專利名稱:一種應(yīng)用于數(shù)據(jù)網(wǎng)格的協(xié)同學(xué)習(xí)入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明是一種應(yīng)用于數(shù)據(jù)網(wǎng)格的基于BP神經(jīng)網(wǎng)絡(luò)協(xié)同學(xué)習(xí)的入侵檢測(cè)方法。主要用于 檢測(cè)來(lái)自網(wǎng)絡(luò)的針對(duì)網(wǎng)格中數(shù)據(jù)節(jié)點(diǎn)的攻擊,屬于數(shù)據(jù)網(wǎng)格技術(shù)和入侵檢測(cè)技術(shù)的交叉領(lǐng) 域。
背景技術(shù):
隨著近年來(lái)高速網(wǎng)絡(luò)技術(shù)以及計(jì)算網(wǎng)格技術(shù)的迅速發(fā)展,人們對(duì)大規(guī)模的數(shù)據(jù)共享的需 求越來(lái)越強(qiáng)烈,當(dāng)前一些存儲(chǔ)技術(shù),如網(wǎng)絡(luò)附屬存儲(chǔ)NAS、存儲(chǔ)區(qū)域網(wǎng)絡(luò)SAN、機(jī)群存儲(chǔ)、 對(duì)象存儲(chǔ)等,由于其封閉性、獨(dú)立性和相對(duì)較高的成本、存儲(chǔ)與擴(kuò)展能力不足,導(dǎo)致其難以 在廣域網(wǎng)下共享日趨龐大的數(shù)據(jù)量,另一方面,在廣域網(wǎng)上仍然存在,大量閑置存儲(chǔ)空間未 能得到有效利用。數(shù)據(jù)網(wǎng)格正是一個(gè)以數(shù)據(jù)為主要資源的理想的虛擬存儲(chǔ)系統(tǒng),可為各種網(wǎng) 格應(yīng)用提供良好的支持。 一方面,利用網(wǎng)格環(huán)境的高效處理能力可以實(shí)現(xiàn)大規(guī)模數(shù)據(jù)的有效 整合,并有效地利用已有的眾多的數(shù)據(jù)資源;同時(shí),也可以利用數(shù)據(jù)網(wǎng)格系統(tǒng)高效的數(shù)據(jù)管 理能力,為網(wǎng)格內(nèi)實(shí)現(xiàn)數(shù)據(jù)庫(kù)資源的有效管理、分布數(shù)據(jù)的集成優(yōu)化以及大數(shù)據(jù)的分析處理 等提供強(qiáng)有力的支持。
在廣域網(wǎng)絡(luò)上部署計(jì)算,安全保證是至關(guān)重要的。網(wǎng)格安全機(jī)制將提供基本的安全保護(hù) 驗(yàn)證機(jī)制,以驗(yàn)證合法的用戶和資源,并為其他安全服務(wù)提供接口,允許用戶選擇不同的安 全策略、安全級(jí)別和加密方法,提供底層基礎(chǔ)的安全設(shè)施,這是網(wǎng)格計(jì)算的要求和特點(diǎn)。入 侵檢測(cè)系統(tǒng)作為繼防火墻之后網(wǎng)絡(luò)安全的第二道防線也被進(jìn)一步擴(kuò)展到網(wǎng)格環(huán)境中,作為網(wǎng) 格底層GSI之上的又一道防線,部署于計(jì)算網(wǎng)格的入侵檢測(cè)原型系統(tǒng)己初見(jiàn)雛形,這些系統(tǒng) 大多是以上層安全服務(wù)的形式檢測(cè)網(wǎng)格用戶的行為輪廓來(lái)發(fā)現(xiàn)和阻止惡意用戶的攻擊以保 證網(wǎng)格的安全。然而在數(shù)據(jù)網(wǎng)格中情況有所不同,為了提高數(shù)據(jù)服務(wù)質(zhì)量,數(shù)據(jù)網(wǎng)格中使用 了大量的數(shù)據(jù)副本,這些副本分布存儲(chǔ)在廣域范圍內(nèi)異構(gòu)的節(jié)點(diǎn)上,毫無(wú)疑問(wèn),數(shù)據(jù)冗余度 越大,給攻擊者提供的攻擊點(diǎn)就越多,攻擊者對(duì)數(shù)據(jù)網(wǎng)格的攻擊首先會(huì)從網(wǎng)絡(luò)上針對(duì)某些關(guān) 鍵節(jié)點(diǎn)發(fā)起,進(jìn)而破壞整個(gè)數(shù)據(jù)網(wǎng)格。如果不能保證每個(gè)存儲(chǔ)重要數(shù)據(jù)的節(jié)點(diǎn)計(jì)算機(jī)的安全, 也就不能保證數(shù)據(jù)網(wǎng)格整體的安全??墒乾F(xiàn)有的入侵檢測(cè)技術(shù)絕大多數(shù)都是針對(duì)單機(jī)的操作 系統(tǒng)和網(wǎng)絡(luò)的,而應(yīng)用于計(jì)算網(wǎng)格的入侵檢測(cè)系統(tǒng)又部署于網(wǎng)格上層針對(duì)整個(gè)網(wǎng)格的用戶, 缺乏對(duì)單個(gè)節(jié)點(diǎn)網(wǎng)絡(luò)安全的考慮,不適合數(shù)據(jù)網(wǎng)格的特殊情況。目前有關(guān)數(shù)據(jù)網(wǎng)格的研究和 開(kāi)發(fā)還處于起步階段,對(duì)網(wǎng)格數(shù)據(jù)安全的研究就更少了,且現(xiàn)在已經(jīng)提出的很少幾種數(shù)據(jù)網(wǎng) 格入侵檢測(cè)模型都是照搬計(jì)算網(wǎng)格中的入侵檢測(cè)技術(shù),而沒(méi)有考慮存儲(chǔ)數(shù)據(jù)的節(jié)點(diǎn)面臨的來(lái) 自網(wǎng)絡(luò)的攻擊。
近年來(lái)分布式入侵檢測(cè)技術(shù)有了很大發(fā)展,然而這樣的系統(tǒng)或者需要有一個(gè)統(tǒng)一的控制 中心來(lái)分析處理各個(gè)關(guān)鍵檢測(cè)點(diǎn)上傳來(lái)的安全事件,或者采用agent技術(shù)來(lái)獨(dú)立或協(xié)同處理
4分布的節(jié)點(diǎn)上的事件。由于網(wǎng)格中節(jié)點(diǎn)數(shù)量龐大,使用集中處理引擎會(huì)導(dǎo)致處理中心負(fù)荷太 重,且無(wú)法避免單點(diǎn)失效問(wèn)題,使用agent技術(shù)沒(méi)有充分發(fā)揮網(wǎng)格異構(gòu)環(huán)境下各agent的優(yōu) 勢(shì)互補(bǔ)且很難解決agent之間的信任問(wèn)題??梢?jiàn)已存在的各種分布式入侵檢測(cè)技術(shù)不適合數(shù) 據(jù)網(wǎng)格的特殊環(huán)境。
在入侵檢測(cè)領(lǐng)域集成學(xué)習(xí)也是近年來(lái)的研究熱點(diǎn),它是將很多個(gè)獨(dú)立訓(xùn)練的弱學(xué)勻器如 BP神經(jīng)網(wǎng)絡(luò)集成起來(lái)得到一個(gè)強(qiáng)學(xué)習(xí)器以提高檢測(cè)率,但這種方法主要還是用于單機(jī)的入侵 檢測(cè)。因此研究一種適合數(shù)據(jù)網(wǎng)格環(huán)境的入侵檢測(cè)方法具有重要意義。
發(fā)明內(nèi)容
技術(shù)問(wèn)題本發(fā)明的目的是提供一種應(yīng)用于數(shù)據(jù)網(wǎng)格的入侵檢測(cè)方法,檢測(cè)來(lái)自網(wǎng)絡(luò)的 針對(duì)網(wǎng)格中數(shù)據(jù)節(jié)點(diǎn)的攻擊。
技術(shù)方案本發(fā)明是一種協(xié)同學(xué)習(xí)的入侵檢測(cè)方法,基于BP神經(jīng)網(wǎng)絡(luò),通過(guò)數(shù)據(jù)網(wǎng)格 中各個(gè)異構(gòu)節(jié)點(diǎn)上的神經(jīng)網(wǎng)絡(luò)互相學(xué)習(xí)、優(yōu)勢(shì)互補(bǔ)來(lái)提高各數(shù)據(jù)節(jié)點(diǎn)的安全性,有效地抵御 來(lái)自網(wǎng)絡(luò)的攻擊。 —、體系結(jié)構(gòu)
根據(jù)復(fù)雜網(wǎng)絡(luò)科學(xué)理論,現(xiàn)實(shí)世界中的網(wǎng)絡(luò)(互聯(lián)網(wǎng)、網(wǎng)格)具有無(wú)標(biāo)度特性,數(shù)據(jù)網(wǎng) 格作為一個(gè)廣域自組織的動(dòng)態(tài)網(wǎng)絡(luò),其拓?fù)浣Y(jié)構(gòu)也應(yīng)該符合無(wú)標(biāo)度網(wǎng)絡(luò)模型少數(shù)中心節(jié)點(diǎn) 度很大,其上連接著許多普通節(jié)點(diǎn)。因此數(shù)據(jù)網(wǎng)格的典型拓?fù)浣Y(jié)構(gòu)如圖l所示,其中中心節(jié) 點(diǎn)上一般用來(lái)存儲(chǔ)重要的數(shù)據(jù)副本(根副本),其安全性至關(guān)重要。為了減少安全開(kāi)銷,重 點(diǎn)保護(hù)關(guān)鍵數(shù)據(jù)節(jié)點(diǎn)的安全,分別設(shè)計(jì)中心節(jié)點(diǎn)和普通節(jié)點(diǎn)上的入侵檢測(cè)模塊如下
圖2給出了中心節(jié)點(diǎn)入侵檢測(cè)模塊的體系結(jié)構(gòu),它的功能部件主要包括本地?cái)?shù)據(jù)采集器、 新型入侵樣本接收器、協(xié)同請(qǐng)求服務(wù)代理、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、本地集成入侵分析引 擎(檢測(cè)器)、入侵樣本特征庫(kù)、協(xié)同入侵分析引擎、新型入侵樣本發(fā)送器、響應(yīng)告警器。
下面我們給出幾個(gè)具體部分的說(shuō)明
本地?cái)?shù)據(jù)采集器從本地網(wǎng)段上采集網(wǎng)絡(luò)數(shù)據(jù)包,以檢測(cè)來(lái)自本地網(wǎng)絡(luò)的攻擊。 新型入侵樣本接收器接收其他節(jié)點(diǎn)發(fā)送過(guò)來(lái)的己檢測(cè)判斷出為攻擊的數(shù)據(jù)樣本。 協(xié)同請(qǐng)求服務(wù)代理接收某普通節(jié)點(diǎn)發(fā)送過(guò)來(lái)的無(wú)法判斷的懷疑樣本,再以廣播的方式
轉(zhuǎn)發(fā)給本中心節(jié)點(diǎn)直連的所有普通節(jié)點(diǎn)以協(xié)同分析,將協(xié)同入侵分析引擎的最終判斷結(jié)果返
回給發(fā)起協(xié)同請(qǐng)求的節(jié)點(diǎn)。
數(shù)據(jù)預(yù)處S&格式轉(zhuǎn)換器由于數(shù)據(jù)網(wǎng)格的異構(gòu)性,各節(jié)點(diǎn)計(jì)算機(jī)的檢測(cè)器所處理的網(wǎng)
絡(luò)數(shù)據(jù)包的格式及檢測(cè)的字段不同,轉(zhuǎn)換器將接收到的數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的適合本地節(jié)點(diǎn)上的
檢測(cè)器處理的格式,并進(jìn)行適當(dāng)?shù)念A(yù)處理以提高檢測(cè)效率。
本地集成入侵分析引擎是中心節(jié)點(diǎn)的主要入侵檢測(cè)部件,為了確保中心節(jié)點(diǎn)的安全,
檢測(cè)器采用多個(gè)獨(dú)立訓(xùn)練的BP神經(jīng)網(wǎng)絡(luò)集成的檢測(cè)方式,形成強(qiáng)的本地檢測(cè)能力。
入侵樣本特征庫(kù)存儲(chǔ)普通節(jié)點(diǎn)提交的新型入侵樣本特征,與本地集成入侵分析引擎配
合工作,對(duì)于分析引擎收到的待檢測(cè)數(shù)據(jù),首先與特征庫(kù)中已有的入侵樣本特征比對(duì),若未
發(fā)現(xiàn)異常,再由分析引擎的集成BP神經(jīng)網(wǎng)絡(luò)檢測(cè)。
協(xié)同入侵分析引擎接收來(lái)自協(xié)同請(qǐng)求服務(wù)代理的數(shù)據(jù),為普通節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)。 新型入侵樣本發(fā)送器將在本地節(jié)點(diǎn)上發(fā)現(xiàn)的新類型的入侵樣本發(fā)送給其他節(jié)點(diǎn)以供其作檢測(cè)參考。
響應(yīng)告蕾器在發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)的針對(duì)本節(jié)點(diǎn)的攻擊時(shí),發(fā)出入侵告警促使系統(tǒng)采取措施 阻止入侵行為。
圖3給出了普通節(jié)點(diǎn)入侵檢測(cè)模塊的體系結(jié)構(gòu),由于它的重要性不如中心節(jié)點(diǎn),安全需 求比中心節(jié)點(diǎn)低,因此其入侵分析引擎只使用了兩個(gè)BP神經(jīng)網(wǎng)絡(luò)協(xié)作檢測(cè),而且由于普通 節(jié)點(diǎn)的度很小,計(jì)算性能不如中心節(jié)點(diǎn),所以除了進(jìn)行本地的檢測(cè)和在空閑時(shí)為響應(yīng)與之相 連的中心節(jié)點(diǎn)的要求參與某次協(xié)同檢測(cè)計(jì)算外不承擔(dān)為其他節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)的義務(wù)。 它的功能部件主要包括本地?cái)?shù)據(jù)釆集器、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、本地入侵分析引擎(檢 測(cè)器)、本地入侵樣本特征庫(kù)、新型入侵樣本發(fā)送器、協(xié)同通信服務(wù)器、響應(yīng)告警器。其中 本地?cái)?shù)據(jù)采集器、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、新型入侵樣本發(fā)送器、響應(yīng)告警器的作用與中 心節(jié)點(diǎn)的相同,不再贅述,略有不同的是檢測(cè)器和特征庫(kù),另外由于其經(jīng)常要通過(guò)中心節(jié)點(diǎn) 向其他節(jié)點(diǎn)發(fā)出協(xié)同檢測(cè)請(qǐng)求,故需要增加協(xié)同通信服務(wù)器,現(xiàn)分別說(shuō)明如下
本地入侵分析引擎普通節(jié)點(diǎn)的檢測(cè)引擎采用兩個(gè)獨(dú)立的BP神經(jīng)網(wǎng)絡(luò)協(xié)作檢測(cè)的方式, 其中一個(gè)BP網(wǎng)絡(luò)為主檢測(cè)器,另一個(gè)為輔助檢測(cè)器。實(shí)際檢測(cè)時(shí),若兩個(gè)網(wǎng)絡(luò)都判斷為正 常,則看作正常數(shù)據(jù);若兩個(gè)網(wǎng)絡(luò)都判斷為異常,則看作入侵?jǐn)?shù)據(jù);若一個(gè)判斷為正常而另 一個(gè)判斷為異常,則作為暫時(shí)無(wú)法判決的懷疑數(shù)據(jù),通過(guò)協(xié)同通信服務(wù)器將懷疑樣本發(fā)送給 其所連接的中心節(jié)點(diǎn),再由中心節(jié)點(diǎn)聯(lián)合其他多個(gè)普通節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)以作出最終的 判斷。
本地入侵樣本特征庫(kù)懷疑樣本若經(jīng)協(xié)同檢測(cè)得出的最終結(jié)果確實(shí)是一種入侵,則提取 其特征存儲(chǔ)于本地入侵樣本特征庫(kù)中,在以后的檢測(cè)中先檢査特征庫(kù),若和其中的某條記錄 匹配,則直接判斷為入侵,無(wú)須再次進(jìn)行協(xié)同檢測(cè),以減少安全開(kāi)銷。
協(xié)同通信服務(wù)器將本節(jié)點(diǎn)無(wú)法判斷的懷疑樣本發(fā)送給遠(yuǎn)程中心節(jié)點(diǎn),提出協(xié)同服務(wù)請(qǐng) 求或者響應(yīng)某中心節(jié)點(diǎn)的要求,接收其發(fā)來(lái)的懷疑數(shù)據(jù),提交給本機(jī)上的入侵分析引擎分析, 再向中心節(jié)點(diǎn)返回分析引擎的計(jì)算結(jié)果。 二、方法流程
一種應(yīng)用于數(shù)據(jù)網(wǎng)格的協(xié)同學(xué)習(xí)入侵檢測(cè)方法通過(guò)數(shù)據(jù)網(wǎng)格中各個(gè)異構(gòu)節(jié)點(diǎn)上的BP 神經(jīng)網(wǎng)絡(luò)協(xié)同學(xué)習(xí)、優(yōu)勢(shì)互補(bǔ)來(lái)提高各數(shù)據(jù)節(jié)點(diǎn)的安全性,有效地抵御來(lái)自網(wǎng)絡(luò)的攻擊,具 體如下
普通節(jié)點(diǎn)本地入侵檢測(cè)流程-
步驟l:本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包,
步驟2:數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn) 化成適合本節(jié)點(diǎn)機(jī)的格式,
步驟3:轉(zhuǎn)化后的數(shù)據(jù)送本地入侵分析引擎,由兩個(gè)BP檢測(cè)器分別檢測(cè),
步驟4:若兩個(gè)檢測(cè)器均判為正常數(shù)據(jù)normal,則判為正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)步 驟l繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若兩個(gè)檢測(cè)器均判斷為攻擊attack,則啟動(dòng)響應(yīng)告警器,警告發(fā) 現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟5;若兩個(gè)檢測(cè)器的判斷結(jié)果不一致,轉(zhuǎn)步驟6,
步驟5:新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給本節(jié)點(diǎn)直連的中心節(jié)點(diǎn)的新型入侵 樣本接收器,告知中心節(jié)點(diǎn)這里發(fā)現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)步驟l繼續(xù)采集網(wǎng)絡(luò)數(shù) 據(jù)包,步驟6:本地入侵分析引擎連接本地入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹 配的攻擊特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟l繼續(xù)采集 網(wǎng)絡(luò)數(shù)據(jù)包;若沒(méi)有,則認(rèn)為是可疑數(shù)據(jù),送協(xié)同通信服務(wù)器,轉(zhuǎn)步驟7,
步驟7:協(xié)同通信服務(wù)器將該懷疑樣本發(fā)往與該節(jié)點(diǎn)直連的一個(gè)中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服 務(wù)代理,提出協(xié)同服務(wù)請(qǐng)求,
步驟8:協(xié)同通信服務(wù)器接收到協(xié)同請(qǐng)求服務(wù)代理返回的結(jié)果,提交給檢測(cè)器,'
步驟9:檢測(cè)器接收并査看返回結(jié)果,若為正常數(shù)據(jù),則轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包; 若為攻擊數(shù)據(jù),則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,同時(shí)把該攻擊樣本的特征存儲(chǔ) 到本地入侵樣本特征庫(kù)中,轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;
普通節(jié)點(diǎn)參與協(xié)同計(jì)算工作流程
步驟21:協(xié)同通信服務(wù)器接收到中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理發(fā)來(lái)的來(lái)自其他節(jié)點(diǎn)的 懷疑數(shù)據(jù)和協(xié)同計(jì)算要求,詢問(wèn)本地入侵分析引擎的狀態(tài)是否空閑,
步驟22:若本地入侵分析引擎狀態(tài)為繁忙,無(wú)暇參與協(xié)同計(jì)算,則不響應(yīng)中心節(jié)點(diǎn)的 要求,丟棄數(shù)據(jù)包,結(jié)束該流程;否則轉(zhuǎn)步驟23,
步驟23:協(xié)同通信服務(wù)器將接收來(lái)自中心節(jié)點(diǎn)的懷疑數(shù)據(jù)提交給入侵分析引擎,
步驟24:由分析引擎的主檢測(cè)器檢測(cè)該懷疑數(shù)據(jù),結(jié)果返回給協(xié)同通信服務(wù)器,
步驟25:協(xié)同通信服務(wù)器將本節(jié)點(diǎn)的計(jì)算結(jié)果發(fā)送給中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理;
中心節(jié)點(diǎn)本地入侵檢測(cè)工作流程
步驟31:本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包,
步驟32:數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并 轉(zhuǎn)化成適合本節(jié)點(diǎn)機(jī)的格式,
步驟33:轉(zhuǎn)化后的數(shù)據(jù)送本地集成入侵分析引擎,由集成檢測(cè)器檢測(cè),
步驟34:若檢測(cè)結(jié)果為正常normal,則轉(zhuǎn)步驟35;若為異常,則啟動(dòng)響應(yīng)告警器,警 告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟36,
步驟35:入侵分析引擎連接入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻 擊特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟36;若沒(méi)有,則認(rèn) 為是正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)步驟31繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包,
步驟36:新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給與本中心節(jié)點(diǎn)直連的其他中心節(jié) 點(diǎn)的新型入侵樣本接收器,告知這里發(fā)現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)步驟31繼續(xù)采集 網(wǎng)絡(luò)數(shù)據(jù)包;
中心節(jié)點(diǎn)搜集新型入侵樣本特征流程
步驟41:新型入侵樣本接收器接收到來(lái)自其他節(jié)點(diǎn)或本機(jī)上協(xié)同請(qǐng)求服務(wù)代理提交的
已檢測(cè)出的攻擊數(shù)據(jù),將數(shù)據(jù)提交給集成檢測(cè)器,
步驟42:集成檢測(cè)器對(duì)數(shù)據(jù)進(jìn)行檢測(cè),若檢測(cè)結(jié)果也為攻擊attack,則結(jié)束流程;否
則,進(jìn)入下一步,
步驟43:集成檢測(cè)器連接入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊
特征樣本,若有,則結(jié)束流程;若沒(méi)有,則認(rèn)為是一種新發(fā)現(xiàn)的入侵,進(jìn)入下一步,
步驟44:把該攻擊樣本的特征存儲(chǔ)到入侵樣本特征庫(kù)中; 中心節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)流程步驟51:協(xié)同請(qǐng)求服務(wù)代理接收到某普通節(jié)點(diǎn)發(fā)來(lái)的懷疑樣本和協(xié)同服務(wù)請(qǐng)求, 步驟52:服務(wù)代理以廣播的方式向本節(jié)點(diǎn)所連接的所有普通節(jié)點(diǎn)發(fā)出該懷疑數(shù)據(jù)和協(xié) 同計(jì)算要求,
步驟53:服務(wù)代理接收所有作出響應(yīng)的節(jié)點(diǎn)返回的計(jì)算結(jié)果,提交給協(xié)同入侵分析引
擎,
步驟54:協(xié)同入侵分析引擎統(tǒng)計(jì)服務(wù)代理提交給它的各響應(yīng)節(jié)點(diǎn)的協(xié)同檢測(cè)結(jié)果,對(duì) 此懷疑數(shù)據(jù)若判斷為攻擊的節(jié)點(diǎn)的數(shù)量大于等于判斷為正常的節(jié)點(diǎn)的數(shù)量
num(attack)〉=num(normal),則判斷為攻擊,否則判斷為正常。 步驟55:協(xié)同入侵分析引擎向服務(wù)代理返回判斷結(jié)果,
步驟56:服務(wù)代理檢査接收到的結(jié)果,若為正常,則將其直接返回發(fā)出協(xié)同服務(wù)請(qǐng)求 的節(jié)點(diǎn)若為異常,除了將結(jié)果返回發(fā)出協(xié)同服務(wù)請(qǐng)求的節(jié)點(diǎn)外,還將確認(rèn)為攻擊的數(shù)據(jù)樣 本發(fā)給本地的新型入侵樣本接收器,報(bào)告發(fā)現(xiàn)了一種新的入侵。
中心節(jié)點(diǎn)入侵檢測(cè)模塊的功能部件主要包括本地?cái)?shù)據(jù)采集器、新型入侵樣本接收器、協(xié) 同請(qǐng)求服務(wù)代理、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、本地集成入侵分析引擎、入侵樣本特征庫(kù)、協(xié) 同入侵分析引擎、新型入侵樣本發(fā)送器、響應(yīng)告警器普通節(jié)點(diǎn)入侵檢測(cè)模塊的功能部件主 要包括本地?cái)?shù)據(jù)釆集器、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、本地入侵分析引擎、本地入侵樣本特征 庫(kù)、新型入侵樣本發(fā)送器、協(xié)同通信服務(wù)器、響應(yīng)告警器。
有益效果使用該方案有如下優(yōu)點(diǎn)
1. 極大地保證了數(shù)據(jù)網(wǎng)格中心節(jié)點(diǎn)的安全性、抗毀性。由于實(shí)驗(yàn)研究已經(jīng)證明弱學(xué)習(xí)器的 集成可以形成強(qiáng)大的檢測(cè)能力,在中心節(jié)點(diǎn)上部署的集成學(xué)習(xí)器能夠有效的保證數(shù)據(jù)中心的 安全,同時(shí)中心節(jié)點(diǎn)實(shí)時(shí)地搜集來(lái)自其他節(jié)點(diǎn)(包括中心節(jié)點(diǎn)和普通節(jié)點(diǎn))發(fā)現(xiàn)的新型入侵 特征,隨時(shí)學(xué)習(xí)其他節(jié)點(diǎn)的"經(jīng)驗(yàn)",使其特征庫(kù)的知識(shí)越來(lái)越豐富、全面,這種設(shè)計(jì)把異
常檢測(cè)和特征檢測(cè)結(jié)合起來(lái),強(qiáng)大的異常檢測(cè)器配合全面豐富的特征檢測(cè),優(yōu)勢(shì)互補(bǔ),使得 數(shù)據(jù)網(wǎng)格具有很強(qiáng)的抗針對(duì)性打擊的能力。
2. 有效地提高了普通節(jié)點(diǎn)的網(wǎng)絡(luò)安全。雖然普通節(jié)點(diǎn)因?yàn)樽陨硇阅艿木窒蓿豢赡懿渴饛?qiáng)
大的檢測(cè)器,但本發(fā)明巧妙地利用了數(shù)據(jù)網(wǎng)格節(jié)點(diǎn)的異構(gòu)性和各自的優(yōu)勢(shì),因?yàn)槠胀ü?jié)點(diǎn)物 理上的廣域分布,位于多種多樣的虛擬組織和網(wǎng)段內(nèi),安全級(jí)別不同,各自采集的網(wǎng)絡(luò)數(shù)據(jù) 包差別很大,遇到的攻擊類型有很大不同,可能某節(jié)點(diǎn)的檢測(cè)器對(duì)一種經(jīng)常針對(duì)自身的攻擊 很容易檢測(cè)而這種攻擊卻是另一些節(jié)點(diǎn)很少遇到且不易檢測(cè)的。普通節(jié)點(diǎn)通過(guò)中心節(jié)點(diǎn)提供 的協(xié)同檢測(cè)服務(wù),可以和很多其他的普通節(jié)點(diǎn)協(xié)同學(xué)習(xí),取長(zhǎng)補(bǔ)短,大大提高了自身的檢測(cè) 能力。
3. 降低了數(shù)據(jù)網(wǎng)格的安全開(kāi)銷。由于每個(gè)節(jié)點(diǎn)上的入侵檢測(cè)模塊各自獨(dú)立地檢測(cè)本地的入 侵,對(duì)于自己確定無(wú)疑的數(shù)據(jù)由各節(jié)點(diǎn)自己處理,不需要統(tǒng)一的中央咎理器,在數(shù)據(jù)網(wǎng)格環(huán) 境下實(shí)現(xiàn)了真正意義上的分布式入侵檢測(cè);對(duì)于經(jīng)協(xié)同檢測(cè)確認(rèn)為攻擊的懷疑樣本,及時(shí)提 取攻擊特征存儲(chǔ)在本地特征庫(kù)中,以后再遇到此類攻擊,就可以直接?xùn)苏姨卣鲙?kù),無(wú)須再次 進(jìn)行協(xié)同計(jì)算,降低了安全開(kāi)銷。
圖1是根據(jù)復(fù)雜網(wǎng)絡(luò)理論簡(jiǎn)化的數(shù)據(jù)網(wǎng)格典型拓?fù)浣Y(jié)構(gòu)圖。 圖2是中心節(jié)點(diǎn)入侵檢測(cè)模塊的體系'結(jié)構(gòu)圖。圖3是普通節(jié)點(diǎn)入侵檢測(cè)模塊的體系結(jié)構(gòu)圖。 圖4是普通節(jié)點(diǎn)本地入侵檢測(cè)流程圖。
圖5是普通節(jié)點(diǎn)參與協(xié)同計(jì)算流程圖。
圖6是中心節(jié)點(diǎn)本地入侵檢測(cè)流程圖。 圖7是中心節(jié)點(diǎn)搜集新型入侵樣本特征流程圖。 圖8是中心節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)流程圖。
具體實(shí)施例方式
1、普通節(jié)點(diǎn)入侵檢測(cè)流程
普通節(jié)點(diǎn)上的本地入侵分析引擎由兩個(gè)BP神經(jīng)網(wǎng)絡(luò)構(gòu)成,兩個(gè)網(wǎng)絡(luò)是獨(dú)立訓(xùn)練的,指 定其中任一個(gè)網(wǎng)絡(luò)為主檢測(cè)器,另一個(gè)則為輔助檢測(cè)器。兩個(gè)檢測(cè)器協(xié)作檢測(cè)本地采集的網(wǎng) 絡(luò)數(shù)據(jù)包,其中主檢測(cè)器除了進(jìn)行本地檢測(cè)外,還參與和其他節(jié)點(diǎn)上主檢測(cè)器的協(xié)同入侵檢 測(cè)。對(duì)于本地的網(wǎng)絡(luò)數(shù)據(jù),只有當(dāng)主輔兩個(gè)檢測(cè)器都判斷為正常時(shí)才確定為正常數(shù)據(jù),若兩 個(gè)檢測(cè)器判斷結(jié)果有分歧則作為懷疑數(shù)據(jù)樣本由協(xié)同通信服務(wù)器發(fā)往該節(jié)點(diǎn)所直連的一個(gè) 中心節(jié)點(diǎn),由中心節(jié)點(diǎn)上的協(xié)同入侵分析引擎提供協(xié)同檢測(cè)服務(wù)。任何普通節(jié)點(diǎn)只要發(fā)現(xiàn)入 侵行為都要將入侵?jǐn)?shù)據(jù)發(fā)給與其相連的中心節(jié)點(diǎn),給中心節(jié)點(diǎn)的檢測(cè)提供參考。
普通節(jié)點(diǎn)本地入侵檢測(cè)主要工作流程(見(jiàn)圖4):
St印l:本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包。
step2:數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn)
化成適合本節(jié)點(diǎn)機(jī)的格式。
St印3:轉(zhuǎn)化后的數(shù)據(jù)送本地入侵分析引擎,由兩個(gè)BP檢測(cè)器分別檢測(cè)。
st印4:若兩個(gè)檢測(cè)器均判為正常數(shù)據(jù)(normal),則判為正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)
st印l繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若兩個(gè)檢測(cè)器均判斷為攻擊(attack),則啟動(dòng)響應(yīng)告警器,警
告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)st印5;若兩個(gè)檢測(cè)器的判斷結(jié)果不一致,轉(zhuǎn)st印6。
step5:新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給本節(jié)點(diǎn)直連的中心節(jié)點(diǎn)的新型入侵
樣本接收器,告知中心節(jié)點(diǎn)這里發(fā)現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)st印l繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包。
st印6:本地入侵分析引擎連接本地入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹 配的攻擊特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)st印l繼續(xù)采集 網(wǎng)絡(luò)數(shù)據(jù)包;若沒(méi)有,則認(rèn)為是可疑數(shù)據(jù),送協(xié)同通信服務(wù)器,轉(zhuǎn)st印7。
st印7:協(xié)同通信服務(wù)器將該懷疑樣本發(fā)往與該節(jié)點(diǎn)直連的一個(gè)中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服 務(wù)代理,提出協(xié)同服務(wù)請(qǐng)求。
St印8:協(xié)同通信服務(wù)器接收到協(xié)同請(qǐng)求服務(wù)代理返回的結(jié)果,哮交給檢測(cè)器。
St印9:檢測(cè)器接收并查看返回結(jié)果,若為正常數(shù)據(jù),則轉(zhuǎn)St印l繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;
若為攻擊數(shù)據(jù),則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,同時(shí)把該攻擊樣本的特征存儲(chǔ)
到本地入侵樣本特征庫(kù)中,轉(zhuǎn)st印l繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包。 普通節(jié)點(diǎn)參與協(xié)同計(jì)算工作流程(見(jiàn)圖5):
stepl:協(xié)同通信服務(wù)器接收到中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理發(fā)來(lái)的來(lái)自其他節(jié)點(diǎn)的懷
疑數(shù)據(jù)和協(xié)同計(jì)算要求,詢問(wèn)本地入侵分析引擎的狀態(tài)是否空閑。St印2:若本地入侵分析引擎狀態(tài)為繁忙,無(wú)暇參與協(xié)同計(jì)算,則不響應(yīng)中心節(jié)點(diǎn)的要
求,丟棄數(shù)據(jù)包,結(jié)束該流程;否則轉(zhuǎn)st印3。
St印3:協(xié)同通信服務(wù)器將接收來(lái)自中心節(jié)點(diǎn)的懷疑數(shù)據(jù)提交給入侵分析引擎。 St印4:由分析引擎的主檢測(cè)器檢測(cè)該懷疑數(shù)據(jù),結(jié)果返回給協(xié)同通信服務(wù)器。 St印5:協(xié)同通信服務(wù)器將本節(jié)點(diǎn)的計(jì)算結(jié)果發(fā)送給中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理。
2、中心節(jié)點(diǎn)入侵檢測(cè)流程
中心節(jié)點(diǎn)上部署的是由很多個(gè)BP網(wǎng)絡(luò)集成的強(qiáng)檢測(cè)器,并且其實(shí)時(shí)搜集來(lái)自其他節(jié)點(diǎn)
上已經(jīng)被檢測(cè)出的入侵?jǐn)?shù)據(jù)特征存入特征庫(kù)中,其上的特征庫(kù)存儲(chǔ)著全網(wǎng)格各處所發(fā)現(xiàn)的所 有新型攻擊特征,因此中心節(jié)點(diǎn)不需要與其他節(jié)點(diǎn)協(xié)同檢測(cè)本地入侵,由于其強(qiáng)大的計(jì)算能 力及很大的連通度可以很方便地為網(wǎng)格中.的普通節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)。
中心節(jié)點(diǎn)本地入侵檢測(cè)工作流程(見(jiàn)圖6): St印l:本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包。
St印2:數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn) 化成適合本節(jié)點(diǎn)機(jī)的格式。
St印3:轉(zhuǎn)化后的數(shù)據(jù)送本地集成入侵分析引擎,由集成檢測(cè)器檢測(cè)。
st印4:若檢測(cè)結(jié)果為正常(normal),則轉(zhuǎn)st印5;若為異常,則啟動(dòng)響應(yīng)告警器,警 告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)st印6。
St印5:入侵分析引擎連接入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊 特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)St印6;若沒(méi)有,則認(rèn)為 是正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)st印l繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包。
St印6:新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給與本中心節(jié)點(diǎn)直連的其他中心節(jié)點(diǎn)
的新型入侵樣本接收器,告知這里發(fā)現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)st印l繼續(xù)采集網(wǎng)絡(luò)
數(shù)據(jù)包。
中心節(jié)點(diǎn)搜集新型入侵樣本特征流程(見(jiàn)圖7):
st印l:新型入侵樣本接收器接收到來(lái)自其他節(jié)點(diǎn)或本機(jī)上協(xié)同請(qǐng)求服務(wù)代理提交的己
檢測(cè)出的攻擊數(shù)據(jù),將數(shù)據(jù)提交給集成檢測(cè)器。
st印2:集成檢測(cè)器對(duì)數(shù)據(jù)進(jìn)行檢測(cè),若檢測(cè)結(jié)果也為攻擊(attack),則結(jié)束流程;否
則,進(jìn)入下一步。
St印3:集成檢測(cè)器連接入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊特 征樣本,若有,則結(jié)束流程;若沒(méi)有,則認(rèn)為是一種新發(fā)現(xiàn)的入侵,進(jìn)入下一步。 St印4:把該攻擊樣本的特征存儲(chǔ)到入侵樣本特征庫(kù)中。 中心節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)流程(見(jiàn)圖8):
St印l:協(xié)同請(qǐng)求服務(wù)代理接收到某普通節(jié)點(diǎn)發(fā)來(lái)的懷疑樣本和玲同服務(wù)請(qǐng)求。
St印2:服務(wù)代理以廣播的方式向本節(jié)點(diǎn)所連接的所有普通節(jié)點(diǎn)發(fā)出該懷疑數(shù)據(jù)和協(xié)同
計(jì)算要求。
St印3:服務(wù)代理接收所有作出響應(yīng)的節(jié)點(diǎn)返回的計(jì)算結(jié)果,提交給協(xié)同入侵分析引擎。 St印4:協(xié)同入侵分析引擎統(tǒng)計(jì)服務(wù)代理提交給它的各響應(yīng)節(jié)點(diǎn)的協(xié)同檢測(cè)結(jié)果,對(duì)此 懷疑數(shù)據(jù)若判斷為攻擊的節(jié)點(diǎn)的數(shù)量大于等于判斷為正常的節(jié)點(diǎn)的數(shù)量
num(attack)>=num(normal),則判斷為攻擊,否則判斷為正常。St印5:協(xié)同入侵分析引擎向服務(wù)代理返回判斷結(jié)果。
St印6:服務(wù)代理檢査接收到的結(jié)果,若為正常,則將其直接返回發(fā)出協(xié)同服務(wù)請(qǐng)求的 節(jié)點(diǎn);若為異常,除了將結(jié)果返回發(fā)出協(xié)同服務(wù)請(qǐng)求的節(jié)點(diǎn)外,還將確認(rèn)為攻擊的數(shù)據(jù)樣本
發(fā)給本地的新型入侵樣本接收器,報(bào)告發(fā)現(xiàn)了一種新的入侵。
為了方便描述,我們假定數(shù)據(jù)網(wǎng)格實(shí)例的拓?fù)浣Y(jié)構(gòu)如圖1所示,普通節(jié)點(diǎn)和中心節(jié)點(diǎn)的
檢測(cè)過(guò)程分別以ai和A為代表講述,其他的節(jié)點(diǎn)檢測(cè)過(guò)程與此相同,則其具體實(shí)施方式
為 初始在中心節(jié)點(diǎn)A、 B、 C及其各自的普通節(jié)點(diǎn)al、 a2、……、am; bl、 b2、……、bn; cl、 c2、……、ck上根據(jù)圖2、圖3的體系結(jié)構(gòu)圖分別建立各節(jié)點(diǎn)自身的入侵檢測(cè)系統(tǒng),并根據(jù) 每個(gè)節(jié)點(diǎn)所處的實(shí)際網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)獨(dú)立訓(xùn)練各自檢測(cè)器上的BP神經(jīng)網(wǎng)絡(luò)(同一個(gè)節(jié)點(diǎn)檢 測(cè)器的各神經(jīng)網(wǎng)絡(luò)采用本節(jié)點(diǎn)訓(xùn)練數(shù)據(jù)集中獨(dú)立隨機(jī)抽取的數(shù)據(jù)子集訓(xùn)練,并取不同的約簡(jiǎn) 屬性子集,己保證訓(xùn)練得到的各神經(jīng)網(wǎng)絡(luò)的異構(gòu)性),初始化各節(jié)點(diǎn)的特征庫(kù),初始庫(kù)中只 記錄本^fe節(jié)點(diǎn)所遇到的幾種最常見(jiàn)的入侵特征。 普通節(jié)點(diǎn)ai的本地入侵檢測(cè)
(1) ai上的本地?cái)?shù)據(jù)采集器實(shí)時(shí)釆集網(wǎng)絡(luò)數(shù)據(jù)包。
(2) 數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn)化成適 合本節(jié)點(diǎn)機(jī)的格式。
(3) 轉(zhuǎn)化后的數(shù)據(jù)送本地入侵分析引擎,由兩個(gè)BP檢測(cè)器分別檢測(cè)。
(4) 若兩個(gè)檢測(cè)器均判為正常數(shù)據(jù)(normal),則判為正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)(1)繼 續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若兩個(gè)檢測(cè)器均判斷為攻擊(attack),則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本 地網(wǎng)絡(luò)入侵,轉(zhuǎn)(5);若兩個(gè)檢測(cè)器的判斷結(jié)果不一致,轉(zhuǎn)(6)。
(5) 新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給A的新型入侵樣本接收器,告知A這里發(fā) 現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)(1)繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包。
(6) 本地入侵分析引擎連接本地入侵樣本特征庫(kù),查詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻 擊特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)(1)繼續(xù)采集網(wǎng)絡(luò)數(shù) 據(jù)包;若沒(méi)有,則認(rèn)為是可疑數(shù)據(jù),送協(xié)同通信服務(wù)器,轉(zhuǎn)(7)。
(7) 協(xié)同通信服務(wù)器將該懷疑樣本發(fā)往A的協(xié)同請(qǐng)求服務(wù)代理,提出協(xié)同服務(wù)請(qǐng)求。
(8) 協(xié)同通信服務(wù)器接收到協(xié)同請(qǐng)求服務(wù)代理返回的結(jié)果,提交給檢測(cè)器。
(9) 檢測(cè)器接收并査看返回結(jié)果,若為正常數(shù)據(jù),則轉(zhuǎn)(1)繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若為攻 擊數(shù)據(jù),則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,同時(shí)把該攻擊樣本的特征存儲(chǔ)到本地 入侵樣本特征庫(kù)中,轉(zhuǎn)(1)繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包。
ai參與協(xié)同計(jì)算工作流程
(1) 協(xié)同通信服務(wù)器接收到A的協(xié)同請(qǐng)求服斧代理發(fā)來(lái)的來(lái)自其他節(jié)點(diǎn)的懷疑數(shù)據(jù)和協(xié)同 計(jì)算要求,詢問(wèn)本地入侵分析引擎的狀態(tài)是否空閑。
(2) 若本地入侵分析引擎狀態(tài)為繁忙,無(wú)暇參與協(xié)同計(jì)算,則不響應(yīng)A的要求,丟棄數(shù)據(jù) 包,結(jié)束該流程;否則轉(zhuǎn)(3)。
(3) 協(xié)同通信服務(wù)器將接收來(lái)自A的懷疑數(shù)據(jù)提交給入侵分析引擎。
(4) 由分析引擎的主檢測(cè)器檢測(cè)該懷疑數(shù)據(jù),結(jié)果返回給協(xié)同通信服務(wù)器。
(5) 協(xié)同通信服務(wù)器將本節(jié)點(diǎn)的計(jì)算結(jié)果發(fā)送給A的協(xié)同請(qǐng)求服務(wù)代理。 中心節(jié)點(diǎn)A的本地入侵檢測(cè)
11(1) A上的本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包。
(2) 數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn)化成適 合本節(jié)點(diǎn)機(jī)的格式。
(3) 轉(zhuǎn)化后辨數(shù)據(jù)送本地集成入侵分析引擎,由集成檢測(cè)器檢測(cè)。
(4) 若檢測(cè)結(jié)果為正常(normal),則轉(zhuǎn)(5);若為異常,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本 地網(wǎng)絡(luò)入侵,轉(zhuǎn)(6)。
(5) 入侵分析引擎連接入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊特征樣 本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)(6);若沒(méi)有,則認(rèn)為是正常數(shù) 據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)(1)。
(6) 新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給B和C上的新型入侵樣本接收器,告知這 里發(fā)現(xiàn)了一種入侵,轉(zhuǎn)(1)。
A搜集新型入侵樣本特征
(1) A上的新型入侵樣本接收器接收到來(lái)自B、 C或本機(jī)上協(xié)同請(qǐng)求服務(wù)代理提交的己檢測(cè) 出的攻擊數(shù)據(jù),將數(shù)據(jù)提交給集成檢測(cè)器。
(2) 集成檢測(cè)器對(duì)數(shù)據(jù)進(jìn)行檢測(cè),若檢測(cè)結(jié)果也為攻擊(attack),則結(jié)束流程;否則,進(jìn) 入(3)。
(3) 集成檢測(cè)器連接入侵樣本特征庫(kù),査詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊特征樣本, 若有,則結(jié)束流程;若沒(méi)有,則認(rèn)為是一種新發(fā)現(xiàn)的入侵,進(jìn)入(4)。
(4) 把該攻擊樣本的特征存儲(chǔ)到入侵樣本特征庫(kù)中。
A^協(xié)同檢測(cè)服務(wù)itg:
(1) A上的協(xié)同請(qǐng)求服務(wù)代理接收到ai發(fā)來(lái)的懷疑樣本和協(xié)同服務(wù)請(qǐng)求。
(2) 服務(wù)代理以廣播的方式向A所連接的所有普通節(jié)點(diǎn)al、 a2、……、am發(fā)出該懷疑數(shù)據(jù) 和協(xié)同計(jì)算要求。
(3) 服務(wù)代理接收所有作出響應(yīng)的節(jié)點(diǎn)返回的計(jì)算結(jié)果,提交給協(xié)同入侵分析引擎。
(4) 協(xié)同入侵分析引擎統(tǒng)計(jì)服務(wù)代理提交給它的各響應(yīng)節(jié)點(diǎn)的協(xié)同檢測(cè)結(jié)果,對(duì)此懷疑數(shù) 據(jù)若判斷為攻擊的節(jié)點(diǎn)的數(shù)量大于等于判斷為正常的節(jié)點(diǎn)的.數(shù)量 num(attack)>=num(normal),則判斷為攻擊,否則判斷為正常。
(5) 協(xié)同入侵分析引擎向服務(wù)代理返回判斷結(jié)果。
(6) 服務(wù)代理檢査接收到的結(jié)果,若為正常,則將其直接返回ai;若為異常,除了將結(jié)果 返回ai夕卜,還將確認(rèn)為攻擊的數(shù)據(jù)樣本發(fā)給本地的新型入侵樣本接收器,報(bào)告發(fā)現(xiàn)了一種 新的入侵。
權(quán)利要求
1、一種應(yīng)用于數(shù)據(jù)網(wǎng)格的協(xié)同學(xué)習(xí)入侵檢測(cè)方法,其特征在于通過(guò)數(shù)據(jù)網(wǎng)格中各個(gè)異構(gòu)節(jié)點(diǎn)上的BP神經(jīng)網(wǎng)絡(luò)協(xié)同學(xué)習(xí)、優(yōu)勢(shì)互補(bǔ)來(lái)提高各數(shù)據(jù)節(jié)點(diǎn)的安全性,有效地抵御來(lái)自網(wǎng)絡(luò)的攻擊,具體如下普通節(jié)點(diǎn)本地入侵檢測(cè)流程步驟1本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包,步驟2數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn)化成適合本節(jié)點(diǎn)機(jī)的格式,步驟3轉(zhuǎn)化后的數(shù)據(jù)送本地入侵分析引擎,由兩個(gè)BP檢測(cè)器分別檢測(cè),步驟4若兩個(gè)檢測(cè)器均判為正常數(shù)據(jù)normal,則判為正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若兩個(gè)檢測(cè)器均判斷為攻擊attack,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟5;若兩個(gè)檢測(cè)器的判斷結(jié)果不一致,轉(zhuǎn)步驟6,步驟5新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給本節(jié)點(diǎn)直連的中心節(jié)點(diǎn)的新型入侵樣本接收器,告知中心節(jié)點(diǎn)這里發(fā)現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包,步驟6本地入侵分析引擎連接本地入侵樣本特征庫(kù),查詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若沒(méi)有,則認(rèn)為是可疑數(shù)據(jù),送協(xié)同通信服務(wù)器,轉(zhuǎn)步驟7,步驟7協(xié)同通信服務(wù)器將該懷疑樣本發(fā)往與該節(jié)點(diǎn)直連的一個(gè)中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理,提出協(xié)同服務(wù)請(qǐng)求,步驟8協(xié)同通信服務(wù)器接收到協(xié)同請(qǐng)求服務(wù)代理返回的結(jié)果,提交給檢測(cè)器,步驟9檢測(cè)器接收并查看返回結(jié)果,若為正常數(shù)據(jù),則轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;若為攻擊數(shù)據(jù),則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,同時(shí)把該攻擊樣本的特征存儲(chǔ)到本地入侵樣本特征庫(kù)中,轉(zhuǎn)步驟1繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;普通節(jié)點(diǎn)參與協(xié)同計(jì)算工作流程步驟21協(xié)同通信服務(wù)器接收到中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理發(fā)來(lái)的來(lái)自其他節(jié)點(diǎn)的懷疑數(shù)據(jù)和協(xié)同計(jì)算要求,詢問(wèn)本地入侵分析引擎的狀態(tài)是否空閑,步驟22若本地入侵分析引擎狀態(tài)為繁忙,無(wú)暇參與協(xié)同計(jì)算,則不響應(yīng)中心節(jié)點(diǎn)的要求,丟棄數(shù)據(jù)包,結(jié)束該流程;否則轉(zhuǎn)步驟23,步驟23協(xié)同通信服務(wù)器將接收來(lái)自中心節(jié)點(diǎn)的懷疑數(shù)據(jù)提交給入侵分析引擎,步驟24由分析引擎的主檢測(cè)器檢測(cè)該懷疑數(shù)據(jù),結(jié)果返回給協(xié)同通信服務(wù)器,步驟25協(xié)同通信服務(wù)器將本節(jié)點(diǎn)的計(jì)算結(jié)果發(fā)送給中心節(jié)點(diǎn)的協(xié)同請(qǐng)求服務(wù)代理;中心節(jié)點(diǎn)本地入侵檢測(cè)工作流程步驟31本地?cái)?shù)據(jù)采集器實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包,步驟32數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器提取采集到的數(shù)據(jù)包的各屬性特征,進(jìn)行預(yù)處理并轉(zhuǎn)化成適合本節(jié)點(diǎn)機(jī)的格式,步驟33轉(zhuǎn)化后的數(shù)據(jù)送本地集成入侵分析引擎,由集成檢測(cè)器檢測(cè),步驟34若檢測(cè)結(jié)果為正常normal,則轉(zhuǎn)步驟35;若為異常,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟36,步驟35入侵分析引擎連接入侵樣本特征庫(kù),查詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊特征樣本,若有,則啟動(dòng)響應(yīng)告警器,警告發(fā)現(xiàn)本地網(wǎng)絡(luò)入侵,轉(zhuǎn)步驟36;若沒(méi)有,則認(rèn)為是正常數(shù)據(jù),結(jié)束本輪檢測(cè),轉(zhuǎn)步驟31繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包,步驟36新型入侵樣本發(fā)送器將攻擊數(shù)據(jù)樣本發(fā)送給與本中心節(jié)點(diǎn)直連的其他中心節(jié)點(diǎn)的新型入侵樣本接收器,告知這里發(fā)現(xiàn)了一種入侵,結(jié)束本輪檢測(cè),轉(zhuǎn)步驟31繼續(xù)采集網(wǎng)絡(luò)數(shù)據(jù)包;中心節(jié)點(diǎn)搜集新型入侵樣本特征流程步驟41新型入侵樣本接收器接收到來(lái)自其他節(jié)點(diǎn)或本機(jī)上協(xié)同請(qǐng)求服務(wù)代理提交的已檢測(cè)出的攻擊數(shù)據(jù),將數(shù)據(jù)提交給集成檢測(cè)器,步驟42集成檢測(cè)器對(duì)數(shù)據(jù)進(jìn)行檢測(cè),若檢測(cè)結(jié)果也為攻擊attack,則結(jié)束流程;否則,進(jìn)入下一步,步驟43集成檢測(cè)器連接入侵樣本特征庫(kù),查詢特征庫(kù)中是否有與該數(shù)據(jù)匹配的攻擊特征樣本,若有,則結(jié)束流程;若沒(méi)有,則認(rèn)為是一種新發(fā)現(xiàn)的入侵,進(jìn)入下一步,步驟44把該攻擊樣本的特征存儲(chǔ)到入侵樣本特征庫(kù)中;中心節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù)流程步驟51協(xié)同請(qǐng)求服務(wù)代理接收到某普通節(jié)點(diǎn)發(fā)來(lái)的懷疑樣本和協(xié)同服務(wù)請(qǐng)求,步驟52服務(wù)代理以廣播的方式向本節(jié)點(diǎn)所連接的所有普通節(jié)點(diǎn)發(fā)出該懷疑數(shù)據(jù)和協(xié)同計(jì)算要求,步驟53服務(wù)代理接收所有作出響應(yīng)的節(jié)點(diǎn)返回的計(jì)算結(jié)果,提交給協(xié)同入侵分析引擎,步驟54協(xié)同入侵分析引擎統(tǒng)計(jì)服務(wù)代理提交給它的各響應(yīng)節(jié)點(diǎn)的協(xié)同檢測(cè)結(jié)果,對(duì)此懷疑數(shù)據(jù)若判斷為攻擊的節(jié)點(diǎn)的數(shù)量大于等于判斷為正常的節(jié)點(diǎn)的數(shù)量num(attack)>=num(normal),則判斷為攻擊,否則判斷為正常。步驟55協(xié)同入侵分析引擎向服務(wù)代理返回判斷結(jié)果,步驟56服務(wù)代理檢查接收到的結(jié)果,若為正常,則將其直接返回發(fā)出協(xié)同服務(wù)請(qǐng)求的節(jié)點(diǎn);若為異常,除了將結(jié)果返回發(fā)出協(xié)同服務(wù)請(qǐng)求的節(jié)點(diǎn)外,還將確認(rèn)為攻擊的數(shù)據(jù)樣本發(fā)給本地的新型入侵樣本接收器,報(bào)告發(fā)現(xiàn)了一種新的入侵。
2、根據(jù)權(quán)利要求1所述的一種應(yīng)用于數(shù)據(jù)網(wǎng)格的協(xié)同學(xué)習(xí)入侵檢測(cè)方法,其特征在于 中心節(jié)點(diǎn)入侵檢測(cè)模塊的功能部件主要包括本地?cái)?shù)據(jù)采集器、新型入侵樣本接收器、協(xié)同 請(qǐng)求服務(wù)代理、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、本地集成入侵分析引擎、入侵樣本特征庫(kù)、協(xié) 同入侵分析引擎、新型入侵樣本發(fā)送器、響應(yīng)告警器;普通節(jié)點(diǎn)入侵檢測(cè)模塊的功能部件 主要包括本地?cái)?shù)據(jù)采集器、數(shù)據(jù)預(yù)處理及格式轉(zhuǎn)換器、本地入侵分析弓,l擎、本地入侵樣本 特征庫(kù)、新型入侵樣本發(fā)送器、協(xié)同通信服務(wù)器、響應(yīng)告警器。
全文摘要
一種應(yīng)用于數(shù)據(jù)網(wǎng)格的協(xié)同學(xué)習(xí)入侵檢測(cè)方法,它汲取了當(dāng)前入侵檢測(cè)領(lǐng)域分布式檢測(cè)和集成學(xué)習(xí)等熱門技術(shù)的優(yōu)點(diǎn),將異常檢測(cè)和特征檢測(cè)方法結(jié)合起來(lái),采用BP神經(jīng)網(wǎng)絡(luò)協(xié)同學(xué)習(xí),優(yōu)勢(shì)互補(bǔ),使基于該方法設(shè)計(jì)的入侵檢測(cè)系統(tǒng)能夠更好地應(yīng)用于數(shù)據(jù)網(wǎng)格環(huán)境。該方法根據(jù)數(shù)據(jù)網(wǎng)格中不同種類節(jié)點(diǎn)的安全需求,在中心節(jié)點(diǎn)上部署多個(gè)BP神經(jīng)網(wǎng)絡(luò)集成的強(qiáng)檢測(cè)器,并且隨時(shí)搜集來(lái)自各地的新型入侵樣本特征,確保了中心節(jié)點(diǎn)上重要副本的安全性。同時(shí)在中心節(jié)點(diǎn)上部署協(xié)同入侵分析引擎,為眾普通節(jié)點(diǎn)提供協(xié)同檢測(cè)服務(wù),中心節(jié)點(diǎn)組織很多個(gè)普通節(jié)點(diǎn)一起參與協(xié)同計(jì)算,能夠檢測(cè)出原來(lái)單個(gè)節(jié)點(diǎn)所無(wú)法判斷的懷疑數(shù)據(jù),提高了普通節(jié)點(diǎn)的安全性。
文檔編號(hào)H04L12/56GK101431416SQ20081024390
公開(kāi)日2009年5月13日 申請(qǐng)日期2008年12月10日 優(yōu)先權(quán)日2008年12月10日
發(fā)明者雄 付, 任勛益, 周何駿, 季一木, 侃 易, 楊明慧, 王汝傳, 松 鄧 申請(qǐng)人:南京郵電大學(xué)