本發(fā)明公開(kāi)了一種基于哈希算法的異常流量并行檢測(cè)方法，包括：設(shè)備源向目標(biāo)服務(wù)器發(fā)起請(qǐng)求；中央管理核攔截、清洗數(shù)據(jù)包，并向各檢測(cè)內(nèi)核派發(fā)需檢測(cè)的數(shù)據(jù)包信息；各檢測(cè)內(nèi)核對(duì)總規(guī)則庫(kù)進(jìn)行均分，得到負(fù)責(zé)匹配的子規(guī)則庫(kù)；檢測(cè)內(nèi)核根據(jù)哈希算法分散得到每次檢測(cè)的數(shù)據(jù)包編號(hào)，其中哈希函數(shù)的鍵值由本內(nèi)核編號(hào)、檢測(cè)內(nèi)核總數(shù)、數(shù)據(jù)包總數(shù)、該核已檢測(cè)數(shù)據(jù)包數(shù)及沖突次數(shù)計(jì)算得到。本發(fā)明能提高規(guī)則庫(kù)并行情況下的模式匹配效率，通過(guò)多核協(xié)作增加單位時(shí)間內(nèi)檢測(cè)的流量包數(shù)量，解決規(guī)則庫(kù)過(guò)大帶來(lái)的檢測(cè)速率底下的問(wèn)題，在降低漏報(bào)率的同時(shí)提高檢測(cè)速率，更快進(jìn)行異常報(bào)警，從而采取相應(yīng)措施。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，更具體地，涉及一種基于哈希算法的異常流量并行檢測(cè)方法及系統(tǒng)。

背景技術(shù)

最早的網(wǎng)絡(luò)在實(shí)驗(yàn)室的環(huán)境中提出，用于相互信任的終端之間進(jìn)行通信，發(fā)展至今，已然成為了溝通全球的工具。隨之而來(lái)的，也是發(fā)明之初沒(méi)有考慮到的各類(lèi)安全問(wèn)題：發(fā)送方和接收方的可信度需要證實(shí)，通信內(nèi)容的加密性需要保障、可靠性需要驗(yàn)證。為了解決這些問(wèn)題，通信雙方傳遞的數(shù)據(jù)包就成為了安全分析的重要對(duì)象。不信任方發(fā)送的數(shù)據(jù)、黑客進(jìn)行攻擊的數(shù)據(jù)、泄漏隱私信息的數(shù)據(jù)等都可以被判定為網(wǎng)絡(luò)中的惡意流量，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，設(shè)置一道遵循有效安全訪(fǎng)問(wèn)策略的檢測(cè)工具，可以適時(shí)地阻止惡意流量的出入。防火墻便基于這樣的需求被提出，它是一種介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，為局域網(wǎng)和全球互聯(lián)網(wǎng)提供安全保障的安全系統(tǒng)。然而，防火墻也有其自身的局限性——無(wú)法檢測(cè)不經(jīng)過(guò)防火墻的數(shù)據(jù)，以及對(duì)內(nèi)部的攻擊抵抗性較差，于是入侵檢測(cè)系統(tǒng)作為對(duì)防火墻技術(shù)的補(bǔ)充，成為又一重要的安全保障技術(shù)。

異常流量檢測(cè)系統(tǒng)是入侵檢測(cè)系統(tǒng)的分支。現(xiàn)有的異常流量檢測(cè)系統(tǒng)主要包括基于誤用檢測(cè)技術(shù)和基于異常檢測(cè)技術(shù)的兩類(lèi)系統(tǒng)，其中基于誤用檢測(cè)技術(shù)的異常流量檢測(cè)系統(tǒng)是建立在對(duì)已知網(wǎng)絡(luò)入侵規(guī)則或模式的數(shù)據(jù)庫(kù)上，通過(guò)與已知異常規(guī)則的匹配來(lái)判斷當(dāng)前流量是否合法。誤用檢測(cè)幾乎不存在誤檢測(cè)，能夠做到對(duì)已知模式的準(zhǔn)確匹配，在實(shí)現(xiàn)上多采用模式匹配的技術(shù)。基于異常檢測(cè)技術(shù)的異常流量檢測(cè)系統(tǒng)是建立在入侵行為作為異常行為子集的前提下，通過(guò)檢測(cè)行為是否偏離正常模型狀態(tài)來(lái)分辨異常行為，在實(shí)現(xiàn)上多采用機(jī)器學(xué)習(xí)的技術(shù)。

然而，上述現(xiàn)有的異常流量檢測(cè)系統(tǒng)均存在一些不可忽略的缺陷：第一、基于誤用檢測(cè)技術(shù)的異常流量檢測(cè)系統(tǒng)對(duì)已知入侵規(guī)則庫(kù)的依賴(lài)性很強(qiáng)，需要有足夠大的匹配標(biāo)準(zhǔn)庫(kù)，從而降低漏報(bào)率，然而匹配速率就會(huì)隨之下降；第二、基于異常檢測(cè)技術(shù)的異常流量檢測(cè)系統(tǒng)對(duì)于已知異常行為的判斷并不完全準(zhǔn)確，并且現(xiàn)有的機(jī)器學(xué)習(xí)在異常流量檢測(cè)系統(tǒng)上的應(yīng)用效果尚且欠佳，無(wú)法達(dá)到滿(mǎn)意的檢測(cè)效果。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求，本發(fā)明提供了一種基于哈希算法的異常流量并行檢測(cè)方法，其目的在于，從并行和調(diào)度的角度，解決模式匹配規(guī)則庫(kù)過(guò)大帶來(lái)的匹配速率慢的問(wèn)題，在通過(guò)異常流量檢測(cè)提高設(shè)備安全性的同時(shí)，通過(guò)哈希算法分散性檢測(cè)數(shù)據(jù)包，結(jié)合多核協(xié)作降低異常流量包重復(fù)檢測(cè)率；同時(shí)實(shí)現(xiàn)降低漏報(bào)率和提高檢測(cè)速率，更快向設(shè)備端進(jìn)行異常報(bào)警，從而采取相應(yīng)措施。。

為實(shí)現(xiàn)上述目的，按照本發(fā)明的一個(gè)方面，提供了一種基于哈希算法的異常流量并行檢測(cè)方法，包括以下步驟：

(1)主節(jié)點(diǎn)設(shè)置計(jì)數(shù)器i＝1以及檢測(cè)輪數(shù)k＝1；

(2)主節(jié)點(diǎn)接收客戶(hù)端從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包并將其存儲(chǔ)在緩存區(qū)中，并判斷該數(shù)據(jù)包與預(yù)先建立好的第i個(gè)數(shù)據(jù)派發(fā)表中數(shù)據(jù)包總數(shù)之和是否超過(guò)閾值N_max，如果是則進(jìn)入步驟(4)，否則進(jìn)入步驟(3)；

(3)主節(jié)點(diǎn)對(duì)緩存區(qū)中的數(shù)據(jù)包進(jìn)行數(shù)據(jù)清洗，以得到數(shù)據(jù)清洗后的數(shù)據(jù)包，并將數(shù)據(jù)清洗后的數(shù)據(jù)包存儲(chǔ)在作為當(dāng)前數(shù)據(jù)派發(fā)表的第i個(gè)數(shù)據(jù)派發(fā)表中；

(4)主節(jié)點(diǎn)判斷是否所有從節(jié)點(diǎn)都處于檢測(cè)完成狀態(tài)，若是則將當(dāng)前數(shù)據(jù)派發(fā)表發(fā)給每個(gè)從節(jié)點(diǎn)，并進(jìn)入步驟(5)，否則返回步驟(3)；