技術領域

本發明提出了一種基于行為描述的可聯動分布式網絡入侵檢測方案，通過將網絡行為描述和特征抽象的方法應用在分布式的檢測系統上并與防火墻聯動，實現對網絡中異常流量的實時檢測并適時做出響應，屬于計算機安全技術領域。?

背景技術

隨著網絡應用類型的不斷增多和網絡規模的不斷增大，網絡安全問題日益突出，引起人們的高度重視。當前網絡面臨的主要威脅有拒絕服務攻擊，網絡入侵，惡意代碼等，為了能有效地應對這些威脅，需要對網絡采取實時檢測和保護措施，將安全問題控制在一定的范圍內，盡量減少經濟和利益損失。目前已有的網絡檢測和保護手段主要包括部署防火墻和入侵檢測系統。?

防火墻是用來控制網絡之間通信的一種系統，它部署在內部網和外部網相互連接的地方，就如同一個過濾網一樣依據一定的安全策略處理流經的網絡數據或網絡連接，將非法的數據和連接阻隔在網絡外部，最大限度地提供對內部網絡的保護。防火墻的功能包括過濾惡意流量、強化網絡安全策略和審計網絡訪問與存取等。防火墻只是安全保護的一種技術手段，并不能解決所有安全問題，如不能阻止那些經過精心偽造符合防火墻安全策略的網路攻擊，需要配合其他安全技術使用。?

入侵檢測檢測是通過收集當前網絡和系統中的數據，依據一定的策略或模型監視網絡和系統運行狀況，盡可能發現各種攻擊企圖、攻擊行為或者違反安全策略的行為，并向管理員或管理站站點做出報告，以保證網絡系統資源的機密性、完整性和可用性。一般地可以分為三類：基于網絡的入侵檢測系統、基于主機的入侵檢測系統和分布式入侵檢測系統。基于網絡的入侵檢測系統一般部署在網絡的咽喉要塞處，這樣它可以監視整個網絡，更準確地講是它能監視整個網絡的流量。基于主機的入侵檢測系統只能在其所處的機器上，對操作系統、應用程序進行監視。?

網絡入侵檢測和主機入侵檢測的部署位置決定了它們具有先天的局限性。當網絡規模比較大，主機數量比較多時，面對海量數據、繁多的攻擊類型和分散的數據源，孤立的檢測單元就顯得效率低下，功能單一，并且缺少從全局上分析流?量和監控網絡的能力，因此分布式的網絡入侵檢測順勢提出。分布式網絡入侵檢測系統的本質特征是由分布在網絡各處的探測器和中央管理控制臺兩大部分組成，這些探測器可能是網絡入侵檢測系統或者主機入侵檢測系統，根據網絡安全需求部署，它們做好自己的本職工作，并周期性地向中央管理控制臺發送報告，或通過各種方式通知管理員。目前分布式的入侵檢測更多地處于研究階段，缺乏實際有效的應用。雖然出現了不少體系結構和方案，但仍然更多地強調單個檢測單元的性能和檢測方法，沒有考慮這些分布的檢測單元所處的網絡環境和檢測目標是不同的，所提交給中央管理控制臺的數據源也是各種各樣，缺乏一致性，給中央管理器的分析和存儲帶來不便。關于如何在實際中部署這樣的分布式系統，以及采用什么樣的檢測方法才能實現對網絡全局的分析和監視并沒有定論，因此需要研究如何部署以及采取什么樣的策略才能更加有效地將分布的檢測綜合統一起來。?

發明內容

技術問題：本發明的目的是提供一種基于行為描述的可聯動分布式網絡入侵檢測方法，通過在分布式的檢測單元上應用基于行為描述的檢測策略來有效地將分布的檢測單元組織成一個高效的有機整體，避免了現有系統方案的低效性和分散性，其目的是解決實際應用中大型網絡上異常流量檢測的低效，并提高檢測系統對網絡的整體檢測能力和保護效果。?

技術方案：基于行為描述的可聯動分布式網絡異常流量檢測方法強調分布式系統的部署方式，通過行為描述來發現已知和未知的攻擊流量，產生一致的數據，提高中央控制臺的管理和分析效率，并結合聯動技術提高檢測和保護效果。首先檢測系統的部署要合理，這樣才能收集到有用的數據，利于系統處理和分析數據，因此在網絡結構中選擇合適的位置部署系統非常重要。一般考慮在網絡中的關鍵節點處部署，因為網絡中的數據都需要經過這樣的節點轉發，在這樣的位置可以最大可能地采集到所有數據包，從而保證檢測系統能檢測到網絡中所有的流量。大型網絡一般有一個總的進出口和外部網絡相連，內部網絡又根據地理位置劃分為若干個子網。子網又有自己的進出口，它們通過網絡內部的骨干網相連，并且子網間相對獨立自成一個子系統，因此只要在這些進出口部署檢測系統就能最大可能地捕獲到所有流量。?