[发明专利]一种基于云计算的入侵检测方法与系统

权利要求书

1.一种基于云计算的入侵检测方法，其特征在于，基于云服务器与客户端架构，客户端 对本地数据进行监测，并将监测数据发送至云服务器进行分析，云服务器对接收的客户端的 监测数据进行入侵检测，包括误用检测与异常检测，并将检测结果反馈至客户端。

2.根据权利要求1所述的基于云计算的入侵检测方法，其特征在于，云服务器基于入侵 规则对客户端的监测数据通过误用检测算法进行匹配分析，完成入侵检测中的误用检测。

3.根据权利要求2所述的基于云计算的入侵检测方法，其特征在于，如果误用检测未发 现异常，则调用异常检测算法检测未知攻击，完成入侵检测中的异常检测。

4.根据权利要求3所述的基于云计算的入侵检测方法，其特征在于，云服务器的处理流 程包括如下步骤：

10)启动服务，等待客户端发起请求；

11)接收来自客户端的监测数据；

12)对接收到的监测数据进行误用检测，若发现攻击，则跳到步骤14)，否则转到步骤 13)；

13)调用异常检测算法进行入侵检测分析；

14)将检测结果反馈至客户端，并记录本次事件。

5.根据权利要求2所述的基于云计算的入侵检测方法，其特征在于，云服务器根据每次 入侵检测的结果，生成新的入侵规则。

6.根据权利要求1所述的基于云计算的入侵检测方法，其特征在于，当未使用云服务器 进行入侵检测时，则在客户端进行本地入侵检测。

7.根据权利要求6所述的基于云计算的入侵检测方法，其特征在于，客户端的处理流程 包括如下步骤：

20)客户端进行数据包捕获及行为监控，实时捕获网站访问流量及主机行为；

21)判断当前客户端是否使用云服务器进行入侵检测，如果是，则跳到22)，否则跳到 步骤25)；

22)将客户端捕获到的网络流量数据包及主机行为发送给云服务器进行入侵检测；

23)等待云服务器发回检测结果；

24)接收云服务器的检测结果，跳到步骤26；

25)在客户端本地进行入侵检测；

26)根据得到的检测结果做出相应的响应。

8.根据权利要求1所述的基于云计算的入侵检测方法，其特征在于，每个客户端的接入 及入侵检测，利用云计算技术分配到云服务器中的不同计算节点进行入侵检测。

9.根据权利要求8所述的基于云计算的入侵检测方法，其特征在于，计算节点根据预设 条件，分配计算节点的线程池中的匹配条件的线程进行入侵检测，线程池中的每个线程独立 进行入侵检测。

10.一种基于云计算的入侵检测系统，其特征在于，包括云服务器、客户端，运行权利 要求1到9任一项所述的入侵检测方法；

云服务器包括若干计算节点，客户端上设置有事件监控保护模块及入侵检测程序，事件 监控保护模块用于监测本地数据，入侵检测程序在云服务器不进行入侵检测的情况下，在客 户端本地对监测数据进行入侵检测；

云服务器设置有融合误用检测与异常检测的入侵检测系统，包括入侵检测分析引擎、入 侵检测规则库、智能异常检测程序以及入侵规则挖掘程序，用于对接收的监测数据进行入侵 检测。