[发明专利]一种网络入侵检测方法、装置、系统及存储介质

说明书

本发明公开了一种网络入侵检测方法、装置、系统及存储介质，其中方法包括：初始化分布式计算系统，检测节点向管控节点上报节点信息；将特征规则库分配到对应的检测组的检测节点，利用流复制技术将同一份业务数据镜像流量复制到不同分布式的检测组；根据流复制技术复制到检测组的流量大小以控制业务数据分流到单个检测节点或同一特征规则库的检测组的检测节点；检测节点接收到待检测报文，根据特征规则库进行匹配检测并输出检测结果至管控节点果。通过一种采用分布式、并行计算架构，利用分布式及sdn交换机流复制将网络数据流分流到多个检测节点的技术手段，克服现有技术中大流量数据时检测效率低的技术问题，实现了系统检测效率的提升的效果。

技术领域

本发明涉及网络安全的技术领域，尤其是一种网络入侵检测方法、装置、系统及存储介质。

背景技术

SDN交换机：一种基于软件定义网络思想实现的数据转发设备。

信息系统安全问题是一个十分复杂的问题，即信息系统有多复杂，信息系统安全问题就有多复杂。同样，信息安全是一种难以量化的概念，我们可以拿信息系统的“性能”与“安全”作一个比对。针对网络吞吐量、系统运算速度、数据库存储、查询指标等这类性能问题，用户可以根据自己实际业务需要，预算等条件考虑取舍。系统性能的提高，用户虽然无法触摸或者感知到，但却是可以实实在在看到。因而，提高信息安全系统产品的性能是至关重要的。

现有技术多为单节点、高配置设备，利用单台设备的高硬件资源配置，启用多个检测引擎进程，即利用多进程的方式去提高单节点的处理能力；或者采用将管理节点与检测、响应节点分离的分布式ids。管理节点为顶级管理，与检测节点和响应节点通讯，且在整个分布式系统中存在多个检测节点和响应节点。现有方案的检测系统在10M网上检查所有数据包中几十或上百种攻击特征还可以很好的工作，实际上现在很多网络已经达到50M、100M甚至1000M的网络，网络流量速度的发展远远超过检测引擎对数据包模式分析技术的发展。当流量达到50M及以上，现有技术方案入侵检测效率就会大大降低，同时会促使检测引擎产生漏报的问题，显然不能满足安全检测的需求。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的是提供一种网络入侵检测方法，能够实现在大网络流量下安全检测。

为此，本发明的第二个目的是提供一种网络分段检测装置。

为此，本发明的第三个目的是提供一种网络分段检测系统，能够实时快速网络传输。

为此，本发明的第四个目的是提供一种存储介质，运行存储介质中存储的计算机程序能够使用。

本发明所采用的技术方案是：

第一方面，本发明提供一种网络入侵检测方法，包括：

初始化分布式计算系统，检测节点向管控节点上报节点信息；

将特征规则库分配到对应的检测组的所述检测节点，利用流复制技术将同一份业务数据镜像流量复制到不同分布式的所述检测组；

根据所述流复制技术复制到所述检测组的流量大小以控制所述业务数据分流到单个检测节点或同一所述特征规则库的所述检测组的所述检测节点；

所述检测节点接收到待检测报文，根据所述特征规则库进行匹配检测并输出检测结果至所述管控节点。

进一步地，还包括：一种网络入侵检测方法还包括：所述管控节点根据所述检测结果进行告警或者主动反应措施。

进一步地，所述流复制技术包括：SDN交换机流复制技术、分流负载技术。

进一步地，根据所述流复制技术复制到所述检测组的流量大小以控制所述业务数据分流到单个检测节点或同一所述特征规则库的所述检测组的所述检测节点具体包括：