一种基于NFV的动态入侵检测方法和系统技术方案

本发明专利技术涉及一种基于NFV的动态入侵检测方法和系统。该方法包括：构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值；在待检测数据超过所述节点检测能力阈值时，采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。本发明专利技术可以提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。

【技术实现步骤摘要】
一种基于NFV的动态入侵检测方法和系统
本专利技术涉及网络安全领域，更具体地说，涉及一种基于NFV（NetworkFunctionsVirtualization，网络功能虚拟化）的动态入侵检测方法和系统。
技术介绍
信息系统安全问题是一个十分复杂的问题，即信息系统有多复杂，信息系统安全问题就有多复杂。同样，信息安全是一种难以量化的概念，我们可以拿信息系统的“性能”与“安全”作一个比对。针对网络吞吐量、系统运算速度、数据库存储、查询指标等这类性能问题，用户可以根据自己实际业务需要，预算等条件考虑取舍。系统性能的提高，用户虽然无法触摸或者感知到，但却是可以实实在在看到。因而，提高信息安全系统产品的性能和稳定是至关重要的。目前市场上的入侵检测系统分为：主机入侵检测系统和网络入侵检测系统，无论哪种类型的入侵检测系统，均是采用传统网络技术的专用硬件设备的网络安全设备。有单个节点的主机入侵检测系统，可采用软件多进程方式，提高单节点硬件的利用率；有单/多节点的网络入侵检测系统，采用分布式多节点的专用硬件设备构建入侵检测网的构建方法，这种方法一旦网络拓扑完成部署，那么各节点的功能角色、检测能力也就固定下来；资源不能共享，业务融合度差，如果受保护的业务场景发生变化，那么该网络入侵检测系统的部署也会随之调整，后续升级改造就受制于设备制造商。同时需要面对大量不同厂家、不同年代、不同设备的采购、设计、集成、部署、维护运行、升级改造等问题。
技术实现思路
本专利技术要解决的技术问题在于，针对现有技术的上述缺陷，提供一种基于NFV的动态入侵检测方法和系统，其通过利用NFV网络技术、分布式计算架构、SDN（SoftwareDefined Network，软件定义网络）网络编排技术，在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题，提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。本专利技术解决其技术问题所采用的技术方案是：构造一种基于NFV的动态入侵检测方法，包括：S1、构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值；S2、采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；S3、在待检测数据超过所述节点检测能力阈值时，根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；S4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。在本专利技术所述的基于NFV的动态入侵检测方法中，所述步骤S3进一步包括：S31、在待检测数据超过所述节点检测能力阈值时，基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值；S32、实时接收各个虚拟检测节点的节点实时检测能力值，并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值；S33、基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值；S34、基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量；S35、基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序，基于所述所需节点数量选择对应的虚拟检测节点，并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。在本专利技术所述的基于NFV的动态入侵检测方法中，在所述步骤34中，如果所述群可检测能力值除以所述节点检测能力阈值的余数为0，那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商，否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1。在本专利技术所述的基于NFV的动态入侵检测方法中，在所述步骤35中，所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。在本专利技术所述的基于NFV的动态入侵检测方法中，所述待检测数据小于所述群检测能力阈值。在本专利技术所述的基于NFV的动态入侵检测方法中，所述步骤S4进一步包括：S41、各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中；S42、采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配，如果匹配成功则返回入侵风险提示。在本专利技术所述的基于NFV的动态入侵检测方法中，进一步包括：S5、从各个所述虚拟检测节点接收检测结果，并基于所述入侵风险提示进行风险应对操作。本专利技术解决其技术问题所采用的另一技术方案是：构造一种基于NFV的动态入侵检测系统，包括：多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组；虚拟化基础层，用于采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；管控节点，在待检测数据超过所述节点检测能力阈值时，根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。在本专利技术所述的基于NFV的动态入侵检测系统中，所述管控节点上存储有计算机程序，所述计算机程序被执行时，用于：在待检测数据超过所述节点检测能力阈值时，基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值；实时接收各个虚拟检测节点的节点实时检测能力值，并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值；基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值；基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量；基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序，基于所述所需节点数量选择对应的虚拟检测节点，并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。在本专利技术所述的基于NFV的动态入侵检测系统中，各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中，然后采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配，如果匹配成功则返回入侵风险提示；所述管控节点进一步用于从各个所述虚拟检测节点接收检测结果，并基于所述入侵风险提示进行风险应对操作。实施本专利技术基于NFV的动态入侵检测方法和系统，通过利用NFV网络技术、分布式计算架构、SDN网络编排技术，在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测本文档来自技高网...

【技术保护点】
1.一种基于NFV的动态入侵检测方法，其特征在于，包括：/nS1、构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值；/nS2、采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；/nS3、在待检测数据超过所述节点检测能力阈值时，根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；/nS4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。/n

【技术特征摘要】
1.一种基于NFV的动态入侵检测方法，其特征在于，包括：
S1、构建多个虚拟检测节点群，每个虚拟检测节点群包括多个虚拟检测节点，每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值；
S2、采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群；
S3、在待检测数据超过所述节点检测能力阈值时，根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点；
S4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。


2.根据权利要求1所述的基于NFV的动态入侵检测方法，其特征在于，所述步骤S3进一步包括：
S31、在待检测数据超过所述节点检测能力阈值时，基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值；
S32、实时接收各个虚拟检测节点的节点实时检测能力值，并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值；
S33、基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值；
S34、基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量；
S35、基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序，基于所述所需节点数量选择对应的虚拟检测节点，并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。


3.根据权利要求2所述的基于NFV的动态入侵检测方法，其特征在于，在所述步骤34中，如果所述群可检测能力值除以所述节点检测能力阈值的余数为0，那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商，否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1。


4.根据权利要求3所述的基于NFV的动态入侵检测方法，其特征在于，在所述步骤35中，所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。


5.根据权利要求4所述的基于NFV的动态入侵检测方法，其特征在于，所述待检测数据小于所述群检测能力阈值。


6.根据权利要求1-5中任意一项所述的基于NFV的动态入侵检测方法，其特征在于，所述步骤S4进一步包括：

【专利技术属性】
技术研发人员：戚建淮，汪乔，王咏春，孙秋明，唐娟，刘建辉，
申请(专利权)人：深圳市永达电子信息股份有限公司，
类型：发明
国别省市：广东;44