[发明专利]分布式云计算系统的数据入侵检测方法及装置

权利要求书

1.分布式云计算系统的数据入侵检测方法，其特征在于，所述方法执行以下步骤：

步骤1：将分布式云计算系统中的每个计算单元进行分级，以构建一个分布式云计算树；所述分布式云计算树中的每个节点均为一个计算单元；将分布式云计算树中的根节点作为检测器入口；所述检测器包括多个彼此独立的子检测器；

步骤2：检测器进入根节点后，每个自检测器开始独自进行入侵检测，具体包括：每个子检测器开始以设定的固定时延，从根节点开始，按照顺序先后进入其他节点进行入侵检测，在子检测器进入其他节点时，将在该节点留下检测标记，每个子检测器留下的检测标记均互不相同，且均与该子检测器一一对应，以表明该节点已经执行入侵检测，当其他子检测器进入其他节点时，首先将检测该节点中是否存在检测标记，若存在，则进入同级的相邻的其他节点，若不存在，则在该节点留下检测标记后，对该节点进行入侵检测，直到所有的检测器均进入到分布式云计算树中的末端节点或末端延伸节点；

步骤3：记录每个子检测器在每个节点留下的检测标记，以绘制每个每个子检测器的运行路径，将绘制的运行路径作为下一次检测器进行入侵检测时，子检测器的运行路径。

2.如权利要求1所述的方法，其特征在于，所述步骤3还包括：在子检测器基于绘制的运行路径进行检测时，子检测器进入每个节点时，还将判断该节点是否处于运行状态，若处于运行状态，则对该节点进行入侵检测，若未处于运行状态，则子检测器删除该节点中之前预留的检测标记，再进入同级的相邻的其他节点，判断进入同级的相邻的其他节点是否处于运行状态，若处于运行状态，则对该节点进行入侵检测，同时，判断该节点中是否有之前预留的检测标记，若有，则删除预留的检测标记，留下新的检测标记，若没有，则留下检测标记。

3.如权利要求2所述的方法，其特征在于，在子检测器删除未处于运行状态的节点中预留的检测标记，再进入同级的相邻的其他节点，留下检测标记后，还将进行运行路径更新，对绘制的运行路径进行更新，具体包括：将删除的检测标记所对应的节点在运行路径中的位置更新为进入的留下检测标记的同级相邻的其他节点。

4.如权利要求3所述的方法，其特征在于，当子检测器按照绘制的运行路径进行检测时，从绘制的运行路径中的节点进入同级的相邻的其他节点，删除同级的相邻的其他节点的检测标记后，同级的相邻的其他节点所对应的绘制的运行路径将更新其运行路径，将绘制的运行路径中被删除的检测标记对应的位置设置为空值，当子检测器按照更新后的绘制的运行路径执行检测，运行到运行路径中的空值位置时，则从该空值位置中所有的同级节点中随机选择一个进入，再对进入的同级节点进行判断，若判断该节点处于非运行状态，则再进入同级的其他节点，直到判断进入的同级的其他节点处于运行状态，则再处于运行状态的同级的其他节点中执行入侵检测；若进入的同级的其他节点中已经存在检测标记，则删除之前预留的检测标记，留下新的检测标记。

5.如权利要求4所述的方法，其特征在于，所述子检测器对节点进行入侵检测的方法执行以下步骤：收集节点运行数据以构成节点运行数据样本集；提取所述节点运行数据样本集中每个数据样本对应的数据特征，也就是异常特征和变化特征，所有数据样本的特征构成了节点运行数据的特征集；对所述节点运行数据样本集中的每一个节点运行数据样本进行识别和分类，标定每一个节点运行数据样本是非法的还是不非法的；通过计算所述节点运行数据样本集中每一个节点运行数据样本的数据异常率和变化趋势值来提取得到异常质量因子与变化的质量因子，并利用基于相似度的聚类方法对所述节点运行数据样本集进行聚类，得到多个聚类团以及数据聚类关系矩阵;利用所述数据聚类关系矩阵计算出聚类团中所有节点运行数据的相似度矩阵，通过所相似度矩阵计算得到每个聚类团的相似度分类器；将待检测样本数据特征输入到分类器中，每一个分类器将会返回一个数值来预测该待检测样本可能所属的类别，最后通过计算哪一个分类器所返回的数值最高，来确定该待检测样本数据的类别，通过得到的待检测样本数据的类别，判断节点是否遭到入侵。