[发明专利]一种基于相关性的层次型分布式入侵检测系统

权利要求书

1.一种基于相关性的层次型分布式入侵检测系统，其特征在于：包括多个入侵检测系统，每个入侵检测系统均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成，检测代理子系统与分布式协作子系统之间以及各个入侵检测系统之间均通过IDXP通信协议模块进行入侵检测信息的交互；所述分布式协作子系统内置有基于相关性的分布式协作模型；

所述检测代理子系统包括传感器模块和分析者模块；

传感器模块：用于在多种网络环境下，收集网卡上的网络数据包，为分析者模块提供数据来源；

分析者模块：用于分析传感器模块发送过来的网络数据包，生成检测信息，并将检测信息发送给分布式协作子系统；

所述传感器模块还响应负载均衡模块的请求，帮助其他比较繁忙的入侵检测系统检测网络数据包，或转发一部分网络数据包给其他较空闲的入侵检测系统进行协同检测；

所述分布式协作子系统包括分布式协作模块、负载均衡模块及数据融合模块；

分布式协作模块：用于根据实际场景初始化模型的各个参数，计算相关性矩阵，然后构建一个基于相关性的分布式协作模型，同时处理成员的变更和信息的同步机制；

负载均衡模块：用于获取、更新当前系统的负载情况，并且实现根据当前检测代理和整个系统负载信息，实施负载均衡；

数据融合模块：用于对各个检测代理子系统的检测结果进行二次检测、分析，并生成最终的检测结果；

所述分布式协作模块采用如下两种方式进行信息交互：一个是内圈中完全分布式的信息交互，另一个是内圈间中心节点间的信息交互；

所述基于相关性的分布式协作模型的构建方法为：计算相关性矩阵、以每个代理为中心构建内圈、计算内圈间的相关性、按照内圈间相关性构建模型；

所述内圈用于表示系统中一些检测代理的集合，集合中任意两个代理间的相关性都高于阈值。

2.根据权利要求1所述的一种基于相关性的层次型分布式入侵检测系统，其特征在于：所述分布式协作模块采用观察者模式消息同步机制进行协作处理：当内圈中成员发生变化的时候，中心节点会首先通知当前内圈中的所有代理、相邻内圈的中心节点，依此循环往复，直到系统中所有检测代理子系统都得到通知。

3.根据权利要求1所述的一种基于相关性的层次型分布式入侵检测系统，其特征在于：负载均衡模块采用动态性能分配模式,通过获取当前时刻每个节点的性能数据,来进行负载均衡。

4.根据权利要求1所述的一种基于相关性的层次型分布式入侵检测系统，其特征在于：所述数据融合模块采用基于规则的数据融合模型实现。

5.根据权利要求1至4任一项所述的一种基于相关性的层次型分布式入侵检测系统，其特征在于：所述IDXP通信协议模块用于实现IDXP通信协议，包括IDXP消息的发送和接收以及消息内容的解析、封装。