CN111049849A - 一种网络入侵检测方法、装置、系统及存储介质 - Google Patents

一种网络入侵检测方法、装置、系统及存储介质 Download PDF

Info

Publication number
CN111049849A
CN111049849A CN201911334747.XA CN201911334747A CN111049849A CN 111049849 A CN111049849 A CN 111049849A CN 201911334747 A CN201911334747 A CN 201911334747A CN 111049849 A CN111049849 A CN 111049849A
Authority
CN
China
Prior art keywords
detection
flow
service data
node
rule base
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911334747.XA
Other languages
English (en)
Inventor
戚建淮
汪乔
郑伟范
刘建辉
胡金华
宋晶
彭华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Y&D Electronics Information Co Ltd filed Critical Shenzhen Y&D Electronics Information Co Ltd
Priority to CN201911334747.XA priority Critical patent/CN111049849A/zh
Publication of CN111049849A publication Critical patent/CN111049849A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络入侵检测方法、装置、系统及存储介质,其中方法包括:初始化分布式计算系统,检测节点向管控节点上报节点信息;将特征规则库分配到对应的检测组的检测节点,利用流复制技术将同一份业务数据镜像流量复制到不同分布式的检测组;根据流复制技术复制到检测组的流量大小以控制业务数据分流到单个检测节点或同一特征规则库的检测组的检测节点;检测节点接收到待检测报文,根据特征规则库进行匹配检测并输出检测结果至管控节点果。通过一种采用分布式、并行计算架构,利用分布式及sdn交换机流复制将网络数据流分流到多个检测节点的技术手段,克服现有技术中大流量数据时检测效率低的技术问题,实现了系统检测效率的提升的效果。

Description

一种网络入侵检测方法、装置、系统及存储介质
技术领域
本发明涉及网络安全的技术领域,尤其是一种网络入侵检测方法、装置、系统及存储介质。
背景技术
SDN交换机:一种基于软件定义网络思想实现的数据转发设备。
信息系统安全问题是一个十分复杂的问题,即信息系统有多复杂,信息系统安全问题就有多复杂。同样,信息安全是一种难以量化的概念,我们可以拿信息系统的“性能”与“安全”作一个比对。针对网络吞吐量、系统运算速度、数据库存储、查询指标等这类性能问题,用户可以根据自己实际业务需要,预算等条件考虑取舍。系统性能的提高,用户虽然无法触摸或者感知到,但却是可以实实在在看到。因而,提高信息安全系统产品的性能是至关重要的。
现有技术多为单节点、高配置设备,利用单台设备的高硬件资源配置,启用多个检测引擎进程,即利用多进程的方式去提高单节点的处理能力;或者采用将管理节点与检测、响应节点分离的分布式ids。管理节点为顶级管理,与检测节点和响应节点通讯,且在整个分布式系统中存在多个检测节点和响应节点。现有方案的检测系统在10M网上检查所有数据包中几十或上百种攻击特征还可以很好的工作,实际上现在很多网络已经达到50M、100M甚至1000M的网络,网络流量速度的发展远远超过检测引擎对数据包模式分析技术的发展。当流量达到50M及以上,现有技术方案入侵检测效率就会大大降低,同时会促使检测引擎产生漏报的问题,显然不能满足安全检测的需求。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的一个目的是提供一种网络入侵检测方法,能够实现在大网络流量下安全检测。
为此,本发明的第二个目的是提供一种网络分段检测装置。
为此,本发明的第三个目的是提供一种网络分段检测系统,能够实时快速网络传输。
为此,本发明的第四个目的是提供一种存储介质,运行存储介质中存储的计算机程序能够使用。
本发明所采用的技术方案是:
第一方面,本发明提供一种网络入侵检测方法,包括:
初始化分布式计算系统,检测节点向管控节点上报节点信息;
将特征规则库分配到对应的检测组的所述检测节点,利用流复制技术将同一份业务数据镜像流量复制到不同分布式的所述检测组;
根据所述流复制技术复制到所述检测组的流量大小以控制所述业务数据分流到单个检测节点或同一所述特征规则库的所述检测组的所述检测节点;
所述检测节点接收到待检测报文,根据所述特征规则库进行匹配检测并输出检测结果至所述管控节点。
进一步地,还包括:一种网络入侵检测方法还包括:所述管控节点根据所述检测结果进行告警或者主动反应措施。
进一步地,所述流复制技术包括:SDN交换机流复制技术、分流负载技术。
进一步地,根据所述流复制技术复制到所述检测组的流量大小以控制所述业务数据分流到单个检测节点或同一所述特征规则库的所述检测组的所述检测节点具体包括:
若所述流复制技术复制到所述检测组的流量超过单个所述检测节点的处理能力,根据所述流复制技术将所述业务数据按IP端口或会话进行负载分流到相同所述特征规则库的所述检测组;
若所述流复制技术复制到所述检测组的流量位于单个所述检测节点的处理能力内,根据所述流复制技术将所述业务数据分流至单个所述检测节点。
进一步地,所述检测节点的检测过程具体包括:
检测节点在接收到所述业务数据后,将所述业务数据缓存在收包缓存队列中;
检测引擎从所述收包缓存中读取所述业务数据,所述检测引擎解析所述业务数据后与所述特征规则库内的数据匹配;
若数据匹配成功,则结束所述业务数据的检测并输出检测结果至所述管控节点。
进一步地,一种网络入侵检测方法,还包括:所述管控节点根据当前所述业务数据的流量自主增加和删减所述检测组内的检测节点。
第二方面,本发明提供一种网络检测装置,包括:
初始化模块,用于初始化分布式计算系统;
分配模块,用于将特征规则库分配到对应的检测组;
复制模块,用于根据sdn交换机流复制技术将同一份业务数据镜像流量复制到不同分布式的检测组;
计算模块,用于计算所述sdn交换机流复制技术镜像流量复制的所述业务数据的流量大小;
分流模块,根据流量大小将所述业务数据分流到单个检测节点或所述检测组;
检测模块,用于根据所述特征规则库检测所述业务数据并输出检测结果至管控节点。
进一步地,所述检测模块包括:
接收子模块,用于接收所述业务数据;
缓存子模块,用于将所述业务数据存储在缓存队列中;
读取子模块,用于采用检测从缓存队列中读取待检测的所述业务数据;
解析子模块,用于将所述业务数据进行解析;
检测子模块,用于根据所述特征规则库检测解析后的所述业务数据是否匹配;
结果输出子模块,用于根据匹配结果输出对应的检测结果。
第三方面,本发明提供一种网络入侵检测系统,所述系统包括存储装置和处理器,所述存储装置上存储有所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时执行上述的网络入侵检测方法。
第四方面,本发明提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序在运行时执行上述的网络入侵检测方法。
本发明的有益效果是:
本发明通过采用分布式架构,按照策略合理将业务数据分配到不同的分布式检测节点进行检测,最后将检测结果发送至管控节点的技术手段,克服现有技术中存在单个检测系统处理网络数据缓慢导致检测效率降低的技术问题,实现了提高了系统检测效率,进而提高了网络数据检测的安全性。
附图说明
图1是本发明实施例的网络入侵检测方法的示意性流程图;
图2是本发明实施例的网络入侵检测方法的示意性执行框图;
图3是本发明实施例的网络入侵检测方法的示意性执行流程图;
图4是本发明实施例的网络入侵检测装置的示意性框图;
图5是本发明实施例的网络入侵检测装置中检测模块的示意性框图。
附图标记:10、初始化模块;20、分配模块;30、复制模块;40、计算模块;50、分流模块;60、检测模块;61、接收子模块;62、缓存子模块;63、读取子模块;64、解析子模块;65、检测子模块;66、结果输出子模块;70、增添模块。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本实施例提供一种入侵检测方法,参见图1-图3,采用分布式、并行计算架构,对网络数据流或者报文进行安全检查的入侵检测技术,利用分布式及sdn交换机的流复制与负载分流技术,使系统检测效率提升,从而实现满足当前网络流量安全检测需求。
由于现有技术中检测系统在10M网上检查所有数据包中几十或上百种攻击特征还可以很好的工作,实际上现在很多网络已经达到50M、100M甚至1000M的网络,由于现有采用单个系统检测下载的网络数据容易在网络速率达到50M以上时,系统入侵检测效率会大大降低,同时会促使检测引擎产生漏报。因此,本实施例采用将网络数据也即业务数据分布式发送至其他检测节点进行分布式检测,最后将检测结果汇集到管控节点,以实现只有一个检测节点的时间完成大流量的数据检测,从而加快检测效率进而提高检测的安全性。
参照图1,入侵检测方法具体包括:
S01、初始化分布式计算系统,检测节点向管控节点上报节点信息;
具体地,分布式入侵价检测计算系统该在初始化完成之后,检测节点向管控节点上报各自的节点信息,以完成检测节点的注册、上线。然后管控节点将完整的特征规则库分配到按照已响应的检测节点,以便于每一检测节点都具有同一个特征规规则库,才能一同检测管控节点分发的业务数据。
S02、将特征规则库分配到对应的检测组的检测节点,利用流复制技术将同一份业务数据镜像流量复制到不同分布式的检测组;
具体地,根据具有同一个特征规则库的检测节点汇集成同一个检测组的,然后采用流复制技术,利用流复制技术将同一份待检测的业务数据通过镜像流量复制到各分布式的检测组。在本实施例中流复制技术包括SDN交换机流复制技术以及分流负载技术,其中SDN交换机流复制技术为SDN交换机只负责网络高速转发,用于转发决策的转发表信息来自控制器,SDN交换机需要在远程控制器的管控下工作,与之相关的设备状态和控制指令都需要经由SDN的南向接口传达,从而实现集中化统一管理。以便于通过管控节点将业务数据发送至其他检测节点且能够统一化管理。
S03、根据流复制技术复制到检测组的流量大小以控制业务数据分流到单个检测节点或同一特征规则库的检测组的检测节点;
具体地,若根据流复制技术复制到检测组的流量超过单个检测节点的处理能力,根据SND交换机流复制技术将业务数据按IP端口或会话进行负载分流到相同特征规则库的检测组,以便于业务数据需要处理的流量或者业务量超过单个检测节点能够处理时将业务数据分发到不同的检测节点,以节省业务数据检测的时间。
若流复制技术到检测组的流量位于单个检测节点的处理能力内,根据流复制技术将业务数据分流至单个检测节点,若单个检测节点都能够进行检测处理时,无需将业务数据分流到其他的检测节点。通过根据业务数据复制后的流量大小以控制是否分配到其他检测节点的方式,使业务数据检测具有针对性且提高效率。
S04、检测节点接收到待检测报文,根据特征规则库进行匹配检测并输出检测结果至管控节点。
具体地,检测节点接收到业务数据后,对业务数据的具体检测过程如下:
检测节点在接收到业务数据后,将业务数据缓存在收包缓存队列中;
检测引擎从收包缓存中读取业务数据,检测引擎解析业务数据后与特征规则库内的数据匹配;
若数据匹配成功,则结束业务数据的检测并输出检测结果至管控节点。
参照图2和图3,检测节点接收到ADN交换机流复制技术分流的业务数据后进行收包缓存即为接收业务数据汇成的数据包并进行缓存,然后读取数据包缓存的数据,再通过检测引擎检测数据包的数据是否与特征规则库内的特征库树匹配,若不匹配则重新读取数据包的缓存数据,若撇匹配则日志解析插件启动然后结束该报文检测,并将检测结果汇总至管控节点存储,从而完成业务数据的检测,由于采取多个检测节点分流进行检测,所以节省了整个业务数据的检测时间,提高了业务数据的检测效率。
S05、管控节点根据检测结果进行告警或者主动反应措施。
管控节点接收来自多个检测节点发送的检测结果时,管控节点对于检测结果进行汇总、分析,并将触发引擎特征库的报文内容存放在存储模块以供查询,若检测结果为匹配则管控节点触发告警信号,并通过短信、邮件等方式推送至客户端或者分布式系统与别的安全检测系统联动采取主动反应措施。
综上,通过完整的攻击特征规则按策略分配到各检测节点,利用sdn交换机流复制技术,将同一份业务数据镜像流量复制到各分布式检测节点,实现数据流量并行分发。各检测节点几乎同时接收到流量报文,快速对同一份报文作出安全检测;然后将检测结果汇总至管控节点,管控节点再进行告警或者采取主动反应措施。所以单个检测节点对业务数据检测时间几乎等于整个分布式系统检测报文的时间,提高了业务数据安全性能、缩短检测时间,使该方案入侵检测系统检测效率提升,从而满足当前网络数据流量安全检测的需求。
在另一实施例中,分布式系统还包括管控节点通过响应节点对于检测节点进行高弹性增管控节点根据当前业务数据的流量自主增加和删减检测组内的检测节点。
具体地,管控节点通过业务数据流量,对检测组的检测节点进行弹性的增加和删减。通过管控节点的监测当整体业务数据流量过小,远小于单个检测节点的负荷值时,管控节点通过决策策略。重新分配特征规则库到该检测组的检测节点,相当于分配到规则检测任务到节点且节点数小于整体的检测节点数,由于部分检测节点未分配检测规则任务,不参与检测工作,新分配的检测规则被重新加载生效,检测节点重新开始检测工作。部分检测节点被删减移除检测工作组,暂未参与检测工作,整个分布式系统能够节能。
当通过管控节点检测整体业务数据流量过大时,管控节点通过检测节点上报的节点信息掌握每个检测节点的检测能力,然后根据业务数据的流量大小或业务量大小进而作出检测规则决策。如果现有检测组的检测节点总数刚好在当前业务流量范围之内,则对现有所有检测节点进行检测规则任务分配,并重新加载新分配的检测规则。检测节点重新开始检测工作,新增检测任务的检测节点被增加到检测工作组。如果现有的检测节点数还小于当前业务流量,则对现有所有检测节点进行检测规则任务分配,并重新加载新分配的检测规则,且同时产生告警通知管理员,当前检测节点在超负荷工作,需要增加新的检测节点完成现有的业务流量检测。
实施例二:参照图4,本发明实施例公开了一种网络入侵检测装置,该网络入侵检测装置包括:初始化模块10、分配模块20、复制模块30、计算模块40、分流模块50、检测模块60以及增添模块70,初始化模块10用于初始化分布式计算系统,分配模块20用于将特征规则库分配到对应的检测组;复制模块30用于根据sdn交换机流复制技术将同一份业务数据镜像流量复制到不同分布式的检测组;计算模块40用于计算sdn交换机流复制技术镜像流量复制的业务数据的流量大小;分流模块50根据流量大小将业务数据分流到单个检测节点或检测组;检测模块60用于根据特征规则库检测业务数据并输出检测结果至管控节点,增添模块70根据sdn交换机流复制技术复制业务数据的流量大小控制检测组增添合作和减少检测节点。
通过初始化模块10对分布式计算系统进行初始化后,分布式计算系统的管控节点接收来自检测节点上报的节点信息,以便于管控节点掌握各个检测节点的节点信息。分配模块20根据每一个节点信息将特征规则库分配到对应检测组内的检测节点,以便于检测节点能够存储需要对业务数据进行检测的特征规则库,复制模块30主要采用sdn交换机流复制技术将同一份业务数据复制到检测组上,计算模块40计算检测组内复制业务数据的流量大小并与单个检测节点处理的性能比较并得到比较结果,分流模块50根据比较结果控制业务数据分流到检测组的多个检测节点或者单个检测节点,以便于实现业务数据的分布式检测,从而节省检测花费的时间与增加检测的效率,进而提高检测的安全性。
参照图5,检测模块60包括:接收子模块61、缓存子模块62、读取子模块63、解析子模块64、检测子模块65以及结果输出子模块66,接收子模块61用于接收业务数据;缓存子模块62用于将业务数据存储在缓存队列中;读取子模块63用于采用检测从缓存队列中读取待检测的业务数据;解析子模块64用于将所述业务数据进行解析;检测子模块65用于根据特征规则库检测解析后的业务数据是否匹配;结果输出子模块66用于根据匹配结果输出对应的检测结果。通过检测节点中的接收子模块61、缓存子模块62、读取子模块63、解析子模块64、检测子模块65以及结果输出子模块66将业务数据进行检测,每一个检测节点执行相同的检测步骤,以便于检测统一化,更加安全。
实施例三:本实施例公开了一种网络入侵检测系统,其包括存储装置以及处理器。其中,存储装置存储用于实现根据本发明实施例的网络检测方法中的相应步骤的程序代码。处理器用于运行存储装置中存储的程序代码,以执行根据本发明实施例网络检测方法的相应步骤,并且用于实现根据本发明实施例的网络检测装置中的相应模块。
实施例四:根据一种网络入侵检测装置,在本实施例,还提供了一种存储介质,在存储介质上存储了程序指令,在程序指令被计算机或处理器运行时用于执行本发明实施例的网络检测方法的相应步骤,并且用于实现根据本发明实施例的代码审查装置中的相应模块。存储介质例如可以包括存储卡、硬盘、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式光盘只读存储器(CD-ROM)、USB存储器、或者上述存储介质的任意组合。计算机可读存储介质可以是一个或多个计算机可读存储介质的任意组合。
根据本发明实施例,还提供了一种计算机程序,该计算机程序可以存储在云端或本地的存储介质上。在该计算机程序破计算机或处理器运行时用于执行本发明实施例的网络检测方法的相应步骤,并且用于实现根据本发明实施例的网络检测装置中的相应模块。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (10)

1.一种网络入侵检测方法,其特征在于,包括:
初始化分布式计算系统,检测节点向管控节点上报节点信息;
将特征规则库分配到对应的检测组的所述检测节点,利用流复制技术将同一份业务数据镜像流量复制到不同分布式的所述检测组;
根据所述流复制技术复制到所述检测组的流量大小以控制所述业务数据分流到单个检测节点或同一所述特征规则库的所述检测组的所述检测节点;
所述检测节点接收到待检测报文,根据所述特征规则库进行匹配检测并输出检测结果至所述管控节点。
2.根据权利要求1所述的一种网络入侵检测方法,其特征在于,还包括:
所述管控节点根据所述检测结果进行告警或者主动反应措施。
3.根据权利要求1所述的网络入侵检测方法,其特征在于,所述流复制技术包括:SDN交换机流复制技术、分流负载技术。
4.根据权利要求1所述的网络入侵检测方法,其特征在于,根据所述流复制技术复制到所述检测组的流量大小以控制所述业务数据分流到单个检测节点或同一所述特征规则库的所述检测组的所述检测节点具体包括:
若所述流复制技术复制到所述检测组的流量超过单个所述检测节点的处理能力,根据所述流复制技术将所述业务数据按IP端口或会话进行负载分流到相同所述特征规则库的所述检测组;
若所述流复制技术复制到所述检测组的流量位于单个所述检测节点的处理能力内,根据所述流复制技术将所述业务数据分流至单个所述检测节点。
5.根据权利要求1所述的网络入侵检测方法,其特征在于,所述检测节点的检测过程具体包括:
检测节点在接收到所述业务数据后,将所述业务数据缓存在收包缓存队列中;
检测引擎从所述收包缓存中读取所述业务数据,所述检测引擎解析所述业务数据后与所述特征规则库内的数据匹配;
若数据匹配成功,则结束所述业务数据的检测并输出检测结果至所述管控节点。
6.根据权利要求1所述网络入侵检测方法,其特征在于,还包括:所述管控节点根据当前所述业务数据的流量自主增加和删减所述检测组内的检测节点。
7.一种网络入侵检测装置,其特征在于,包括:
初始化模块,用于初始化分布式计算系统;
分配模块,用于将特征规则库分配到对应的检测组;
复制模块,用于根据sdn交换机流复制技术将同一份业务数据镜像流量复制到不同分布式的检测组;
计算模块,用于计算所述sdn交换机流复制技术镜像流量复制的所述业务数据的流量大小;
分流模块,根据流量大小将所述业务数据分流到单个检测节点或所述检测组
检测模块,用于根据所述特征规则库检测所述业务数据并输出检测结果至管控节点。
8.根据权利要求7所述的一种网络入侵检测装置,其特征在于,所述检测模块包括:
接收子模块,用于接收所述业务数据;
缓存子模块,用于将所述业务数据存储在缓存队列中;
读取子模块,用于采用检测从缓存队列中读取待检测的所述业务数据;
解析子模块,用于将所述业务数据进行解析;
检测子模块,用于根据所述特征规则库检测解析后的所述业务数据是否匹配;
结果输出子模块,用于根据匹配结果输出对应的检测结果。
9.一种网络入侵检测系统,其特征在于,包括存储装置和处理器,所述存储装置上存储有所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时执行如权利要求1-6中任一项所述的网络入侵检测方法。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序在运行时执行如权利要求1-6中任一项所述的网络入侵检测方法。
CN201911334747.XA 2019-12-23 2019-12-23 一种网络入侵检测方法、装置、系统及存储介质 Pending CN111049849A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911334747.XA CN111049849A (zh) 2019-12-23 2019-12-23 一种网络入侵检测方法、装置、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911334747.XA CN111049849A (zh) 2019-12-23 2019-12-23 一种网络入侵检测方法、装置、系统及存储介质

Publications (1)

Publication Number Publication Date
CN111049849A true CN111049849A (zh) 2020-04-21

Family

ID=70238505

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911334747.XA Pending CN111049849A (zh) 2019-12-23 2019-12-23 一种网络入侵检测方法、装置、系统及存储介质

Country Status (1)

Country Link
CN (1) CN111049849A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165492A (zh) * 2020-09-30 2021-01-01 西安工程大学 基于排队论的分布式入侵检测系统成本优化方法
CN112165487A (zh) * 2020-09-27 2021-01-01 上海万向区块链股份公司 基于zeek的分布式网络安全、性能检测方法及系统
CN113242266A (zh) * 2021-07-12 2021-08-10 深圳市永达电子信息股份有限公司 一种基于nfv的动态入侵检测方法和系统
CN113254190A (zh) * 2021-07-12 2021-08-13 深圳市永达电子信息股份有限公司 基于负载能力的动态流调度方法、系统和计算机存储介质
CN113283594A (zh) * 2021-07-12 2021-08-20 深圳市永达电子信息股份有限公司 一种基于类脑计算的入侵检测系统
CN115529145A (zh) * 2021-06-25 2022-12-27 中国移动通信集团广东有限公司 网络安全入侵检测与防护系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350745A (zh) * 2008-08-15 2009-01-21 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
CN101699788A (zh) * 2009-10-30 2010-04-28 清华大学 模块化的网络入侵检测系统
CN101980506A (zh) * 2010-10-29 2011-02-23 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
CN103166926A (zh) * 2011-12-14 2013-06-19 中国科学院沈阳计算技术研究所有限公司 一种SIP DDoS攻击分布式防御系统及其负载均衡方法
CN105391742A (zh) * 2015-12-18 2016-03-09 桂林电子科技大学 一种基于Hadoop的分布式入侵检测系统
EP3223487A1 (en) * 2016-03-25 2017-09-27 Cisco Technology, Inc. Network-based approach for training supervised learning classifiers

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350745A (zh) * 2008-08-15 2009-01-21 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
CN101699788A (zh) * 2009-10-30 2010-04-28 清华大学 模块化的网络入侵检测系统
CN101980506A (zh) * 2010-10-29 2011-02-23 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
CN103166926A (zh) * 2011-12-14 2013-06-19 中国科学院沈阳计算技术研究所有限公司 一种SIP DDoS攻击分布式防御系统及其负载均衡方法
CN105391742A (zh) * 2015-12-18 2016-03-09 桂林电子科技大学 一种基于Hadoop的分布式入侵检测系统
EP3223487A1 (en) * 2016-03-25 2017-09-27 Cisco Technology, Inc. Network-based approach for training supervised learning classifiers

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165487A (zh) * 2020-09-27 2021-01-01 上海万向区块链股份公司 基于zeek的分布式网络安全、性能检测方法及系统
CN112165487B (zh) * 2020-09-27 2022-07-15 上海万向区块链股份公司 基于zeek的分布式网络安全、性能检测方法及系统
CN112165492A (zh) * 2020-09-30 2021-01-01 西安工程大学 基于排队论的分布式入侵检测系统成本优化方法
CN112165492B (zh) * 2020-09-30 2022-11-01 西安工程大学 基于排队论的分布式入侵检测系统成本优化方法
CN115529145A (zh) * 2021-06-25 2022-12-27 中国移动通信集团广东有限公司 网络安全入侵检测与防护系统及方法
CN113242266A (zh) * 2021-07-12 2021-08-10 深圳市永达电子信息股份有限公司 一种基于nfv的动态入侵检测方法和系统
CN113254190A (zh) * 2021-07-12 2021-08-13 深圳市永达电子信息股份有限公司 基于负载能力的动态流调度方法、系统和计算机存储介质
CN113283594A (zh) * 2021-07-12 2021-08-20 深圳市永达电子信息股份有限公司 一种基于类脑计算的入侵检测系统
CN113283594B (zh) * 2021-07-12 2021-11-09 深圳市永达电子信息股份有限公司 一种基于类脑计算的入侵检测系统
CN113254190B (zh) * 2021-07-12 2021-11-09 深圳市永达电子信息股份有限公司 基于负载能力的动态流调度方法、系统和计算机存储介质

Similar Documents

Publication Publication Date Title
CN111049849A (zh) 一种网络入侵检测方法、装置、系统及存储介质
WO2019223062A1 (zh) 系统异常的处理方法和系统
Kotenko et al. Aggregation of elastic stack instruments for collecting, storing and processing of security information and events
US20200021511A1 (en) Performance analysis for transport networks using frequent log sequence discovery
CN110784515B (zh) 基于分布式集群的数据存储方法、及其相关设备
US10884805B2 (en) Dynamically configurable operation information collection
CN108228322B (zh) 一种分布式链路跟踪、分析方法及服务器、全局调度器
WO2017080161A1 (zh) 云计算中报警信息的处理方法及装置
CN102385536B (zh) 一种实现并行计算的方法及系统
KR20190029486A (ko) 탄력적 허니넷 시스템 및 그 동작 방법
CN111641524A (zh) 监控数据处理方法、装置、设备和存储介质
CN110809060A (zh) 一种应用服务器集群的监控系统及监控方法
CN110798402B (zh) 业务消息处理方法、装置、设备及存储介质
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
US20220283876A1 (en) Dynamic resource allocation for efficient parallel processing of data stream slices
CN111078975B (zh) 一种多节点增量式数据采集系统及采集方法
CN110233747B (zh) 一种数据上报方法及云平台
US20190050282A1 (en) Information processing device, information processing method, and non-transitory computer-readable storage medium
Cheng et al. Cheetah: a space-efficient HNB-based NFAT approach to supporting network forensics
CN114422324B (zh) 一种告警信息的处理方法、装置、电子设备及存储介质
CN115396319B (zh) 数据流分片方法、装置、设备及存储介质
CN117914764A (zh) 云端数据处理能力的测试方法、装置、设备及存储介质
CN113411206B (zh) 一种日志审计方法、装置、设备和计算机存储介质
JP7389370B2 (ja) 運用装置、保守管理システム、運用方法およびプログラム
Wang et al. Performance optimization of distributed real-time computing system JStorm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200421

RJ01 Rejection of invention patent application after publication