[发明专利]基于黑板结构的警报协同系统

摘要

本发明涉及一种基于黑板结构的用于多步网络入侵检测的警报协同系统，所采用的方法是：构建了基于黑板结构的警报协同系统，将各个入侵检测系统的警报和规则变换后存储到系统中，综合考虑规则的威胁度和可信度对网络的影响，从而协同宏观上网络中的流量异常信息与微观上主机的可疑行为信息，对网络攻击行为进行准确判断。本发明提出了冲突消减方法，通过计算不同攻击行为对网络的威胁度和各个入侵检测系统警报的可信度，优先选择出最需要处理的警报。

主权项

一种基于黑板结构的警报协同系统，其特征在于该系统的执行包括以下步骤：(一)入侵检测系统注册阶段：1A.入侵检测系统发出注册请求，警报协同系统的预处理模块根据入侵检测系统的地址判断是否是新的入侵检测系统；1B.如果是新的入侵检测系统，记录该入侵检测系统的地址和警报格式，并触发黑板结构在黑板中生成新的黑板分区以存储该入侵检测系统产生的警报，用该黑板分区对应的局部知识源记录该入侵检测系统的规则，如果不是新的入侵检测系统，进入步骤1D；1C.将局部知识源中的规则全局化，同时对规则的威胁度和可信度赋予初值并存储到规则全局化模块，其中专家和管理员也可以为全局知识源定义和添加的新的入侵规则；1D.注册完成。(二)警报协同处理阶段：2A.警报协同系统接收来自于已注册入侵检测系统的子警报，并将这些子警报存储在对应的黑板分区中；2B.局部知识源判断是否存在响应黑板分区状态变化的规则，如果存在一个规则可以响应黑板分区的状态变化的规则，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，如果没有相应的规则，进入步骤2C；2C.如果全局知识源只有一个响应黑板分区状态变化的规则，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，如果全局知识源存在多个规则同时响应黑板分区的状态变化，进入步骤(三)；(三)冲突消减阶段：3A.比较规则威胁度的大小，如果存在多条规则具有最大威胁度，进入步骤3B；如果最大威胁度的规则只有一个，则将该规则输出到响应系统，同时将该规则对该子警报的可信度值增加1，并结束。3B.比较多个规则的可信度，将具有最大可信度的规则输出到响应系统，如果存在多个规则具有最大可信度，随机选择一个输出到响应系统，同时将该规则对该子警报的可信度值增加1，并结束。