技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，尤其涉及一種分布式入侵檢測(cè)系統(tǒng)以及該系統(tǒng)中集中化管理的連接方法。

背景技術(shù)

在分布式入侵檢測(cè)系統(tǒng)中，檢測(cè)引擎分布在網(wǎng)絡(luò)不同的節(jié)點(diǎn)上，對(duì)這些引擎的集中化管理是整個(gè)系統(tǒng)有效運(yùn)轉(zhuǎn)的關(guān)鍵保證。因此，各個(gè)檢測(cè)引擎需要與管理控制中心(Control?Center，CC)進(jìn)行有效的通訊，接收管理控制中心的各種管理配置命令等，并且向管理控制中心上報(bào)報(bào)警日志等。

目前市場(chǎng)上常用的分布式入侵檢測(cè)系統(tǒng)，一般采用由管理控制中心主動(dòng)連接檢測(cè)引擎，而檢測(cè)引擎只能被動(dòng)地接受連接。在這種通訊模式下，檢測(cè)引擎需要啟動(dòng)至少一個(gè)監(jiān)聽口，等待管理控制中心的連接。這種通訊模式主要存在以下幾個(gè)局限：

(1)檢測(cè)引擎需要啟動(dòng)監(jiān)聽口，以等待管理控制中心的連接。一些惡意軟件也可以得到這些監(jiān)聽口，從而對(duì)檢測(cè)引擎發(fā)起攻擊，導(dǎo)致引擎拒絕服務(wù)，甚至?xí)刂埔娴男袨?，使保護(hù)網(wǎng)絡(luò)安全的系統(tǒng)本身變得不安全。

(2)由于檢測(cè)引擎是被動(dòng)地接受管理控制中心的連接，所以只有在管理控制中心連接上以后，檢測(cè)引擎才能真正的發(fā)揮作用，即根據(jù)管理控制中心的指令執(zhí)行操作，并上報(bào)所監(jiān)測(cè)網(wǎng)絡(luò)的狀況。而一旦管理控制中心沒(méi)有主動(dòng)與檢測(cè)引擎發(fā)起連接，或者由于管理控制中心自身問(wèn)題導(dǎo)致不能與引擎建立連接時(shí)，則檢測(cè)引擎也失去了網(wǎng)絡(luò)監(jiān)測(cè)的作用。

(3)管理控制中心必須知道檢測(cè)引擎的地址才能與其建立連接。在分布式入侵檢測(cè)系統(tǒng)中，一個(gè)管理控制中心可能需要管理大量的檢測(cè)引擎，并且這些引擎還可能動(dòng)態(tài)地減少或增加，所以對(duì)于指定檢測(cè)引擎地址進(jìn)行連接會(huì)增加管理員的工作量。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問(wèn)題，在于需要提供一種分布式入侵檢測(cè)系統(tǒng)及該系統(tǒng)中集中化管理的連接方法，以提高分布式入侵檢測(cè)系統(tǒng)中檢測(cè)引擎的安全性。

為了解決上述技術(shù)問(wèn)題，本發(fā)明首先提供了一種分布式入侵檢測(cè)系統(tǒng)中集中化管理的連接方法，所述分布式入侵檢測(cè)系統(tǒng)包括管理控制中心及檢測(cè)引擎，其中，該方法包括：

所述管理控制中心啟動(dòng)監(jiān)聽口；

所述檢測(cè)引擎探測(cè)所述管理控制中心；

所述檢測(cè)引擎向所述管理控制中心發(fā)送身份認(rèn)證請(qǐng)求以進(jìn)行身份認(rèn)證；

所述管理控制中心通過(guò)所述身份認(rèn)證后，所述檢測(cè)引擎與所述管理控制中心建立通訊連接。

優(yōu)選地，該方法進(jìn)一步包括：

在所述管理控制中心上設(shè)置最大連接數(shù)，當(dāng)連接的所述檢測(cè)引擎的數(shù)量達(dá)到所述最大連接數(shù)后，不再接受其余檢測(cè)引擎的連接。

優(yōu)選地，該方法進(jìn)一步包括：

在所述檢測(cè)引擎上配置管理控制中心列表，所述管理控制中心列表記錄有所述檢測(cè)引擎能夠連接的管理控制中心，所述檢測(cè)引擎根據(jù)所述管理控制中心列表向所述管理控制中心發(fā)送所述身份認(rèn)證請(qǐng)求。

優(yōu)選地，所述管理控制中心列表記載有每個(gè)管理控制中心的連接優(yōu)先級(jí)，所述檢測(cè)引擎根據(jù)所述連接優(yōu)先級(jí)的順序向所述管理控制中心發(fā)送所述身份認(rèn)證請(qǐng)求。

優(yōu)選地，所述檢測(cè)引擎進(jìn)行所述身份認(rèn)證的步驟，包括：所述檢測(cè)引擎在與所述管理控制中心認(rèn)證失敗時(shí)進(jìn)行認(rèn)證失敗記錄，后續(xù)探測(cè)時(shí)跳過(guò)所述管理控制中心。

為了解決上述技術(shù)問(wèn)題，本發(fā)明還提供了一種分布式入侵檢測(cè)系統(tǒng)，包括管理控制中心及檢測(cè)引擎，其中：

所述管理控制中心，用于啟動(dòng)監(jiān)聽口，接收所述檢測(cè)引擎發(fā)送的身份認(rèn)證請(qǐng)求后對(duì)所述檢測(cè)引擎進(jìn)行身份認(rèn)證；

所述檢測(cè)引擎，用于探測(cè)所述管理控制中心，向所述管理控制中心發(fā)送所述身份認(rèn)證請(qǐng)求，并在所述身份認(rèn)證通過(guò)后，與所述管理控制中心建立通訊連接。

優(yōu)選地，所述管理控制中心上進(jìn)一步設(shè)置有最大連接數(shù)，當(dāng)連接的所述檢測(cè)引擎的數(shù)量達(dá)到所述最大連接數(shù)后，不再接受其余檢測(cè)引擎的連接。

優(yōu)選地，所述檢測(cè)引擎上配置有管理控制中心列表，所述管理控制中心列表記錄有所述檢測(cè)引擎能夠連接的管理控制中心，所述檢測(cè)引擎根據(jù)所述管理控制中心列表向所述管理控制中心發(fā)送所述身份認(rèn)證請(qǐng)求。

優(yōu)選地，所述檢測(cè)引擎根據(jù)連接優(yōu)先級(jí)的順序向所述管理控制中心發(fā)送所述身份認(rèn)證請(qǐng)求；

其中，每個(gè)管理控制中心的所述連接優(yōu)先級(jí)記載在所述檢測(cè)引擎上配置的所述管理控制中心列表中。

優(yōu)選地，所述檢測(cè)引擎進(jìn)一步用于在與所述管理控制中心認(rèn)證失敗時(shí)進(jìn)行認(rèn)證失敗記錄，后續(xù)探測(cè)時(shí)跳過(guò)所述管理控制中心。

與現(xiàn)有技術(shù)相比，本發(fā)明技術(shù)方案大大降低了分布式入侵檢測(cè)系統(tǒng)通訊管理的復(fù)雜度，提高了檢測(cè)引擎的安全性，并且減少了系統(tǒng)管理員的工作量。