[发明专利]分布式入侵检测系统及该系统中集中化管理的连接方法

说明书

技术领域

本发明涉及计算机网络领域，尤其涉及一种分布式入侵检测系统以及该系统中集中化管理的连接方法。

背景技术

在分布式入侵检测系统中，检测引擎分布在网络不同的节点上，对这些引擎的集中化管理是整个系统有效运转的关键保证。因此，各个检测引擎需要与管理控制中心(Control Center，CC)进行有效的通讯，接收管理控制中心的各种管理配置命令等，并且向管理控制中心上报报警日志等。

目前市场上常用的分布式入侵检测系统，一般采用由管理控制中心主动连接检测引擎，而检测引擎只能被动地接受连接。在这种通讯模式下，检测引擎需要启动至少一个监听口，等待管理控制中心的连接。这种通讯模式主要存在以下几个局限：

(1)检测引擎需要启动监听口，以等待管理控制中心的连接。一些恶意软件也可以得到这些监听口，从而对检测引擎发起攻击，导致引擎拒绝服务，甚至会控制引擎的行为，使保护网络安全的系统本身变得不安全。

(2)由于检测引擎是被动地接受管理控制中心的连接，所以只有在管理控制中心连接上以后，检测引擎才能真正的发挥作用，即根据管理控制中心的指令执行操作，并上报所监测网络的状况。而一旦管理控制中心没有主动与检测引擎发起连接，或者由于管理控制中心自身问题导致不能与引擎建立连接时，则检测引擎也失去了网络监测的作用。

(3)管理控制中心必须知道检测引擎的地址才能与其建立连接。在分布式入侵检测系统中，一个管理控制中心可能需要管理大量的检测引擎，并且这些引擎还可能动态地减少或增加，所以对于指定检测引擎地址进行连接会增加管理员的工作量。

发明内容

本发明所要解决的技术问题，在于需要提供一种分布式入侵检测系统及该系统中集中化管理的连接方法，以提高分布式入侵检测系统中检测引擎的安全性。

为了解决上述技术问题，本发明首先提供了一种分布式入侵检测系统中集中化管理的连接方法，所述分布式入侵检测系统包括管理控制中心及检测引擎，其中，该方法包括：

所述管理控制中心启动监听口；

所述检测引擎探测所述管理控制中心；

所述检测引擎向所述管理控制中心发送身份认证请求以进行身份认证；

所述管理控制中心通过所述身份认证后，所述检测引擎与所述管理控制中心建立通讯连接。

优选地，该方法进一步包括：

在所述管理控制中心上设置最大连接数，当连接的所述检测引擎的数量达到所述最大连接数后，不再接受其余检测引擎的连接。

优选地，该方法进一步包括：

在所述检测引擎上配置管理控制中心列表，所述管理控制中心列表记录有所述检测引擎能够连接的管理控制中心，所述检测引擎根据所述管理控制中心列表向所述管理控制中心发送所述身份认证请求。

优选地，所述管理控制中心列表记载有每个管理控制中心的连接优先级，所述检测引擎根据所述连接优先级的顺序向所述管理控制中心发送所述身份认证请求。

优选地，所述检测引擎进行所述身份认证的步骤，包括：所述检测引擎在与所述管理控制中心认证失败时进行认证失败记录，后续探测时跳过所述管理控制中心。

为了解决上述技术问题，本发明还提供了一种分布式入侵检测系统，包括管理控制中心及检测引擎，其中：

所述管理控制中心，用于启动监听口，接收所述检测引擎发送的身份认证请求后对所述检测引擎进行身份认证；

所述检测引擎，用于探测所述管理控制中心，向所述管理控制中心发送所述身份认证请求，并在所述身份认证通过后，与所述管理控制中心建立通讯连接。

优选地，所述管理控制中心上进一步设置有最大连接数，当连接的所述检测引擎的数量达到所述最大连接数后，不再接受其余检测引擎的连接。

优选地，所述检测引擎上配置有管理控制中心列表，所述管理控制中心列表记录有所述检测引擎能够连接的管理控制中心，所述检测引擎根据所述管理控制中心列表向所述管理控制中心发送所述身份认证请求。

优选地，所述检测引擎根据连接优先级的顺序向所述管理控制中心发送所述身份认证请求；

其中，每个管理控制中心的所述连接优先级记载在所述检测引擎上配置的所述管理控制中心列表中。

优选地，所述检测引擎进一步用于在与所述管理控制中心认证失败时进行认证失败记录，后续探测时跳过所述管理控制中心。

与现有技术相比，本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度，提高了检测引擎的安全性，并且减少了系统管理员的工作量。