一、技術領域

本發明涉及一種網絡入侵檢測報警的新方法。

二、背景技術

自從20世紀80年代James?Anderson首先提出入侵檢測概念以來，入侵檢測系統作為網絡安全的一個組件獲得了極大的發展。許多研發機構和安全廠商都在進行這方面的研究和開發，推出了很多相應的產品。雖然功能越來越強，但它們目前都存在著一個重要問題：過高的誤報。這一方面給管理員增加了繁重的工作負擔，從而使其可能忽視了系統中真正需要處理的關鍵攻擊事件；另一方面，過高的誤報率使得自動入侵響應，比如與防火墻聯動，不能很好地執行下去。

三、發明內容

本發明目的是，從IDS(入侵檢測)自身的特點出發，提出了一個能感知IDS所處系統環境的基于威脅度的報警分析TDAA(Threat-based?Dynamic?Alerts?Analysis)模型，該模型較之以前的一些報警評價研究在評價標準上進行了改進，使用了威脅度的概念，即在通常使用的可信度評價標準的基礎上，增加了對危險度的評價，并增加了節點、服務的價值和節點安全度等概念，使得評價模型更加全面、科學和合理。在報警威脅度的計算上，本發明使用了改進了的多層模糊模型識別的方法，并且我們在評判矩陣、權值的確定方面進行了改進和簡化，降低了參數的不確定性。這種算法較之以前的研究在算法原理上更加貼近于報警評價的原理，并且在計算中，減少了計算的步驟和復雜度，減少了需要人工確定或學習的參數，因此報警評價計算的準確度得到了提高。

本發明技術方案是：基于網絡入侵檢測報警方法，IDS報警信息屬性包括時間戳、源IP、目的IP、端口號、攻擊類型和探測器ID，并確定以下一些基本元素。

1)節點、服務

指的是網絡中一個特殊的機器和設備，而服務指的是一個節點所提供的基于局域網或Internet的網絡服務，節點和服務對進入系統的連接來說是目的地；

2)節點價值和服務價值

節點價值是一個用來表示節點重要性的量化的一個值，其中1表示的是最低的重要性，而N表示最高的重要性；每一個服務都要賦予一個表示服務重要性的服務價值，其范圍也是從1到M；

3)節點安全度

和節點價值與服務價值標示的是節點與服務的重要性相似，節點的安全度標示的是節點的安全性。節點的安全度也是一個量化的值，它由節點安裝的操作系統及版本，應用程序，開放的服務、端口，使用的安全措施以及它在網絡中的位置等來確定。它的值在一個范圍之間，同節點價值一樣，設為1到P，其中1表示最低的安全度，P表示最高安全度(本章中為了計算機的簡便設P為10)。一臺安裝了Windows98并且沒有加裝安全補丁，而且其大部分端口都開放的節點可以評估它的安全度為1，另一臺安裝RedHat?AS3且安裝當前所有補丁，安裝單機防火墻，關閉了大多數服務的節點，可以評估它的安全度為9。節點安全度是由安全管理系統或系統管理員針對每一個節點的情況進行評估得到的。

對報警信息的評價，我們確定評價出來的等級為10個：0.1，0.2，0.3，…，1，值越大其威脅程度越高，而管理員也可以考慮根據其實際需要，對報警威脅度的等級分類成諸如高度威脅、中度威脅、輕度威脅和無威脅等。

如上所述，報警信息的威脅度包括兩個方面：報警可信度與報警危險度。

4)報警可信度

報警可信度指的是報警信息所報攻擊真實發生的可能性。首先，一般一種攻擊要達到目的只能針對某種系統或服務程序的漏洞，因此可以通過將攻擊所需的環境與目的地系統真實的環境進行對比來確定報警信息的可信度。本文將系統的環境歸結到5個屬性：操作系統的類型與版本、硬件類型、服務及使用的程序和版本、網絡端口、應用。

同時，報警信息的可信度還與報警信息所報攻擊的特征有很大的關系，如有的攻擊的特征是一串字符，或某個特殊端口，當只檢測到這一個特征時，其可信度較低；另外一些攻擊，由一系列特殊操作組成，正常活動不會進行這套操作，這些類型的可信度相對較高。在本文中，根據攻擊特征的不同將攻擊分成掃描攻擊，拒絕服務攻擊，緩沖區溢出攻擊，基于Web代碼的攻擊和其它攻擊等幾種類型并分配不同的可信程度。

其次報警信息所報攻擊的相關攻擊信息也影響其可信程度，其中相關攻擊信息指系統中近段時間里是否存在和該攻擊相關的輔助攻擊；或類似的攻擊是否已多次發生過。相關攻擊信息對每一個報警需要建立一個強相關和弱相關攻擊的列表。