(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108897604A(43)申请公布日2018.11.27(21)申请号201810720341.4(22)申请日2018.07.03(71)申请人北京思空科技有限公司地址101318北京市顺义区临空经济核心区融慧园6号楼6层(72)发明人岳天畅(74)专利代理机构北京安信方达知识产权代理有限公司11262代理人解婷婷栗若木(51)Int.Cl.G06F9/455(2006.01)H04L29/06(2006.01)权利要求书1页说明书4页附图2页(54)发明名称一种入侵检测系统、装置和方法、计算机可读存储介质(57)摘要本申请公开了一种入侵检测系统、装置和方法、计算机可读存储介质，所述系统包括宿主机、虚拟机和设置在宿主机和虚拟机之间的虚拟机监视器，虚拟机监视器上设置入侵检测单元，其中：入侵检测单元通过抓取并分析宿主机和虚拟机交互的流量，检测宿主机和/或虚拟机是否受到入侵，如是，阻塞宿主机和/或虚拟机的流量并报告给虚拟机监视器进行处理。本申请通过引入入侵检测单元抓取并分析宿主机和虚拟机交互的流量，以检测宿主机和/或虚拟机是否受到入侵，提高了安全运维水平；宿主机OS若被病毒感染或遭受网络攻击，入侵检测单元立即作用，有效杜绝了病毒在虚拟内网传播的可能性；若一台虚拟机OS受到病毒感染，不会影响其它的虚拟机OS。CN108897604ACN108897604A权利要求书1/1页1.一种入侵检测系统，包括宿主机、虚拟机和设置在宿主机和虚拟机之间的虚拟机监视器，其特征在于，所述虚拟机监视器上设置入侵检测单元，其中：入侵检测单元，通过抓取并分析宿主机和虚拟机交互的流量，以检测宿主机和/或虚拟机是否受到入侵，如果宿主机和/虚拟机受到入侵，阻塞宿主机和/或虚拟机的流量并报告给虚拟机监视器进行处理。2.根据权利要求1所述的系统，其特征在于，所述入侵检测单元为Snort入侵检测系统。3.根据权利要求1所述的系统，其特征在于，所述入侵检测单元为所述宿主机和/或所述虚拟机的应用软件设置安全等级，并针对不同的安全等级，匹配相应的安全策略。4.根据权利要求3所述的系统，其特征在于，所述安全策略在所述虚拟机监视器的管理界面上增加、修改或删除。5.一种入侵检测方法，其特征在于，包括：在宿主机和虚拟机之间的虚拟机监视器上设置入侵检测单元，所述入侵检测单元通过抓取并分析宿主机和虚拟机交互的流量，以检测宿主机和/或虚拟机是否受到入侵；如果宿主机和/或虚拟机受到入侵，入侵检测单元阻塞宿主机和/或虚拟机的流量并将该入侵报告给虚拟机监视器进行处理。6.根据权利要求5所述的方法，其特征在于，所述入侵检测单元为Snort入侵检测系统。7.根据权利要求5所述的方法，其特征在于，还包括：所述入侵检测单元为所述宿主机和/或所述虚拟机的应用软件设置安全等级；所述入侵检测单元针对不同的安全等级，匹配相应的安全策略。8.根据权利要求7所述的方法，其特征在于，还包括：在所述虚拟机监视器的管理界面上增加、修改或删除所述安全策略。9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求5至8中任一项所述的入侵检测方法的步骤。10.一种入侵检测装置，其特征在于，包括处理器及存储器，其中：所述处理器用于执行存储器中存储的入侵检测程序，以实现如权利要求5至8中任一项所述的入侵检测方法的步骤。2CN108897604A说明书1/4页一种入侵检测系统、装置和方法、计算机可读存储介质技术领域[0001]本发明涉及入侵检测技术领域，尤其涉及一种入侵检测系统、装置和方法、计算机可读存储介质。背景技术[0002]现有的基于虚拟机监视器的虚拟化流程框架如图1所示，该流程框架存在如下安全问题：[0003](1)如果宿主机操作系统(OperationSystem，OS)被病毒感染或者物理网络环境遭受网络攻击，则虚拟交换机无法起到有效的防御措施，直接将数据转发到虚拟机的网络接口上，造成所有的虚拟机OS受到感染；[0004](2)其中的一台虚拟机OS若受到病毒感染，则会影响其它的虚拟机OS，攻击者甚至可以渗透到宿主机OS中。发明内容[0005]为了解决上述技术问题，本发明提供了一种入侵检测系统、装置和方法、计算机可读存储介质，能够提高宿主机和虚拟机OS的安全运维水平。[0006]为了达到本发明目的，本发明实施例的技术方案是这样实现的：[0007]本发明实施例提供了一种入侵检测系统，包括宿主机、虚拟机和设置在宿主机和虚拟机之间的虚拟机监视器，所述虚拟机监视器上设置入侵检测单元，其中：[0008]入侵检测单元，通过抓取并分析宿主机和虚拟机交互的流量，以检测