A distributed intrusion detection method and system in a self-group network. The nodes in the self group network are selected and selected to remove the cluster head nodes. All cluster head nodes are configured with block chain systems to form a block chain network. This method includes: the node of the log update sends the log information containing the node locally already formatted to its cluster head node. The transaction request is recorded; after the cluster head node validates the transaction, the transaction is broadcast in the block chain network; the cluster head nodes agree to verify the transaction, and then the transaction is packaged and recorded into the block chain to form the shared log data; the cluster head nodes combine local information and shared log data to perform intrusion detection respectively. Because of the consensus verification and record of log information records, the authenticity and reliability of the detection data are guaranteed. The global reliable sharing information records and security audit data are provided for the self-group network without central and weak trust to support the global decision and response, and then make the intrusion detection more accurate.
【技术实现步骤摘要】
一种自组网络的分布式入侵检测方法和系统
本专利技术涉及网络安全
,具体涉及一种自组网络的分布式入侵检测方法和系统。
技术介绍
近年来,自组网络得到了飞速的发展,其具有快速组网、易于布置和不依赖固定的基础设施等特点,在军事通信、移动网络、紧急服务等方面得到了广泛的应用,出现了诸如无线传感网络、车联网等自组网络。但随着自组网络的快速发展,网络安全也变得越来越重要。入侵检测系统IDS(IntrusionDetectionSystem)是继防火墙后保护系统安全的第二道防线,它通过收集并分析网络日志和审计数据来检测自组网络中是否存在违反安全策略的操作和发起攻击的恶意节点,并通知管理员以及全网用户,进而做出适当的应对措施。目前,一般的入侵检测系统可以分为三类:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式的入侵检测系统。其中,基于网络的入侵检测系统和基于主机的入侵检测系统在网络规模比较大时,数据类型比较复杂,同时,孤立的入侵检测系统容易造成决策错误,效率较低,且缺乏从全局来检测入侵和响应入侵的能力。因此,分布式的入侵检测系统得到更广泛的研究和应用,然而,现有的分布式入侵检测方法大多是在每个网络节点上设置收集信息的检测部件,并将收集的信息发送到中央处理节点来进行分析和处理,其依赖于中央处理节点,处理能力和检测能力受到限制,且不适用于无中央处理节点的场景。申请号为200810041454.8的专利技术专利提出了一种无线自组织网络入侵检测方法,该方法通过选举出簇头作为代理来实施入侵检测,保证了入侵检测效率的同时也节省了资源,但该方法假设了代理节点必须是可信任的 ...
【技术保护点】
1.一种自组网络的分布式入侵检测方法,所述自组网络中包括多个节点,多个节点被分为至少一个簇,每个簇选取一个用于作为网关负责簇内节点和其它簇节点之间通信的簇头节点,在自组网络中的所有簇头节点上配置区块链系统,形成区块链网络,其特征在于,所述方法包括:当有节点的日志被更新时,所述日志被更新的节点向其所属簇的簇头节点发送请求区块链系统验证和记录的交易请求,所述交易中包含节点本地按照区块链的交易格式已格式化的日志信息记录;簇头节点接收到请求节点发送的交易后,根据所述日志信息记录验证所述交易的合法性;验证通过后,簇头节点将所述交易在区块链网络中进行广播;区块链网络中的各簇头节点根据所述交易中的日志信息记录进行共识验证;共识验证通过后,所述交易被打包记录到区块链网络中,形成共享日志数据;当各簇头节点进行入侵检测时,结合本地信息和区块链网络中的共享日志数据分别执行入侵检测。
【技术特征摘要】
1.一种自组网络的分布式入侵检测方法,所述自组网络中包括多个节点,多个节点被分为至少一个簇,每个簇选取一个用于作为网关负责簇内节点和其它簇节点之间通信的簇头节点,在自组网络中的所有簇头节点上配置区块链系统,形成区块链网络,其特征在于,所述方法包括:当有节点的日志被更新时,所述日志被更新的节点向其所属簇的簇头节点发送请求区块链系统验证和记录的交易请求,所述交易中包含节点本地按照区块链的交易格式已格式化的日志信息记录;簇头节点接收到请求节点发送的交易后,根据所述日志信息记录验证所述交易的合法性;验证通过后,簇头节点将所述交易在区块链网络中进行广播;区块链网络中的各簇头节点根据所述交易中的日志信息记录进行共识验证;共识验证通过后,所述交易被打包记录到区块链网络中,形成共享日志数据;当各簇头节点进行入侵检测时,结合本地信息和区块链网络中的共享日志数据分别执行入侵检测。2.如权利要求1所述的方法,其特征在于,所述日志被更新的节点发送交易请求后等待区块链网络的答复验证,并在超出预定时间内未接收到区块链网络的答复验证时,重新发送交易请求。3.如权利要求1所述的方法,其特征在于,簇头节点在进行入侵检测中发现异常时向区块链网络发送异常检测结果事务,请求区块链网络验证和记录,所述异常检测结果事务的格式为区块链的交易格式。4.如权利要求3所述的方法,其特征在于,当其它簇的簇头节点发现区块链网络的异常检测结果事务后,各自进行入侵检测,当发现异常时同样向区块链网络发送异常的检测结果事务,请求区块链网络进行共识记录。5.如权利要求4所述的方法,其特征在于,当区块链网络中记录的异常检测结果事务的次数超过设定阈值时,触发区块链上的智能合约,实施初始设定的响应措施。6.如权利要求4所述的方法,其特征在于,当区块链网络中记录的异常检测结果事务的次数超过设定阈值时,至少一个检测出异常的簇头节点向区块链网络发送决策响应事务,并请求区块链网络对所述决策响应事务进行共识验证和记录,所述决策响应事务中包括该簇头节点提议的响应方案,区块链网络在进行共识记录后执行全局统一的决策响应方案。7.一种自组网络的分布式入侵检测系统,所述自组网络包括多个节点,多个节点被分为至少一个簇,每个簇具有一个用于作为网关负责簇内节点和其它簇节...
【专利技术属性】
技术研发人员:雷凯,齐竹云,章奇超,楼君俊,
申请(专利权)人:北京大学深圳研究生院,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。