技術領域

本發明涉及網絡通信領域，尤其涉及一種分布式入侵檢測方法、裝置和系統。

背景技術

拒絕服務(Denial?of?Service，DoS)是一種很簡單但又很有效的網絡攻擊方式。DoS的目的是拒絕服務訪問，破壞組織的正常運行，最終它會使部分網絡連接或網絡系統失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。例如，攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息，由于地址是偽造的，服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發送偽地址請求的情況下，服務器資源最終會被耗盡。

分布式拒絕服務(Distributed?Denial?of?Service，DDoS)是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，如商業公司，搜索引擎和政府部門的站點。DoS攻擊只要一臺聯網的計算機就可實現，而DDoS攻擊利用一批受控制的計算機向被攻擊站點發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。

DDoS攻擊過程如下：①攻擊者掃描大量主機，以尋找可控制的主機；②攻擊者入侵可控制的主機并獲取控制權，在各臺受控制的主機中安裝攻擊程序；③攻擊者發布攻擊命令，各臺受控制的主機對目標站點發起攻擊。

常見的拒絕服務攻擊類型有同步(synchronize，SYN)洪泛(Flood)攻擊、用戶數據報協議(User?Datagram?Protocol)洪泛攻擊和網際控制報文協議(Internet?Control?Mes?sage?Protocol，ICMP)洪泛攻擊。

SYN?Flood是當前最流行的DoS與DDoS的方式之一，這是一種利用傳輸控制協議(Transmission?Control?Protocol，TCP)的缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式，例如導致中央處理器(Central?Processing?Unit，CPU)滿負荷或內存不足。

UDP?Flood攻擊是基于主機的DoS攻擊的一種。UDP是一種無連接的協議，而且它不需要用任何程序建立連接來傳輸數據。當被攻擊系統接收到一個UDP數據包的時候，它會確定目的端口正在等待中的應用程序。如果向被攻擊系統發送了足夠多的UDP數據包，被攻擊系統就會癱瘓。

所有針對ICMP協議漏洞發起的攻擊，被稱為ICMP?Flood攻擊。其中最常見的就是死亡之Ping(Ping?of?death)攻擊。Ping?of?death攻擊利用協議實現時的漏洞，向被攻擊系統發送超長的Ping數據包，導致被攻擊系統異常。

入侵檢測系統分為3種：主機型、網絡型、分布式入侵檢測系統，分布式入侵檢測系統結合了前面兩種入侵檢測系統的主要功能，因為集中式入侵檢測系統無法同時對付來自網絡內部和網絡外部的攻擊，分布式的入侵檢測系統逐步取代了集中式的入侵檢測系統。

分布式入侵檢測中通信是一個很重要的問題。現有的分布式入侵檢測方法在每個網絡節點上設置檢測部件用于收集信息，并將收集的信息相互共享或發送給中央節點處理。采用信息共享的入侵檢測處理方式，網絡中用于入侵檢測的數據通信量大，影響網絡性能。采用中央節點集中處理的入侵檢測方式，中央節點的通信和處理能力會成為入侵檢測系統的瓶頸。

發明內容

本發明實施例的目的是提供一種分布式入侵檢測方法、裝置和系統，用以解決分布式入侵檢測中數據通信量大影響網絡性能的問題。

本發明實施例的目的是通過以下技術方案實現的：

一種分布式入侵檢測方法，包括：

采集自身的流量信息，生成流量表，所述流量表包括網絡中所有網絡節點的流量信息、流量信息采集時間、采集所述流量信息的網絡節點的地址和鄰居節點信息；

根據所述流量表計算預警信息；

當流量表僅包括自身的流量信息或所述預警信息滿足鄰居通信條件時，獲取鄰居節點的流量信息和流量信息采集時間，根據所述鄰居節點的流量信息和流量信息采集時間更新流量表和預警信息；

當所述預警信息滿足全局通信條件時，獲取全局節點的流量信息和流量信息采集時間，根據所述全局節點的流量信息和流量信息采集時間更新流量表和預警信息；

當所述預警信息滿足預警條件時，進行入侵預警。