拟化技术详解与应用实践》一1.1　虚拟化概述
1.1 虚拟化概述在了解虚拟化之前,你可能会提出以下一些问题: 什么是虚拟化? 为什么我们需要虚拟化? 虚拟化技术有哪些? 虚拟化的历史由来是怎样的? 怎么才能实现虚拟化技术? 1.1.1 虚拟化的 ...

漫谈IDS的虚拟化发展

漫谈IDS的虚拟化发展相关推荐

最新文章

热门文章