CN113283594A - 一种基于类脑计算的入侵检测系统 - Google Patents

Abstract

本发明公开了一种基于类脑计算的入侵检测系统，包括管控节点、分布式检测节点、SDN交换网络及类脑计算平台；所述管控节点用于对分布式入侵检测节点的管理与控制；所述分布式检测节点用于对所分配的网络流量进行检测，并结合类脑计算平台的支持，实时判断是否有入侵行为发生；所述SDN交换网络用于对网络流量进行复制和/或分布式分发；所述类脑计算平台用于对所述管控节点、所述分布式检测节点及所述SDN交换网络提供算力支持。本发明实现了智能化检测策略管控、实现了智能化检测流量管控、实现了快速实时检测。

Description

一种基于类脑计算的入侵检测系统

技术领域

本发明涉及网络安全技术领域，更具体地说，涉及一种基于类脑计算的入侵检测系统。

背景技术

随着网络技术日新月异的发展，计算机病毒也伴随这网络的发展而发展，这就涉及了新一代的网络安全技术。谈到网络安全，人们首先想到的是防火墙。但是随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统技术的研究和开发。

入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行审计检查，检测到针对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的能够及时发现并报告系统中未授权或异常现象的技术，是用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。

目前大多数流行的入侵检测系统都又探测器和控制台两大部分组成。探测器主要用于入侵信息，在商用的入侵检测系统中，探测器往往是一台单独的嵌入式设备。控制器包括分析器、知识库、控制台和用户接口等部分，由安装IDS控制软件的计算机充当。但是，这些入侵检测系统多数还是单机运行；随着信息化与业务系统深入融合发展，单机运行的入侵检测系统不能满足实时性、高可靠性和低延时性等高安全要求的应用场景；在网络安全形势日趋严峻的情况下，对入侵检测系统提出了更高要求。

当前，一个较好的入侵检测系统需满足以下主要要求：

1、实时性要求：如果攻击或者攻击的企图能够尽快的被发现，这样就有可能更快的查找出攻击者的位置，进而阻止攻击行为，有可能把攻击破坏控制在最小范围，有效的减少损失。实时性要求就相当于是一场与攻击者在时间上赛跑的问题。

2、扩展性要求：物理上节点的灵活增加、移除扩展，用户可根据检测流量大小及业务量灵活的对检测节点进行添加和移除；同时需要把检测系统体系结构与使用策略分开，当有新规则添加或者更新时，无需对入侵检测系统本身作改动情况下，使得系统能够检测到新的攻击行为。

3、适应性要求：入侵检测系统需要能够适应多种不同的环境，网络流量大小改变，检测系统可以自适应。适应性也包含软件系统本身对目标平台的适应性，跨平台的能力，适应宿主平台的软、硬件配置的不同情况。

4、有效性要求：能够证明根据某一设计的攻击行为能够被入侵检测系统正确的检测出来，对于攻击时间的错报与漏报能够控制在一定合理的范围之内。

针对当前单机运行的入侵检测系统存在的不足，本发明公开一种能满足实时性、高可靠性和低延时性等高安全要求的复杂场景的入侵检测系统，适应未来高速发展的网络空间安全需要。

发明内容

本发明提供了一种基于类脑计算的入侵检测系统，能适应未来高速发展的网络空间安全需要的智能化实时入侵检测。能够解决现有技术中单机版的入侵检测系统不能满足实时性、高可靠性和低延时性等高安全复杂场景的应用的问题。

为解决上述问题，本发明提供了一种基于类脑计算的入侵检测系统，包括管控节点、分布式检测节点、SDN交换网络及类脑计算平台；

所述管控节点用于对分布式入侵检测节点的管理与控制；

所述分布式检测节点用于对所分配的网络流量进行检测，并结合类脑计算平台的支持，实时判断是否有入侵行为发生；

所述SDN交换网络用于对网络流量进行复制和/或分布式分发；

所述类脑计算平台用于对所述管控节点、所述分布式检测节点及所述SDN交换网络提供算力支持。

所述管控节点支持Https接口和协议并通过web前端与用户进行交互；

所述管控节点包括系统管理、日志管理、用户管理、权限管理、审计管理及入侵管理、规则库；

所述管控节点依据管控空节点代理与所述分布式检测节点进行通信。

所述分布式检测节点包括入侵检测服务模块、持久化服务模块、管理节点代理服务模块及规则配置文件模块；不同的分布式检测节点按照不同的入侵特征组进行分组，接受SDN交换机的流量分发及所述管控节点的检测任务调度管理与控制；

所述入侵检测服务模块用于检测进入检测节点的流量数据，当发现流量特征匹配检测规则时，触发相应的事件，并将事件记录存储到本地；

所述持久化服务模块用于将入侵检测服务记录的事件持久化到数据库；

所述管理节点代理服务模块用于管理节点代理负责与管理节点交互，为管理节点提供当前节点状态负载，供管理节点决策；为管理节点控制检测节点规则、网络状态提供接口；

所述入侵检测服务模块用于数据报文捕获，解码，预处理，特征规则的模式匹配，事件日志输出。

所述特征规则的模式匹配包括：

特征规则库的解析，从规则配置文件中依次读取每条特征文件到内存中，解析规则，用相应的规则语法表示；

在内存中对规则进行组织，建立规则语法树，使用内存中的语法树与报文匹配。

所述SDN交换网络用于通过SDN交换机对网络入口流量分发，并将流量通过流复制技术进入到多节点以形成并行IDS的所有特征组，同时每个特征组在SDN交换机使用负载均衡技术实现分流以进入到分布式的检测节点进行检测。

所述类脑计算平台包括分布式登录节点、管理节点、多个分布式并行计算节点以及存储节点；

所述分布式登录节点用于获取用户终端的计算作业请求并将所述计算作业请求发送给所述管理节点；

所述管理节点用于依据所述计算作业请求对计算任务进行分配，并将分配结果发送给多个所述分布式并行计算节点；

多个所述分布式并行计算节点用于根据所述分配结果执行并行计算；其中，每个所述分布式并行计算节点中安装有类脑计算算法程序以将非线性计算任务转化为线性计算；

所述存储节点，用于对并行计算结果进行分布式存储。

多个所述分布式并行计算节点之间通过预设的OVS全交换网络进行通信连接。

所述类脑计算算法程序的计算过程包括：

基于人脑认知功能结构，采用形式化描述方法，对预设的认知内容进行分类表征以建立对应于人脑认知功能类的知识表征体系；

根据不同表征类别的不同属性特征，建立相应的数据结构，形成分类表征的不同编码；

根据不同表征类别及编码，对不同的表征类采用不同的计算算法等进行计算和数据处理；

根据分类表征、编码及分类处理结果，基于定制的数据存储模型，对相应的数据进行压缩存储；

依据分类表征、编码和预设的分类计算算法，生成不同输入信息对应的输出信息结果值；基于预设的表函数模板形成相应结果的输入输出真值映射关系表。

在有计算任务时，采用预设的ART3自适应共振网络多级模式搜索算法，通过输入的变量值直接在所述输入输出真值映射关系表的输入空间中进行搜索；采用预设的模式相似度阈值计算方法及规则，判定输入与所述输入输出真值映射关系表中的输入模式的匹配度，根据所述匹配度确定输入对应的输出真值。

所述存储节点包括表征数据库；

所述表征数据库存储表征信息；所述表征信息是基于人脑认知功能结构，采用形式化描述方法，对预设的认知内容进行分类表征以建立对应于人脑认知功能类的知识表征体系。

所述分布式并行计算节点为类脑协处理器组件；

所述类脑协处理器组件包括深度学习处理器DPU、神经网络处理器NPU、张量处理器TPU、矢量处理器VPU中的至少一种；

或者，所述类脑协处理器组件包括至少一个支持人工神经网络计算的混合协处理器；

或者，所述类脑协处理器组件包括深度学习处理器DPU、神经网络处理器NPU、张量处理器TPU、矢量处理器VPU中的至少一种以及至少一个支持Hopfield神经网络计算的混合协处理器。

本发明的有益效果是：

实现智能化检测策略管控：管控节点动态感知检测计算节点能力，在计算节点超负载时，动态调配检测策略到其它节点，将业务流量迁移至策略调配节点。实现智能化检测流量管控：当业务流量少时，管控节点可关闭部分检测节点，迁移业务流量至生效检测节点；当业务流量大时，管控节点启用检测节点，使检测节点计算能力达到最优。实现快速实时检测：以类脑计算系统为支撑，基于高性能报文捕获，同时检测规则分发到多个检测节点，对业务流量分流处理，使所有检测节点算力达到最优，从而实现快速实时检测。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的基于类脑计算的入侵检测系统的结构示意图；

图2是本发明提供的管控节点的结构框图；

图3是本发明提供的分布式检测节点的结构框图；

图4是本发明提供的类脑计算平台的结构示意图；

图5是本发明提供的类脑计算算法的流程图；

图6为本发明提供的表函数计算算法涉及的表征模型图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明中，“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本发明所公开的原理和特征的最广范围相一致。

请参阅图1，图1是本发明提供的基于类脑计算的入侵检测系统的结构示意图。所述基于类脑计算的入侵检测系统包括管控节点、分布式检测节点、SDN交换网络及类脑计算平台。

本实施例中，入侵检测系统主要由管控节点、分布式检测节点、SDN交换网络、类脑计算平台组成。其中，所述管控节点用于分布式入侵检测节点的管理与控制。所述分布式检测节点用于对所分配的网络流量进行检测，结合类脑计算平台的支持，实时判断是否有入侵行为发生。所述SDN交换网络用于对网络流量复制和分布式分发。所述类脑计算平台提供全力支持。

所述管控节点用于对分布式入侵检测节点的管理与控制。所述管控节点支持Https接口和协议并通过web前端与用户进行交互；所述管控节点包括系统管理、日志管理、用户管理、权限管理、审计管理及入侵管理、规则库；所述管控节点依据管控空节点代理与所述分布式检测节点进行通信。

本实施例参见图2，图2是本发明提供的管控节点的结构框图，管控节点主要包括系统管理、日志管理、用户管理、权限管理、审计管理及入侵管理、规则库等功能模块；通过web前端与用户进行交互，支持Https接口和协议；以及通过管控空节点代理与检测节点进行交互。

所述分布式检测节点用于对所分配的网络流量进行检测，并结合类脑计算平台的支持，实时判断是否有入侵行为发生。所述分布式检测节点包括入侵检测服务模块、持久化服务模块、管理节点代理服务模块及规则配置文件模块；不同的分布式检测节点按照不同的入侵特征组进行分组，接受SDN交换机的流量分发及所述管控节点的检测任务调度管理与控制。

本实施例参见图3，图3是本发明提供的分布式检测节点的结构框图，分布式检测节点主要包括入侵检测服务、持久化服务、管理节点代理服务、规则配置文件等功能模块。不同的检测节点按照不同的入侵特征组进行分组，接受SDN交换机的流量分发和管控节点的检测任务调度管理与控制。

所述入侵检测服务模块用于检测进入检测节点的流量数据，当发现流量特征匹配检测规则时，触发相应的事件，并将事件记录存储到本地。

所述持久化服务模块用于将入侵检测服务记录的事件持久化到数据库；因为入侵检测服务对性能要求非常高，所以将数据持久化服务单独做成一个服务，避免数据库交互影响到入侵检测服务的性能。

所述管理节点代理服务模块用于管理节点代理负责与管理节点交互，为管理节点提供当前节点状态负载，供管理节点决策；为管理节点控制检测节点规则、网络状态提供接口。

所述入侵检测服务模块用于数据报文捕获，解码，预处理，特征规则的模式匹配，事件日志输出。所述入侵检测服务模块为入侵检测系统的核心模块。主要包括：数据报文捕获，解码，预处理，特征规则匹配，事件日志输出等功能。

其中，所述特征规则的模式匹配包括：

特征规则库的解析，从规则配置文件中依次读取每条特征文件到内存中，解析规则，用相应的规则语法表示；

在内存中对规则进行组织，建立规则语法树，使用内存中的语法树与报文匹配。

本实施例中，基于规则的模式匹配是入侵检测的核心机制，入侵检测过程分为2大步骤：（1）特征规则库的解析，从规则配置文件中依次读取每条特征文件到内存中，解析规则，用相应的规则语法表示；（2）在内存中对规则进行组织，建立规则语法树，使用内存中的语法树与报文匹配。

所述SDN交换网络用于对网络流量进行复制和/或分布式分发。所述SDN交换网络用于通过SDN交换机对网络入口流量分发，并将流量通过流复制技术进入到多节点以形成并行IDS的所有特征组，同时每个特征组在SDN交换机使用负载均衡技术实现分流以进入到分布式的检测节点进行检测。

本实施例中，所述SDN交换网络用于对网络流量复制和分布式分发。主要采用SDN交换机对网络入口流量通过流复制技术进入到多节点并行IDS的所有特征组，同时每个特征组在SDN交换机使用负载均衡技术实现分流进入到分布式的检测节点进行检测。基于所述SDN交换网络，每个节点的检测任务和进入流量是优化的，同一组会话报文通过单个检测节点检测的时间缩短，单个检测节点对报文检测时间几乎等于分布式系统检测时间，提高了入侵检测实时性。

在系统工作时，首先对需要进行入侵检测的业务网络配置镜像，把网络数据导入到本发明的入侵检测系统中。在入侵检测系统里，待检测网络流量先进入安全交换机，由安全交换机将复制到每个特征分组，并在同一特征组进行负载分流到分布式的多个检测节点，使用类脑计算平台的分布式检测节点快速完成检测并通知管理节点，管理节点完成记录、告警并提供审计。

分布式的每个检测节点的检测速度受三个主要因素影响，包括进入接口的流量、获取接口数据的效率以及检测特征的数量。本发明入侵检测系统已通过流复制和分流技术降低了单个检测节点的检测特征的数量和进入接口的流量，且在类脑计算平台的支持下，分布式的档检测节点可以使用一般配置的计算机，调用类脑计算平台的计算接口，即可完成检测。这样，基于SDN交换机的容量，本发明将会有很好弹性的横向扩充能力，可以按需增加检测节点。当流量过大时，可以在每个特征组增加检测节点，以分担流量；当检测特征更新并增加很多时，可以增加多个检测节点加入增加的特征组中。

所述类脑计算平台用于对所述管控节点、所述分布式检测节点及所述SDN交换网络提供算力支持。

参见图4，图4是本发明提供的类脑计算平台的结构示意图，图示的类脑计算平台包括分布式登录节点、管理节点、多个分布式并行计算节点以及存储节点。

所述分布式登录节点用于获取用户终端的计算作业请求并将所述计算作业请求发送给所述管理节点。

本实施例中，所述登录节点具体用于：对所述用户终端发起的操作指令进行编译和参数配置，以便生成所述计算作业请求。

所述管理节点用于依据所述计算作业请求对计算任务进行分配，并将分配结果发送给多个所述分布式并行计算节点。

本实施例中，管理节点支持大规模多节点输入。

多个所述分布式并行计算节点用于根据所述分配结果执行并行计算；其中，每个所述分布式并行计算节点中安装有类脑计算算法程序以将非线性计算任务转化为线性计算。

本实施例中，多个分布式计算节点支持大规模并行处理；其中，每个计算节点安装有表函数映射计算等类脑计算算法程序，能够将复杂的非线性计算任务转化为线性计算，可快速给出计算结果，大大提高复杂任务的计算速度。所述多个分布式计算节点，还用于从所述存储节点中获取所述并行计算结果，根据所述并行计算结果将对应的计算任务的状态进行更新，并将所述并行计算结果和状态更新结果反馈给所述管理节点。

所述存储节点，用于对并行计算结果进行分布式存储。

多个所述分布式并行计算节点之间通过预设的OVS全交换网络进行通信连接。

本实施例中，所述多个分布式计算节点之间以及多个分布式存节点之间通过构建的OVS（英文名：Open vSwitch）全交换网络进行通信连接，支持全交换网络协议，能够实现边计算边通信。

参见图5，图5是本发明提供的类脑计算算法的流程图，所述类脑计算算法程序的计算过程包括：

步骤301、基于人脑认知功能结构，采用形式化描述方法，对预设的认知内容进行分类表征以建立对应于人脑认知功能类的知识表征体系。

本实施例中，本步骤为认知的分类表征。参见图6，图6为本发明提供的表函数计算算法涉及的表征模型图，基于人脑认知功能结构，采用形式化描述方法，对物理世界（或问题空间）的认知内容进行分类表征（或描述），建立对应于人脑认知功能类的知识表征体系。本步骤主要基于学科分类表，构建信息分类基本类。依据基本类的划分，以及相应基本类的不同属性按人脑功能的66个分区进行映射，继承脑功能结构的类间连接关系，形成信息分类的属性类及连接关系。采用一定的形式化方法对基本类和属性特征类进行表征，包含运动、色彩、空间拓扑结构、时间序列、语言、热、声、光、点、磁、能等，形成数值、符号、图像、语音、视频等表征结果。覆盖知识图相关信息，以及相关知识体系。

步骤302、根据不同表征类别的不同属性特征，建立相应的数据结构，形成分类表征的不同编码。

本实施例中，本步骤为表征的编码。根据不同表征类别的不同属性特征，建立相应的数据结构，形成分类表征的不同编码。本步骤主要对分类表征的不同属性特征类定义不同的数据结构，如空间拓扑结构的数据结构，语言的数据结构，声音的数据结构等，形成脑功能分区的对应属性类特征数据结构。对应不同属性类特征数据结构进行编码，不同的编码对应不同的数据结构。

步骤303、根据不同表征类别及编码，对不同的表征类采用不同的计算算法等进行计算和数据处理。

本实施例中，本步骤为表征的分类计算。根据不同表征类别及编码，对不同的表征类采用不同的计算算法等进行计算和数据处理。本步骤针对表征类别和属性特征编码，构建相应的处理算法对该类数据进行计算。如数值类处理算法、符号类处理算法、语音类处理算法、图像类处理算法等。然后针对不同的表征类别及编码输入信息，调用不同的算法进行计算和处理。

步骤304、根据分类表征、编码及分类处理结果，基于定制的数据存储模型，对相应的数据进行压缩存储。

本实施例中，本步骤为表征的存储。根据分类表征、编码及分类处理结果，基于定制的数据存储模型，对相应的数据进行压缩存储，支持指数级的快速存取。本步骤主要根据存算一体，以及快速存取需要，结合分类表征及属性特征数据的特点，构建相应数据存储模型。主要表现为依据不同的数值、符号、图像、语音、视频等类型，以及不同类型的运动、色彩、空间拓扑结构、时间序列、语言、热、声、光、点、磁、能等特征属性数据，采用可扩展存储模型，如一维无限深势阱模型，对不同表征分类的属性特征的数据分别建模。然后再针对不同表征类型的数据，采用不同的数据压缩方式，对该表征类数据进行存储。

步骤305、依据分类表征、编码和预设的分类计算算法，生成不同输入信息对应的输出信息结果值；基于预设的表函数模板形成相应结果的输入输出真值映射关系表。

本实施例中，本步骤为存算一体的输入输出函数映射关系表生成。依据分类表征、编码和分类计算算法，离线计算生成不同输入信息对应的输出信息结果值；基于统一的表函数模板，形成相应结果的输入输出真值映射关系表。本步骤主要将不同类别的表征信息集作为输入集。依据分类表征、编码和分类计算算法，采用网格化方法，对网格划分的每一个输入值，离线计算生成对应的输出信息结果值。遍历整个输入集的网格输入值，生成对应结果值输出集。然后基于统一的表函数模板，形成相应结果的输入输出真值映射关系表。所述表函数模板简单的可用二维表实现或多维表实现，具体根据数据类型和映射关系在实际实现时具体设计。最终生成存算一体的忆算数据库，支持指数级的快速存取。

步骤306、在有计算任务时，采用预设的ART3自适应共振网络多级模式搜索算法，通过输入的变量值直接在所述输入输出真值映射关系表的输入空间中进行搜索；采用预设的模式相似度阈值计算方法及规则，判定输入与所述输入输出真值映射关系表中的输入模式的匹配度，根据所述匹配度确定输入对应的输出真值。

本实施例中，本步骤为搜索匹配计算。在有计算任务时，采用ART3（AdaptiveResonance Theory network 3）自适应共振网络3多级模式搜索算法，通过输入的变量值直接在真值映射表的输入空间中进行搜索；采用模式相似度阈值计算方法及规则，判定输入与映射表中的输入模式进行匹配度；根据满足匹配的输入对应的输出真值即为计算结果值，可直接输出。

所述存储节点包括表征数据库；所述表征数据库存储表征信息；所述表征信息是基于人脑认知功能结构，采用形式化描述方法，对预设的认知内容进行分类表征以建立对应于人脑认知功能类的知识表征体系。

本实施例中，存储节点用于对并行计算结果进行分布式存储，支持大规模并行存储；其中，每个存储节点上运行了表征数据库；所述表征数据库存储的是表征信息；所述表征信息是基于人脑认知功能结构，采用形式化描述方法，对物理世界（或问题空间）的认知内容进行分类表征（或描述），而建立起来的对应于人脑认知功能类的知识表征体系；支持指数级数据存取速度。

所述分布式并行计算节点为类脑协处理器组件；所述类脑协处理器组件包括深度学习处理器DPU、神经网络处理器NPU、张量处理器TPU、矢量处理器VPU中的至少一种；

或者，所述类脑协处理器组件包括至少一个支持人工神经网络计算的混合协处理器；

或者，所述类脑协处理器组件包括深度学习处理器DPU、神经网络处理器NPU、张量处理器TPU、矢量处理器VPU中的至少一种以及至少一个支持Hopfield神经网络计算的混合协处理器。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于类脑计算的入侵检测系统，其特征在于，包括管控节点、分布式检测节点、SDN交换网络及类脑计算平台；

所述管控节点用于对分布式入侵检测节点的管理与控制；

所述分布式检测节点用于对所分配的网络流量进行检测，并结合类脑计算平台的支持，实时判断是否有入侵行为发生；

所述SDN交换网络用于对网络流量进行复制和/或分布式分发；

所述类脑计算平台用于对所述管控节点、所述分布式检测节点及所述SDN交换网络提供算力支持。

2.如权利要求1所述的入侵检测系统，其特征在于，所述管控节点支持Https接口和协议并通过web前端与用户进行交互；

所述管控节点包括系统管理、日志管理、用户管理、权限管理、审计管理及入侵管理、规则库；

所述管控节点依据管控空节点代理与所述分布式检测节点进行通信。

3.如权利要求1所述的入侵检测系统，其特征在于，所述分布式检测节点包括入侵检测服务模块、持久化服务模块、管理节点代理服务模块及规则配置文件模块；不同的分布式检测节点按照不同的入侵特征组进行分组，接受SDN交换机的流量分发及所述管控节点的检测任务调度管理与控制；

所述入侵检测服务模块用于检测进入检测节点的流量数据，当发现流量特征匹配检测规则时，触发相应的事件，并将事件记录存储到本地；

所述持久化服务模块用于将入侵检测服务记录的事件持久化到数据库；

所述管理节点代理服务模块用于管理节点代理负责与管理节点交互，为管理节点提供当前节点状态负载，供管理节点决策；为管理节点控制检测节点规则、网络状态提供接口；

所述入侵检测服务模块用于数据报文捕获，解码，预处理，特征规则的模式匹配，事件日志输出。

4.如权利要求3所述的入侵检测系统，其特征在于，所述特征规则的模式匹配包括：

特征规则库的解析，从规则配置文件中依次读取每条特征文件到内存中，解析规则，用相应的规则语法表示；

在内存中对规则进行组织，建立规则语法树，使用内存中的语法树与报文匹配。

5.如权利要求1所述的入侵检测系统，其特征在于，所述SDN交换网络用于通过SDN交换机对网络入口流量分发，并将流量通过流复制技术进入到多节点以形成并行IDS的所有特征组，同时每个特征组在SDN交换机使用负载均衡技术实现分流以进入到分布式的检测节点进行检测。

6.如权利要求1所述的入侵检测系统，其特征在于，所述类脑计算平台包括分布式登录节点、管理节点、多个分布式并行计算节点以及存储节点；

所述分布式登录节点用于获取用户终端的计算作业请求并将所述计算作业请求发送给所述管理节点；

所述管理节点用于依据所述计算作业请求对计算任务进行分配，并将分配结果发送给多个所述分布式并行计算节点；

多个所述分布式并行计算节点用于根据所述分配结果执行并行计算；其中，每个所述分布式并行计算节点中安装有类脑计算算法程序以将非线性计算任务转化为线性计算；

所述存储节点，用于对并行计算结果进行分布式存储。

7.如权利要求6所述的入侵检测系统，其特征在于，多个所述分布式并行计算节点之间通过预设的OVS全交换网络进行通信连接。

8.如权利要求6所述的入侵检测系统，其特征在于，所述类脑计算算法程序的计算过程包括：

基于人脑认知功能结构，采用形式化描述方法，对预设的认知内容进行分类表征以建立对应于人脑认知功能类的知识表征体系；

根据不同表征类别的不同属性特征，建立相应的数据结构，形成分类表征的不同编码；

根据不同表征类别及编码，对不同的表征类采用不同的计算算法等进行计算和数据处理；

根据分类表征、编码及分类处理结果，基于定制的数据存储模型，对相应的数据进行压缩存储；

依据分类表征、编码和预设的分类计算算法，生成不同输入信息对应的输出信息结果值；基于预设的表函数模板形成相应结果的输入输出真值映射关系表；

在有计算任务时，采用预设的ART3自适应共振网络多级模式搜索算法，通过输入的变量值直接在所述输入输出真值映射关系表的输入空间中进行搜索；采用预设的模式相似度阈值计算方法及规则，判定输入与所述输入输出真值映射关系表中的输入模式的匹配度，根据所述匹配度确定输入对应的输出真值。

9.如权利要求6所述的入侵检测系统，其特征在于，所述存储节点包括表征数据库；

所述表征数据库存储表征信息；所述表征信息是基于人脑认知功能结构，采用形式化描述方法，对预设的认知内容进行分类表征以建立对应于人脑认知功能类的知识表征体系。

10.如权利要求9所述的入侵检测系统，其特征在于，所述分布式并行计算节点为类脑协处理器组件；

所述类脑协处理器组件包括深度学习处理器DPU、神经网络处理器NPU、张量处理器TPU、矢量处理器VPU中的至少一种；

或者，所述类脑协处理器组件包括至少一个支持人工神经网络计算的混合协处理器；

或者，所述类脑协处理器组件包括深度学习处理器DPU、神经网络处理器NPU、张量处理器TPU、矢量处理器VPU中的至少一种以及至少一个支持Hopfield神经网络计算的混合协处理器。

Images