[发明专利]一种基于NFV的动态入侵检测方法和系统

权利要求书

1.一种基于网络功能虚拟化的动态入侵检测方法，其特征在于，包括：

S1、构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值，其中每个虚拟检测节点群中存储的检测特征组不同，全部虚拟检测节点群存储的检测特征组之和构成完整的特征规则库；

S2、采用检测引流技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；

S3、在待检测数据超过所述节点检测能力阈值时，根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；

S4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测；

所述步骤S3进一步包括：

S31、在待检测数据超过所述节点检测能力阈值时，基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值；

S32、实时接收各个虚拟检测节点的节点实时检测能力值，并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值；

S33、基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值；

S34、基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量；

S35、基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序，基于所述所需节点数量选择对应的虚拟检测节点，并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点；

在所述步骤34中，如果所述群可检测能力值除以所述节点检测能力阈值的余数为0，那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商，否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1；

在所述步骤35中，所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。

2.根据权利要求1所述的基于网络功能虚拟化的动态入侵检测方法，其特征在于，所述待检测数据小于所述群检测能力阈值。

3.根据权利要求1所述的基于网络功能虚拟化的动态入侵检测方法，其特征在于，进一步包括：

S5、从各个所述虚拟检测节点接收检测结果，并基于入侵风险提示进行风险应对操作。