技術領域

一種用于多步網絡入侵檢測的警報協同系統，尤其涉及一種基于黑板結構的用于多步網絡入侵檢測的警報協同系統。

背景技術

隨著網絡信息技術在社會各領域的全面應用，網絡安全越來越成為人們關心的話題。雖然迄今為止已發展了多種安全機制來保護計算機網絡，但是在有逐漸壯大的安全隊伍和逐步完善的安全產品的同時，CERT的安全報告顯示近年的網絡入侵事件呈逐年上升趨勢，網絡安全形勢不容樂觀。

入侵檢測系統(IDS)的目標是對網絡傳輸進行實時監控，在發現可疑傳輸時發出警報。從實際效果的角度講，入侵檢測系統需要實現的目標就是識別出網絡中含有虛假或欺騙信息的數據包，并阻止它們的繼續傳播。然而，網絡攻擊者們往往不是單獨地對一臺主機進行攻擊，也不是僅僅利用一個漏洞，而是更多地采用多步攻擊。現有的HIDS的缺點是可移植性差以及檢測的范圍受到限制，而NIDS的缺點是只能監視局域網內的活動，而且難以定位入侵者。隨著網絡入侵行為的泛濫及其手段復雜性的增強，目前獨立的入侵檢測系統存在入侵檢測的范圍受到限制、提供的警報信息不全面以及不能實時檢測和響應等缺點，因此各種入侵檢測系統有相互配合和共同協作的發展趨勢。

本發明涉及相關術語定義如下：

入侵檢測系統(IDS)：IDS是指依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現攻擊企圖和攻擊行為的系統。

基于網絡的入侵檢測系統(NIDS)：利用專用的網絡通訊監測網絡上的網絡通訊包，對網絡行為的異常進行預警。

基于主機的入侵檢測系統(HIDS)：采用實時監控手段，對主機系統的安全記錄進行跟蹤分析，以確定可疑的非法入侵活動。

入侵檢測消息交換格式(IDMEF)：由互聯網工程任務組(IETF)的入侵檢測工作組(IDWG)制定的標準，作為標準數據格式來統一不同安全產品所產生的報警消息格式，從而有利于各類安全產品共享信息數據，增進它們之間的協同工作。

黑板結構是人工智能領域中的一種問題求解模型，由一個稱為黑板的全局教據庫和邏輯上獨立的知識源組成，黑板可以有多個分區，知識源分為局部知識源和全局知識源，一個局部知識源只能響應一個黑板分區的狀態變化，一個全局知識源可以響應整個黑板的狀態變化，其中知識源是自驅運動。

發明內容

本發明的目的在于提供一種基于黑板結構的用于多步網絡入侵檢測的警報協同系統，通過協同宏觀上網絡中的流量異常信息與微觀上主機的可疑行為信息，對網絡攻擊行為進行準確判斷，從而更加及時、準確地判斷入侵行為。

一種基于黑板結構的警報協同系統，其執行包括以下步驟：

1.入侵檢測系統注冊階段：

1A.入侵檢測系統發出注冊請求，警報協同系統的預處理模塊根據入侵檢測系統的地址判斷是否是新的入侵檢測系統；

1B.如果是新的入侵檢測系統，記錄該入侵檢測系統的地址和警報格式，并觸發黑板結構在黑板中生成新的黑板分區以存儲該入侵檢測系統產生的警報，用該黑板分區對應的局部知識源記錄該入侵檢測系統的規則；如果不是新的入侵檢測系統，進入步驟1D；

1C.將局部知識源中的規則全局化，同時對規則的威脅度和可信度賦予初值并存儲到規則全局化模塊，其中專家和管理員也可以為全局知識源定義和添加的新的入侵規則；

1D.注冊完成。

2.警報協同處理階段：

2A.警報協同系統接收來自于已注冊入侵檢測系統的子警報，并將這些子警報存儲在對應的黑板分區中；

2B.局部知識源判斷是否存在響應黑板分區狀態變化的規則，如果存在一個可以響應黑板分區狀態變化的規則，則將該規則輸出到響應系統，同時將該規則對該子警報的可信度值增加1，如果沒有相應的規則，進入步驟2C；

2C.如果全局知識源只有一個響應黑板分區狀態變化的規則，則將該規則輸出到響應系統，同時將該規則對該子警報的可信度值增加1，如果全局知識源存在多個規則同時響應黑板分區的狀態變化，進入步驟3；

3.沖突消減階段：

3A.比較規則威脅度的大小，如果存在多條規則具有最大威脅度，進入步驟3B；如果最大威脅度的規則只有一個，則將該規則輸出到響應系統，同時將該規則對該子警報的可信度值增加1，并結束。

3B.比較多個規則的可信度，將具有最大可信度的規則輸出到響應系統，如果存在多個規則具有最大可信度，隨機選擇一個輸出到響應系統，同時將該規則對該子警報的可信度值增加1，并結束。

其中：