[发明专利]一种基于相关性的层次型分布式入侵检测系统

说明书

本发明涉及一种基于相关性的层次型分布式入侵检测系统，其技术特点是：包括多个入侵检测系统，每个入侵检测系统均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成，检测代理子系统与分布式协作子系统之间以及各个入侵检测系统之间均通过IDXP通信协议模块进行入侵检测信息的交互；所述布式协作子系统内置有基于相关性的分布式协作模型。本发明设计合理，其采用基于代理间的相关性构建协作模型，使用入侵检测标准化中的IDXP通信协议，能够有效对抗越来越复杂的攻击手段，在保证系统检测准确率的同时，有效降低了系统分布式协作代价，具有容错能力强、系统易于扩展且检测范围广泛等特点。

技术领域

本发明属于网络通信领域，涉及网络入侵检测技术，尤其是一种基于相关性的层次型分布式入侵检测系统。

背景技术

网络入侵是指任何试图破坏资源完整性、机密性和可用性的行为，包括用户对系统资源的误用等。随着互联网覆盖范围的扩大，使用人数的快速增长，网络技术的不断发展，对网络的各类攻击与破坏也日趋严重，作为防火墙之后第二道防线，入侵检测已成为现代网络安全技术的重要组成部分。

目前，解决网络安全问题所釆用的方案一般包括防火墙、数据加密、认证等，这些措施对于那些企图通过正常途径攻击系统的行为，具有较好的防范作用，但对那些采用非常规手段或利用系统软件的错误或缺陷，甚至利用合法的身份进行危害系统安全的行为却显得无能为力。因此，如何及时准确地检测入侵行为的技术，即入侵检测技术，已经是网络安全中极为重要的一个课题。

随着网络规模的扩大和入侵方式复杂性的增加，单一入侵检测系统(IDS)很难有效抵御入侵攻击。而不同厂商的间无法相互协作，导致大型的异构网络环境，不可避免存在安全漏洞。在高速网络环境下，面对越来越复杂的攻击手段，单个入侵检测系统已经很难胜任。

发明内容

本发明的目的在于克服现有技术的不足，提供一种容错能力强、检测范围广且能够降低通信成本的基于相关性的层次型分布式入侵检测系统。

本发明解决现有的技术问题是采取以下技术方案实现的：

一种基于相关性的层次型分布式入侵检测系统，包括多个入侵检测系统，每个入侵检测系统均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成，检测代理子系统与分布式协作子系统之间以及各个入侵检测系统之间均通过IDXP通信协议模块进行入侵检测信息的交互；所述布式协作子系统内置有基于相关性的分布式协作模型。

而且，所述检测代理子系统包括传感器模块和分析者模块；

传感器模块：用于在多种网络环境下，收集网卡上的网络数据包，为分析者提供数据来源；

分析者模块：用于分析传感器模块发送过来的网络数据包，生成检测信息，并将检测信息发送给分布式协作子系统。

而且，所述传感器模块还响应负载均衡模块的请求，帮助其他比较繁忙的入侵检测系统检测网络数据包，或转发一部分网络数据包给其他较空闲的入侵检测系统进行协同检测。

而且，所述分布式协作子系统包括分布式协作模块、负载均衡模块及数据融合模块；

分布式协作模块：用于根据实际场景初始化模型的各个参数，计算相关性矩阵，然后构建一个基于相关性的分布式协作模型，同时处理成员的变更和信息的同步机制；

负载均衡模块：用于获取、更新当前系统的负载情况，并且实现根据当前检测代理和整个系统负载信息，实施负载均衡；

数据融合模块：用于对各个检测代理子系统的检测结果进行二次检测、分析，并生成最终的检测结果。

而且，所述分布式协作模块采用如下两种方式方式进行信息交互：一个是内圈中完全分布式的信息交互，另一个是内圈间中心节点间的信息交互。