[发明专利]基于黑板结构的警报协同系统

说明书

技术领域

一种用于多步网络入侵检测的警报协同系统，尤其涉及一种基于黑板结构的用于多步网络入侵检测的警报协同系统。

背景技术

随着网络信息技术在社会各领域的全面应用，网络安全越来越成为人们关心的话题。虽然迄今为止已发展了多种安全机制来保护计算机网络，但是在有逐渐壮大的安全队伍和逐步完善的安全产品的同时，CERT的安全报告显示近年的网络入侵事件呈逐年上升趋势，网络安全形势不容乐观。

入侵检测系统(IDS)的目标是对网络传输进行实时监控，在发现可疑传输时发出警报。从实际效果的角度讲，入侵检测系统需要实现的目标就是识别出网络中含有虚假或欺骗信息的数据包，并阻止它们的继续传播。然而，网络攻击者们往往不是单独地对一台主机进行攻击，也不是仅仅利用一个漏洞，而是更多地采用多步攻击。现有的HIDS的缺点是可移植性差以及检测的范围受到限制，而NIDS的缺点是只能监视局域网内的活动，而且难以定位入侵者。随着网络入侵行为的泛滥及其手段复杂性的增强，目前独立的入侵检测系统存在入侵检测的范围受到限制、提供的警报信息不全面以及不能实时检测和响应等缺点，因此各种入侵检测系统有相互配合和共同协作的发展趋势。

本发明涉及相关术语定义如下：

入侵检测系统(IDS)：IDS是指依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现攻击企图和攻击行为的系统。

基于网络的入侵检测系统(NIDS)：利用专用的网络通讯监测网络上的网络通讯包，对网络行为的异常进行预警。

基于主机的入侵检测系统(HIDS)：采用实时监控手段，对主机系统的安全记录进行跟踪分析，以确定可疑的非法入侵活动。

入侵检测消息交换格式(IDMEF)：由互联网工程任务组(IETF)的入侵检测工作组(IDWG)制定的标准，作为标准数据格式来统一不同安全产品所产生的报警消息格式，从而有利于各类安全产品共享信息数据，增进它们之间的协同工作。

黑板结构是人工智能领域中的一种问题求解模型，由一个称为黑板的全局教据库和逻辑上独立的知识源组成，黑板可以有多个分区，知识源分为局部知识源和全局知识源，一个局部知识源只能响应一个黑板分区的状态变化，一个全局知识源可以响应整个黑板的状态变化，其中知识源是自驱运动。

发明内容

本发明的目的在于提供一种基于黑板结构的用于多步网络入侵检测的警报协同系统，通过协同宏观上网络中的流量异常信息与微观上主机的可疑行为信息，对网络攻击行为进行准确判断，从而更加及时、准确地判断入侵行为。

一种基于黑板结构的警报协同系统，其执行包括以下步骤：

1.入侵检测系统注册阶段：

1A.入侵检测系统发出注册请求，警报协同系统的预处理模块根据入侵检测系统的地址判断是否是新的入侵检测系统；

1B.如果是新的入侵检测系统，记录该入侵检测系统的地址和警报格式，并触发黑板结构在黑板中生成新的黑板分区以存储该入侵检测系统产生的警报，用该黑板分区对应的局部知识源记录该入侵检测系统的规则；如果不是新的入侵检测系统，进入步骤1D；

1C.将局部知识源中的规则全局化，同时对规则的威胁度和可信度赋予初值并存储到规则全局化模块，其中专家和管理员也可以为全局知识源定义和添加的新的入侵规则；

1D.注册完成。

2.警报协同处理阶段：

2A.警报协同系统接收来自于已注册入侵检测系统的子警报，并将这些子警报存储在对应的黑板分区中；

2B.局部知识源判断是否存在响应黑板分区状态变化的规则，如果存在一个可以响应黑板分区状态变化的规则，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，如果没有相应的规则，进入步骤2C；

2C.如果全局知识源只有一个响应黑板分区状态变化的规则，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，如果全局知识源存在多个规则同时响应黑板分区的状态变化，进入步骤3；

3.冲突消减阶段：

3A.比较规则威胁度的大小，如果存在多条规则具有最大威胁度，进入步骤3B；如果最大威胁度的规则只有一个，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，并结束。

3B.比较多个规则的可信度，将具有最大可信度的规则输出到响应系统，如果存在多个规则具有最大可信度，随机选择一个输出到响应系统，同时将该规则对该子警报的可信度值增加1，并结束。

其中：