[发明专利]分布式自优化入侵检测报警关联系统

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种分布式自优化入侵检测报警关联系统。

背景技术

目前主流的安全防范技术中，防火墙(Firewall)的策略决定了它只能作为网络边界的屏障，而不能防范不经过防火墙的攻击，也很难防范来自网络内部的攻击和网络病毒的威胁；目前的安全隔离技术普遍存在建设和维护成本高、使用不便、可用性差、传输速度慢和硬件故障率高、需要专用通信硬件和专有交换协议等局限性，因而限制了其应用范围；而安全评估技术则不能根据不同的攻击方式采用不同的防护手段来确保网络安全；入侵检测(Intrusion Detection)技术作为主动防御技术的关键，提供了对内部攻击、外部攻击和误操作的实时防护，能在网络系统受到危害之前拦截入侵，因而得到了普遍的关注。然而现有的入侵检测技术依然存在各种不足：误报和漏报依然是制约入侵检测技术发展的主要问题，缺少对安全事件进行融合分析和汇总决策的功能，缺乏对网络安全态势的全局视图，不能清晰地发现新的和未知的攻击模式，难以预测和防范某些具有关联性和协同性的大规模攻击，也未能实现与其他安全防护设施的联动响应和协作，入侵检测系统(IDS，Intrusion Detection System)提供的海量原始报警淹没了真实的入侵意图，使得网络安全管理员很难做出正确的判断。

报警关联分析(Association Analysis)是解决这些问题的有效技术，主要发掘数据库中数据的相关性。两种常见的关联技术是关联规则和序列模式，关联规则是寻找在同一个事件中出现项之间的相关性，序列模式则寻找事件之间时间上的相关性。

关联分析可以对报警记录进行分类、融合和关联，将同一攻击行为相关的报警融合成一条新的报警，从而减少了报警数目，使网络安全管理员能对入侵做出正确的判断并采取合适的方式来修正网络中存在的问题；报警融合就是利用攻击的原始报警生成新的报警，以明确具体的攻击；报警关联就是对融合产生的新报警运用一定的关联函数进行关联，为网络安全管理人员提供明确的入侵攻击信息。运用关联分析方法的目的不仅在于从大量的报警中提取确定的攻击行为，也可以判断出入侵检测系统(IDS，Intrusion Detection System)的误报信息，为网络安全管理员对安全策略和配置的调整提供决策依据，从而提高IDS的实用性，加强网络的安全性。

为了综合利用各种检测技术和检测产品的优势，使其取长补短，获知整个网络的实时安全态势，人们提出了多种报警关联体系，但是这些体系结构普遍存在不足：①缺乏多种检测技术的综合：基于特征的入侵检测系统优点是高可信，缺点是高漏报，而基于异常的入侵检测系统特点恰好是低漏报，高误报；有的产品检测准确，但是检测所需要的时间较长，有的产品检测响应时间短，但是准确率低。②缺乏对关联结果的优化选择：基于关联规则和序列模式的关联结果可能有多种，其中哪一种更接近真实的安全态势？目前尚缺乏结合已发生的入侵对后续的入侵行为进行预测和预测矫正的实用技术。③缺少对分布式环境的支持：随着信息技术的发展，网络的规模不断增长，传统的集中式处理的入侵检测系统难以避免单点失效，也难以防御DDoS(Distributed Denial of Service，分布式拒绝服务攻击)攻击。④对入侵的报告和处理没有考虑目标系统的特点。⑤缺少对警报几何显示的考虑，显示的报警信息中未包含入侵响应时机方面的信息。⑥现有的入侵检测报警关联框架不能进行自动配置和优化，系统配置不能自动收敛到最优状态，不能根据使用情况自动更改自身配置来提高准确率和稳定性。

发明内容

本发明的目的在于克服上述不足之处，提出了一种分布式自优化入侵检测报警关联系统，该系统解决了一般入侵检测报警关联系统中存在的可靠性差、效率低以及不能自动优化等问题，可以有效提高检测准确率和效率，适合现代分布式网络应用环境。

本发明提供的分布式自优化入侵检测报警关联系统，包括警报库、被监测系统信息库、入侵检测系统特性库、关联知识库、局部报警关联分析模块、系统响应部件、报警采信权重信息库、入侵企图预测候选库、目标系统信息库、全局关联分析模块、人机接口模块和至少一个入侵检测单元，每个入侵检测单元均包括一个报警聚集与融合模块，至少一个检测代理模块和至少一个警报过滤与规范化模块；

警报库用于存储规范化的报警信息；

被监测系统信息库用于存储被监测的系统的特性信息，包括被监测系统采用的操作系统和存在的系统漏洞；

入侵检测系统特性库用于存储入侵检测单元本身的特性，包括入侵检测单元所采用的检测方式；