[发明专利]一种并行网络入侵检测系统及其控制方法

权利要求书

1.一种并行网络入侵检测系统，其特征在于，所述并行网络入侵检测系统包括：

单连接攻击检测子系统，所述单连接攻击检测子系统用于分析单连接攻击；所述单连接攻击检测子系统包括负载均衡模块，所述负载均衡模块用于根据单连接攻击的类型对单连接攻击信息进行分配并发送检测；

多连接攻击检测子系统，所述多连接攻击检测子系统用于拷贝网络流量，并分析多连接攻击；

所述单连接攻击检测子系统还包括N多个检测单元，所述检测单元用于接收负载均衡模块分配的单连接攻击信息，并进行检测分析；

所述负载均衡模块包括：

流量调度子模块，所述流量调度子模块用于对单连接攻击信息进行分类，并发送给检测单元；

负载监控子模块，所述负载监控子模块用于监控N多个检测单元的工作情况，并确定负载最轻的检测单元；

所述多连接攻击检测子系统包括：

多连接攻击检测规则库，所述多连接攻击检测规则库用于保存多连接攻击的规则信息；

多连接攻击检测单元，所述多连接攻击检测单元用于根据多连接攻击检测规则库的规则信息，对多连接攻击进行分析识别。

2.根据权利要求1所述并行网络入侵检测系统，其特征在于，所述单连接攻击检测子系统还包括单连接攻击检测规则库，所述单连接攻击检测规则库用于存储单连接攻击的规则信息；

所述负载均衡模块根据所述单连接攻击检测规则库的规则信息对单连接攻击类型进行分类。

3.根据权利要求1所述并行网络入侵检测系统，其特征在于，所述多连接攻击检测单元为单一的检测单元。

4.一种权利要求1-3任一项所述并行网络入侵检测系统的控制方法，其特征在于，所述控制方法包括：

将网络攻击信息分类为单连接攻击、多连接攻击，并分别由单连接攻击检测子系统、多连接攻击检测子系统进行分析检测；

负载均衡模块分析复制单连接攻击的网络流量，扫描单连接攻击的报文信息并进行分类，根据单连接攻击的分类发送给N多个检测单元检测；

多连接攻击检测子系统复制多连接攻击的网络流量，并进行分析检测。

5.根据权利要求4所述控制方法，其特征在于，所述单连接攻击按照传输层协议分类。

6.根据权利要求5所述控制方法，其特征在于，所述传输层协议包括TCP、UDP、其他协议。

7.根据权利要求6所述控制方法，其特征在于，所述负载均衡模块分析复制单连接攻击的网络流量，扫描单连接攻击的报文信息并进行分类，根据单连接攻击的分类发送给N多个检测单元检测包括：

扫描单连接攻击的报文信息并进行分类；

确认负载最轻的检测单元；

若单连接攻击为TCP，以会话为单位进行调度，若该会话为第一次报文，则发送给负载最轻的检测单元；若该会话非第一次报文，则发送给处理第一次报文的检测单元；

若单连接攻击为UDP，以五元组为单位进行调度，若该五元组为第一次报文，则发送给负载最轻的检测单元；若该五元组非第一次报文，则发送给处理第一次报文的检测单元；

若单连接攻击为其他协议，以报文信息为单位进行调度，发送给负载最轻的检测单元。