[发明专利]一种基于NFV的动态入侵检测方法和系统

说明书

本发明涉及一种基于NFV的动态入侵检测方法和系统。该方法包括：构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值；在待检测数据超过所述节点检测能力阈值时，采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。本发明可以提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。

技术领域

本发明涉及网络安全领域，更具体地说，涉及一种基于NFV（Network FunctionsVirtualization，网络功能虚拟化）的动态入侵检测方法和系统。

背景技术

信息系统安全问题是一个十分复杂的问题，即信息系统有多复杂，信息系统安全问题就有多复杂。同样，信息安全是一种难以量化的概念，我们可以拿信息系统的“性能”与“安全”作一个比对。针对网络吞吐量、系统运算速度、数据库存储、查询指标等这类性能问题，用户可以根据自己实际业务需要，预算等条件考虑取舍。系统性能的提高，用户虽然无法触摸或者感知到，但却是可以实实在在看到。因而，提高信息安全系统产品的性能和稳定是至关重要的。

目前市场上的入侵检测系统分为：主机入侵检测系统和网络入侵检测系统，无论哪种类型的入侵检测系统，均是采用传统网络技术的专用硬件设备的网络安全设备。有单个节点的主机入侵检测系统，可采用软件多进程方式，提高单节点硬件的利用率；有单/多节点的网络入侵检测系统，采用分布式多节点的专用硬件设备构建入侵检测网的构建方法，这种方法一旦网络拓扑完成部署，那么各节点的功能角色、检测能力也就固定下来；资源不能共享，业务融合度差，如果受保护的业务场景发生变化，那么该网络入侵检测系统的部署也会随之调整，后续升级改造就受制于设备制造商。同时需要面对大量不同厂家、不同年代、不同设备的采购、设计、集成、部署、维护运行、升级改造等问题。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种基于NFV的动态入侵检测方法和系统，其通过利用NFV网络技术、分布式计算架构、SDN（SoftwareDefined Network，软件定义网络）网络编排技术，在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题，提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。

本发明解决其技术问题所采用的技术方案是：构造一种基于NFV的动态入侵检测方法，包括：

S1、构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值；

S2、采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；

S3、在待检测数据超过所述节点检测能力阈值时，根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；

S4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。

在本发明所述的基于NFV的动态入侵检测方法中，所述步骤S3进一步包括：

S31、在待检测数据超过所述节点检测能力阈值时，基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值；

S32、实时接收各个虚拟检测节点的节点实时检测能力值，并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值；