一、ids為什麼要虛擬化
入侵檢測系統(ids)是用來檢測黑客入侵的分析工具。早期的方法是對系統日誌進行監測與分析(主機ids),後來因為日誌容易被黑客「抹去」,而直接對流量映象監測(網路ids)。隨著攻守雙方的博弈,ids的發展出現了兩個技術瓶頸:一是由於黑客躲避技術的發展,發現黑客的「蹤跡」越來越難了,最常使用的「特徵識別」需要建立攻擊者的「指紋庫」,隨著時間的推移,指紋庫越來越龐大,比對一遍的時間自然就長了,**監測裝置往往只能撿最常用的特徵比對,而忽略「不常用」的特徵,入侵者「漏網」就是很平常的事了;二是檢測的準確程度,因為單點取樣,不能跨引擎分析,資訊不足而產生大量的疑似「安全事件」,需要安全維護人員人工處理,因此,深度分析、多線索智慧型關聯, 減少疑似事件的數量是ids發展的必然之路。
要解決這兩個難點,大幅度增加ids的處理能力都是必須的。靠多核cpu是一種方式,但面對網路頻寬的日益更新,多核帶來的增加是有限的。於是,人們想到了虛擬化:人們可以把多台普通的pc伺服器虛擬化,成為乙個大的邏輯伺服器,能力堪比一台巨型計算機,怎麼就不能把多台ids變成一台巨型ids呢?
當然,敦促ids變革是另乙個衝擊波是雲計算的興起,因為雲計算服務模式把不同使用者的多種業務集中在一起,這個業務的合法者可能是另乙個業務的入侵者,ids需要根據不同使用者的需求進行安全監測,業務邊界模糊了,使用者對ids的需要,希望是按需使用。
總之,在雲計算中,使用者的業務「跑」在虛擬機器中,不再對應具體的哪台伺服器或儲存裝置,虛擬機器之間的流量不再一定要經過網路裝置,網路ids已經找不到自己的監控位置了。
二、ids如何虛擬化
虛擬化的目標是如同使用「自來水」一樣呼叫ids,也就是說根據使用者的流量動態調整ids的處理能力。一種方式,是把ids變成呼叫程式(純軟體),嵌入到使用者的虛擬機器中,象防病毒軟體一樣執行在使用者的作業系統上,這種方式占用虛擬機器的資源,並且可以被入侵者「穿透」或「解除安裝」;另一種方式,就是把使用者的流量,在處理前導引導給ids,淨化後再繼續業務處理,這就是我們說的虛擬ids資源池。
虛擬ids資源池方式,虛擬化分為兩步走:
1. 多虛一:也稱為「硬虛軟」,把多台物理的ids(可以說不同廠家、不同型號的)虛擬為乙個ids資源池(或稱為ids群)。通過ids群控制器排程池內的ids資源,群控制器一般是雙機熱備方式,用來管理ids資源池,排程並分配使用者流量給後台的物理ids,完成負載均衡的功能;
物理ids通過高效能交換機連線,這樣可以動態增加或解除安裝物理ids,由ids群控制器負責檢查其「存活」狀態,決定是否分配業務給它處理。
2. 一虛多:ids虛擬化的門戶,根據每個使用者流量與安全需求的不同,分配乙個虛擬的ids(若允許直接阻斷入侵行為,則稱為使用者虛擬ips),並給該使用者的流量分配乙個使用者標籤,在虛擬ids系統中,這個標籤就是使用者流量的唯一標識;
由於使用者的資料報上都包含使用者標記,所以ids群控制器負責分配使用者流量後,只檢測對應物理ids的狀態,後續資料報直接到達物理ids,不經過ids控制器,所以控制器的負載很小,只是控制流,而不是業務流的總和;
乙個使用者的流量分配給多個物理ids處理時,建議採用有重複的時間段分割演算法,這種可以在ids緩衝區內完整恢復分段傳輸的惡意**。
虛擬ids檢測的結果,同樣掛上使用者標籤送給安全監控平台跟蹤處理。
行為檢測虛擬ids:
為了適應ids的行為匹配模式,跟蹤黑客的「慢攻擊」行為,特建立乙個處理能力超強的行為檢測虛擬ids,對符合特定攻擊行為規則的使用者行為進行長期跟蹤。由於慢攻擊需要長期記錄使用者的行為,所以這個超大型的虛擬ids,需要相當大的快取空間。
三、ids虛擬化的結構設計
該結構設計中ids虛擬化管理平台是核心部分,其前部分支援使用者虛擬化ids服務,後部分是實現ids處理能力的動態調配。
負載均衡管理負責虛擬ids與物理ids的對應,根據處理能力的不同,可以一對多,也可以多對一;並可以動態加入或解除安裝物理ids,所以整個虛擬ids池的容量變化不影響使用者的應用。當整體處理能力不足時,前台的安全策略可以根據使用者的流量與安全等級,優先分配資源,保證重點使用者的需求。
虛擬ids的映象與遷移管理,保證虛擬ids動態的執行在不同的物理ids上,相互冗餘備份,保證在某台物理ids宕機時,虛擬ids自動遷移到其他物理機上,不影響使用者的業務。
本文出自 「jack zhai」 部落格
漫談IDS的虛擬化發展
一 ids為什麼要虛擬化 減少疑似事件的數量是ids發展的必然之路。要解決這兩個難點,大幅度增加ids的處理能力都是必須的。靠多核cpu是一種方式,但面對網路頻寬的日益更新,多核帶來的增加是有限的。於是,人們想到了虛擬化 人們可以把多台普通的pc伺服器虛擬化,成為乙個大的邏輯伺服器,能力堪比一台巨型...
虛擬化向容器化發展
1 容器更加輕量級,允許在相同的硬體上執行更多數量的元件。每個虛擬機器需要執行自己的一組系統程序,程序是執行在不同的作業系統上的。而乙個容器僅僅是執行在宿主機上被隔離的單個程序,僅消耗應用容器消耗的資源,不會有其他程序的開銷。容器低消耗。2 虛擬機器提供完全隔離的環境,每個虛擬機器執行在它自己的li...
虛擬化發展突出貢獻 VMware
博主接受it專家網採訪的錄音報道,原報道位址 url 2007年it領域什麼最火?虛擬化!2007年虛擬化哪個廠商最火?vmware!2007年vmware公司可謂是吸引了無數使用者的目光 佔據了無數 的燈光 vmware公司上市,vmware虛擬化使用者大會召開 同時,vmware大中華區也在20...