[发明专利]一种基于云计算环境的分布式网络安全预警方法

权利要求书

1.一种基于云计算环境的分布式网络安全预警方法，其特征在于，所述方法包括设置多个管理域，每个管理域包括一个控制中心节点和一个以上与之数据连接的安全代理节点，所述多个管理域的控制中心节点之间对等连接，

所述安全代理节点通过外围设施发现异常事件，提取事件信息并按设定格式生成报警消息，将所述报警信息发送至本管理域的控制中心节点，

控制中心节点接收来自本管理域的安全代理节点和其他管理域的控制中心节点发送的报警消息，并将满足设定的合并条件的一个以上的安全代理节点合并为一个任务组；

任务组中的安全代理节点之间对等连接，其中一个安全代理节点担任任务协调中心节点，协调组内安全代理节点共同完成设定的任务；所述任务协调中心节点通过下列方法协调组内安全代理节点共同完成设定的任务：

a)将原始任务T划分成子任务集T_s＝{T_si|i＝1…n}，并将T_si分配给组内各个安全代理节点；

b)任务组中每个安全代理节点均具有调度被分配的子任务在本地进行处理的线程，和监听其他节点发送的request消息的另一线程；

c)任务组中每个安全代理节点均维护一祖先节点列表ancestor_list，当该节点闲置时，依序向ancestor_list中的成员节点发送request消息；

d)当节点A收到节点B的request消息时，若节点B已在节点A的ancestor_list中，则节点A抛弃该request消息；否则，在本地的子任务集中选择r个尚未被调度的子任务，用dispatch消息回复节点B，同时节点A将其ancestor_list发送给节点B，节点B由此更新自身的ancestor_list；

所述任务组通过所述任务协调中心节点和一个控制中心节点数据连接。

2.如权利要求1所述的基于云计算环境的分布式网络安全预警方法，其特征在于，所述任务协调中心节点收集组内各个成员节点的报警消息，进行数据融合和关联分析，由此提取异常事件的特征，并将所述特征发送至本管理域的控制中心。

3.如权利要求2所述的基于云计算环境的分布式网络安全预警方法，其特征在于，所述任务协调中心节点制定访问控制策略，发布协同控制命令，协调组内各个安全代理对外围设施的操作。

4.如权利要求1所述的基于云计算环境的分布式网络安全预警方法，其特征在于，在每个管理域中部署多个控制中心节点，仅其中之一处于激活状态，其余处于休眠状态，当所述激活状态下的控制中心节点瘫痪时，激活一个所述休眠状态下的控制中心节点担任新的控制中心节点。

5.如权利要求1所述的基于云计算环境的分布式网络安全预警方法，其特征在于，一个安全代理节点同时加入多个任务组。

6.如权利要求1所述的基于云计算环境的分布式网络安全预警方法，其特征在于，当所述任务协调中心瘫痪时，根据设定的规则指定任务组内其他安全代理节点之一担任新的任务协调中心节点。

7.如权利要求1所述的基于云计算环境的分布式网络安全预警方法，其特征在于，所述控制中心节点之间和所述任务组中的安全代理节点之间均通过采用DHT算法路由的对等覆盖网结构对等连接。

8.如权利要求7所述的基于云计算环境的分布式网络安全预警方法，其特征在于，在所述对等覆盖网结构中，使用XPath结构化语言作为对共享数据的全局统一查询接口。

9.如权利要求1所述的基于云计算环境的分布式网络安全预警方法，其特征在于，所述方法进一步包括：

1)每个安全代理节点构造子节点列表child_list和淘汰节点列表obsolete_list，其中child_list记录该节点当前按M值从低到高排序的子节点，所述M＝C+N_d，其中C表示子节点的计算吞吐率，N_d表示子节点的网络延迟；

2)每次任务调度结束后刷新child_list，并将M值最高的子节点列入obsolete_list，obsolete_list中的节点的request消息在设定时间内得不到响应；

3)每段设定长度的时间后将M值最低的子节点发送给父节点，父节点将其列入自身的child_list。