[发明专利]一种父实体选择通信机制入侵检测方法、装置及系统

权利要求书

1、一种父实体选择通信机制入侵检测方法，其特征在于，包括以下步骤：

a.主机子实体通过主机父实体表判断主机是否存在合适父实体；

b.若判断结果为是，则所述主机子实体与合适父实体建立连接关系；

c.若判断结果为否，则所述主机子实体向网络发送广播信息；

d.主机外父实体接收到所述广播信息后回馈信息到所述主机子实体；

e.主机子实体分析所述回馈信息，根据分析结果更新主机父实体表，与主机外合适父实体建立连接关系；

f.主机子实体收集已建立连接关系父实体网络数据，格式化所述网络数据为数据包并发送到所述已建立连接关系父实体；

g.所述已建立连接关系父实体调用资源库处理所述数据包并判断是否为入侵信息；

h.若判断结果为否，所述已建立连接关系父实体保存所述数据包处理结果到数据库；

i.若判断结果为是，所述已建立连接关系父实体发送所述数据包处理结果到系统消息库。

2、根据权利要求1所述的一种父实体选择通信机制入侵检测方法，其特征在于：步骤f所述主机子实体收集已建立连接关系父实体网络数据采取周期性轮询，轮询周期与网络主机数成正比。

3、根据权利要求1所述的一种父实体选择通信机制入侵检测方法，其特征在于：步骤i所述已建立连接关系父实体发送所述数据包处理结果到系统消息库后，主机产生报警信息并通过用户界面显示。

4、根据权利要求1或3所述的一种父实体选择通信机制入侵检测方法，其特征在于：所述数据包包括数据类型、ID、时间、目的IP、源IP、低层协议和高层协议。

5、根据权利要求1所述的一种父实体选择通信机制入侵检测方法，其特征在于：步骤g所述调用资源库处理通过模式匹配、规则匹配、或调用原始数据方式进行。

6、一种父实体选择通信机制入侵检测装置，其特征在于，包括：

父实体选择模块，用于根据父实体表选择最优父实体；

监听模块，用于初始化和维护父实体表；

主模块，用于检测网络数据或根据网络数据分析是否入侵以及控制父实体选择模块和监听模块。

7、根据权利要求6所述的父实体选择通信机制入侵检测装置，其特征在于：

所述监听模块还包括报警单元，用于通过发送监测询问信息获取入侵信息。

8、一种父实体选择通信机制入侵检测系统，其特征在于，包括：

数据收集实体，用于收集网络数据，按照一定数据格式对所述网络数据进行格式化并检测，把检测结果发送到综合分析实体；综合分析实体，用于分析数据收集实体发送过来的检测结果；系统消息库，用于存放综合分析实体的检测结果；中心控制实体，用于监视系统消息库，产生及显示入侵信息以及通知网络管理员。

9、根据权利要求8所述的父实体选择通信机制入侵检测系统，其特征在于：所述数据收集实体包括：

主模块，用于格式化网络数据，检测所述已格式化网络数据并发送到选择父实体模块；

选择父实体模块，用于通过主模块已格式化网络数据选择父实体表；

监听模块，用于通过选择父实体模块选择的父实体表向网络发送轮询信息。

10、根据权利要求8所述的父实体选择通信机制入侵检测系统，其特征在于：

所述中心控制实体还包括：

备份中心控制实体，用于监测中心控制实体的正常运行。