CN101997830A - 一种分布式入侵检测方法、装置和*** - Google Patents

Abstract

本发明涉及网络通信领域，尤其涉及一种分布式入侵检测方法、装置和***。该方法包括，采集自身的流量信息，生成流量表；根据所述流量表计算预警信息；当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，更新流量表和预警信息；当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，更新流量表和预警信息；当所述预警信息满足预警条件时，进行入侵预警。采用本发明实施例提供的技术方案，因为在预警信息满足邻居通信条件时只需要获取邻居节点的流量信息，减小了分布式入侵检测中的数据通信量，降低了分布式入侵检测对网络性能的影响。

Description

一种分布式入侵检测方法、装置和***

技术领域

本发明涉及网络通信领域，尤其涉及一种分布式入侵检测方法、装置和***。

背景技术

拒绝服务(Denial of Service，DoS)是一种很简单但又很有效的网络攻击方式。DoS的目的是拒绝服务访问，破坏组织的正常运行，最终它会使部分网络连接或网络***失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。例如，攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

分布式拒绝服务(Distributed Denial of Service，DDoS)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政府部门的站点。DoS攻击只要一台联网的计算机就可实现，而DDoS攻击利用一批受控制的计算机向被攻击站点发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

DDoS攻击过程如下：①攻击者扫描大量主机，以寻找可控制的主机；②攻击者入侵可控制的主机并获取控制权，在各台受控制的主机中安装攻击程序；③攻击者发布攻击命令，各台受控制的主机对目标站点发起攻击。

常见的拒绝服务攻击类型有同步(synchronize，SYN)洪泛(Flood)攻击、用户数据报协议(User Datagram Protocol)洪泛攻击和网际控制报文协议(Internet Control Mes sage Protocol，ICMP)洪泛攻击。

SYN Flood是当前最流行的DoS与DDoS的方式之一，这是一种利用传输控制协议(Transmission Control Protocol，TCP)的缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式，例如导致中央处理器(Central Processing Unit，CPU)满负荷或内存不足。

UDP Flood攻击是基于主机的DoS攻击的一种。UDP是一种无连接的协议，而且它不需要用任何程序建立连接来传输数据。当被攻击***接收到一个UDP数据包的时候，它会确定目的端口正在等待中的应用程序。如果向被攻击***发送了足够多的UDP数据包，被攻击***就会瘫痪。

所有针对ICMP协议漏洞发起的攻击，被称为ICMP Flood攻击。其中最常见的就是死亡之Ping(Ping of death)攻击。Ping of death攻击利用协议实现时的漏洞，向被攻击***发送超长的Ping数据包，导致被攻击***异常。

入侵检测***分为3种：主机型、网络型、分布式入侵检测***，分布式入侵检测***结合了前面两种入侵检测***的主要功能，因为集中式入侵检测***无法同时对付来自网络内部和网络外部的攻击，分布式的入侵检测***逐步取代了集中式的入侵检测***。

分布式入侵检测中通信是一个很重要的问题。现有的分布式入侵检测方法在每个网络节点上设置检测部件用于收集信息，并将收集的信息相互共享或发送给中央节点处理。采用信息共享的入侵检测处理方式，网络中用于入侵检测的数据通信量大，影响网络性能。采用中央节点集中处理的入侵检测方式，中央节点的通信和处理能力会成为入侵检测***的瓶颈。

发明内容

本发明实施例的目的是提供一种分布式入侵检测方法、装置和***，用以解决分布式入侵检测中数据通信量大影响网络性能的问题。

本发明实施例的目的是通过以下技术方案实现的：

一种分布式入侵检测方法，包括：

采集自身的流量信息，生成流量表，所述流量表包括网络中所有网络节点的流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息；

根据所述流量表计算预警信息；

当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，根据所述邻居节点的流量信息和流量信息采集时间更新流量表和预警信息；

当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，根据所述全局节点的流量信息和流量信息采集时间更新流量表和预警信息；

当所述预警信息满足预警条件时，进行入侵预警。

一种网络节点，包括，采集模块、生成模块、计算模块、第一获取模块、第二获取模块和预警模块；其中，

所述采集模块，用于采集所述网络节点自身的流量信息；

所述生成模块，用于根据所述流量信息生成流量表，所述流量表包括网络中所有网络节点的流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息；

所述计算模块，用于根据所述流量表计算预警信息；

所述第一获取模块，用于当流量表仅包括网络节点自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，使所述生成模块根据所述邻居节点的流量信息和流量信息采集时间更新流量表并使所述计算模块更新预警信息；

所述第二获取模块，用于当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，使所述生成模块根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使所述计算模块更新预警信息；

所述预警模块，用于当所述预警信息满足预警条件时，进行入侵预警。

一种分布式入侵检测***，包括至少三个网络节点，并且其中至少两个网络节点不相邻；其中，

所述网络节点，用于采集所述网络节点自身的流量信息，生成流量表，所述流量表包括网络中所有网络节点的流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息，根据所述流量表计算预警信息，当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，根据所述邻居节点的流量信息和流量信息采集时间更新流量表和预警信息，当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，根据所述全局节点的流量信息和流量信息采集时间更新流量表和预警信息，当所述预警信息满足预警条件时，进行入侵预警。

采用本发明实施例提供的技术方案，因为根据预警信息对流量信息的通信进行分级触发，降低了获取全局节点的流量信息的频率，并且在预警信息满足邻居通信条件时获取邻居节点的流量信息，保证了分布式入侵检测的可靠性，因此在保证分布式入侵检测的可靠性的前提下，减小了分布式入侵检测中的数据通信量，降低了分布式入侵检测对网络性能的影响。

附图说明

图1为本发明一个实施例中分布式入侵检测方法流程图；

图2为本发明实施例的一个具体应用场景中获取邻居节点的流量信息的流程图；

图3为本发明实施例的一个具体应用场景中获取全局节点的流量信息的流程图；

图4为本发明实施例的另一个具体应用场景中获取全局节点的流量信息的流程图；

图5为本发明另一个实施例中网络节点框图；

图6为本发明另一个实施例的一个具体应用场景中第一获取模块框图；

图7为本发明另一个实施例的一个具体应用场景中第二获取模块框图；

图8为本发明另一个实施例的另一个具体应用场景中第二获取模块框图；

图9为本发明又一个实施例中分布式入侵检测***框图。

具体实施方式

图1为本发明一个实施例中分布式入侵检测方法流程图。该方法包括：

102、采集自身的流量信息，生成流量表。

网络节点采集自身的流量信息，流量信息包括，输入包速率；SYN请求包输入速率和SYN确认包输入速率；ICMP包速率；UDP包输入速率中的至少一种。这些流量信息可以是原始值，也可以经过适当的处理。例如，对流量信息进行离散化处理。举例来说，所有的流量信息都量化为8个级别，也就是最终得到的流量信息都属于集合{0，1，2，3，4，5，6，7}。对流量信息的原始值进行离散化处理的方法可以是建立固定的映射关系，例如将某一个范围内的原始值固定的映射到一个特定的离散化流量信息值；也可以建立动态的映射关系，例如，以日、星期、月为周期统计不同时段的流量信息，在网络较为繁忙的时段提高映射到一个特定的离散化流量信息值的原始值的范围的上限，在网络较为空闲的时段降低该上限。网络节点可以周期性的采集自身的流量信息。

将流量信息、流量信息采集时间、采集该流量信息的网络节点的地址、邻居节点信息以及一些可选信息生成流量表，所述邻居节点信息表示流量信息是否属于流量表所在的网络节点的邻居节点。例如，可选信息可以是流量流向、新鲜度等信息中的一种或多种。所述新鲜度表示流量信息是否超过了时效，例如，设置时效为采集后5分钟，则流量信息采集时间在当前时间之前5分钟的流量信息无效，设置新鲜度为0或1以表示流量信息无效，新鲜度可以作为可选信息列在流量表中，也可以在需要时即时计算。时效通常应当比流量信息的采集周期大。当收到其他节点的流量信息、流量信息采集时间及可选信息时，也将这些信息更新到流量表中。

在本发明实施例的一个具体应用场景中，网络中共有n个已知的网络节点，例如，当网络节点没有收到过其他节点的流量信息、流量信息采集时间等信息时，当n＝1，流量表只有一行。流量信息包括输入包速率、SYN请求包输入速率、SYN确认包输入速率、ICMP包速率和UDP包输入速率，则流量表可以表示为：

${\mathrm{FM}}_n=\begin{array}{ccccccccc}{\mathrm{IPR}}_0& {\mathrm{SYN}}_0& {\mathrm{ACK}}_0& {\mathrm{ICMP}}_0& {\mathrm{UDP}}_0& {\mathrm{IP}}_0& N_0& T_0& {\mathrm{OTH}}_0\\ {\mathrm{IPR}}_1& {\mathrm{SYN}}_1& {\mathrm{ACK}}_1& {\mathrm{ICMP}}_1& {\mathrm{UDP}}_1& {\mathrm{IP}}_1& N_1& T_1& {\mathrm{OTH}}_1\\ & & & \·& & & & & \\ & & & \·& & & & & \\ & & & \·& & & & & \\ {\mathrm{IPR}}_{n-1}& {\mathrm{SYN}}_{n-1}& {\mathrm{ACK}}_{n-1}& {\mathrm{ICMP}}_{n-1}& {\mathrm{UDP}}_{n-1}& {\mathrm{IP}}_{n-1}& N_{n-1}& T_{n-1}& {\mathrm{OTH}}_{n-1}\end{array}$

其中，IPR₀至IPR_n-1为n个网络节点的输入包速率，SYN₀至SYN_n-1为n个网络节点的SYN请求包输入速率，ACK₀至ACK_n-1为n个网络节点的SYN确认包输入速率，ICMP₀至ICMP_n-1为n个网络节点的ICMP包速率，UDP₀至UDP_n-1为n个网络节点的UDP包输入速率，IP₀至IP_n-1为n个网络节点的IP地址，N₀至N_n-1为n个网络节点的邻居节点信息，T₀至T_n-1为n个网络节点的流量信息采集时间，OTH₀至OTH_n-1为n个网络节点的可选信息，所述可选信息可以是一个或多个。其中所有的流量信息都量化为8个级别，即流量信息都属于集合{0，1，2，3，4，5，6，7}。

104、根据所述流量表计算预警信息。

网络节点根据流量表计算预警信息，预警信息可以按照可能受到入侵的种类分别计算。

根据已知的各个网络节点的流量信息的流量信息采集时间或新鲜度计算准确度信息α。定义准确度信息α的目的在于降低网络节点获取邻居节点或全局节点的流量信息的频率，从而降低数据通信量，减少对网络性能的影响。举例来说，最简单的准确度信息α＝m/n，m表示所有已知的网络节点中m个网络节点的流量信息未超过时效，n表示已知的网络节点的总数。其他与流量信息采集时间相关的，用于确定网络节点是否获取邻居节点或全局节点的流量信息的信息，都可以作为准确度信息。

根据输入包速率IPR₀至IPR_n-1计算洪泛攻击预警信息。为了对分布式拒绝服务攻击做出预警，需要利用网络中各个已知的网络节点的输入包速率计算洪泛攻击预警信息，举例来说，最简单的洪泛攻击预警信息就是对各个网络节点的输入包速率平均。

类似的，当流量表中包括所需信息时，还可以根据SYN请求包输入速率和SYN确认包输入速率计算SYN洪泛攻击预警信息；根据ICMP包速率计算ICMP洪泛攻击预警信息；根据UDP包速率计算UDP洪泛攻击预警信息。

例如，在本发明实施例的一个具体应用场景中，总共有n个已知的网络节点，其中m个网络节点的流量信息未超过时效，给出一种准确度信息α的定义，

其中

表示向下取整，例如，z为整数，若z≤x＜z+1，则

从α的定义可以看出，因为至少网络节点自身的流量信息总是有效的，m＞0，所以0＜α≤1，并且当m＞n/2即一半以上的已知的网络节点的流量信息有效时，α＝1。这表示在本发明实施例的该具体应用场景中，有一半以上的已知的网络节点的流量信息有效就可以认为预警信息的计算结果可以准确地描述入侵情况。

根据输入包速率IPR₀至IPR_n-1计算洪泛攻击预警信息。

洪泛攻击预警信息

其中，分子中累加的是所有已知的网络节点中流量信息未超过时效的m个网络节点的输入包速率。在本发明实施例的该具体应用场景中，IPR_i∈{0，1，2，3，4，5，6，7}，因此Flood为整数，且0≤Flood≤3。

根据SYN请求包输入速率SYN₀至SYN_n-1和SYN确认包输入速率ACK₀至ACK_n-1计算SYN洪泛攻击预警信息。

$S_i=\left|{\log }_2\frac{{\mathrm{ACK}}_i+\mathrm{\α}}{{\mathrm{SYN}}_i+\mathrm{\α}}\right|,$

其中，分子中累加的是所有已知的网络节点中流量信息未超过时效的m个网络节点的S_i。

SYN洪泛攻击预警信息 $\mathrm{SYN}=\left\{\begin{array}{cc}\stackrel{\&OverBar;}{S}& \stackrel{\&OverBar;}{S}<4\\ 3& \stackrel{\&OverBar;}{S}\&GreaterEqual;4\end{array}\right.,$

在本发明实施例的该具体应用场景中，SYN_i∈{0，1，2，3，4，5，6，7}，因此当α＝1时，0≤S_i≤3。α＜1时，S_i可以大于3，0≤SYN≤3。根据ICMP包速率ICMP₀至ICMP_n-1计算ICMP洪泛攻击预警信息。

ICMP洪泛攻击预警信息

其中，分子中累加的是所有已知的网络节点中流量信息未超过时效的m个网络节点的ICMP包速率。在本发明实施例的该具体应用场景中，ICMP_i∈{0，1，2，3，4，5，6，7}，因此ICMP为整数，且0≤ICMP≤3。

根据UDP包速率UDP₀至UDP_n-1计算UDP洪泛攻击预警信息。UDP洪泛攻击预警信息

其中，分子中累加的是所有已知的网络节点中流量信息未超过时效的m个网络节点的UDP包速率。在本发明实施例的该具体应用场景中，UDP_i∈{0，1，2，3，4，5，6，7}，因此UDP为整数，且0≤UDP≤3。

106、进行预警信息判断。

当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时执行108，当所述预警信息满足全局通信条件时执行110，当所述预警信息满足预警条件时执行112。

108、当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，根据所述邻居节点的流量信息和流量信息采集时间更新流量表和预警信息。

举例来说，当网络节点自身为新加入的节点时，流量表仅包括自身的流量信息，网络节点获取邻居节点的流量信息，根据邻居节点的流量信息更新流量表，根据更新后的流量表计算更新后的预警信息。与通常利用流量表中的邻居节点信息向邻居节点获取邻居节点的流量信息不同的是，此时网络节点自身为新加入的节点，没有更新过流量表中的邻居节点信息，因此网络节点需要根据加入网络时的初始设置获取邻居节点的地址，通常该初始设置是网络节点加入网络时人工设置的。

或者，当预警信息和准确度信息满足邻居通信条件，但不满足全局通信条件并且不满足预警条件时，网络节点获取邻居节点的流量信息和流量信息采集时间，根据邻居节点的流量信息和流量信息采集时间更新流量表，根据更新后的流量表计算更新后的预警信息。

在本发明实施例的一个具体应用场景中，洪泛攻击预警信息、SYN洪泛攻击预警信息、ICMP洪泛攻击预警信息和UDP洪泛攻击预警信息都是在0至3之间的整数，定义邻居通信条件为洪泛攻击预警信息Flood等于1并且准确度信息α＜0.5。根据需要也可以定义其他邻居通信条件，例如，定义邻居通信条件为Flood、SYN、ICMP和UDP都小于2，Flood、SYN、ICMP、UDP中至少一个等于1并且准确度信息α＜0.5。规定准确度信息α的范围是为了抑制过于频繁的进行邻居通信，因此α的范围条件可以根据准确度信息的定义和对准确度的实际需要确定。也可以直接以流量表中的邻居节点的流量信息采集时间或新鲜度的条件代替准确度信息条件，例如规定只有流量表中的邻居节点的流量信息一半以上无效时才满足邻居通信条件。如果预警信息的表示不是离散的，也可以定义当预警信息在预先设定的区间内时，预警信息满足邻居通信条件，例如，定义邻居通信条件为0.5＜Flood＜1.5并且准确度信息α＜0.5。

110、当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，根据所述全局节点的流量信息更新流量表和预警信息。

举例来说，当预警信息和准确度信息满足全局通信条件，但不满足预警条件时，网络节点获取全局节点的流量信息和流量信息采集时间，根据全局节点的流量信息和流量信息采集时间更新流量表，根据更新后的流量表计算更新后的预警信息。

在本发明实施例的一个具体应用场景中，洪泛攻击预警信息、SYN洪泛攻击预警信息、ICMP洪泛攻击预警信息和UDP洪泛攻击预警信息都是在0至3之间的整数，定义全局通信条件为Flood等于2并且准确度信息α＜0.5。根据需要也可以定义其他全局通信条件，例如，定义全局通信条件为Flood、SYN、ICMP和UDP都小于3，Flood、SYN、ICMP、UDP中至少一个等于2并且准确度信息α＜0.5。规定准确度信息α的范围是为了抑制过于频繁的进行全局通信，因此α的范围条件可以根据准确度信息的定义和对准确度的实际需要确定。如果预警信息的表示不是离散的，也可以定义当预警信息在预先设定的区间内时，预警信息满足全局通信条件，例如，定义全局通信条件为1.5＜Flood＜2.5并且准确度信息α＜0.5。

112、当所述预警信息满足预警条件时，进行入侵预警。

在本发明实施例的一个具体应用场景中，洪泛攻击预警信息、SYN洪泛攻击预警信息、ICMP洪泛攻击预警信息和UDP洪泛攻击预警信息都是在0至3之间的整数，可以定义全局通信条件为Flood等于3。根据需要也可以定义其他全局通信条件，例如，定义全局通信条件为Flood、SYN、ICMP、UDP中至少一个等于3。如果预警信息的表示不是离散的，也可以定义当预警信息在预先设定的区间内时，预警信息满足预警条件，例如，定义全局通信条件为Flood＞2.5。当预警信息满足预警条件时，认为此时检测到了入侵，进行入侵预警。

图2为本发明实施例的一个具体应用场景中获取邻居节点的流量信息的流程图，包括：

202、向邻居节点发送流量信息请求报文。

当流量表仅包括自身的流量信息时，网络节点根据加入网络时的初始设置获取邻居节点的地址，向邻居节点发送流量信息请求报文；当预警信息满足邻居通信条件时，网络节点根据邻居节点信息向邻居节点发送流量信息请求报文。所述流量信息请求报文还可以包括发送所述流量信息请求报文的网络节点的地址。邻居节点信息是流量表中记录的信息，表明该行记录的流量信息所属的网络节点是否能够与记录所述流量表的网络节点直接通信，即当某个网络节点的邻居节点信息为“是”时，表明该网络节点与记录所述流量表的网络节点有直接逻辑链路相连。

204、邻居节点根据流量信息请求报文更新自身的邻居节点信息。

邻居节点接收到流量信息请求报文后，检查自身的邻居节点信息中是否含有发送所述流量信息请求报文的网络节点的地址，如果没有，则将发送该流量信息请求报文的网络节点添加到该邻居节点自身的邻居节点信息中，这里的流量信息请求报文的网络节点的地址可以是流量信息请求报文携带的，也可以是指流量信息请求报文的报文头中的源地址。举例来说，如果邻居节点自身的流量表中没有发送所述流量信息请求报文的网络节点的信息，则增加一行存储该网络节点的信息，并且该行的邻居节点信息为“是”，如果邻居节点自身的流量表已经包括了该网络节点的信息，但是该网络节点的邻居节点信息显示“否”，则将网络节点的邻居节点信息修改为“是”。

206、接收邻居节点发送的流量信息响应报文。

邻居节点向流量信息请求报文中的网络节点的地址发送流量信息响应报文，所述流量信息响应报文包括所述邻居节点的流量信息、流量信息采集时间，这里的流量信息请求报文的网络节点的地址可以是流量信息请求报文携带的，也可以是指流量信息请求报文的报文头中的源地址。流量信息响应报文还可以包括所述邻居节点的地址。

208、获取所述流量信息响应报文中的所述邻居节点的流量信息和流量信息采集时间，更新流量表。

网络节点从流量信息响应报文中获取邻居节点的流量信息和流量信息采集时间，根据这些信息更新流量表，根据更新后的流量表计算更新后的预警信息。更新流量表的方法和计算更新后的预警信息的方法与104、106相似，不再赘述。

图3为本发明实施例的一个具体应用场景中获取全局节点的流量信息的流程图，包括：

302、发起全局流量通信的网络节点根据邻居节点信息向所有邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符。

当预警信息满足全局通信条件时，发起全局流量通信的网络节点根据邻居节点信息向邻居节点发送流量信息请求报文，与满足邻居通信条件时不同的是，流量信息请求报文包括全局标识符。该全局标识符既可以表明该流量信息请求报文是向所有网络节点请求流量信息的报文，也可以区分不同网络节点、不同时间发起的全局的流量信息请求，使得各网络节点不重复转发流量信息请求报文和流量信息响应报文。

304、当每个邻居节点第一次收到所述流量信息请求报文时，根据自身的邻居节点信息向自身的邻居节点转发所述流量信息请求报文。对于是否是第一次收到所述流量信息请求报文，可以根据全局标识符进行判断。

可选的，上述流量信息请求报文还可以包括所述发起全局流量通信的网络节点的地址，邻居节点接收到流量信息请求报文后，可以检查自身的流量表中是否含有所述发起全局流量通信的网络节点，如果没有，则可以将所述发起全局流量通信的网络节点添加到流量表中，流量表中该行的信息仅包括该网络节点的地址，其他信息为缺省值。

306、发起全局流量通信的网络节点的每个邻居节点向自身的所有邻居节点(可以包括所述发起全局流量通信的网络节点)发送一级流量信息响应报文，所述一级流量信息响应报文包括发送所述一级流量信息响应报文的邻居节点的流量信息、流量信息采集时间、地址和所述全局标识符。

308、发起全局流量通信的网络节点的每个邻居节点接收二级流量信息响应报文。

二级流量信息响应报文是指邻居节点自身的任一邻居节点接收到流量信息请求报文后，向该邻居节点发送的流量信息响应报文，或者是邻居节点的任一邻居节点接收到其他网络节点发送或转发的流量信息响应报文后，向该邻居节点转发的该流量信息响应报文。二级流量信息响应报文包括网络中收到所述流量信息请求报文的某一个网络节点的流量信息、流量信息采集时间、所述网络节点的地址和所述全局标识符。

310、当某个邻居节点第一次收到一条二级流量信息响应报文时，根据所述二级流量信息响应报文更新自身的流量表，并向自身的所有邻居节点转发所述二级流量信息响应报文。对于是否是第一次收到所述二级流量信息响应报文，可以根据所述二级流量信息响应报文中的网络节点的地址和全局标识符进行判断。

312、发起全局流量通信的网络节点接收所述邻居节点发送的一级流量响应报文或转发的二级流量响应报文。

所述一级流量信息响应报文是指发起全局流量通信的网络节点的所有邻居节点直接向所述发起全局流量通信的网络节点发送的流量信息响应报文。

314、发起全局流量通信的网络节点根据邻居节点信息向邻居节点转发所述一级流量信息响应报文或二级流量信息响应报文。在通常的网络拓扑中，该步骤可以省略。

316、发起全局流量通信的网络节点获取接收到的一级流量信息响应报文或二级流量信息响应报文中的流量信息和流量信息采集时间，根据这些流量信息和流量信息采集时间更新流量表，根据更新后的流量表计算更新后的预警信息。更新流量表的方法和计算更新后的预警信息的方法与104、106相似，不再赘述。

上述一级流量信息响应报文和二级流量信息响应报文并非两类不同的报文，只是相对于发送或转发该流量信息响应报文的网络节点来说，前者是其主动发送的，后者是其转发的。

图4为本发明实施例的另一个具体应用场景中获取全局节点的流量信息的流程图。该方法包括：

402、发起全局流量通信的网络节点根据邻居节点信息向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符和发送所述流量信息请求报文的网络节点的地址。

当预警信息满足全局通信条件时，网络节点根据邻居节点信息向邻居节点发送流量信息请求报文，与满足邻居通信条件时不同的是，流量信息请求报文包括全局标识符。该全局标识符既可以表明该流量信息请求报文是向所有网络节点请求流量信息的报文，也可以区分不同网络节点、不同时间发起的全局的流量信息请求，使得各网络节点不重复转发流量信息请求报文和流量信息响应报文。

404、当所述邻居节点第一次收到所述流量信息请求报文时，根据自身的邻居节点信息向自身的邻居节点转发所述流量信息请求报文。对于是否是第一次收到所述流量信息请求报文，可以根据全局标识符进行判断。

可选的，邻居节点接收到流量信息请求报文后，可以检查自身的流量表中是否含有发送该流量信息请求报文的网络节点，如果没有，则可以将发送该流量信息请求报文的网络节点添加到流量表中，流量表中该行的信息仅包括网络节点的地址，其他信息为缺省值。

406、发起全局流量通信的网络节点接收流量信息响应报文。

流量信息响应报文是任一网络节点接收到流量信息请求报文后，根据流量信息请求报文中的发送所述流量信息请求报文的网络节点的地址，向发送所述流量信息请求报文的网络节点发送的流量信息响应报文。流量信息响应报文包括网络中一个网络节点的流量信息、流量信息采集时间、所述网络节点的地址和所述全局标识符。

408、发起全局流量通信的网络节点获取所述流量信息响应报文中的流量信息和流量信息采集时间。根据这些流量信息和流量信息采集时间更新流量表，根据更新后的流量表计算更新后的预警信息。更新流量表的方法和计算更新后的预警信息的方法与104、106相似，不再赘述。

图3与图4是两种不同的获取全局节点的流量信息的方法。图3所示的应用场景中获取全局节点的流量信息的方法的优点是任一网络节点获取全局节点的流量信息后，网络中所有的网络节点都获得了一份完整的全局节点的流量信息，由于此时网络中所有的网络节点的准确度信息都很高，在较长一段时间内不会有网络节点满足全局通信条件，可以有效地降低获取全局节点的流量信息的次数，但是每次获取全局节点的流量信息时的数据通信量较大。图4所示的应用场景中获取全局节点的流量信息的方法的优点是网络中所有网络节点的流量信息响应报文只需要向期望获取全局节点的流量信息的网络节点发送而不需要进行洪泛，可以有效降低每次获取全局节点的流量信息时的数据通信量，同时不需要所有网络节点都分析流量信息响应报文，实现较为简单。但是由于每次获取全局节点的流量信息时只有一个网络节点得到全局节点的流量信息，因此其他网络节点仍有可能在短时间内再次获取全局节点的流量信息，不能有效降低获取全局节点的流量信息的频率。此外，本领域普通技术人员可以理解，还有其他的获取全局节点的流量信息的方法，例如，在图4所示的应用场景的方法的基础上，当流量信息响应报文经过任一网络节点转发时，该网络节点根据流量信息响应报文中的流量信息和流量信息采集时间更新自身流量表，该方法兼有图3、图4方法的优点，但是相对图3所示应用场景的方法降低获取全局节点的流量信息的次数能力略弱，而相对图4所示应用场景的方法实现略为复杂。根据不同的网络拓扑、流量信息采集频率、准确度信息算法和网络节点性能，可以选择合适的获取全局节点的流量信息的方法。

图5为本发明一个实施例中网络节点框图。该网络节点包括，采集模块、生成模块、计算模块、第一获取模块、第二获取模块和预警模块；其中，

采集模块502，用于采集网络节点自身的流量信息。

采集模块502采集网络节点自身的流量信息，流量信息包括，输入包速率；SYN请求包输入速率和SYN确认包输入速率；ICMP包速率；UDP包输入速率中的至少一种。这些流量信息可以是原始值，也可以经过适当的处理。例如，对流量信息进行离散化处理。举例来说，所有的流量信息都量化为8个级别，也就是最终得到的流量信息都属于集合{0，1，2，3，4，5，6，7}。采集模块502对流量信息的原始值进行离散化处理的方法可以是建立固定的映射关系，例如将某一个范围内的原始值固定的映射到一个特定的离散化流量信息值；也可以建立动态的映射关系，例如，以日、星期、月为周期统计不同时段的流量信息，在网络较为繁忙的时段提高映射到一个特定的离散化流量信息值的原始值的范围的上限，在网络较为空闲的时段降低该上限。采集模块502可以周期性的采集自身的流量信息。

生成模块504，用于根据流量信息生成流量表，所述流量表包括流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息。

生成模块504将流量信息、流量信息采集时间、采集该流量信息的网络节点的地址、邻居节点信息以及一些可选信息生成流量表，所述邻居节点信息表示流量信息是否属于流量表所在的网络节点的邻居节点。例如，可选信息可以是流量流向、新鲜度等信息中的一种或多种。所述新鲜度表示该流量信息是否超过了时效，例如，设置时效为采集后5分钟，则流量信息采集时间在当前时间之前5分钟的流量信息无效，设置新鲜度为0或1以表示流量信息无效，新鲜度可以作为可选信息列在流量表中，也可以在需要时即时计算。时效通常应当比流量信息的采集周期大。当收到其他节点的流量信息、流量信息采集时间及可选信息时，生成模块504也将这些信息更新到流量表中。

计算模块506，用于根据流量表计算预警信息。

计算模块506根据流量表计算预警信息，预警信息可以按照可能受到入侵的种类分别计算。

计算模块506根据已知的各个网络节点的流量信息的流量信息采集时间或新鲜度计算准确度信息α。定义准确度信息α的目的在于降低网络节点获取邻居节点或全局节点的流量信息的频率，从而降低数据通信量，减少对网络性能的影响。举例来说，最简单的准确度信息α＝m/n，m表示所有网络节点中m个网络节点的流量信息未超过时效，n表示网络节点的总数。其他与流量信息采集时间相关的，用于确定网络节点是否获取邻居节点或全局节点的流量信息的信息，都可以作为准确度信息。

计算模块506根据输入包速率计算洪泛攻击预警信息。为了对分布式拒绝服务攻击做出预警，可以利用网络中各个网络节点的输入包速率计算洪泛攻击预警信息，举例来说，最简单的洪泛攻击预警信息就是对各个网络节点的输入包速率平均。

类似的，当流量表中包括所需信息时，计算模块506还可以根据SYN请求包输入速率和SYN确认包输入速率计算SYN洪泛攻击预警信息；根据ICMP包速率计算ICMP洪泛攻击预警信息；根据UDP包速率计算UDP洪泛攻击预警信息。

第一获取模块508，用于当流量表仅包括网络节点自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，使生成模块504根据所述邻居节点的流量信息和流量信息采集时间更新流量表并使计算模块506更新预警信息。

举例来说，当网络节点自身为新加入的节点时，流量表仅包括自身的流量信息，第一获取模块508获取邻居节点的流量信息，使生成模块504根据邻居节点的流量信息更新流量表，并使计算模块506根据更新后的流量表计算更新后的预警信息。或者，当预警信息和准确度信息满足邻居通信条件，但不满足全局通信条件并且不满足预警条件时，第一获取模块508获取邻居节点的流量信息和流量信息采集时间，使生成模块504根据邻居节点的流量信息和流量信息采集时间更新流量表，并使计算模块506根据更新后的流量表计算更新后的预警信息。

第二获取模块510，用于当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，使生成模块504根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使计算模块506更新预警信息。

举例来说，当预警信息和准确度信息满足全局通信条件，但不满足预警条件时，第二获取模块510获取全局节点的流量信息和流量信息采集时间，使生成模块504根据全局节点的流量信息和流量信息采集时间更新流量表，并使计算模块506根据更新后的流量表计算更新后的预警信息。

预警模块512，用于当所述预警信息满足预警条件时，进行入侵预警。

图6为本发明一个实施例的一个具体应用场景中第一获取模块框图。第一获取模块包括：

第一发送单元602，用于当流量表仅包括网络节点自身的流量信息或所述预警信息满足邻居通信条件时，向邻居节点发送流量信息请求报文。

当流量表仅包括自身的流量信息时，第一发送单元602根据加入网络时的初始设置获取邻居节点的地址，向邻居节点发送流量信息请求报文；当预警信息满足邻居通信条件时，第一发送单元602根据邻居节点信息向邻居节点发送流量信息请求报文。所述流量信息请求报文还可以包括发送所述流量信息请求报文的网络节点的地址。邻居节点接收到流量信息请求报文后，检查自身的邻居节点信息中是否含有发送所述流量信息请求报文的网络节点的地址，如果没有，则将发送该流量信息请求报文的网络节点添加到该邻居节点自身的邻居节点信息中，这里的流量信息请求报文的网络节点的地址可以是流量信息请求报文携带的，也可以是指流量信息请求报文的报文头中的源地址。

第一接收单元604，用于接收所述邻居节点发送的流量信息响应报文，所述流量信息响应报文包括所述邻居节点的流量信息和流量信息采集时间。

邻居节点向流量信息请求报文中的网络节点的地址发送流量信息响应报文，所述流量信息响应报文包括所述邻居节点的流量信息、流量信息采集时间，这里的流量信息请求报文的网络节点的地址可以是流量信息请求报文携带的，也可以是指流量信息请求报文的报文头中的源地址。流量信息响应报文还可以包括所述邻居节点的地址。第一接收单元604接收该邻居节点发出的流量信息响应报文。

第一获取单元606，用于获取所述流量信息响应报文中的所述邻居节点的流量信息和流量信息采集时间，使所述生成模块根据所述邻居节点的流量信息和流量信息采集时间更新流量表并使所述计算模块更新预警信息。

图7为本发明一个实施例的一个具体应用场景中第二获取模块框图。第二获取模块包括：

第二发送单元702，用于当所述预警信息满足全局通信条件时，向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符和发送所述流量信息请求报文的网络节点的地址，所述流量信息请求报文使所述邻居节点在所述邻居节点第一次收到所述流量信息请求报文时，根据所述邻居节点的邻居节点信息向所述邻居节点的邻居节点转发所述流量信息请求报文。

当预警信息满足全局通信条件时，第二发送单元702向邻居节点发送流量信息请求报文，与第一获取模块中的第一发送单元不同的是，第二发送单元702发送的流量信息请求报文包括全局标识符。该全局标识符可以表明该流量信息请求报文是向所有网络节点请求流量信息的报文，也可以区分不同网络节点、不同时间发起的全局的流量信息请求，使得各网络节点不重复转发流量信息请求报文和流量信息响应报文。

第二接收单元704，用于接收流量信息响应报文，所述流量信息响应报文是任一网络节点接收到所述流量信息请求报文后，根据所述流量信息请求报文中的发送流量信息请求报文的网络节点的地址，向发送所述流量信息请求报文的网络节点发送的流量信息响应报文，所述流量信息响应报文包括所述任一网络节点的地址、流量信息、流量信息采集时间和所述全局标识符；

第二获取单元706，用于获取所述流量信息响应报文中的流量信息和流量信息采集时间，使所述生成模块根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使所述计算模块更新预警信息。

图8为本发明一个实施例的另一个具体应用场景中第二获取模块框图。第二获取模块包括：

第三发送单元802，用于当所述预警信息满足全局通信条件时，向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符。

当预警信息满足全局通信条件时，第三发送单元802向邻居节点发送流量信息请求报文，与第一获取模块中的第一发送单元不同的是，流量信息请求报文包括全局标识符。该全局标识符既可以表明该流量信息请求报文是向所有网络节点请求流量信息的报文，也可以区分不同网络节点、不同时间发起的全局的流量信息请求，使得各网络节点不重复转发流量信息请求报文和流量信息响应报文。

第三接收单元804，用于接收其他网络节点发送的流量信息请求报文和流量信息响应报文。

第一转发单元806，用于当第一次收到其他网络节点发送的流量信息请求报文时，向邻居节点转发所述其他网络节点发送的流量信息请求报文。

响应单元808，用于当第一次收到其他网络节点发送的流量信息请求报文时，向邻居节点发送流量信息响应报文，所述流量信息响应报文包括网络节点自身的地址、流量信息、流量信息采集时间和所述其他网络节点发送的流量信息请求报文中的全局标识符。

第二转发单元810，用于当第一次收到其他网络节点发送的流量信息响应报文时，向邻居节点转发所述其他网络节点发送的流量信息响应报文。

第三获取单元812，用于当第一次收到其他网络节点发送的流量信息响应报文时，获取所述其他网络节点发送的流量信息响应报文中的流量信息和流量信息采集时间，使所述生成模块根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使所述计算模块更新预警信息。

图7与图8是两种不同的第二获取模块的结构，分别在降低每次获取全局节点的流量信息时的数据通信量和降低获取全局节点的流量信息的次数方面有优势。本领域普通技术人员可以理解，还有其他的第二获取模块的结构，可以根据不同的网络拓扑、流量信息采集频率、准确度信息算法和网络节点性能，选择合适的第二获取模块的结构。

以下结合图9说明本发明又一个实施例：

图9为本发明一个实施例中分布式入侵检测***框图。该***包括至少三个网络节点，并且其中至少两个网络节点不相邻；其中，

网络节点902，用于采集网络节点902自身的流量信息，生成流量表，所述流量表包括网络中所有网络节点的流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息，根据所述流量表计算预警信息，当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，根据所述邻居节点的流量信息和流量信息采集时间更新流量表和预警信息，当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，根据所述全局节点的流量信息和流量信息采集时间更新流量表和预警信息，当所述预警信息满足预警条件时，进行入侵预警。

网络节点902采集自身的流量信息，流量信息包括，输入包速率；SYN请求包输入速率和SYN确认包输入速率；ICMP包速率；UDP包输入速率中的至少一种。这些流量信息可以是原始值，也可以经过适当的处理。例如，对流量信息进行离散化处理。举例来说，所有的流量信息都量化为8个级别，也就是最终得到的流量信息都属于集合{0，1，2，3，4，5，6，7}。对流量信息的原始值进行离散化处理的方法可以是建立固定的映射关系，例如将某一个范围内的原始值固定的映射到一个特定的离散化流量信息值；也可以建立动态的映射关系，例如，以日、星期、月为周期统计不同时段的流量信息，在网络较为繁忙的时段提高映射到一个特定的离散化流量信息值的原始值的范围的上限，在网络较为空闲的时段降低该上限。网络节点可以周期性的采集自身的流量信息。

将流量信息、流量信息采集时间、采集该流量信息的网络节点的地址、邻居节点信息以及一些可选信息生成流量表，所述邻居节点信息表示流量信息是否属于流量表所在的网络节点的邻居节点。例如，可选信息可以是流量流向、新鲜度等信息中的一种或多种。所述新鲜度表示流量信息是否超过了时效，例如，设置时效为采集后5分钟，则流量信息采集时间在当前时间之前5分钟的流量信息无效，设置新鲜度为0或1以表示流量信息无效，新鲜度可以作为可选信息列在流量表中，也可以在需要时即时计算。时效通常应当比流量信息的采集周期大。当收到其他节点的流量信息、流量信息采集时间及可选信息时，网络节点902也将这些信息更新到流量表中。

网络节点902根据流量表计算预警信息，预警信息可以按照可能受到入侵的种类分别计算。

举例来说，当网络节点902自身为新加入***的节点时，流量表仅包括自身的流量信息，网络节点902获取邻居节点的流量信息，根据邻居节点的流量信息更新流量表，根据更新后的流量表计算更新后的预警信息。与通常利用流量表中的邻居节点信息向邻居节点获取邻居节点的流量信息不同的是，此时网络节点902自身为新加入的节点，没有更新过流量表中的邻居节点信息，因此网络节点902需要根据加入网络时的初始设置获取邻居节点的地址，通常该初始设置是网络节点902加入网络时人工设置的。

或者，当预警信息和准确度信息满足邻居通信条件，但不满足全局通信条件并且不满足预警条件时，网络节点902获取邻居节点的流量信息和流量信息采集时间，根据邻居节点的流量信息和流量信息采集时间更新流量表，根据更新后的流量表计算更新后的预警信息。

举例来说，当预警信息和准确度信息满足全局通信条件，但不满足预警条件时，网络节点902获取全局节点的流量信息和流量信息采集时间，根据全局节点的流量信息和流量信息采集时间更新流量表，根据更新后的流量表计算更新后的预警信息。

当所述预警信息满足预警条件时，网络节点902进行入侵预警。

本发明实施例的目的是解决分布式入侵检测中数据通信量大影响网络性能的问题，因此若全网络只有两个网络节点或所有网络节点都是邻居节点，则本发明实施例中获取邻居节点或全局节点的流量信息就没有差别。当全网络包括三个以上网络节点，并且其中至少两个网络节点不相邻时，本发明实施例的入侵检测***可以通过对预警信息的细化评估，在分布式入侵威胁较小时只进行邻居节点的流量信息的获取，可以有效地降低分布式入侵检测中的数据通信量。

采用本发明实施例提供的技术方案，因为在预警信息满足邻居通信条件时只需要获取邻居节点的流量信息，减小了分布式入侵检测中的数据通信量，降低了分布式入侵检测对网络性能的影响。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质可以是ROM/RAM，磁盘或光盘等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (12)

1.一种分布式入侵检测方法，其特征在于，包括：

采集自身的流量信息，生成流量表，所述流量表包括流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息；

根据所述流量表计算预警信息；

当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，根据所述邻居节点的流量信息和流量信息采集时间更新流量表和预警信息；

当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，根据所述全局节点的流量信息和流量信息采集时间更新流量表和预警信息；

当所述预警信息满足预警条件时，进行入侵预警。

2.根据权利要求1所述的方法，其特征在于，所述流量信息，包括以下至少一种：

输入包速率；

同步SYN请求包输入速率和SYN确认包输入速率；

网际控制报文协议ICMP包速率；和

用户数据报协议UDP包速率。

3.根据权利要求1或2所述的方法，其特征在于，在采集自身的流量信息时对所述流量信息进行离散化处理。

4.根据权利要求2所述的方法，其特征在于，所述根据所述流量表计算预警信息，包括：

当所述流量信息包括输入包速率时，根据所述输入包速率计算洪泛攻击预警信息；

当所述流量信息包括SYN请求包输入速率和SYN确认包输入速率时，根据所述SYN请求包输入速率和SYN确认包输入速率计算SYN洪泛攻击预警信息；

当所述流量信息包括ICMP包速率时，根据所述ICMP包速率计算ICMP洪泛攻击预警信息；

当所述流量信息包括UDP包速率时，根据所述UDP包速率计算UDP洪泛攻击预警信息。

5.根据权利要求1所述的方法，其特征在于，所述获取邻居节点的流量信息和流量信息采集时间，包括：

向邻居节点发送流量信息请求报文；

接收所述邻居节点发送的流量信息响应报文，所述流量信息响应报文包括所述邻居节点的流量信息和流量信息采集时间；

获取所述流量信息响应报文中的所述邻居节点的流量信息和流量信息采集时间。

6.根据权利要求1所述的方法，其特征在于，所述获取全局节点的流量信息和流量信息采集时间，包括：

根据邻居节点信息向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符；

当所述邻居节点第一次收到所述流量信息请求报文时，根据自身的邻居节点信息向自身的邻居节点转发所述流量信息请求报文；

所述邻居节点向自身的所有邻居节点发送一级流量信息响应报文，所述一级流量信息响应报文包括发送所述一级流量信息响应报文的邻居节点的流量信息、流量信息采集时间、地址和所述全局标识符；

所述邻居节点接收自身的邻居节点发送或转发的二级流量信息响应报文，所述二级流量信息响应报文包括网络中收到所述流量信息请求报文的某一个网络节点的流量信息、流量信息采集时间、所述网络节点的地址和所述全局标识符；

当所述邻居节点第一次收到一个二级流量信息响应报文时，所述邻居节点根据所述二级流量信息响应报文更新自身的流量表，并向自身的所有邻居节点转发所述二级流量信息响应报文；

接收所述邻居节点发送的所述一级流量信息响应报文或转发的二级流量信息响应报文；

获取所述一级流量信息响应报文或二级流量信息响应报文中的流量信息和流量信息采集时间。

7.根据权利要求1所述的方法，其特征在于，所述获取全局节点的流量信息和流量信息采集时间，包括：

根据邻居节点信息向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符和发送所述流量信息请求报文的网络节点的地址；

所述流量信息请求报文使所述邻居节点第一次收到所述流量信息请求报文时，根据自身的邻居节点信息向其邻居节点转发所述流量信息请求报文；

接收流量信息响应报文，所述流量信息响应报文是任一网络节点接收到所述流量信息请求报文后，根据所述流量信息请求报文中的发送所述流量信息请求报文的网络节点的地址，向发送所述流量信息请求报文的网络节点发送的流量信息响应报文，所述流量信息响应报文包括所述任一网络节点的地址、流量信息、流量信息采集时间和所述全局标识符；

获取所述流量信息响应报文中的流量信息和流量信息采集时间。

8.一种网络节点，其特征在于，包括，采集模块、生成模块、计算模块、第一获取模块、第二获取模块和预警模块；其中，

所述采集模块，用于采集所述网络节点自身的流量信息；

所述生成模块，用于根据所述流量信息生成流量表，所述流量表包括网络中所有网络节点的流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息；

所述计算模块，用于根据所述流量表计算预警信息；

所述第一获取模块，用于当流量表仅包括网络节点自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，使所述生成模块根据所述邻居节点的流量信息和流量信息采集时间更新流量表并使所述计算模块更新预警信息；

所述第二获取模块，用于当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，使所述生成模块根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使所述计算模块更新预警信息；

所述预警模块，用于当所述预警信息满足预警条件时，进行入侵预警。

9.根据权利要求8所述的网络节点，其特征在于，所述第一获取模块包括：

第一发送单元，用于当流量表仅包括网络节点自身的流量信息或所述预警信息满足邻居通信条件时，向邻居节点发送流量信息请求报文；

第一接收单元，用于接收所述邻居节点发送的流量信息响应报文，所述流量信息响应报文包括所述邻居节点的流量信息和流量信息采集时间；

第一获取单元，用于获取所述流量信息响应报文中的所述邻居节点的流量信息和流量信息采集时间，使所述生成模块根据所述邻居节点的流量信息和流量信息采集时间更新流量表并使所述计算模块更新预警信息。

10.根据权利要求8所述的网络节点，其特征在于，所述第二获取模块包括：

第二发送单元，用于当所述预警信息满足全局通信条件时，向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符和发送所述流量信息请求报文的网络节点的地址，所述流量信息请求报文使所述邻居节点在所述邻居节点第一次收到所述流量信息请求报文时，根据所述邻居节点的邻居节点信息向所述邻居节点的邻居节点转发所述流量信息请求报文；

第二接收单元，用于接收流量信息响应报文，所述流量信息响应报文是任一网络节点接收到所述流量信息请求报文后，根据所述流量信息请求报文中的发送所述流量信息请求报文的网络节点的地址，向发送所述流量信息请求报文的网络节点发送的流量信息响应报文，所述流量信息响应报文包括所述任一网络节点的地址、流量信息、流量信息采集时间和所述全局标识符；

第二获取单元，用于获取所述流量信息响应报文中的流量信息和流量信息采集时间，使所述生成模块根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使所述计算模块更新预警信息。

11.根据权利要求8所述的网络节点，其特征在于，所述第二获取模块包括：

第三发送单元，用于当所述预警信息满足全局通信条件时，向邻居节点发送流量信息请求报文，所述流量信息请求报文包括全局标识符；

第三接收单元，用于接收其他网络节点发送的流量信息请求报文和流量信息响应报文；

第一转发单元，用于当第一次收到其他网络节点发送的流量信息请求报文时，向邻居节点转发所述其他网络节点发送的流量信息请求报文；

响应单元，用于当第一次收到其他网络节点发送的流量信息请求报文时，向邻居节点发送流量信息响应报文，所述流量信息响应报文包括网络节点自身的地址、流量信息、流量信息采集时间和所述其他网络节点发送的流量信息请求报文中的全局标识符；

第二转发单元，用于当第一次收到其他网络节点发送的流量信息响应报文时，向邻居节点转发所述其他网络节点发送的流量信息响应报文；

第三获取单元，用于当第一次收到其他网络节点发送的流量信息响应报文时，获取所述其他网络节点发送的流量信息响应报文中的流量信息和流量信息采集时间，使所述生成模块根据所述全局节点的流量信息和流量信息采集时间更新流量表和并使所述计算模块更新预警信息。

12.一种分布式入侵检测***，其特征在于，包括至少三个网络节点，并且其中至少两个网络节点不相邻；其中，

所述网络节点，用于采集所述网络节点自身的流量信息，生成流量表，所述流量表包括网络中所有网络节点的流量信息、流量信息采集时间、采集所述流量信息的网络节点的地址和邻居节点信息，根据所述流量表计算预警信息，当流量表仅包括自身的流量信息或所述预警信息满足邻居通信条件时，获取邻居节点的流量信息和流量信息采集时间，根据所述邻居节点的流量信息和流量信息采集时间更新流量表和预警信息，当所述预警信息满足全局通信条件时，获取全局节点的流量信息和流量信息采集时间，根据所述全局节点的流量信息和流量信息采集时间更新流量表和预警信息，当所述预警信息满足预警条件时，进行入侵预警。

Images