本發明公開了基于軟件定義安全架構的入侵檢測系統，屬于網絡信息安全領域，該入侵檢測系統包括客戶端模塊以及云端模塊；所述云端模塊包括云端代理、入侵檢測引擎、專家規則庫、機器學習庫以及日志數據庫；所述入侵檢測引擎采用基于Snort的特征檢測技術和基于機器學習的異常檢測技術。該軟件定義安全架構提供了對網絡的可編程化控制和全局狀態監視，對下抽象化底層安全設備提供統一透明的接入模式，對上擴展北向安全應用，并發揮云計算技術對彈性計算、分布式計算、負載均衡、大數據處理能力的優勢，將專家規則庫、入侵檢測引擎和相關人工智能檢測算法部署在云端，提高了系統的智能檢測效率，增強了系統的動態擴展能力和對新安全威脅的快速響應能力。

技術領域

本申請屬于網絡信息安全領域，具體地，涉及一種軟件定義安全架構下的入侵檢測系統及檢測方法。

背景技術

近年來，隨著互聯網技術的迅速發展、網絡規模的持續擴大、網絡流量的不斷攀升，以及網絡體系結構的日趨復雜化，傳統網絡架構正面臨著越來越嚴峻的挑戰和考驗。與此同時復雜的網絡環境也帶來了許多網絡安全問題，如惡意軟件攻擊、欺騙攻擊及分布式拒絕服務攻擊等。日益突出的網絡安全問題，逐漸向傳統的安全體系架構、服務模式和技術手段提出了更嚴峻的挑戰。一方面，伴隨著云計算和虛擬化等相關技術的不斷發展，網絡應用需求變得越來越復雜，傳統網絡架構出現了難以擴展和配置復雜度較高等問題。不僅如此，各種虛擬化技術實現了網絡資源的迅速編排和靈活調配，傳統網絡安全體系架構漸漸捉襟見肘，已經難以滿足人們的需求。另一方面，現有的一些安全防御技術(如防火墻，入侵檢測系統等)多以硬件設備的形式部署在本地局域網絡中，功能相對單一，靈活性較差，且這些安全設備或軟件往往各自分割獨立，無法進行系統組合配置，具有實時防御能力弱，可擴展性較差的缺點，難以適應動態的業務需求及進行安全功能的在線升級。

軟件定義網絡(SDN)作為一種動態、可管理，經濟高效且適應性強的新興架構，正在重塑網絡的思維方式，并為網絡信息安全的演進提供了重要的支撐解決方案，可以通過軟件定義的方式對安全防護功能模塊進行全局優化，從而實現統一管理和動態配置的目的，即軟件定義安全(SDS)。SDN解耦了網絡控制和轉發功能，使得網絡控制變得可直接編程，并為應用和網絡服務抽象出底層基礎設施。控制平面與數據平面的隔離使得網絡管理變得更加容易，利用控制器提供對網絡的集中控制，實現全局狀態的監視，靈活地獲取和收集網絡活動信息。通過控制器，網絡管理員可以快速輕松地制定和推出有關數據平面中的底層系統(交換機，路由器)如何處理流量的決策，實現不同體系結構的集成，并促進網絡應用程序和服務的創建，以更好地適應用戶的需求。SDN通過集中化的管理和控制，實現了動態的資源分配和調度，優化了網絡配置、監視、管理、調度、優化等工作。因此將SDN研究成果引入到現有網絡安全防護技術是網絡信息安全的一種發展趨勢，軟件定義安全(SDS)增強了網絡的管理能力、協同水平和服務質量，為解決網絡安全問題提供了可行的解決方案。

入侵檢測系統(IDS)作為保護網絡免收惡意攻擊的關鍵技術之一，旨在通過收集網絡中關鍵節點的流量信息并分析所有網絡活動來實現檢測惡意活動(包括病毒、蠕蟲和DDoS攻擊等)，并及時采取報警措施。IDS能夠做到實時地識別和檢測入侵攻擊行為，被廣泛應用于傳統網絡中。現有的IDS系統和安全設備一般部署在本地局域網絡，使得系統的協作性和聯動性較差。通過軟件定義安全的IDS則可以很好地解決如上問題。一般的，傳統的IDS基于專家規則庫實現檢測攻擊模式，這帶來了高誤報率和高漏報率的風險，同時難以實時檢測出新類型的網絡攻擊以適應復雜多變的網絡環境。