專利名稱:基于黑板結構的警報協同系統的制作方法
技術領域:
一種用于多步網絡入侵檢測的警報協同系統,尤其涉及一種基于黑板結構的用于多步網絡入侵檢測的警報協同系統。
背景技術:
隨著網絡信息技術在社會各領域的全面應用,網絡安全越來越成為人們關心的話題。雖然迄今為止已發展了多種安全機制來保護計算機網絡,但是在有逐漸壯大的安全隊伍和逐步完善的安全產品的同時,CERT的安全報告顯示近年的網絡入侵事件呈逐年上升趨勢,網絡安全形勢不容樂觀。入侵檢測系統(IDS)的目標是對網絡傳輸進行實時監控,在發現可疑傳輸時發出 警報。從實際效果的角度講,入侵檢測系統需要實現的目標就是識別出網絡中含有虛假或欺騙信息的數據包,并阻止它們的繼續傳播。然而,網絡攻擊者們往往不是單獨地對一臺主機進行攻擊,也不是僅僅利用一個漏洞,而是更多地采用多步攻擊。現有的HIDS的缺點是可移植性差以及檢測的范圍受到限制,而NIDS的缺點是只能監視局域網內的活動,而且難以定位入侵者。隨著網絡入侵行為的泛濫及其手段復雜性的增強,目前獨立的入侵檢測系統存在入侵檢測的范圍受到限制、提供的警報信息不全面以及不能實時檢測和響應等缺點,因此各種入侵檢測系統有相互配合和共同協作的發展趨勢。本發明涉及相關術語定義如下入侵檢測系統(IDS) :IDS是指依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,盡可能發現攻擊企圖和攻擊行為的系統。基于網絡的入侵檢測系統(NIDS):利用專用的網絡通訊監測網絡上的網絡通訊包,對網絡行為的異常進行預警。基于主機的入侵檢測系統(HIDS):采用實時監控手段,對主機系統的安全記錄進行跟蹤分析,以確定可疑的非法入侵活動。入侵檢測消息交換格式(IDMEF):由互聯網工程任務組(IETF)的入侵檢測工作組(IDffG)制定的標準,作為標準數據格式來統一不同安全產品所產生的報警消息格式,從而有利于各類安全產品共享信息數據,增進它們之間的協同工作。黑板結構是人工智能領域中的一種問題求解模型,由一個稱為黑板的全局教據庫和邏輯上獨立的知識源組成,黑板可以有多個分區,知識源分為局部知識源和全局知識源,一個局部知識源只能響應一個黑板分區的狀態變化,一個全局知識源可以響應整個黑板的狀態變化,其中知識源是自驅運動。
發明內容
本發明的目的在于提供一種基于黑板結構的用于多步網絡入侵檢測的警報協同系統,通過協同宏觀上網絡中的流量異常信息與微觀上主機的可疑行為信息,對網絡攻擊行為進行準確判斷,從而更加及時、準確地判斷入侵行為。
一種基于黑板結構的警報協同系統,其執行包括以下步驟I.入侵檢測系統注冊階段1A.入侵檢測系統發出注冊請求,警報協同系統的預處理模塊根據入侵檢測系統的地址判斷是否是新的入侵檢測系統;1B.如果是新的入侵檢測系統,記錄該入侵檢測系統的地址和警報格式,并觸發黑板結構在黑板中生成新的黑板分區以存儲該入侵檢測系統產生的警報,用該黑板分區對應的局部知識源記錄該入侵檢測系統的規則;如果不是新的入侵檢測系統,進入步驟ID ;1C.將局部知識源中的規則全局化,同時對規則的威脅度和可信度賦予初值并存儲到規則全局化模塊,其中專家和管理員也可以為全局知識源定義和添加的新的入侵規則;1D.注冊完成。 2.警報協同處理階段2A.警報協同系統接收來自于已注冊入侵檢測系統的子警報,并將這些子警報存儲在對應的黑板分區中;2B.局部知識源判斷是否存在響應黑板分區狀態變化的規則,如果存在一個可以響應黑板分區狀態變化的規則,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加I,如果沒有相應的規則,進入步驟2C ;2C.如果全局知識源只有一個響應黑板分區狀態變化的規則,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加1,如果全局知識源存在多個規則同時響應黑板分區的狀態變化,進入步驟3 ;3.沖突消減階段3A.比較規則威脅度的大小,如果存在多條規則具有最大威脅度,進入步驟3B ;如果最大威脅度的規則只有一個,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加1,并結束。3B.比較多個規則的可信度,將具有最大可信度的規則輸出到響應系統,如果存在多個規則具有最大可信度,隨機選擇一個輸出到響應系統,同時將該規則對該子警報的可信度值增加I,并結束。其中步驟IA中所述的地址判斷是指根據該入侵檢測系統的IP地址判斷該入侵檢測系統是否已經注冊;步驟IB中所述的黑板是指系統在內存中分配的獨立模塊,用于暫時存儲警報及其存活狀態,黑板包含多個黑板分區,每個黑板分區存儲來自一個入侵檢測系統的所有警報及其存活狀態,其中警報存儲時間為IOs ;步驟IB中所述的局部知識源是指黑板結構中可以響應對應黑板分區狀態變化的專家庫,該專家庫記錄該入侵檢測系統的規則,其中局部知識源只可以響應對應黑板分區的狀態變化,當有新的警報存儲到黑板分區中,其狀態就會發生變化;步驟IC中所述的全局化是指將規則變換后存儲到全局知識源,其中規則變換的過程如下同一局域網中存在基于主機的入侵檢測系統Hi, i = 1,2,...,m,和基于網絡的入侵檢測系統N」,j = 1,2,...,n,其中m表示HIDS的個數,η表示NIDS的個數,與Hi對應的局部知識源中存在一條規則R,其格式為if (A and B) then C,其中A、B是來自于Hi的警報,C是即將面臨的網絡入侵名稱,而其中B是基于主機的入侵檢測系統和基于網絡的入侵檢測系統均可發出的警報,所以全局化結束后會在全局知識源中加入一條規則GlobalRif(A and B) then C,其中A是來自于Hi的警報,B是來自于Hi或者Nj的警報,C是即將面臨的網絡入侵名稱,因此全局知識源可以響應更多的黑板分區,更加及時、準確地判斷出網絡入侵;步驟IC中所述的威脅度是用來描述入侵對網絡或者主機的影響程度,威脅度越大,表明入侵對網絡或者主機的影響越大,越需要提前處理,入侵檢測系統中的每條規則都會對應一個威脅度,其中確定威脅度初值的方式有兩種,一種是根據入侵檢測系統自身確定,另一種是根據專家經驗確定;
步驟IC中所述的可信度是指在警報協同系統中存儲的一個入侵檢測系統對一個入侵判斷的歷史準確度,即存儲在全局知識源中的每一條規則都會對應一個可信度值,警報協同系統會依據可信度值的大小來判斷是否選擇使用該入侵檢測系統的規則,其中,歷史準確度會隨著警報協同系統中規則所識別的入侵的增多而變化,所有規則的可信度初始值為O;步驟2A中所述的子警報是指由入侵檢測系統發送給警報協同系統的警報。
圖I為本發明的模塊關系示意2是本發明的入侵檢測系統注冊流程示意3是本發明的警報協同處理階段流程示意圖
具體實施例方式下面結合附圖和實施例進一步對本發明加以說明。參照圖1,示出了說明本發明的一個實施例中一種基于黑板結構的警報協同系統的模塊關系圖。(一 )參照圖2,示出了說明本發明的一個實施例中入侵檢測系統注冊流程1A.入侵檢測系統發出注冊請求,警報協同系統的預處理模塊I根據入侵檢測系統的地址判斷是否是新的入侵檢測系統;1B.如果是新的入侵檢測系統,記錄該入侵檢測系統的地址和警報格式,并觸發黑板結構在黑板2中生成新的黑板分區以存儲該入侵檢測系統產生的警報,用該黑板分區對應的局部知識源3記錄該入侵檢測系統的規則,如果不是新的入侵檢測系統,進入步驟ID ;1C.將局部知識源3中的規則全局化,同時對規則的威脅度和可信度賦予初值并存儲到規則全局化模塊4,其中專家和管理員也可以為全局知識源5定義和添加的新的入侵規則;1D.注冊完成。( 二)參照圖3,示出了說明本發明的一個實施例中警報協同處理階段流程2A.警報協同系統接收來自于已注冊入侵檢測系統的子警報,并將這些子警報存儲在對應的黑板分區中;
2B.局部知識源3判斷是否存在響應黑板分區狀態變化的規則,如果存在一個可以響應黑板分區狀態變化的規則,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加I,如果沒有相應的規則,進入步驟2C ;2C.如果全局知識源5只有一個響應黑板分區狀態變化的規則,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加1,如果全局知識源5存在多個規則同時響應黑板分區的狀態變化,進入步驟3 ;3沖突消減階段3A.比較規則威脅度的大小,如果存在多條規則具有最大威脅度,進入步驟3B ;如果最大威脅度的規則只有一個,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加1,并結束。3B.比較多個規則的可信度,將具有最大可信度的規則輸出到響應系統,如果存在 多個規則具有最大可信度,隨機選擇一個輸出到響應系統,同時將該規則對該子警報的可信度值增加I,并結束。本實施例中未詳細描述之處為公知技術,本領域技術人員都能實現,因此這里不再累述。本領域的技術人員在不脫離權利要求書確定的本發明的精神和范圍的條件下,還可以對以上內容進行各種各樣的修改。因此本發明的范圍并不僅限于以上的說明,而是由權利要求書的范圍來確定的。
權利要求
1.一種基于黑板結構的警報協同系統,其特征在于該系統的執行包括以下步驟 (一)入侵檢測系統注冊階段 IA.入侵檢測系統發出注冊請求,警報協同系統的預處理模塊根據入侵檢測系統的地址判斷是否是新的入侵檢測系統; IB.如果是新的入侵檢測系統,記錄該入侵檢測系統的地址和警報格式,并觸發黑板結構在黑板中生成新的黑板分區以存儲該入侵檢測系統產生的警報,用該黑板分區對應的局部知識源記錄該入侵檢測系統的規則,如果不是新的入侵檢測系統,進入步驟ID ; IC.將局部知識源中的規則全局化,同時對規則的威脅度和可信度賦予初值并存儲到規則全局化模塊,其中專家和管理員也可以為全局知識源定義和添加的新的入侵規則; ID.注冊完成。
(二)警報協同處理階段 2A.警報協同系統接收來自于已注冊入侵檢測系統的子警報,并將這些子警報存儲在對應的黑板分區中; 2B.局部知識源判斷是否存在響應黑板分區狀態變化的規則,如果存在一個規則可以響應黑板分區的狀態變化的規則,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加I,如果沒有相應的規則,進入步驟2C ; 2C.如果全局知識源只有一個響應黑板分區狀態變化的規則,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加1,如果全局知識源存在多個規則同時響應黑板分區的狀態變化,進入步驟(三); (三)沖突消減階段 3A.比較規則威脅度的大小,如果存在多條規則具有最大威脅度,進入步驟3B ;如果最大威脅度的規則只有一個,則將該規則輸出到響應系統,同時將該規則對該子警報的可信度值增加I,并結束。
3B.比較多個規則的可信度,將具有最大可信度的規則輸出到響應系統,如果存在多個規則具有最大可信度,隨機選擇一個輸出到響應系統,同時將該規則對該子警報的可信度值增加I,并結束。
2.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(一)IA所述地址判斷是指根據該入侵檢測系統的IP地址判斷該入侵檢測系統是否已經注ππ/ttr O
3.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(一)IB所述黑板是指系統在內存中分配的獨立模塊,用于暫時存儲警報及其存活狀態,黑板包含多個黑板分區,每個黑板分區存儲來自一個入侵檢測系統的所有警報及其存活狀態,其中警報存儲時間為10s。
4.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(一)IB所述局部知識源是指黑板結構中可以響應對應黑板分區狀態變化的專家庫,該專家庫記錄該入侵檢測系統的規則,其中局部知識源只可以響應對應黑板分區的狀態變化,當有新的警報存儲到黑板分區中,其狀態就會發生變化。
5.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(一)IC所述全局化是指將規則變換后存儲到全局知識源,其中規則變換的過程如下同一局域網中存在基于主機的入侵檢測系統Hi, i = 1,2,...,m,和基于網絡的入侵檢測系統Nj,j = 1,2,...,n,其中m表示HIDS的個數,η表示NIDS的個數,與Hi對應的局部知識源中存在一條規則R,其格式為if(A and B) then C,其中A、B是來自于Hi的警報,C是即將面臨的網絡入侵名稱,而其中B是基于主機的入侵檢測系統和基于網絡的入侵檢測系統均可發出的警報,所以全局化結束后會在全局知識源中加入一條規則Global R if (A and B) thenC,其中A是來自于Hi的警報,B是來自于Hi或者%的警報,C是即將面臨的網絡入侵名稱,因此全局知識源可以響應更多的黑板分區,更加及時、準確地判斷出網絡入侵。
6.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(一)IC所述威脅度是用來描述入侵對網絡或者主機的影響程度,威脅度越大,表明入侵對網絡或者主機的影響越大,越需要提前處理,入侵檢測系統中的每條規則都會對應一個威脅度,其中確定威脅度初值的方式有兩種,一種是根據入侵檢測系統自身確定,另一種是根據專家經驗確定。
7.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(一)IC所述可信度是指在警報協同系統中存儲的一個入侵檢測系統對一個入侵判斷的歷史準確度,即存儲在全局知識源中的每一條規則都會對應一個可信度值,警報協同系統會依據可信度值的大小來判斷是否選擇使用該入侵檢測系統的規則,其中,歷史準確度會隨著警報協同系統中規則所識別的入侵的增多而變化,所有規則的可信度初始值為O。
8.根據權利要求I所述的一種基于黑板機構的警報協同系統,其特征在于步驟(二)2A所述子警報是指由入侵檢測系統發送給警報協同系統的警報。
全文摘要
本發明涉及一種基于黑板結構的用于多步網絡入侵檢測的警報協同系統,所采用的方法是構建了基于黑板結構的警報協同系統,將各個入侵檢測系統的警報和規則變換后存儲到系統中,綜合考慮規則的威脅度和可信度對網絡的影響,從而協同宏觀上網絡中的流量異常信息與微觀上主機的可疑行為信息,對網絡攻擊行為進行準確判斷。本發明提出了沖突消減方法,通過計算不同攻擊行為對網絡的威脅度和各個入侵檢測系統警報的可信度,優先選擇出最需要處理的警報。
文檔編號H04L29/06GK102882893SQ201210421489
公開日2013年1月16日 申請日期2012年10月30日 優先權日2012年10月30日
發明者劉衍珩, 孫鑫, 丁航, 朱建啟, 李飛鵬, 常建平 申請人:吉林大學