本发明专利技术涉及一种基于相关性的层次型分布式入侵检测系统,其技术特点是:包括多个入侵检测系统,每个入侵检测系统均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成,检测代理子系统与分布式协作子系统之间以及各个入侵检测系统之间均通过IDXP通信协议模块进行入侵检测信息的交互;所述布式协作子系统内置有基于相关性的分布式协作模型。本发明专利技术设计合理,其采用基于代理间的相关性构建协作模型,使用入侵检测标准化中的IDXP通信协议,能够有效对抗越来越复杂的攻击手段,在保证系统检测准确率的同时,有效降低了系统分布式协作代价,具有容错能力强、系统易于扩展且检测范围广泛等特点。检测范围广泛等特点。检测范围广泛等特点。
【技术实现步骤摘要】
一种基于相关性的层次型分布式入侵检测系统
[0001]本专利技术属于网络通信领域,涉及网络入侵检测技术,尤其是一种基于相关性的层次型分布式入侵检测系统。
技术介绍
[0002]网络入侵是指任何试图破坏资源完整性、机密性和可用性的行为,包括用户对系统资源的误用等。随着互联网覆盖范围的扩大,使用人数的快速增长,网络技术的不断发展,对网络的各类攻击与破坏也日趋严重,作为防火墙之后第二道防线,入侵检测已成为现代网络安全技术的重要组成部分。
[0003]目前,解决网络安全问题所釆用的方案一般包括防火墙、数据加密、认证等,这些措施对于那些企图通过正常途径攻击系统的行为,具有较好的防范作用,但对那些采用非常规手段或利用系统软件的错误或缺陷,甚至利用合法的身份进行危害系统安全的行为却显得无能为力。因此,如何及时准确地检测入侵行为的技术,即入侵检测技术,已经是网络安全中极为重要的一个课题。
[0004]随着网络规模的扩大和入侵方式复杂性的增加,单一入侵检测系统(IDS)很难有效抵御入侵攻击。而不同厂商的间无法相互协作,导致大型的异构网络环境,不可避免存在安全漏洞。在高速网络环境下,面对越来越复杂的攻击手段,单个入侵检测系统已经很难胜任。
技术实现思路
[0005]本专利技术的目的在于克服现有技术的不足,提供一种容错能力强、检测范围广且能够降低通信成本的基于相关性的层次型分布式入侵检测系统。
[0006]本专利技术解决现有的技术问题是采取以下技术方案实现的:
[0007]一种基于相关性的层次型分布式入侵检测系统,包括多个入侵检测系统,每个入侵检测系统均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成,检测代理子系统与分布式协作子系统之间以及各个入侵检测系统之间均通过IDXP通信协议模块进行入侵检测信息的交互;所述布式协作子系统内置有基于相关性的分布式协作模型。
[0008]而且,所述检测代理子系统包括传感器模块和分析者模块;
[0009]传感器模块:用于在多种网络环境下,收集网卡上的网络数据包,为分析者提供数据来源;
[0010]分析者模块:用于分析传感器模块发送过来的网络数据包,生成检测信息,并将检测信息发送给分布式协作子系统。
[0011]而且,所述传感器模块还响应负载均衡模块的请求,帮助其他比较繁忙的入侵检测系统检测网络数据包,或转发一部分网络数据包给其他较空闲的入侵检测系统进行协同检测。
[0012]而且,所述分布式协作子系统包括分布式协作模块、负载均衡模块及数据融合模
块;
[0013]分布式协作模块:用于根据实际场景初始化模型的各个参数,计算相关性矩阵,然后构建一个基于相关性的分布式协作模型,同时处理成员的变更和信息的同步机制;
[0014]负载均衡模块:用于获取、更新当前系统的负载情况,并且实现根据当前检测代理和整个系统负载信息,实施负载均衡;
[0015]数据融合模块:用于对各个检测代理子系统的检测结果进行二次检测、分析,并生成最终的检测结果。
[0016]而且,所述分布式协作模块采用如下两种方式方式进行信息交互:一个是内圈中完全分布式的信息交互,另一个是内圈间中心节点间的信息交互。
[0017]而且,所述分布式协作模块采用观察者模式消息同步机制进行协作处理:当内圈中成员发生变化的时候,中心节点会首先通知当前内圈中的所有代理、相邻内圈的中心节点,依此循环往复,直到系统中所有检测代理子系统都得到通知。
[0018]而且,负载均衡模块采用动态性能分配模式,通过获取当前时刻每个节点的性能数据,来进行负载均衡。
[0019]而且,所述数据融合模块采用基于规则的数据融合模型实现。
[0020]而且,所述基于相关性的分布式协作模型的构建方法为:计算相关性矩阵、以每个代理为中心构建内圈、计算内圈间的相关性、按照内圈间相关性构建模型。
[0021]而且,所述IDXP通信协议模块用于实现IDXP通信协议,包括IDXP消息的发送和接收以及消息内容的解析、封装。
[0022]本专利技术的优点和积极效果是:
[0023]1、本系统基于代理间的相关性构建协作模型,使用入侵检测标准化中的IDXP通信协议,能够有效对抗越来越复杂的攻击手段,在保证系统检测准确率的同时,有效降低了系统分布式协作代价,具有容错能力强、系统易于扩展且检测范围广泛等特点。
[0024]2、本系统采用内圈的划分,减少了相关性很低的节点间的协作通信,有效降低了分布式协作的代价。
[0025]3、本系统在构建模型时,按照当前系统的状况,将相关性较高的代理放在相同内圈,极大地保证了协作的准确性。
[0026]4、本系统没有固定的中心节点,其在每个内圈中心节点失效的情况下,内圈中的其它任何一个节点都可以取代它,成为新的中心节点。
[0027]5、本系统以IDXP为信息交换协议,理论上来说,本专利技术可以和任何支持IDXP的安全组件进行互动,相互协作,系统开放性较高。
附图说明
[0028]图1为本专利技术的系统连接示意图;
[0029]图2为本专利技术的系统模块组成示意图;
[0030]图3为本专利技术的圈内代理间通讯模型;
[0031]图4为本专利技术的圈内代理负载均衡模型;
[0032]图5为本专利技术的基于BEEP的IDXP协议实现框架图;
[0033]图6为本专利技术的IDXP通信时序模型;
[0034]图7为本专利技术的负载均衡流程图;
[0035]图8为本专利技术的消息同步机制类图;
[0036]图9为本专利技术的检测代理状态变迁图;
[0037]图10为本专利技术的负载均衡模块结构图;
[0038]图11为本专利技术数据融合模块结构图。
具体实施方式
[0039]以下结合附图对本专利技术实施例做进一步详述。
[0040]本专利技术以IDXP作为代理间的通信协议,提供一种基于相关性的层次型分布式入侵检测系统,如图1所示,包括多个可配置的、可独立工作的入侵检测系统(IDS)组成,各个IDS之间采用IDXP通信协议进行数据交互,IDS间的协作关系是通过配置文件决定的,这使得系统具有极大的灵活性。系统中每个IDS可以作为单机版来工作。
[0041]如图2所示,系统中的每个IDS均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成,代理子系统、分布式协作子系统均支持IDXP通信协议。IDS内检测代理子系统与分布式协作子系统以及各个IDS之间均通过IDXP通信协议进行入侵检测信息的交互。检测代理子系统主要功能包括触感器模块和分析者模块,功能类似于一个单机版的IDS。而分布式协作子系统用于分布式协作处理、负载均衡、数据融合等。
[0042]下面对系统中的各个部分分别进行说明:
[0043]1、检测代理子系统
[0044]检测代理子系统与普通单机版的入侵检测系统的主要区别是:其需要向分布式处理器发送自己的检本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于相关性的层次型分布式入侵检测系统,其特征在于:包括多个入侵检测系统,每个入侵检测系统均由检测代理子系统、分布式协作子系统及IDXP通信协议模块组成,检测代理子系统与分布式协作子系统之间以及各个入侵检测系统之间均通过IDXP通信协议模块进行入侵检测信息的交互;所述布式协作子系统内置有基于相关性的分布式协作模型。2.根据权利要求1所述的一种基于相关性的层次型分布式入侵检测系统,其特征在于:所述检测代理子系统包括传感器模块和分析者模块;传感器模块:用于在多种网络环境下,收集网卡上的网络数据包,为分析者提供数据来源;分析者模块:用于分析传感器模块发送过来的网络数据包,生成检测信息,并将检测信息发送给分布式协作子系统。3.根据权利要求2所述的一种基于相关性的层次型分布式入侵检测系统,其特征在于:所述传感器模块还响应负载均衡模块的请求,帮助其他比较繁忙的入侵检测系统检测网络数据包,或转发一部分网络数据包给其他较空闲的入侵检测系统进行协同检测。4.根据权利要求1所述的一种基于相关性的层次型分布式入侵检测系统,其特征在于:所述分布式协作子系统包括分布式协作模块、负载均衡模块及数据融合模块;分布式协作模块:用于根据实际场景初始化模型的各个参数,计算相关性矩阵,然后构建一个基于相关性的分布式协作模型,同时处理成员的变更和信息的同步机制;负载均衡模块:用于获取、更新当前系统的负载情况,并且实现根据当前检测代理和整个系统负载信息,实施负载均衡;数据融合模块:用于对各个...
【专利技术属性】
技术研发人员:盛郁,白梦莹,赵文宇,于潼,
申请(专利权)人:天津七所精密机电技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。