[发明专利]一种父实体选择通信机制入侵检测方法、装置及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种基于移动代理机制的父实体选择通信机制入侵检测方法、装置及系统。

背景技术

随着计算机技术的飞速发展，计算机网络已经深入到社会生活的各个方面，网络用户数量正呈几何数增长。由于网络具有其他事物所无法比拟的开放性，网络用户之间有着极强的相互影响性，这就在带来沟通便利的同时也潜伏下了严重的安全隐患，针对网络的攻击行为也日益猖獗。计算机网络的安全是一个国际化的问题。随着计算机技术的飞速发展，每年全球因计算机网络的安全系统被破坏而造成的经济损失达到数百亿美元。无论政府、商务，还是金融、媒体的网络都在不同程度上受到入侵与破坏。

随着网络安全技术的发展，网络攻击手段也在朝着分布化、智能化、更隐蔽化发展，造成的经济损失也不断增加，甚至威胁到国家安全。由于攻击方和被攻击方的信息不对称，攻击方完全知道自己所使用的攻击方法，但被攻击方对这些信息基本一无所知，而且攻击方的攻击手段千差万别、层出不穷，为被攻击方防范攻击带来了巨大的困难。目前的网络安全技术能达到发现和阻止所有攻击活动的距离还很远。防火墙技术、数据加密技术、生物识别技术、信息隐藏技术都不能完全应对千差万别、层出不穷的攻击手段。与防火墙等相比，入侵检测系统是主动防御，能实时监测网络入侵行为，及时做出反应。虽然入侵检测系统IDS(Intrusion Detection System)，已经经历了二十余年的发展，但大部分产品的误报率和漏报率过高，检测速度与网速不匹配而造成的数据包丢失，且随着网速的大幅提升，这一问题越来越严重。在分布式入侵检测等模型当中普遍存在单点失效的问题，这可能会导致整个系统失效。如中国专利号031169708中提出的一种基于相关特征聚类的层次入侵检测系统，其主要发明点在于事件分析模块中增设了由相关特征分析器、数据重组器和大类轮廓分析器构成的对初始化数据流进行相关特征分析、提取和重组的构件来替代原来的攻击轮廓分析器。

目前各种系统通信及控制策略的主要问题是：不能有效的解决“单点失效”问题；对移动代理Agent缺乏有效的控制，或控制机制过于复杂，不具有实用价值；各个代理之间没有进行有效的数据共享，造成冗余数据过多；通信控制策略的效率不高，系统鲁棒性差。

发明内容

本发明的目的在于克服上述现有技术的缺点和不足，提供一种基于移动代理Agent机制的父实体选择通信机制入侵检测方法，本发明方法有效地解决了“单点失效”问题，所采用的通信控制机制保持了相关实体间的通信，使它们之间的数据得以共享，且对通信数据进行综合分析，节省了存储空间，减少了重复性数据处理，提高数据利用效率，从而提高了整个系统的分析处理速度。通过本发明可以减少IDS系统误报率和漏报率，有效解决网络“单点失效”问题，同时有效提高各代理之间的数据共享。

本发明的另一目的在于提供一种基于移动代理Agent机制的父实体选择通信机制入侵检测装置。

本发明的再一目的在于提供一种基于移动代理Agent机制的父实体选择通信机制入侵检测系统。

本发明目的通过下述技术方案实现：

一种父实体选择通信机制入侵检测方法，包括以下步骤：

a.主机子实体通过主机父实体表判断主机是否存在合适父实体；

b.若判断结果为是，则所述主机子实体与合适父实体建立连接关系；

c.若判断结果为否，则所述主机子实体向网络发送广播信息；

d.主机外父实体接收到所述广播信息后回馈信息到所述主机子实体；

e.主机子实体分析所述回馈信息，根据分析结果更新主机父实体表，与主机外合适父实体建立连接关系；

f.主机子实体收集已建立连接关系父实体网络数据，格式化所述网络数据为数据包并发送到所述已建立连接关系的父实体；

g.所述已建立连接关系父实体调用资源库处理所述数据包并判断是否为入侵信息；

h.若判断结果为否，所述已建立连接关系父实体保存所述数据包处理结果到数据库；

i.若判断结果为是，所述已建立连接关系父实体发送所述数据包处理结果到系统消息库。

上述方法中，步骤f所述主机子实体收集已建立连接关系父实体网络数据采取周期性轮询，轮询周期与网络主机数成正比。

上述方法中，步骤i所述已建立连接关系父实体发送所述数据包处理结果到系统消息库后，主机产生报警信息并通过用户界面显示。

上述方法中，所述数据包包括数据类型、ID、时间、目的IP、源IP、低层协议和高层协议。