專利名稱:一種分布式入侵檢測方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域,尤其涉及一種分布式入侵檢測方法、裝置和系統(tǒng)。
背景技術(shù):
拒絕服務(wù)(Denial of Service, DoS)是一種很簡單但又很有效的網(wǎng)絡(luò)攻擊方式。 DoS的目的是拒絕服務(wù)訪問,破壞組織的正常運行,最終它會使部分網(wǎng)絡(luò)連接或網(wǎng)絡(luò)系統(tǒng)失 效。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服 務(wù)資源,從而使合法用戶無法得到服務(wù)。例如,攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的 請求,服務(wù)器發(fā)送回復(fù)信息后等待回傳信息,由于地址是偽造的,服務(wù)器一直等不到回傳的 消息,分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后,連接會因超 時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復(fù)發(fā)送偽地址請求的情況下,服務(wù) 器資源最終會被耗盡。分布式拒絕服務(wù)(DistributedDenial of Service,DDoS)是一種基于DoS 的特殊 形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準(zhǔn)比較大的站點,如商 業(yè)公司,搜索引擎和政府部門的站點。DoS攻擊只要一臺聯(lián)網(wǎng)的計算機就可實現(xiàn),而DDoS攻 擊利用一批受控制的計算機向被攻擊站點發(fā)起攻擊,這樣來勢迅猛的攻擊令人難以防備, 因此具有較大的破壞性。DDoS攻擊過程如下①攻擊者掃描大量主機,以尋找可控制的主機;②攻擊者入 侵可控制的主機并獲取控制權(quán),在各臺受控制的主機中安裝攻擊程序;③攻擊者發(fā)布攻擊 命令,各臺受控制的主機對目標(biāo)站點發(fā)起攻擊。常見的拒絕服務(wù)攻擊類型有同步(synchronize,SYN)洪泛(Flood)攻擊、用戶數(shù) 據(jù)報協(xié)議(User Datagram Protocol)洪泛攻擊和網(wǎng)際控制報文協(xié)議(Internet Control Mes sage Protocol, I CMP)洪泛攻擊。SYN Flood是當(dāng)前最流行的DoS與DDoS的方式之一,這是一種利用傳輸控制協(xié)議 (Transmission Control Protocol,TCP)的缺陷,發(fā)送大量偽造的TCP連接請求,從而使得 被攻擊方資源耗盡的攻擊方式,例如導(dǎo)致中央處理器(Central Processing Unit, CPU)滿 負荷或內(nèi)存不足。UDP Flood攻擊是基于主機的DoS攻擊的一種。UDP是一種無連接的協(xié)議,而且它 不需要用任何程序建立連接來傳輸數(shù)據(jù)。當(dāng)被攻擊系統(tǒng)接收到一個UDP數(shù)據(jù)包的時候,它 會確定目的端口正在等待中的應(yīng)用程序。如果向被攻擊系統(tǒng)發(fā)送了足夠多的UDP數(shù)據(jù)包, 被攻擊系統(tǒng)就會癱瘓。所有針對ICMP協(xié)議漏洞發(fā)起的攻擊,被稱為ICMP Flood攻擊。其中最常見的就 是死亡之Ping(Ping of death)攻擊。Ping of death攻擊利用協(xié)議實現(xiàn)時的漏洞,向被攻 擊系統(tǒng)發(fā)送超長的Ping數(shù)據(jù)包,導(dǎo)致被攻擊系統(tǒng)異常。入侵檢測系統(tǒng)分為3種主機型、網(wǎng)絡(luò)型、分布式入侵檢測系統(tǒng),分布式入侵檢測 系統(tǒng)結(jié)合了前面兩種入侵檢測系統(tǒng)的主要功能,因為集中式入侵檢測系統(tǒng)無法同時對付來自網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的攻擊,分布式的入侵檢測系統(tǒng)逐步取代了集中式的入侵檢測系統(tǒng)。分布式入侵檢測中通信是一個很重要的問題?,F(xiàn)有的分布式入侵檢測方法在每 個網(wǎng)絡(luò)節(jié)點上設(shè)置檢測部件用于收集信息,并將收集的信息相互共享或發(fā)送給中央節(jié)點處 理。采用信息共享的入侵檢測處理方式,網(wǎng)絡(luò)中用于入侵檢測的數(shù)據(jù)通信量大,影響網(wǎng)絡(luò)性 能。采用中央節(jié)點集中處理的入侵檢測方式,中央節(jié)點的通信和處理能力會成為入侵檢測 系統(tǒng)的瓶頸。
發(fā)明內(nèi)容
本發(fā)明實施例的目的是提供一種分布式入侵檢測方法、裝置和系統(tǒng),用以解決分 布式入侵檢測中數(shù)據(jù)通信量大影響網(wǎng)絡(luò)性能的問題。本發(fā)明實施例的目的是通過以下技術(shù)方案實現(xiàn)的一種分布式入侵檢測方法,包括采集自身的流量信息,生成流量表,所述流量表包括網(wǎng)絡(luò)中所有網(wǎng)絡(luò)節(jié)點的流量 信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡(luò)節(jié)點的地址和鄰居節(jié)點信息;根據(jù)所述流量表計算預(yù)警信息;當(dāng)流量表僅包括自身的流量信息或所述預(yù)警信息滿足鄰居通信條件時,獲取鄰居 節(jié)點的流量信息和流量信息采集時間,根據(jù)所述鄰居節(jié)點的流量信息和流量信息采集時間 更新流量表和預(yù)警信息;當(dāng)所述預(yù)警信息滿足全局通信條件時,獲取全局節(jié)點的流量信息和流量信息采集 時間,根據(jù)所述全局節(jié)點的流量信息和流量信息采集時間更新流量表和預(yù)警信息;當(dāng)所述預(yù)警信息滿足預(yù)警條件時,進行入侵預(yù)警。一種網(wǎng)絡(luò)節(jié)點,包括,采集模塊、生成模塊、計算模塊、第一獲取模塊、第二獲取模 塊和預(yù)警模塊;其中,所述采集模塊,用于采集所述網(wǎng)絡(luò)節(jié)點自身的流量信息;所述生成模塊,用于根據(jù)所述流量信息生成流量表,所述流量表包括網(wǎng)絡(luò)中所有 網(wǎng)絡(luò)節(jié)點的流量信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡(luò)節(jié)點的地址和鄰居節(jié) 點fn息;所述計算模塊,用于根據(jù)所述流量表計算預(yù)警信息;所述第一獲取模塊,用于當(dāng)流量表僅包括網(wǎng)絡(luò)節(jié)點自身的流量信息或所述預(yù)警信
息滿足鄰居通信條件時,獲取鄰居節(jié)點的流量信息和流量信息采集時間,使所述生成模塊
根據(jù)所述鄰居節(jié)點的流量信息和流量信息采集時間更新流量表并使所述計算模塊更新預(yù)警信息所述第二獲取模塊,用于當(dāng)所述預(yù)警信息滿足全局通信條件時,獲取全局節(jié)點的 流量信息和流量信息采集時間,使所述生成模塊根據(jù)所述全局節(jié)點的流量信息和流量信息 采集時間更新流量表和并使所述計算模塊更新預(yù)警信息;所述預(yù)警模塊,用于當(dāng)所述預(yù)警信息滿足預(yù)警條件時,進行入侵預(yù)警。一種分布式入侵檢測系統(tǒng),包括至少三個網(wǎng)絡(luò)節(jié)點,并且其中至少兩個網(wǎng)絡(luò)節(jié)點 不相鄰;其中,
所述網(wǎng)絡(luò)節(jié)點,用于采集所述網(wǎng)絡(luò)節(jié)點自身的流量信息,生成流量表,所述流量表 包括網(wǎng)絡(luò)中所有網(wǎng)絡(luò)節(jié)點的流量信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡(luò)節(jié)點 的地址和鄰居節(jié)點信息,根據(jù)所述流量表計算預(yù)警信息,當(dāng)流量表僅包括自身的流量信息 或所述預(yù)警信息滿足鄰居通信條件時,獲取鄰居節(jié)點的流量信息和流量信息采集時間,根 據(jù)所述鄰居節(jié)點的流量信息和流量信息采集時間更新流量表和預(yù)警信息,當(dāng)所述預(yù)警信息 滿足全局通信條件時,獲取全局節(jié)點的流量信息和流量信息采集時間,根據(jù)所述全局節(jié)點 的流量信息和流量信息采集時間更新流量表和預(yù)警信息,當(dāng)所述預(yù)警信息滿足預(yù)警條件 時,進行入侵預(yù)警。采用本發(fā)明實施例提供的技術(shù)方案,因為根據(jù)預(yù)警信息對流量信息的通信進行分 級觸發(fā),降低了獲取全局節(jié)點的流量信息的頻率,并且在預(yù)警信息滿足鄰居通信條件時獲 取鄰居節(jié)點的流量信息,保證了分布式入侵檢測的可靠性,因此在保證分布式入侵檢測的 可靠性的前提下,減小了分布式入侵檢測中的數(shù)據(jù)通信量,降低了分布式入侵檢測對網(wǎng)絡(luò) 性能的影響。
圖1為本發(fā)明一個實施例中分布式入侵檢測方法流程圖;圖2為本發(fā)明實施例的一個具體應(yīng)用場景中獲取鄰居節(jié)點的流量信息的流程圖;圖3為本發(fā)明實施例的一個具體應(yīng)用場景中獲取全局節(jié)點的流量信息的流程圖;圖4為本發(fā)明實施例的另一個具體應(yīng)用場景中獲取全局節(jié)點的流量信息的流程 圖;圖5為本發(fā)明另一個實施例中網(wǎng)絡(luò)節(jié)點框圖;圖6為本發(fā)明另一個實施例的一個具體應(yīng)用場景中第一獲取模塊框圖;圖7為本發(fā)明另一個實施例的一個具體應(yīng)用場景中第二獲取模塊框圖;圖8為本發(fā)明另一個實施例的另一個具體應(yīng)用場景中第二獲取模塊框圖;圖9為本發(fā)明又一個實施例中分布式入侵檢測系統(tǒng)框圖。
具體實施例方式圖1為本發(fā)明一個實施例中分布式入侵檢測方法流程圖。該方法包括102、采集自身的流量信息,生成流量表。網(wǎng)絡(luò)節(jié)點采集自身的流量信息,流量信息包括,輸入包速率;SYN請求包輸入速率 和SYN確認包輸入速率;ICMP包速率;UDP包輸入速率中的至少一種。這些流量信息可以是 原始值,也可以經(jīng)過適當(dāng)?shù)奶幚?。例如,對流量信息進行離散化處理。舉例來說,所有的流量 信息都量化為8個級別,也就是最終得到的流量信息都屬于集合{0,1,2,3,4,5,6,7}。對流 量信息的原始值進行離散化處理的方法可以是建立固定的映射關(guān)系,例如將某一個范圍內(nèi) 的原始值固定的映射到一個特定的離散化流量信息值;也可以建立動態(tài)的映射關(guān)系,例如, 以日、星期、月為周期統(tǒng)計不同時段的流量信息,在網(wǎng)絡(luò)較為繁忙的時段提高映射到一個特 定的離散化流量信息值的原始值的范圍的上限,在網(wǎng)絡(luò)較為空閑的時段降低該上限。網(wǎng)絡(luò) 節(jié)點可以周期性的采集自身的流量信息。將流量信息、流量信息采集時間、采集該流量信息的網(wǎng)絡(luò)節(jié)點的地址、鄰居節(jié)點信
8息以及一些可選信息生成流量表,所述鄰居節(jié)點信息表示流量信息是否屬于流量表所在的 網(wǎng)絡(luò)節(jié)點的鄰居節(jié)點。例如,可選信息可以是流量流向、新鮮度等信息中的一種或多種。所 述新鮮度表示流量信息是否超過了時效,例如,設(shè)置時效為采集后5分鐘,則流量信息采集 時間在當(dāng)前時間之前5分鐘的流量信息無效,設(shè)置新鮮度為0或1以表示流量信息無效,新 鮮度可以作為可選信息列在流量表中,也可以在需要時即時計算。時效通常應(yīng)當(dāng)比流量信 息的采集周期大。當(dāng)收到其他節(jié)點的流量信息、流量信息采集時間及可選信息時,也將這些 信息更新到流量表中。在本發(fā)明實施例的一個具體應(yīng)用場景中,網(wǎng)絡(luò)中共有η個已知的網(wǎng)絡(luò)節(jié)點,例如, 當(dāng)網(wǎng)絡(luò)節(jié)點沒有收到過其他節(jié)點的流量信息、流量信息采集時間等信息時,當(dāng)η = 1,流量 表只有一行。流量信息包括輸入包速率、SYN請求包輸入速率、SYN確認包輸入速率、ICMP 包速率和UDP包輸入速率,則流量表可以表示為
IPRii SYN0 ACK0 ICMP0 UDP0 IP0 N0 T0 OTH0
IPR1 SYN1 ACK1 ICMP1 UDP1 IP1 N, T1 OTH1FMn =.
ΙΡΚ-χ SYN“ ACKa^ ICMJU UDPn_x IPn] NOTH^1其中,IPRtl至IPRlri為η個網(wǎng)絡(luò)節(jié)點的輸入包速率,SYN0至SYNlri為η個網(wǎng)絡(luò)節(jié) 點的SYN請求包輸入速率,ACK0至ACKlri為η個網(wǎng)絡(luò)節(jié)點的SYN確認包輸入速率,ICMP0至 ICMPlri為η個網(wǎng)絡(luò)節(jié)點的ICMP包速率,UDPtl至UDPlri為η個網(wǎng)絡(luò)節(jié)點的UDP包輸入速率, IP0至IPlri為η個網(wǎng)絡(luò)節(jié)點的IP地址,Ntl至Nlri為η個網(wǎng)絡(luò)節(jié)點的鄰居節(jié)點信息,Ttl至Tlri 為η個網(wǎng)絡(luò)節(jié)點的流量信息采集時間,OTHtl至OTHlri為η個網(wǎng)絡(luò)節(jié)點的可選信息,所述可選 信息可以是一個或多個。其中所有的流量信息都量化為8個級別,即流量信息都屬于集合 {0,1,2,3,4,5,6,7}。104、根據(jù)所述流量表計算預(yù)警信息。網(wǎng)絡(luò)節(jié)點根據(jù)流量表計算預(yù)警信息,預(yù)警信息可以按照可能受到入侵的種類分別計算。根據(jù)已知的各個網(wǎng)絡(luò)節(jié)點的流量信息的流量信息采集時間或新鮮度計算準(zhǔn)確度 信息α。定義準(zhǔn)確度信息α的目的在于降低網(wǎng)絡(luò)節(jié)點獲取鄰居節(jié)點或全局節(jié)點的流量信 息的頻率,從而降低數(shù)據(jù)通信量,減少對網(wǎng)絡(luò)性能的影響。舉例來說,最簡單的準(zhǔn)確度信息 α = m/n,m表示所有已知的網(wǎng)絡(luò)節(jié)點中m個網(wǎng)絡(luò)節(jié)點的流量信息未超過時效,η表示已知 的網(wǎng)絡(luò)節(jié)點的總數(shù)。其他與流量信息采集時間相關(guān)的,用于確定網(wǎng)絡(luò)節(jié)點是否獲取鄰居節(jié) 點或全局節(jié)點的流量信息的信息,都可以作為準(zhǔn)確度信息。根據(jù)輸入包速率1 禮至IPRlri計算洪泛攻擊預(yù)警信息。為了對分布式拒絕服務(wù)攻 擊做出預(yù)警,需要利用網(wǎng)絡(luò)中各個已知的網(wǎng)絡(luò)節(jié)點的輸入包速率計算洪泛攻擊預(yù)警信息, 舉例來說,最簡單的洪泛攻擊預(yù)警信息就是對各個網(wǎng)絡(luò)節(jié)點的輸入包速率平均。類似的,當(dāng)流量表中包括所需信息時,還可以根據(jù)SYN請求包輸入速率和SYN確認 包輸入速率計算SYN洪泛攻擊預(yù)警信息;根據(jù)ICMP包速率計算ICMP洪泛攻擊預(yù)警信息;根 據(jù)UDP包速率計算UDP洪泛攻擊預(yù)警信息。例如,在本發(fā)明實施例的一個具體應(yīng)用場景中,總共有η個已知的網(wǎng)絡(luò)節(jié)點,其中 m個網(wǎng)絡(luò)節(jié)點的流量信息未超過時效,給出一種準(zhǔn)確度信息α的定義,
9
權(quán)利要求
一種分布式入侵檢測方法,其特征在于,包括采集自身的流量信息,生成流量表,所述流量表包括流量信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡(luò)節(jié)點的地址和鄰居節(jié)點信息;根據(jù)所述流量表計算預(yù)警信息;當(dāng)流量表僅包括自身的流量信息或所述預(yù)警信息滿足鄰居通信條件時,獲取鄰居節(jié)點的流量信息和流量信息采集時間,根據(jù)所述鄰居節(jié)點的流量信息和流量信息采集時間更新流量表和預(yù)警信息;當(dāng)所述預(yù)警信息滿足全局通信條件時,獲取全局節(jié)點的流量信息和流量信息采集時間,根據(jù)所述全局節(jié)點的流量信息和流量信息采集時間更新流量表和預(yù)警信息;當(dāng)所述預(yù)警信息滿足預(yù)警條件時,進行入侵預(yù)警。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述流量信息,包括以下至少一種 輸入包速率;同步SYN請求包輸入速率和SYN確認包輸入速率; 網(wǎng)際控制報文協(xié)議ICMP包速率;和 用戶數(shù)據(jù)報協(xié)議UDP包速率。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,在采集自身的流量信息時對所述流量 信息進行離散化處理。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述根據(jù)所述流量表計算預(yù)警信息,包括當(dāng)所述流量信息包括輸入包速率時,根據(jù)所述輸入包速率計算洪泛攻擊預(yù)警信息; 當(dāng)所述流量信息包括SYN請求包輸入速率和SYN確認包輸入速率時,根據(jù)所述SYN請 求包輸入速率和SYN確認包輸入速率計算SYN洪泛攻擊預(yù)警信息;當(dāng)所述流量信息包括ICMP包速率時,根據(jù)所述ICMP包速率計算ICMP洪泛攻擊預(yù)警信息;當(dāng)所述流量信息包括UDP包速率時,根據(jù)所述UDP包速率計算UDP洪泛攻擊預(yù)警信息。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取鄰居節(jié)點的流量信息和流量信 息采集時間,包括向鄰居節(jié)點發(fā)送流量信息請求報文;接收所述鄰居節(jié)點發(fā)送的流量信息響應(yīng)報文,所述流量信息響應(yīng)報文包括所述鄰居節(jié) 點的流量信息和流量信息采集時間;獲取所述流量信息響應(yīng)報文中的所述鄰居節(jié)點的流量信息和流量信息采集時間。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取全局節(jié)點的流量信息和流量信 息采集時間,包括根據(jù)鄰居節(jié)點信息向鄰居節(jié)點發(fā)送流量信息請求報文,所述流量信息請求報文包括全 局標(biāo)識符;當(dāng)所述鄰居節(jié)點第一次收到所述流量信息請求報文時,根據(jù)自身的鄰居節(jié)點信息向自 身的鄰居節(jié)點轉(zhuǎn)發(fā)所述流量信息請求報文;所述鄰居節(jié)點向自身的所有鄰居節(jié)點發(fā)送一級流量信息響應(yīng)報文,所述一級流量信 息響應(yīng)報文包括發(fā)送所述一級流量信息響應(yīng)報文的鄰居節(jié)點的流量信息、流量信息采集時間、地址和所述全局標(biāo)識符;所述鄰居節(jié)點接收自身的鄰居節(jié)點發(fā)送或轉(zhuǎn)發(fā)的二級流量信息響應(yīng)報文,所述二級流 量信息響應(yīng)報文包括網(wǎng)絡(luò)中收到所述流量信息請求報文的某一個網(wǎng)絡(luò)節(jié)點的流量信息、流 量信息采集時間、所述網(wǎng)絡(luò)節(jié)點的地址和所述全局標(biāo)識符;當(dāng)所述鄰居節(jié)點第一次收到一個二級流量信息響應(yīng)報文時,所述鄰居節(jié)點根據(jù)所述二 級流量信息響應(yīng)報文更新自身的流量表,并向自身的所有鄰居節(jié)點轉(zhuǎn)發(fā)所述二級流量信息 響應(yīng)報文;接收所述鄰居節(jié)點發(fā)送的所述一級流量信息響應(yīng)報文或轉(zhuǎn)發(fā)的二級流量信息響應(yīng)報文;獲取所述一級流量信息響應(yīng)報文或二級流量信息響應(yīng)報文中的流量信息和流量信息 采集時間。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取全局節(jié)點的流量信息和流量信 息采集時間,包括根據(jù)鄰居節(jié)點信息向鄰居節(jié)點發(fā)送流量信息請求報文,所述流量信息請求報文包括全 局標(biāo)識符和發(fā)送所述流量信息請求報文的網(wǎng)絡(luò)節(jié)點的地址;所述流量信息請求報文使所述鄰居節(jié)點第一次收到所述流量信息請求報文時,根據(jù)自 身的鄰居節(jié)點信息向其鄰居節(jié)點轉(zhuǎn)發(fā)所述流量信息請求報文;接收流量信息響應(yīng)報文,所述流量信息響應(yīng)報文是任一網(wǎng)絡(luò)節(jié)點接收到所述流量信息 請求報文后,根據(jù)所述流量信息請求報文中的發(fā)送所述流量信息請求報文的網(wǎng)絡(luò)節(jié)點的地 址,向發(fā)送所述流量信息請求報文的網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息響應(yīng)報文,所述流量信息響 應(yīng)報文包括所述任一網(wǎng)絡(luò)節(jié)點的地址、流量信息、流量信息采集時間和所述全局標(biāo)識符;獲取所述流量信息響應(yīng)報文中的流量信息和流量信息采集時間。
8.—種網(wǎng)絡(luò)節(jié)點,其特征在于,包括,采集模塊、生成模塊、計算模塊、第一獲取模塊、第 二獲取模塊和預(yù)警模塊;其中,所述采集模塊,用于采集所述網(wǎng)絡(luò)節(jié)點自身的流量信息;所述生成模塊,用于根據(jù)所述流量信息生成流量表,所述流量表包括網(wǎng)絡(luò)中所有網(wǎng)絡(luò) 節(jié)點的流量信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡(luò)節(jié)點的地址和鄰居節(jié)點信 息;所述計算模塊,用于根據(jù)所述流量表計算預(yù)警信息;所述第一獲取模塊,用于當(dāng)流量表僅包括網(wǎng)絡(luò)節(jié)點自身的流量信息或所述預(yù)警信息滿 足鄰居通信條件時,獲取鄰居節(jié)點的流量信息和流量信息采集時間,使所述生成模塊根據(jù) 所述鄰居節(jié)點的流量信息和流量信息采集時間更新流量表并使所述計算模塊更新預(yù)警信 息;所述第二獲取模塊,用于當(dāng)所述預(yù)警信息滿足全局通信條件時,獲取全局節(jié)點的流量 信息和流量信息采集時間,使所述生成模塊根據(jù)所述全局節(jié)點的流量信息和流量信息采集 時間更新流量表和并使所述計算模塊更新預(yù)警信息;所述預(yù)警模塊,用于當(dāng)所述預(yù)警信息滿足預(yù)警條件時,進行入侵預(yù)警。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)節(jié)點,其特征在于,所述第一獲取模塊包括第一發(fā)送單元,用于當(dāng)流量表僅包括網(wǎng)絡(luò)節(jié)點自身的流量信息或所述預(yù)警信息滿足鄰居通信條件時,向鄰居節(jié)點發(fā)送流量信息請求報文;第一接收單元,用于接收所述鄰居節(jié)點發(fā)送的流量信息響應(yīng)報文,所述流量信息響應(yīng) 報文包括所述鄰居節(jié)點的流量信息和流量信息采集時間;第一獲取單元,用于獲取所述流量信息響應(yīng)報文中的所述鄰居節(jié)點的流量信息和流量 信息采集時間,使所述生成模塊根據(jù)所述鄰居節(jié)點的流量信息和流量信息采集時間更新流 量表并使所述計算模塊更新預(yù)警信息。
10.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)節(jié)點,其特征在于,所述第二獲取模塊包括第二發(fā)送單元,用于當(dāng)所述預(yù)警信息滿足全局通信條件時,向鄰居節(jié)點發(fā)送流量信息 請求報文,所述流量信息請求報文包括全局標(biāo)識符和發(fā)送所述流量信息請求報文的網(wǎng)絡(luò)節(jié) 點的地址,所述流量信息請求報文使所述鄰居節(jié)點在所述鄰居節(jié)點第一次收到所述流量信 息請求報文時,根據(jù)所述鄰居節(jié)點的鄰居節(jié)點信息向所述鄰居節(jié)點的鄰居節(jié)點轉(zhuǎn)發(fā)所述流 量信息請求報文;第二接收單元,用于接收流量信息響應(yīng)報文,所述流量信息響應(yīng)報文是任一網(wǎng)絡(luò)節(jié)點 接收到所述流量信息請求報文后,根據(jù)所述流量信息請求報文中的發(fā)送所述流量信息請求 報文的網(wǎng)絡(luò)節(jié)點的地址,向發(fā)送所述流量信息請求報文的網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息響應(yīng)報 文,所述流量信息響應(yīng)報文包括所述任一網(wǎng)絡(luò)節(jié)點的地址、流量信息、流量信息采集時間和 所述全局標(biāo)識符;第二獲取單元,用于獲取所述流量信息響應(yīng)報文中的流量信息和流量信息采集時間, 使所述生成模塊根據(jù)所述全局節(jié)點的流量信息和流量信息采集時間更新流量表和并使所 述計算模塊更新預(yù)警信息。
11.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)節(jié)點,其特征在于,所述第二獲取模塊包括第三發(fā)送單元,用于當(dāng)所述預(yù)警信息滿足全局通信條件時,向鄰居節(jié)點發(fā)送流量信息 請求報文,所述流量信息請求報文包括全局標(biāo)識符;第三接收單元,用于接收其他網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息請求報文和流量信息響應(yīng)報文;第一轉(zhuǎn)發(fā)單元,用于當(dāng)?shù)谝淮问盏狡渌W(wǎng)絡(luò)節(jié)點發(fā)送的流量信息請求報文時,向鄰居 節(jié)點轉(zhuǎn)發(fā)所述其他網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息請求報文;響應(yīng)單元,用于當(dāng)?shù)谝淮问盏狡渌W(wǎng)絡(luò)節(jié)點發(fā)送的流量信息請求報文時,向鄰居節(jié)點 發(fā)送流量信息響應(yīng)報文,所述流量信息響應(yīng)報文包括網(wǎng)絡(luò)節(jié)點自身的地址、流量信息、流量 信息采集時間和所述其他網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息請求報文中的全局標(biāo)識符;第二轉(zhuǎn)發(fā)單元,用于當(dāng)?shù)谝淮问盏狡渌W(wǎng)絡(luò)節(jié)點發(fā)送的流量信息響應(yīng)報文時,向鄰居 節(jié)點轉(zhuǎn)發(fā)所述其他網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息響應(yīng)報文;第三獲取單元,用于當(dāng)?shù)谝淮问盏狡渌W(wǎng)絡(luò)節(jié)點發(fā)送的流量信息響應(yīng)報文時,獲取所 述其他網(wǎng)絡(luò)節(jié)點發(fā)送的流量信息響應(yīng)報文中的流量信息和流量信息采集時間,使所述生成 模塊根據(jù)所述全局節(jié)點的流量信息和流量信息采集時間更新流量表和并使所述計算模塊 更新預(yù)警信息。
12.—種分布式入侵檢測系統(tǒng),其特征在于,包括至少三個網(wǎng)絡(luò)節(jié)點,并且其中至少兩 個網(wǎng)絡(luò)節(jié)點不相鄰;其中,所述網(wǎng)絡(luò)節(jié)點,用于采集所述網(wǎng)絡(luò)節(jié)點自身的流量信息,生成流量表,所述流量表包括網(wǎng)絡(luò)中所有網(wǎng)絡(luò)節(jié)點的流量信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡(luò)節(jié)點的地 址和鄰居節(jié)點信息,根據(jù)所述流量表計算預(yù)警信息,當(dāng)流量表僅包括自身的流量信息或所 述預(yù)警信息滿足鄰居通信條件時,獲取鄰居節(jié)點的流量信息和流量信息采集時間,根據(jù)所 述鄰居節(jié)點的流量信息和流量信息采集時間更新流量表和預(yù)警信息,當(dāng)所述預(yù)警信息滿足 全局通信條件時,獲取全局節(jié)點的流量信息和流量信息采集時間,根據(jù)所述全局節(jié)點的流 量信息和流量信息采集時間更新流量表和預(yù)警信息,當(dāng)所述預(yù)警信息滿足預(yù)警條件時,進 行入侵預(yù)警。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域,尤其涉及一種分布式入侵檢測方法、裝置和系統(tǒng)。該方法包括,采集自身的流量信息,生成流量表;根據(jù)所述流量表計算預(yù)警信息;當(dāng)流量表僅包括自身的流量信息或所述預(yù)警信息滿足鄰居通信條件時,獲取鄰居節(jié)點的流量信息和流量信息采集時間,更新流量表和預(yù)警信息;當(dāng)所述預(yù)警信息滿足全局通信條件時,獲取全局節(jié)點的流量信息和流量信息采集時間,更新流量表和預(yù)警信息;當(dāng)所述預(yù)警信息滿足預(yù)警條件時,進行入侵預(yù)警。采用本發(fā)明實施例提供的技術(shù)方案,因為在預(yù)警信息滿足鄰居通信條件時只需要獲取鄰居節(jié)點的流量信息,減小了分布式入侵檢測中的數(shù)據(jù)通信量,降低了分布式入侵檢測對網(wǎng)絡(luò)性能的影響。
文檔編號H04L9/36GK101997830SQ20091010936
公開日2011年3月30日 申請日期2009年8月17日 優(yōu)先權(quán)日2009年8月17日
發(fā)明者張作富, 張波, 楊亞濤, 渠海峽, 白媛, 覃健誠, 謝垂益, 谷勇浩, 趙玉超, 辛陽 申請人:華為技術(shù)有限公司;北京郵電大學(xué)