[發(fā)明專利]一種分布式入侵檢測方法、裝置和系統(tǒng)有效

申請?zhí)枺?/td>	200910109363.8	申請日：	2009-08-17
公開（公告）號：	CN101997830A	公開（公告）日：	2011-03-30
發(fā)明（設計）人：	白媛;覃健誠;渠海峽;趙玉超;張波;張作富;谷勇浩;辛陽;楊亞濤;謝垂益	申請（專利權(quán)）人：	華為技術有限公司;北京郵電大學
主分類號：	H04L29/06	分類號：	H04L29/06;H04L9/36
代理公司：	暫無信息	代理人：	暫無信息
地址：	518129 廣東***	國省代碼：	廣東;44
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種分布式入侵檢測方法裝置系統(tǒng)
鉆瓜網(wǎng) 技術展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種分布式入侵檢測方法，其特征在于，包括：

采集自身的流量信息，生成流量表，所述流量表包括流量信息、流量信息采集時間、采集所述流量信息的網(wǎng)絡節(jié)點的地址和鄰居節(jié)點信息；

根據(jù)所述流量表計算預警信息；

當流量表僅包括自身的流量信息或所述預警信息滿足鄰居通信條件時，獲取鄰居節(jié)點的流量信息和流量信息采集時間，根據(jù)所述鄰居節(jié)點的流量信息和流量信息采集時間更新流量表和預警信息；

當所述預警信息滿足全局通信條件時，獲取全局節(jié)點的流量信息和流量信息采集時間，根據(jù)所述全局節(jié)點的流量信息和流量信息采集時間更新流量表和預警信息；

當所述預警信息滿足預警條件時，進行入侵預警。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述流量信息，包括以下至少一種：

輸入包速率；

同步SYN請求包輸入速率和SYN確認包輸入速率；

網(wǎng)際控制報文協(xié)議ICMP包速率；和

用戶數(shù)據(jù)報協(xié)議UDP包速率。

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，在采集自身的流量信息時對所述流量信息進行離散化處理。

4.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述根據(jù)所述流量表計算預警信息，包括：

當所述流量信息包括輸入包速率時，根據(jù)所述輸入包速率計算洪泛攻擊預警信息；

當所述流量信息包括SYN請求包輸入速率和SYN確認包輸入速率時，根據(jù)所述SYN請求包輸入速率和SYN確認包輸入速率計算SYN洪泛攻擊預警信息；

當所述流量信息包括ICMP包速率時，根據(jù)所述ICMP包速率計算ICMP洪泛攻擊預警信息；

當所述流量信息包括UDP包速率時，根據(jù)所述UDP包速率計算UDP洪泛攻擊預警信息。

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取鄰居節(jié)點的流量信息和流量信息采集時間，包括：

向鄰居節(jié)點發(fā)送流量信息請求報文；

接收所述鄰居節(jié)點發(fā)送的流量信息響應報文，所述流量信息響應報文包括所述鄰居節(jié)點的流量信息和流量信息采集時間；

獲取所述流量信息響應報文中的所述鄰居節(jié)點的流量信息和流量信息采集時間。

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取全局節(jié)點的流量信息和流量信息采集時間，包括：

根據(jù)鄰居節(jié)點信息向鄰居節(jié)點發(fā)送流量信息請求報文，所述流量信息請求報文包括全局標識符；

當所述鄰居節(jié)點第一次收到所述流量信息請求報文時，根據(jù)自身的鄰居節(jié)點信息向自身的鄰居節(jié)點轉(zhuǎn)發(fā)所述流量信息請求報文；

所述鄰居節(jié)點向自身的所有鄰居節(jié)點發(fā)送一級流量信息響應報文，所述一級流量信息響應報文包括發(fā)送所述一級流量信息響應報文的鄰居節(jié)點的流量信息、流量信息采集時間、地址和所述全局標識符；

所述鄰居節(jié)點接收自身的鄰居節(jié)點發(fā)送或轉(zhuǎn)發(fā)的二級流量信息響應報文，所述二級流量信息響應報文包括網(wǎng)絡中收到所述流量信息請求報文的某一個網(wǎng)絡節(jié)點的流量信息、流量信息采集時間、所述網(wǎng)絡節(jié)點的地址和所述全局標識符；

當所述鄰居節(jié)點第一次收到一個二級流量信息響應報文時，所述鄰居節(jié)點根據(jù)所述二級流量信息響應報文更新自身的流量表，并向自身的所有鄰居節(jié)點轉(zhuǎn)發(fā)所述二級流量信息響應報文；

接收所述鄰居節(jié)點發(fā)送的所述一級流量信息響應報文或轉(zhuǎn)發(fā)的二級流量信息響應報文；

獲取所述一級流量信息響應報文或二級流量信息響應報文中的流量信息和流量信息采集時間。

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取全局節(jié)點的流量信息和流量信息采集時間，包括：

根據(jù)鄰居節(jié)點信息向鄰居節(jié)點發(fā)送流量信息請求報文，所述流量信息請求報文包括全局標識符和發(fā)送所述流量信息請求報文的網(wǎng)絡節(jié)點的地址；

所述流量信息請求報文使所述鄰居節(jié)點第一次收到所述流量信息請求報文時，根據(jù)自身的鄰居節(jié)點信息向其鄰居節(jié)點轉(zhuǎn)發(fā)所述流量信息請求報文；

接收流量信息響應報文，所述流量信息響應報文是任一網(wǎng)絡節(jié)點接收到所述流量信息請求報文后，根據(jù)所述流量信息請求報文中的發(fā)送所述流量信息請求報文的網(wǎng)絡節(jié)點的地址，向發(fā)送所述流量信息請求報文的網(wǎng)絡節(jié)點發(fā)送的流量信息響應報文，所述流量信息響應報文包括所述任一網(wǎng)絡節(jié)點的地址、流量信息、流量信息采集時間和所述全局標識符；

獲取所述流量信息響應報文中的流量信息和流量信息采集時間。

下載完整專利技術內(nèi)容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于華為技術有限公司;北京郵電大學，未經(jīng)華為技術有限公司;北京郵電大學許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/200910109363.8/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。