CN113242266B - 一种基于nfv的动态入侵检测方法和系统 - Google Patents

一种基于nfv的动态入侵检测方法和系统 Download PDF

Info

Publication number
CN113242266B
CN113242266B CN202110782475.0A CN202110782475A CN113242266B CN 113242266 B CN113242266 B CN 113242266B CN 202110782475 A CN202110782475 A CN 202110782475A CN 113242266 B CN113242266 B CN 113242266B
Authority
CN
China
Prior art keywords
node
detection
virtual
group
virtual detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110782475.0A
Other languages
English (en)
Other versions
CN113242266A (zh
Inventor
戚建淮
汪乔
王咏春
孙秋明
唐娟
刘建辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Y&D Electronics Information Co Ltd filed Critical Shenzhen Y&D Electronics Information Co Ltd
Priority to CN202110782475.0A priority Critical patent/CN113242266B/zh
Publication of CN113242266A publication Critical patent/CN113242266A/zh
Application granted granted Critical
Publication of CN113242266B publication Critical patent/CN113242266B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于NFV的动态入侵检测方法和系统。该方法包括:构建多个虚拟检测节点群,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值;在待检测数据超过所述节点检测能力阈值时,采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群;根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点;每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。本发明可以提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。

Description

一种基于NFV的动态入侵检测方法和系统
技术领域
本发明涉及网络安全领域,更具体地说,涉及一种基于NFV(Network FunctionsVirtualization,网络功能虚拟化)的动态入侵检测方法和系统。
背景技术
信息系统安全问题是一个十分复杂的问题,即信息系统有多复杂,信息系统安全问题就有多复杂。同样,信息安全是一种难以量化的概念,我们可以拿信息系统的“性能”与“安全”作一个比对。针对网络吞吐量、系统运算速度、数据库存储、查询指标等这类性能问题,用户可以根据自己实际业务需要,预算等条件考虑取舍。系统性能的提高,用户虽然无法触摸或者感知到,但却是可以实实在在看到。因而,提高信息安全系统产品的性能和稳定是至关重要的。
目前市场上的入侵检测系统分为:主机入侵检测系统和网络入侵检测系统,无论哪种类型的入侵检测系统,均是采用传统网络技术的专用硬件设备的网络安全设备。有单个节点的主机入侵检测系统,可采用软件多进程方式,提高单节点硬件的利用率;有单/多节点的网络入侵检测系统,采用分布式多节点的专用硬件设备构建入侵检测网的构建方法,这种方法一旦网络拓扑完成部署,那么各节点的功能角色、检测能力也就固定下来;资源不能共享,业务融合度差,如果受保护的业务场景发生变化,那么该网络入侵检测系统的部署也会随之调整,后续升级改造就受制于设备制造商。同时需要面对大量不同厂家、不同年代、不同设备的采购、设计、集成、部署、维护运行、升级改造等问题。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种基于NFV的动态入侵检测方法和系统,其通过利用NFV网络技术、分布式计算架构、SDN(SoftwareDefined Network,软件定义网络)网络编排技术,在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题,提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。
本发明解决其技术问题所采用的技术方案是:构造一种基于NFV的动态入侵检测方法,包括:
S1、构建多个虚拟检测节点群,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值;
S2、采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群;
S3、在待检测数据超过所述节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点;
S4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。
在本发明所述的基于NFV的动态入侵检测方法中,所述步骤S3进一步包括:
S31、在待检测数据超过所述节点检测能力阈值时,基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值;
S32、实时接收各个虚拟检测节点的节点实时检测能力值,并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值;
S33、基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值;
S34、基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量;
S35、基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序,基于所述所需节点数量选择对应的虚拟检测节点,并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。
在本发明所述的基于NFV的动态入侵检测方法中,在所述步骤34中,如果所述群可检测能力值除以所述节点检测能力阈值的余数为0,那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商,否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1。
在本发明所述的基于NFV的动态入侵检测方法中,在所述步骤35中,所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。
在本发明所述的基于NFV的动态入侵检测方法中,所述待检测数据小于所述群检测能力阈值。
在本发明所述的基于NFV的动态入侵检测方法中,所述步骤S4进一步包括:
S41、各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中;
S42、采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配,如果匹配成功则返回入侵风险提示。
在本发明所述的基于NFV的动态入侵检测方法中,进一步包括:
S5、从各个所述虚拟检测节点接收检测结果,并基于所述入侵风险提示进行风险应对操作。
本发明解决其技术问题所采用的另一技术方案是:构造一种基于NFV的动态入侵检测系统,包括:多个虚拟检测节点群,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组;
虚拟化基础层,用于采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群;
管控节点,在待检测数据超过所述节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点;
每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。
在本发明所述的基于NFV的动态入侵检测系统中,所述管控节点上存储有计算机程序,所述计算机程序被执行时,用于:
在待检测数据超过所述节点检测能力阈值时,基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值;
实时接收各个虚拟检测节点的节点实时检测能力值,并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值;
基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值;
基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量;
基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序,基于所述所需节点数量选择对应的虚拟检测节点,并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。
在本发明所述的基于NFV的动态入侵检测系统中,各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中,然后采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配,如果匹配成功则返回入侵风险提示;
所述管控节点进一步用于从各个所述虚拟检测节点接收检测结果,并基于所述入侵风险提示进行风险应对操作。
实施本发明基于NFV的动态入侵检测方法和系统,通过利用NFV网络技术、分布式计算架构、SDN网络编排技术,在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题,提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的基于NFV的动态入侵检测方法的第一优选实施例的流程图;
图2是本发明的基于NFV的动态入侵检测方法的第二优选实施例的分配步骤的流程图;
图3是本发明的基于NFV的动态入侵检测系统的第一优选实施例的原理示意图;
图4是本发明的基于NFV的动态入侵检测系统的第二优选实施例的原理示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明涉及一种基于NFV的动态入侵检测方法,包括:构建多个虚拟检测节点群,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值;在待检测数据超过所述节点检测能力阈值时,采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群;根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点;每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。实施本发明基于NFV的动态入侵检测方法,通过利用NFV网络技术、分布式计算架构、SDN网络编排技术,在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题,提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。
图1是本发明的基于NFV的动态入侵检测方法的第一优选实施例的流程图。如图1所示,在步骤S1中,构建多个虚拟检测节点群。在本发明中,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值。本领域技术人员知悉,每个虚拟检测节点群可以包括任何数量的虚拟检测节点。全部虚拟检测节点群存储的检测特征组之和构成完整的特征规则库。每个检测特征组中包括的检测特征数量可以根据实际需要进行设置。在此,本领域技术人员可以基于任何适合的规则分配检测特征组中的各个检测特征。举例来说,在将构建多个虚拟检测节点群,并将其联网构成虚拟检测节点网络之后,各个虚拟检测节点初始化,并上报其节点信息,完成记点注册和上线。完整的特征规则库按需分配到各个虚拟检测节点。例如每个虚拟检测节点的节点检测能力阈值可以设置为Ci,例如200个业务会话。
在步骤S2中,采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群。由于每个虚拟检测节点群中存储的检测特征组不同,因此要采用完整的特征规则库对待检测数据进行检测,则需要在每个虚拟检测节点群中进行检测。在本申请中,通过采用SDN流复制技术,将同一份待检测数据镜像复制后,同时并行分发到各个虚拟检测节点群,这样,各个虚拟检测节点群同时收到待检测数据,这样各个虚拟检测节点也几乎同时收到同一份待检测数据,因此能够快速对同一份待检测数据作入侵安全检测。
在步骤S3中,在待检测数据超过所述节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点。
在本发明的优选实施例中,假定待检测数据包括100个业务会话,每个虚拟检测节点的节点检测能力阈值为200个业务会话,那么可以按照预设规则,在每个虚拟检测节点群中直接选择一个虚拟检测节点进行入侵检测。例如,可以按照虚拟检测节点群中虚拟检测节点的编号由小到大选择虚拟检测节点。如果待检测数据包括300个业务会话,每个虚拟检测节点的节点检测能力阈值为200个业务会话,那么这时无法通过一个虚拟检测节点完成检测,这时将需要在每个虚拟检测节点群中选择多个虚拟检测节点完成检测。这时,可以根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值进行选择,然后将待检测数据分配到选择的各个虚拟检测节点。图2是该分配步骤的优选实施例的流程图。为了便于说明,在以下实施例中,假定每个虚拟检测节点群包括三个虚拟检测节点1、2和3。每个虚拟检测节点的节点检测能力阈值为Ci。
如图2所示,在所述步骤S1中,在待检测数据超过所述节点检测能力阈值时,基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值。例如,假定每个虚拟检测节点群包括三个虚拟检测节点1、2和3。每个虚拟检测节点的节点检测能力阈值可以设置为Ci,例如200个业务会话。如果待检测数据包括300个业务会话,则认为待检测数据超过所述节点检测能力阈值。因此,基于各个所述虚拟检测节点的所述节点检测能力阈值Ci计算每个所述虚拟检测节点群的群检测能力阈值Cp=Ci*n,n为虚拟检测节点,即Cp=Ci*3,即群检测能力阈值为600个业务会话。由于待检测数据包括300个业务会话,因此在群检测能力阈值之内。在初始状态下,3个虚拟检测节点会平均分流,则每个虚拟检测节点获得300/3=100个业务会话,而每个虚拟检测节点的节点检测能力阈值实际上是200个业务会话,因此实际上不需要开启全部的虚拟检测节点。因此可以智能选择开启或关闭(即不启用)一些虚拟检测节点,从而提升硬件资源的使用率。这就需要用到后续步骤。
在步骤S2中,实时接收各个虚拟检测节点的节点实时检测能力值,并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值。例如,各个虚拟检测节点的节点实时检测能力值分别为Cu1,Cu2和Cu3,那么群实时检测能力值为各个虚拟检测节点的节点实时检测能力值之和,即Cu1+Cu2+Cu3。
在步骤S3中,基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值。即计算所述虚拟检测节点群的群可检测能力Cr= Cp-(Cu1+Cu2+Cu3),Cr>0。
在步骤S4中,基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量。即如果所述群可检测能力值除以所述节点检测能力阈值的余数为0,那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商,否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1。举例来说,所需节点数量m=Cr/Ci+1或者m=Cr/Ci。即在Cr/Ci的余数为0时,证明待检测数据正好分完,那m=Cr/Ci,如果Cr/Ci的余数不为0时,证明待检测数据没有分完,那m=Cr/Ci+1。
在步骤S5中,基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序,基于所述所需节点数量选择对应的虚拟检测节点,并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。例如,所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。举例来说,在一个虚拟检测节点群中,其包括三个虚拟检测节点,编号为虚拟检测节点1,2和3。在计算出m=2时,将所述待检测数据分给虚拟检测节点1,2,而不会分配给虚拟检测节点3。这样在待检测数据不变的情况下,通过感知虚拟检测节点的检查能力值,可以计算所需节点数量,从而减少(关闭/不启用)对应的虚拟检测节点。
如果待检测数据增加,例如从300个业务会话增加到500个,那个所述虚拟检测节点群内所需的总的检查能力Cpu需要增加,由于控制所述待检测数据小于所述群检测能力阈值。Cpu小于或者小于等于Cp。这样,同样按照以上方式计算出所述所需节点数量,同样地,所需节点数量m=Cr/Ci+1或者m=Cr/Ci。即在Cr/Ci的余数为0时,证明待检测数据正好分完,那m=Cr/Ci,如果Cr/Ci的余数不为0时,证明待检测数据没有分完,那m=Cr/Ci+1。即计算出m=3时,将所述待检测数据分给虚拟检测节点1,2和3。这样在待检测数据不变的情况下,通过感知虚拟检测节点的检查能力值,可以计算所需节点数量,从而开启对应的虚拟检测节点。这样,本申请通过分布式架构部署,利用NFV网络虚拟化技术,在通用硬件平台上即实现对网络入侵检测系统的安装部署,不依赖专用硬件,实现对入侵检测系统的虚拟检测节点资源动态调度,根据待检测数据大小,智能选择对虚拟检测节点开启和关闭,提升入侵检测系统硬件资源的使用率。采用NFV虚拟化技术,虚拟检测节点定时上报各自的检测能力,通过感知虚拟检测节点能力后动态调配下发检测规则策略,使检测节点计算能达到最优。
在步骤S4中,每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。例如,各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中;然后采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配,如果匹配成功则返回入侵风险提示。优选的,在本发明的进一步的优选实施例中,可以从各个所述虚拟检测节点接收检测结果,并基于所述入侵风险提示进行风险应对操作。
在本发明的优选实施例中,各个虚拟检测节点在接收到待检测数据(例如数据报文),将该数据报文缓存在收包缓存队列里面,检测引擎从收包缓存队列中读取待检测数据报文,解析待检测数据报然后与检测引擎中的特征库中的个特征进行匹配,如果匹配成功,则说明该数据报文内容触发特征库,可能具有威胁、入侵行为。结束对该数据报文检测,将检测结果汇总存储。这样,单个虚拟检测节点对待检测数据报文的检测时间几乎等于全部虚拟检测节点群对待检测数据报文的检测时间。提高数据报文安全检测性能、缩短检测时间,提升检测效率,从而满足当前网络数据流量安全检测的需求。
在本申请中,网络功能虚拟化技术是为了解决现有专用通信设备的不足而产生的。如果能够打开软硬件垂直一体化的封闭架构,用通用工业化标准的硬件和专用软件来重构网络设备,可以极大地降低成本及运维管理复杂度、同时也增加安全设备应用的灵活性。本发明通过采用分布式架构,利用NFV网络虚拟化技术,完整的将检测特征按策略合理分配到各个虚拟检测节点(减少单个节点攻击特征),同时利用SDN及分流负载技术将同一份待检测数据复制到不同的分布式虚拟检测节点,真正实现待检测数据的并行分发,可让每个虚拟检测节点快速对同一待检测数据作出安全检测。然后将检测结果汇总至管控节点,管控节点再进行告警或者采取主动反应措施。如此,单个拟检测节点对报文安全检测时间几乎等于整个分布式系统检测报文的时间,因此能够有效提高数据报文安全检测性能,缩短检测时间;同时SDN载技术可以将50M或100M或更大流量数据按ip、端口或会话进行负载分流,缓解单个虚拟检测节点业务数据流量,进而使本发明的基于NFV的动态入侵检测方法的效率提升,从而实现满足当前网络数据流量安全检测的需求。
实施本发明基于NFV的动态入侵检测方法,通过利用NFV网络技术、分布式计算架构、SDN网络编排技术,在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题,提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。
图3是本发明的基于NFV的动态入侵检测系统的第一优选实施例的原理示意图。如图3所示,该基于NFV的动态入侵检测系统,包括:多个虚拟检测节点群a…n,虚拟化基础层100和管控节点200。每个虚拟检测节点群a…n包括三个虚拟检测节点。即虚拟检测节点群a包括虚拟检测节点a1-a3,虚拟检测节点群n包括虚拟检测节点n1-n3。每个所述虚拟检测节点存储一个对应的检测特征组,例如虚拟检测节点群a中的虚拟检测节点a1-a3均存储检测特征组a,例如虚拟检测节点群n中的虚拟检测节点n1-n3均存储检测特征组n。需要注意的是,n可以是大于1的任意正整数,每个虚拟检测节点群中可以包括其他数量的虚拟检测节点,例如4个,5个或者更多个。所述虚拟化基础层100,用于采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群。所述虚拟基础层100例如可以包括虚拟网络功能单元或系统来完成其功能。所述管控节点200用于在待检测数据超过所述节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点。每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测。该待检测数据可以来自例如业务网络。
例如,在将基于NFV的动态入侵检测系统构建完成之后进行初始化,每个虚拟检测节点向管控节点上报其节点信息,完成记点注册和上线。完整的特征规则库按需分配到各个虚拟检测节点。所述虚拟化基础层100采用SDN流复制技术将待检测数据复制后同时并行分发到各个虚拟检测节点群,实现待检测数据的并行分发。各虚拟检测节点组几乎同时接收到待检测数据。在待检测数据超过所述节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点。
进一步地,所述管控节点可以用于基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值;实时接收各个虚拟检测节点的节点实时检测能力值,并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值;基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值;基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量;基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序,基于所述所需节点数量选择对应的虚拟检测节点,并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点。各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中,然后采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配,如果匹配成功则返回入侵风险提示。所述管控节点进一步用于从各个所述虚拟检测节点接收检测结果,并基于所述入侵风险提示进行风险应对操作。
本领域技术人员知悉,上述虚拟检测节点群,虚拟化基础层100和管控节点200,虚拟检测节点可以参照图1-2中所示的实施例构造。基于本发明的构造,本领域技术人员能够实现上述基于NFV的动态入侵检测系统,在此就不再累述了。
本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。本文件中的软件模块可以包括计算机程序,其所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
图4是本发明的基于NFV的动态入侵检测系统的第二优选实施例的原理示意图。图4所示实施例与图3所示的基于NFV的动态入侵检测系统相同,其区别在于,详细示出了各个虚拟检测节点的检测过程。如图4所示,各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中,然后采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配,如果匹配成功则返回入侵风险提示。然后将检测结果汇总至管控节点,管控节点再进行告警或者采取主动反应措施,其包括但不限于存储,告警和联动。
实施本发明基于NFV的动态入侵检测系统,通过利用NFV网络技术、分布式计算架构、SDN网络编排技术,在维持优越入侵检测性能的前提下解决传统检测设备硬件专一不通用、资源不共享、业务融合度差、检测资源调度不灵活问题,提高入侵检测网络的灵活度、降低维护和采购成本、提升业务的融合度。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于网络功能虚拟化的动态入侵检测方法,其特征在于,包括:
S1、构建多个虚拟检测节点群,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组且具有相同的节点检测能力阈值,其中每个虚拟检测节点群中存储的检测特征组不同,全部虚拟检测节点群存储的检测特征组之和构成完整的特征规则库;
S2、采用检测引流技术将待检测数据复制后同时并行分发到各个虚拟检测节点群;
S3、在待检测数据超过所述节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点;
S4、每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测;
所述步骤S3进一步包括:
S31、在待检测数据超过所述节点检测能力阈值时,基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值;
S32、实时接收各个虚拟检测节点的节点实时检测能力值,并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值;
S33、基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值;
S34、基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量;
S35、基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序,基于所述所需节点数量选择对应的虚拟检测节点,并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点;
在所述步骤34中,如果所述群可检测能力值除以所述节点检测能力阈值的余数为0,那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商,否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1;
在所述步骤35中,所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。
2.根据权利要求1所述的基于网络功能虚拟化的动态入侵检测方法,其特征在于,所述待检测数据小于所述群检测能力阈值。
3.根据权利要求1所述的基于网络功能虚拟化的动态入侵检测方法,其特征在于,进一步包括:
S5、从各个所述虚拟检测节点接收检测结果,并基于入侵风险提示进行风险应对操作。
4.一种基于网络功能虚拟化的动态入侵检测系统,其特征在于,包括:多个虚拟检测节点群,每个虚拟检测节点群包括多个虚拟检测节点,每个所述虚拟检测节点存储一个对应的检测特征组,其中每个虚拟检测节点群中存储的检测特征组不同,全部虚拟检测节点群存储的检测特征组之和构成完整的特征规则库;
虚拟化基础层,用于采用检测引流技术将待检测数据复制后同时并行分发到各个虚拟检测节点群;
管控节点,在待检测数据超过节点检测能力阈值时,根据各个所述虚拟检测节点群中每个虚拟检测节点的所述节点检测能力阈值以及节点实时检测能力值将所述待检测数据分配到各个虚拟检测节点;
每个虚拟检测节点同时对分配给自身的待检测数据进行入侵检测;所述管控节点上存储有计算机程序,
所述计算机程序被执行时,用于:
在待检测数据超过所述节点检测能力阈值时,基于各个所述虚拟检测节点的所述节点检测能力阈值计算每个所述虚拟检测节点群的群检测能力阈值;
实时接收各个虚拟检测节点的节点实时检测能力值,并基于各个所述虚拟检测节点的节点实时检测能力值计算每个所述虚拟检测节点群的群实时检测能力值;
基于各个所述虚拟检测节点群的所述群检测能力阈值和所述群实时检测能力值之差分别计算各个所述虚拟检测节点群的群可检测能力值;
基于各个所述虚拟检测节点群的所述群可检测能力值和所述节点检测能力阈值计算各个所述虚拟检测节点群的所需节点数量;
基于各个所述虚拟检测节点群的各个虚拟检测节点的优先级排序,基于所述所需节点数量选择对应的虚拟检测节点,并将所述待检测数据按照各个所述虚拟检测节点的所述节点实时检测能力值分配到选择的虚拟检测节点;
如果所述群可检测能力值除以所述节点检测能力阈值的余数为0,那么所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商,否则所述所需节点数量=所述群可检测能力值和所述节点检测能力阈值之商加1;
所述优先级排序为按照各个虚拟检测节点的序号由小到大排序。
5.根据权利要求4所述的基于网络功能虚拟化的动态入侵检测系统,其特征在于,各个所述虚拟检测节点将接收到的所述待检测数据缓存在收包队列中,然后采用检索引擎分析所述待检测数据并与所述检索引擎中存储的特征库进行匹配,如果匹配成功则返回入侵风险提示;
所述管控节点进一步用于从各个所述虚拟检测节点接收检测结果,并基于所述入侵风险提示进行风险应对操作。
CN202110782475.0A 2021-07-12 2021-07-12 一种基于nfv的动态入侵检测方法和系统 Active CN113242266B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110782475.0A CN113242266B (zh) 2021-07-12 2021-07-12 一种基于nfv的动态入侵检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110782475.0A CN113242266B (zh) 2021-07-12 2021-07-12 一种基于nfv的动态入侵检测方法和系统

Publications (2)

Publication Number Publication Date
CN113242266A CN113242266A (zh) 2021-08-10
CN113242266B true CN113242266B (zh) 2021-11-30

Family

ID=77135214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110782475.0A Active CN113242266B (zh) 2021-07-12 2021-07-12 一种基于nfv的动态入侵检测方法和系统

Country Status (1)

Country Link
CN (1) CN113242266B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107425999A (zh) * 2017-04-20 2017-12-01 电子科技大学 一种低开销的安全检测节点动态部署方法
CN109842528A (zh) * 2019-03-19 2019-06-04 西安交通大学 一种基于sdn和nfv的服务功能链的部署方法
CN112637186A (zh) * 2020-12-18 2021-04-09 电子科技大学长三角研究院(衢州) 一种基于区块链的入侵检测功能分布式部署方法
CN112822192A (zh) * 2021-01-06 2021-05-18 中山大学 一种面向用户需求的安全功能服务网系统及其实现方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10007445B2 (en) * 2014-11-04 2018-06-26 Rubrik, Inc. Identification of virtual machines using a distributed job scheduler
US9485273B2 (en) * 2014-12-09 2016-11-01 At&T Intellectual Property I, L.P. System and method to diffuse denial-of-service attacks using virtual machines
CN104636184B (zh) * 2014-12-29 2018-05-01 上海华为技术有限公司 虚拟机实例的部署方法和装置及设备
CN106357673B (zh) * 2016-10-19 2019-06-21 中国科学院信息工程研究所 一种多租户云计算系统DDoS攻击检测方法及系统
CN111078363B (zh) * 2019-12-18 2024-02-23 深信服科技股份有限公司 一种虚拟机的numa节点调度方法、装置、设备及介质
CN111049849A (zh) * 2019-12-23 2020-04-21 深圳市永达电子信息股份有限公司 一种网络入侵检测方法、装置、系统及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107425999A (zh) * 2017-04-20 2017-12-01 电子科技大学 一种低开销的安全检测节点动态部署方法
CN109842528A (zh) * 2019-03-19 2019-06-04 西安交通大学 一种基于sdn和nfv的服务功能链的部署方法
CN112637186A (zh) * 2020-12-18 2021-04-09 电子科技大学长三角研究院(衢州) 一种基于区块链的入侵检测功能分布式部署方法
CN112822192A (zh) * 2021-01-06 2021-05-18 中山大学 一种面向用户需求的安全功能服务网系统及其实现方法

Also Published As

Publication number Publication date
CN113242266A (zh) 2021-08-10

Similar Documents

Publication Publication Date Title
Liu et al. Adaptive asynchronous federated learning in resource-constrained edge computing
Liu et al. Using proactive fault-tolerance approach to enhance cloud service reliability
Gill et al. A dynamic, cost-aware, optimized data replication strategy for heterogeneous cloud data centers
Huang et al. Stochastic configuration networks based adaptive storage replica management for power big data processing
Werstein et al. Load balancing in a cluster computer
CN103595780B (zh) 基于消重的云计算资源调度方法
Patel et al. Survey on resource allocation strategies in cloud computing
Kumar et al. ARPS: An autonomic resource provisioning and scheduling framework for cloud platforms
CN103176849B (zh) 一种基于资源分类的虚拟机集群的部署方法
US20210255899A1 (en) Method for Establishing System Resource Prediction and Resource Management Model Through Multi-layer Correlations
CN111381928B (zh) 一种虚拟机迁移方法、云计算管理平台和存储介质
Liu et al. Performance analysis of cloud computing services considering resources sharing among virtual machines
Surendran et al. How to improve the resource utilization in cloud data center?
CN109614227A (zh) 任务资源调配方法、装置、电子设备及计算机可读介质
Liu et al. Service reliability in an HC: Considering from the perspective of scheduling with load-dependent machine reliability
Dewangan et al. Workload aware autonomic resource management scheme using grey wolf optimization in cloud environment
Karthikeyan et al. Saldeft: Self-adaptive learning differential evolution based optimal physical machine selection for fault tolerance problem in cloud
Enokido et al. The redundant energy consumption laxity based algorithm to perform computation processes for IoT services
Meroufel et al. Optimization of checkpointing/recovery strategy in cloud computing with adaptive storage management
Guo et al. Fast replica recovery and adaptive consistency preservation for edge cloud system
Deshai et al. Big data Hadoop MapReduce job scheduling: A short survey
Almurshed et al. Greedy nominator heuristic: Virtual function placement on fog resources
Kang et al. Fault-tolerant resource allocation model for service function chains with joint diversity and redundancy
CN113242266B (zh) 一种基于nfv的动态入侵检测方法和系统
Rathore A REVIEW TOWARDS: LOAD BALANCING TECHNIQUES.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant