[发明专利]一种基于云计算的入侵检测方法与系统

说明书

技术领域

本发明涉及云计算、互联网安全、软件云服务开发及入侵检测的综合领域，更具体地说， 涉及一种基于云计算的入侵检测方法，与基于云计算的入侵检测方法系统。

背景技术

“互联网+”的概念提出，意味着互联网技术应用将迈向更加深远的一步，特别是网络应 用、服务等，这对网络安全也提出了更高的要求。网站服务器往往成为攻击者恶意攻击或劫 持的首要目标，且随着高速网络的普及，攻击强度不断增大。通过对主机网络流量、资源状 态和行为进行实时监控分析，及时发现恶意入侵攻击对于保证网站服务器正常运行提供服务 有着重要意义。目前，针对网站服务器的入侵检测系统的主要方式之一是在主机上安装部署 入侵检测系统，依赖主机的计算资源和操作系统的功能来实现，另一种方式是部署相应的入 侵检测组件，虽然一定程度上提升了主机的安全防护能力，但同时也存在一定的问题和不足。

随着网络规模、网络应用流量的不断增大，特别是如今的大数据时代，网络流量更是庞 大，传统的入侵检测系统结构暴露出越来越多的局限性和缺陷，诸如工作量大、响应速度慢、 处理能力不足等问题，增加了主机负担，另外，部署入侵检测系统比较复杂，更新维护比较 困难，往往需要专业的人员进行维护，增加网站运维成本。

发明内容

本发明的目的在于克服现有技术的不足，提供一种通过将入侵检测作为一种软件服务部 署在云服务器上，提供高效准确的入侵检测服务，解决当前入侵检测系统部署应用模式的高 复杂度、高成本、难维护更新、主机资源消耗大等不足的基于云计算的入侵检测方法，及基 于云计算的入侵检测系统。

本发明的技术方案如下：

一种基于云计算的入侵检测方法，基于云服务器与客户端架构，客户端对本地数据进行 监测，并将监测数据发送至云服务器进行分析，云服务器对接收的客户端的监测数据进行入 侵检测，包括误用检测与异常检测，并将检测结果反馈至客户端。

作为优选，云服务器基于入侵规则对客户端的监测数据通过误用检测算法进行匹配分析， 完成入侵检测中的误用检测。

作为优选，如果误用检测未发现异常，则调用异常检测算法检测未知攻击，完成入侵检 测中的异常检测。

作为优选，云服务器的处理流程包括如下步骤：

10)启动服务，等待客户端发起请求；

11)接收来自客户端的监测数据；

12)对接收到的监测数据进行误用检测，若发现攻击，则跳到步骤14)，否则转到步骤 13)；

13)调用异常检测算法进行入侵检测分析；

14)将检测结果反馈至客户端，并记录本次事件。

作为优选，云服务器根据每次入侵检测的结果，生成新的入侵规则。

作为优选，当未使用云服务器进行入侵检测时，则在客户端进行本地入侵检测。

作为优选，客户端的处理流程包括如下步骤：

20)客户端进行数据包捕获及行为监控，实时捕获网站访问流量及主机行为；

21)判断当前客户端是否使用云服务器进行入侵检测，如果是，则跳到22)，否则跳到 步骤25)；

22)将客户端捕获到的网络流量数据包及主机行为发送给云服务器进行入侵检测；

23)等待云服务器发回检测结果；

24)接收云服务器的检测结果，跳到步骤26；

25)在客户端本地进行入侵检测；

26)根据得到的检测结果做出相应的响应。

作为优选，每个客户端的接入及入侵检测，利用云计算技术分配到云服务器中的不同计 算节点进行入侵检测。

作为优选，计算节点根据预设条件，分配计算节点的线程池中的匹配条件的线程进行入 侵检测，线程池中的每个线程独立进行入侵检测。

一种基于云计算的入侵检测系统，包括云服务器、客户端，运行所述的入侵检测方法；

云服务器包括若干计算节点，客户端上设置有事件监控保护模块及入侵检测程序，事件 监控保护模块用于监测本地数据，入侵检测程序在云服务器不进行入侵检测的情况下，在客 户端本地对监测数据进行入侵检测；

云服务器设置有融合误用检测与异常检测的入侵检测系统，包括入侵检测分析引擎、入 侵检测规则库、智能异常检测程序以及入侵规则挖掘程序，用于对接收的监测数据进行入侵 检测。

本发明的有益效果如下：