漫談IDS的虛擬化發展<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

?

Jack Zhai

?

一、IDS為什么要虛擬化

***檢測系統(IDS)是用來檢測******的分析工具。早期的方法是對系統日志進行監測與分析(主機IDS)，后來因為日志容易被***“抹去”，而直接對流量鏡像監測(網絡IDS)。隨著攻守雙方的博弈，IDS的發展出現了兩個技術瓶頸：一是由于***躲避技術的發展，發現***的“蹤跡”越來越難了，最常使用的“特征識別”需要建立***者的“指紋庫”，隨著時間的推移，指紋庫越來越龐大，比對一遍的時間自然就長了，在線監測設備往往只能撿最常用的特征比對，而忽略“不常用”的特征，***者“漏網”就是很平常的事了；二是檢測的準確程度，因為單點取樣，不能跨引擎分析，信息不足而產生大量的疑似“安全事件”，需要安全維護人員人工處理，因此，深度分析、多線索智能關聯， 減少疑似事件的數量是IDS發展的必然之路。 要解決這兩個難點，大幅度增加IDS的處理能力都是必須的。靠多核CPU是一種方式，但面對網絡帶寬的日益更新，多核帶來的增加是有限的。于是，人們想到了虛擬化：人們可以把多臺普通的PC服務器虛擬化，成為一個大的邏輯服務器，能力堪比一臺巨型計算機，怎么就不能把多臺IDS變成一臺巨型IDS呢？ 當然，敦促IDS變革是另一個沖擊波是云計算的興起，因為云計算服務模式把不同用戶的多種業務集中在一起，這個業務的合法者可能是另一個業務的***者，IDS需要根據不同用戶的需求進行安全監測，業務邊界模糊了，用戶對IDS的需要，希望是按需使用。 總之，在云計算中，用戶的業務“跑”在虛擬機中，不再對應具體的哪臺服務器或存儲設備，虛擬機之間的流量不再一定要經過網絡設備，網絡IDS已經找不到自己的監控位置了。

?

二、IDS如何虛擬化

??? 虛擬化的目標是如同使用“自來水”一樣調用IDS，也就是說根據用戶的流量動態調整IDS的處理能力。一種方式，是把IDS變成調用程序(純軟件)，嵌入到用戶的虛擬機中，象防病毒軟件一樣運行在用戶的操作系統上，這種方式占用虛擬機的資源，并且可以被***者“穿透”或“卸載”；另一種方式，就是把用戶的流量，在處理前導引導給IDS，凈化后再繼續業務處理，這就是我們說的虛擬IDS資源池。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 虛擬IDS資源池方式，虛擬化分為兩步走： 1.???????? 多虛一：也稱為“硬虛軟”，把多臺物理的IDS(可以說不同廠家、不同型號的)虛擬為一個IDS資源池(或稱為IDS群)。通過IDS群控制器調度池內的IDS資源，群控制器一般是雙機熱備方式，用來管理IDS資源池，調度并分配用戶流量給后臺的物理IDS，完成負載均衡的功能； 物理IDS通過高性能交換機連接，這樣可以動態增加或卸載物理IDS，由IDS群控制器負責檢查其“存活”狀態，決定是否分配業務給它處理。 2.???????? 一虛多：IDS虛擬化的門戶，根據每個用戶流量與安全需求的不同，分配一個虛擬的IDS(若允許直接阻斷***行為，則稱為用戶虛擬IPS)，并給該用戶的流量分配一個用戶標簽，在虛擬IDS系統中，這個標簽就是用戶流量的唯一標識； 由于用戶的數據包上都包含用戶標記，所以IDS群控制器負責分配用戶流量后，只檢測對應物理IDS的狀態，后續數據包直接到達物理IDS，不經過IDS控制器，所以控制器的負載很小，只是控制流，而不是業務流的總和； 一個用戶的流量分配給多個物理IDS處理時，建議采用有重復的時間段分割算法，這種可以在IDS緩沖區內完整恢復分段傳輸的惡意代碼。 虛擬IDS檢測的結果，同樣掛上用戶標簽送給安全監控平臺跟蹤處理。

?

行為檢測虛擬IDS：

為了適應IDS的行為匹配模式，跟蹤***的“慢***”行為，特建立一個處理能力超強的行為檢測虛擬IDS，對符合特定***行為規則的用戶行為進行長期跟蹤。由于慢***需要長期記錄用戶的行為，所以這個超大型的虛擬IDS，需要相當大的緩存空間。

?

三、IDS虛擬化的結構設計

該結構設計中IDS虛擬化管理平臺是核心部分，其前部分支持用戶虛擬化IDS服務，后部分是實現IDS處理能力的動態調配。 負載均衡管理負責虛擬IDS與物理IDS的對應，根據處理能力的不同，可以一對多，也可以多對一；并可以動態加入或卸載物理IDS，所以整個虛擬IDS池的容量變化不影響用戶的應用。當整體處理能力不足時，前臺的安全策略可以根據用戶的流量與安全等級，優先分配資源，保證重點用戶的需求。 虛擬IDS的鏡像與遷移管理，保證虛擬IDS動態的運行在不同的物理IDS上，相互冗余備份，保證在某臺物理IDS宕機時，虛擬IDS自動遷移到其他物理機上，不影響用戶的業務。

?

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的漫谈IDS的虚拟化发展的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。