一种自组网络的分布式入侵检测方法和系统技术方案

一种自组网络的分布式入侵检测方法和系统，自组网络中的节点被分簇后选取出簇头节点，所有簇头节点上配置区块链系统形成区块链网络，该方法包括：日志更新的节点向其簇头节点发送包含节点本地已格式化的日志信息记录的交易请求；簇头节点验证交易合法后在区块链网络中广播该交易；各簇头节点共识验证该交易，通过后该交易被打包记录到区块链中形成共享日志数据；各簇头节点结合本地信息和共享日志数据分别执行入侵检测。由于对日志信息记录进行了共识验证和记录，保证了检测数据的真实性和可靠性，为无中心弱信任的自组网络提供了全局可靠的共享信息记录以及安全审计数据，以支持全局的决策和响应，进而使入侵检测更准确。

A distributed intrusion detection method and system based on self organizing network

A distributed intrusion detection method and system in a self-group network. The nodes in the self group network are selected and selected to remove the cluster head nodes. All cluster head nodes are configured with block chain systems to form a block chain network. This method includes: the node of the log update sends the log information containing the node locally already formatted to its cluster head node. The transaction request is recorded; after the cluster head node validates the transaction, the transaction is broadcast in the block chain network; the cluster head nodes agree to verify the transaction, and then the transaction is packaged and recorded into the block chain to form the shared log data; the cluster head nodes combine local information and shared log data to perform intrusion detection respectively. Because of the consensus verification and record of log information records, the authenticity and reliability of the detection data are guaranteed. The global reliable sharing information records and security audit data are provided for the self-group network without central and weak trust to support the global decision and response, and then make the intrusion detection more accurate.

【技术实现步骤摘要】
一种自组网络的分布式入侵检测方法和系统
本专利技术涉及网络安全
，具体涉及一种自组网络的分布式入侵检测方法和系统。
技术介绍
近年来，自组网络得到了飞速的发展，其具有快速组网、易于布置和不依赖固定的基础设施等特点，在军事通信、移动网络、紧急服务等方面得到了广泛的应用，出现了诸如无线传感网络、车联网等自组网络。但随着自组网络的快速发展，网络安全也变得越来越重要。入侵检测系统IDS(IntrusionDetectionSystem)是继防火墙后保护系统安全的第二道防线，它通过收集并分析网络日志和审计数据来检测自组网络中是否存在违反安全策略的操作和发起攻击的恶意节点，并通知管理员以及全网用户，进而做出适当的应对措施。目前，一般的入侵检测系统可以分为三类：基于网络的入侵检测系统、基于主机的入侵检测系统和分布式的入侵检测系统。其中，基于网络的入侵检测系统和基于主机的入侵检测系统在网络规模比较大时，数据类型比较复杂，同时，孤立的入侵检测系统容易造成决策错误，效率较低，且缺乏从全局来检测入侵和响应入侵的能力。因此，分布式的入侵检测系统得到更广泛的研究和应用，然而，现有的分布式入侵检测方法大多是在每个网络节点上设置收集信息的检测部件，并将收集的信息发送到中央处理节点来进行分析和处理，其依赖于中央处理节点，处理能力和检测能力受到限制，且不适用于无中央处理节点的场景。申请号为200810041454.8的专利技术专利提出了一种无线自组织网络入侵检测方法，该方法通过选举出簇头作为代理来实施入侵检测，保证了入侵检测效率的同时也节省了资源，但该方法假设了代理节点必须是可信任的，而没有考虑代理节点的不可信情况，存在一定的安全隐患，且簇头间的信息不能进行全局共享。综上，现有的分布式入侵检测方法没有考虑不可信节点恶意传播虚假报告信息来干扰入侵检测系统而导致检测结果错误的情况，缺少对收集到的信息的监控和审计手段，这样，在无中心弱信任的自组网络中，无法保证检测数据的真实性和可靠性，且无法进行全局信息的共享，入侵检测的准确性不高。
技术实现思路
本申请提供一种自组网络的分布式入侵检测方法和系统，以能够在无中心弱信任的自组网络中提供全局可靠的共享信息记录，支持全局的决策和响应，保证共享检测数据的真实性和可靠性，提高入侵检测的准确性。根据第一方面，一种实施例中提供一种自组网络的分布式入侵检测方法，所述自组网络中包括多个节点，多个节点被分为至少一个簇，每个簇选取一个用于作为网关负责簇内节点和其它簇节点之间通信的簇头节点，在自组网络中的所有簇头节点上配置区块链系统，形成区块链网络，所述方法包括：当有节点的日志被更新时，所述日志被更新的节点向其所属簇的簇头节点发送请求区块链系统验证和记录的交易请求，所述交易中包含节点本地按照区块链的交易格式已格式化的日志信息记录；簇头节点接收到请求节点发送的交易后，根据所述日志信息记录验证所述交易的合法性；验证通过后，簇头节点将所述交易在区块链网络中进行广播；区块链网络中的各簇头节点根据所述交易中的日志信息记录进行共识验证；共识验证通过后，所述交易信息被打包记录到区块链网络中，形成共享日志数据；当各簇头节点进行入侵检测时，结合本地信息和区块链网络中的共享日志数据分别执行入侵检测。根据第二方面，一种实施例中提供一种自组网络的分布式入侵检测系统，所述自组网络包括多个节点，多个节点被分为至少一个簇，每个簇具有一个用于作为网关负责簇内节点和其它簇节点之间通信的簇头节点，所有簇头节点经配置区块链系统形成区块链网络；所述系统包括：数据采集模块，设置在各个节点上，用于在节点本地采集各类用于入侵检测的原始数据；数据处理模块，设置在各个节点上，用于对所述原始数据进行过滤并格式化为区块链的交易格式，得到格式化的日志信息记录；交易请求模块，设置在各个节点上，用于在节点的日志被更新时，向节点所属簇的簇头节点发送请求区块链系统验证和记录的交易请求，所述交易中包含所述簇内节点本地按照区块链的交易格式已格式化的日志信息记录；分布式共识模块，设置在各个簇头节点上，用于接收交易请求模块发送的交易，并根据所述日志信息记录验证所述交易的合法性，在验证通过后，将所述交易在区块链网络中进行广播；还用于接收区块链网络中广播的交易，并根据所述广播的交易中的日志信息记录对所述广播的交易进行共识验证；分布式记录模块，用于在共识验证通过后，将交易信息打包记录到区块链网络中，形成共享日志数据；入侵检测模块，设置在各个簇头节点上，用于在各簇头节点进行入侵检测时，结合各簇头节点的本地信息和区块链网络中的共享日志数据分别执行入侵检测。依据上述实施例的自组网络分布式入侵检测方法和系统，自组网络中的节点被分为至少一簇后选取出每一簇的簇头节点作为入侵检测的代理，再在所有簇头节点上配置区块链系统，形成区块链网络；当有节点的日志被更新时，簇头节点会接收到该请求节点发送的包含已格式化的日志信息记录的交易，对该交易验证通过后在区块链网络中进行广播，这时，区块链网络中的各簇头节点会根据该交易中的日志信息记录进行共识验证，只有在共识验证通过后才会记录该日志信息记录，从而避免了不可信节点的恶意干扰行为，而且，该日志信息记录被打包记录到区块链中，形成了共享日志数据，进而能够使区块链网络中的所有簇头节点都能结合本地信息和该共享日志数据分别进行入侵检测，为无中心弱信任的自组网络提供了全局可靠的共享信息记录，能够支持全局的决策和响应，保证了共享检测数据的真实性和可靠性，使得入侵检测更加准确。附图说明图1为自组网络的初始化流程图；图2为一种实施例中对自组网络分簇并选举簇头节点后形成的网络拓扑图；图3为另一种实施例中对自组网络分簇并选举簇头节点后形成的网络拓扑图；图4为本专利技术实施例中区块链配置的结构示意图；图5为本专利技术实施例中自组网络的网络拓扑图；图6为本专利技术实施例中自组网络的分布式入侵检测系统的结构示意图；图7为本专利技术实施例中自组网络的分布式入侵检测方法的流程图；图8为本专利技术实施例中区块链网络记录交易的结构示意图；图9为本专利技术一种具体实施例中自组网络的分布式入侵检测系统；图10为一种具体实施例中入侵检测与决策响应的流程图。具体实施方式下面通过具体实施方式结合附图对本专利技术作进一步详细说明。区块链(Blockchain)技术作为去中心化的分布式账本技术，具有可追溯、不可篡改和附有时序的数据结构，其分布式共识维护了多方之间的信任。在本专利技术实施例中，将自组网络中的多个节点分为至少一簇后选取出每一簇的簇头节点作为入侵检测的代理，再在所有簇头节点上配置区块链系统，形成区块链网络；当有节点的日志被更新时，该节点向其所属簇的簇头节点发送请求区块链系统验证和记录的交易请求，簇头节点接收到该请求节点发送的包含已格式化的日志信息记录的交易，对该交易验证通过后在区块链网络中进行广播；区块链网络中的各簇头节点根据该日志信息记录进行共识验证，在共识验证通过后记录该日志信息记录到区块链中形成共享日志数据；当各簇头节点进行入侵检测时，结合本地信息和区块链网络中的共享日志数据在本簇内进行入侵检测。图1为自组网络的初始化流程图，如图1所示，包括：步骤S11：节点分簇并确定簇头节点。多个节点可组建成自组网络，在自组网络组建期间，可以本文档来自技高网...

【技术保护点】
1.一种自组网络的分布式入侵检测方法，所述自组网络中包括多个节点，多个节点被分为至少一个簇，每个簇选取一个用于作为网关负责簇内节点和其它簇节点之间通信的簇头节点，在自组网络中的所有簇头节点上配置区块链系统，形成区块链网络，其特征在于，所述方法包括：当有节点的日志被更新时，所述日志被更新的节点向其所属簇的簇头节点发送请求区块链系统验证和记录的交易请求，所述交易中包含节点本地按照区块链的交易格式已格式化的日志信息记录；簇头节点接收到请求节点发送的交易后，根据所述日志信息记录验证所述交易的合法性；验证通过后，簇头节点将所述交易在区块链网络中进行广播；区块链网络中的各簇头节点根据所述交易中的日志信息记录进行共识验证；共识验证通过后，所述交易被打包记录到区块链网络中，形成共享日志数据；当各簇头节点进行入侵检测时，结合本地信息和区块链网络中的共享日志数据分别执行入侵检测。

【技术特征摘要】
1.一种自组网络的分布式入侵检测方法，所述自组网络中包括多个节点，多个节点被分为至少一个簇，每个簇选取一个用于作为网关负责簇内节点和其它簇节点之间通信的簇头节点，在自组网络中的所有簇头节点上配置区块链系统，形成区块链网络，其特征在于，所述方法包括：当有节点的日志被更新时，所述日志被更新的节点向其所属簇的簇头节点发送请求区块链系统验证和记录的交易请求，所述交易中包含节点本地按照区块链的交易格式已格式化的日志信息记录；簇头节点接收到请求节点发送的交易后，根据所述日志信息记录验证所述交易的合法性；验证通过后，簇头节点将所述交易在区块链网络中进行广播；区块链网络中的各簇头节点根据所述交易中的日志信息记录进行共识验证；共识验证通过后，所述交易被打包记录到区块链网络中，形成共享日志数据；当各簇头节点进行入侵检测时，结合本地信息和区块链网络中的共享日志数据分别执行入侵检测。2.如权利要求1所述的方法，其特征在于，所述日志被更新的节点发送交易请求后等待区块链网络的答复验证，并在超出预定时间内未接收到区块链网络的答复验证时，重新发送交易请求。3.如权利要求1所述的方法，其特征在于，簇头节点在进行入侵检测中发现异常时向区块链网络发送异常检测结果事务，请求区块链网络验证和记录，所述异常检测结果事务的格式为区块链的交易格式。4.如权利要求3所述的方法，其特征在于，当其它簇的簇头节点发现区块链网络的异常检测结果事务后，各自进行入侵检测，当发现异常时同样向区块链网络发送异常的检测结果事务，请求区块链网络进行共识记录。5.如权利要求4所述的方法，其特征在于，当区块链网络中记录的异常检测结果事务的次数超过设定阈值时，触发区块链上的智能合约，实施初始设定的响应措施。6.如权利要求4所述的方法，其特征在于，当区块链网络中记录的异常检测结果事务的次数超过设定阈值时，至少一个检测出异常的簇头节点向区块链网络发送决策响应事务，并请求区块链网络对所述决策响应事务进行共识验证和记录，所述决策响应事务中包括该簇头节点提议的响应方案，区块链网络在进行共识记录后执行全局统一的决策响应方案。7.一种自组网络的分布式入侵检测系统，所述自组网络包括多个节点，多个节点被分为至少一个簇，每个簇具有一个用于作为网关负责簇内节点和其它簇节...

【专利技术属性】
技术研发人员：雷凯，齐竹云，章奇超，楼君俊，
申请(专利权)人：北京大学深圳研究生院，
类型：发明
国别省市：广东,44