[发明专利]基于黑板结构的警报协同系统

权利要求书

1.一种基于黑板结构的警报协同系统，其特征在于该系统的执行包括以下步骤：

(一)入侵检测系统注册阶段：

1A.入侵检测系统发出注册请求，警报协同系统的预处理模块根据入侵检测系统的地址判断是否是新的入侵检测系统；

1B.如果是新的入侵检测系统，记录该入侵检测系统的地址和警报格式，并触发黑板结构在黑板中生成新的黑板分区以存储该入侵检测系统产生的警报，用该黑板分区对应的局部知识源记录该入侵检测系统的规则，如果不是新的入侵检测系统，进入步骤1D；

1C.将局部知识源中的规则全局化，同时对规则的威胁度和可信度赋予初值并存储到规则全局化模块，其中专家和管理员也可以为全局知识源定义和添加的新的入侵规则；

1D.注册完成。

(二)警报协同处理阶段：

2A.警报协同系统接收来自于已注册入侵检测系统的子警报，并将这些子警报存储在对应的黑板分区中；

2B.局部知识源判断是否存在响应黑板分区状态变化的规则，如果存在一个规则可以响应黑板分区的状态变化的规则，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，如果没有相应的规则，进入步骤2C；

2C.如果全局知识源只有一个响应黑板分区状态变化的规则，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，如果全局知识源存在多个规则同时响应黑板分区的状态变化，进入步骤(三)；

(三)冲突消减阶段：

3A.比较规则威胁度的大小，如果存在多条规则具有最大威胁度，进入步骤3B；如果最大威胁度的规则只有一个，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，并结束。

3B.比较多个规则的可信度，将具有最大可信度的规则输出到响应系统，如果存在多个规则具有最大可信度，随机选择一个输出到响应系统，同时将该规则对该子警报的可信度值增加1，并结束。

2.根据权利要求1所述的一种基于黑板机构的警报协同系统，其特征在于步骤(一)1A所述地址判断是指根据该入侵检测系统的IP地址判断该入侵检测系统是否已经注册。

3.根据权利要求1所述的一种基于黑板机构的警报协同系统，其特征在于步骤(一)1B所述黑板是指系统在内存中分配的独立模块，用于暂时存储警报及其存活状态，黑板包含多个黑板分区，每个黑板分区存储来自一个入侵检测系统的所有警报及其存活状态，其中警报存储时间为10s。

4.根据权利要求1所述的一种基于黑板机构的警报协同系统，其特征在于步骤(一)1B所述局部知识源是指黑板结构中可以响应对应黑板分区状态变化的专家库，该专家库记录该入侵检测系统的规则，其中局部知识源只可以响应对应黑板分区的状态变化，当有新的警报存储到黑板分区中，其状态就会发生变化。

5.根据权利要求1所述的一种基于黑板机构的警报协同系统，其特征在于步骤(一)1C所述全局化是指将规则变换后存储到全局知识源，其中规则变换的过程如下：同一局域网中存在基于主机的入侵检测系统H_i，i＝1，2，...，m，和基于网络的入侵检测系统N_j，j＝1，2，...，n，其中m表示HIDS的个数，n表示NIDS的个数，与H_i对应的局部知识源中存在一条规则R，其格式为：if(A and B)then C，其中A、B是来自于H_i的警报，C是即将面临的网络入侵名称，而其中B是基于主机的入侵检测系统和基于网络的入侵检测系统均可发出的警报，所以全局化结束后会在全局知识源中加入一条规则Global R：if(A and B)then C，其中A是来自于H_i的警报，B是来自于H_i或者N_j的警报，C是即将面临的网络入侵名称，因此全局知识源可以响应更多的黑板分区，更加及时、准确地判断出网络入侵。

6.根据权利要求1所述的一种基于黑板机构的警报协同系统，其特征在于步骤(一)1C所述威胁度是用来描述入侵对网络或者主机的影响程度，威胁度越大，表明入侵对网络或者主机的影响越大，越需要提前处理，入侵检测系统中的每条规则都会对应一个威胁度，其中确定威胁度初值的方式有两种，一种是根据入侵检测系统自身确定，另一种是根据专家经验确定。