[发明专利]一种基于软件定义安全架构的入侵检测系统

说明书

本发明公开了基于软件定义安全架构的入侵检测系统，属于网络信息安全领域，该入侵检测系统包括客户端模块以及云端模块；所述云端模块包括云端代理、入侵检测引擎、专家规则库、机器学习库以及日志数据库；所述入侵检测引擎采用基于Snort的特征检测技术和基于机器学习的异常检测技术。该软件定义安全架构提供了对网络的可编程化控制和全局状态监视，对下抽象化底层安全设备提供统一透明的接入模式，对上扩展北向安全应用，并发挥云计算技术对弹性计算、分布式计算、负载均衡、大数据处理能力的优势，将专家规则库、入侵检测引擎和相关人工智能检测算法部署在云端，提高了系统的智能检测效率，增强了系统的动态扩展能力和对新安全威胁的快速响应能力。

技术领域

本申请属于网络信息安全领域，具体地，涉及一种软件定义安全架构下的入侵检测系统及检测方法。

背景技术

近年来，随着互联网技术的迅速发展、网络规模的持续扩大、网络流量的不断攀升，以及网络体系结构的日趋复杂化，传统网络架构正面临着越来越严峻的挑战和考验。与此同时复杂的网络环境也带来了许多网络安全问题，如恶意软件攻击、欺骗攻击及分布式拒绝服务攻击等。日益突出的网络安全问题，逐渐向传统的安全体系架构、服务模式和技术手段提出了更严峻的挑战。一方面，伴随着云计算和虚拟化等相关技术的不断发展，网络应用需求变得越来越复杂，传统网络架构出现了难以扩展和配置复杂度较高等问题。不仅如此，各种虚拟化技术实现了网络资源的迅速编排和灵活调配，传统网络安全体系架构渐渐捉襟见肘，已经难以满足人们的需求。另一方面，现有的一些安全防御技术(如防火墙，入侵检测系统等)多以硬件设备的形式部署在本地局域网络中，功能相对单一，灵活性较差，且这些安全设备或软件往往各自分割独立，无法进行系统组合配置，具有实时防御能力弱，可扩展性较差的缺点，难以适应动态的业务需求及进行安全功能的在线升级。

软件定义网络(SDN)作为一种动态、可管理，经济高效且适应性强的新兴架构，正在重塑网络的思维方式，并为网络信息安全的演进提供了重要的支撑解决方案，可以通过软件定义的方式对安全防护功能模块进行全局优化，从而实现统一管理和动态配置的目的，即软件定义安全(SDS)。SDN解耦了网络控制和转发功能，使得网络控制变得可直接编程，并为应用和网络服务抽象出底层基础设施。控制平面与数据平面的隔离使得网络管理变得更加容易，利用控制器提供对网络的集中控制，实现全局状态的监视，灵活地获取和收集网络活动信息。通过控制器，网络管理员可以快速轻松地制定和推出有关数据平面中的底层系统(交换机，路由器)如何处理流量的决策，实现不同体系结构的集成，并促进网络应用程序和服务的创建，以更好地适应用户的需求。SDN通过集中化的管理和控制，实现了动态的资源分配和调度，优化了网络配置、监视、管理、调度、优化等工作。因此将SDN研究成果引入到现有网络安全防护技术是网络信息安全的一种发展趋势，软件定义安全(SDS)增强了网络的管理能力、协同水平和服务质量，为解决网络安全问题提供了可行的解决方案。

入侵检测系统(IDS)作为保护网络免收恶意攻击的关键技术之一，旨在通过收集网络中关键节点的流量信息并分析所有网络活动来实现检测恶意活动(包括病毒、蠕虫和DDoS攻击等)，并及时采取报警措施。IDS能够做到实时地识别和检测入侵攻击行为，被广泛应用于传统网络中。现有的IDS系统和安全设备一般部署在本地局域网络，使得系统的协作性和联动性较差。通过软件定义安全的IDS则可以很好地解决如上问题。一般的，传统的IDS基于专家规则库实现检测攻击模式，这带来了高误报率和高漏报率的风险，同时难以实时检测出新类型的网络攻击以适应复杂多变的网络环境。