[发明专利]一种云环境中基于警报关联的分布式入侵检测方法

权利要求书

1.一种云环境中基于警报关联的分布式入侵检测方法，其特征在于包括如下步骤：

(1)入侵证据收集，以时间窗为单位，选择僵尸机的阶段性行为进行检测，得到检测结果作为异常检测的依据；

(2)分布式行为图模板建立，首先关联收集到的入侵证据形成证据集合，并以行为图的方式展现，然后根据行为图将云环境中的主机进行聚类，得到分布式行为图模板作为主机的行为规则；

(3)异常检测，计算主机的行为图和所述分布式行为图模板的相似度，并结合AdaBoost算法对主机的行为图进行分类，判断所述行为图是否发生异常；

(4)行为图模板更新，定期对主机的行为图重新聚类，便于适应多变的网络环境。

2.根据权利要求1所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述步骤(1)中所述阶段性行为包括：入站扫描、CC通信和出站扫描，检测结果分别作为入站扫描证据、CC通信证据和出站扫描证据。

3.根据权利要求2所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述CC通信行为利用BotDet算法进行检测，检测结果用如下公式表示：

Al_N＝((ip₁,Alert1),(ip₁,Alert3),...,(ip₂,Alert1)) (1)

其中，ip表示产生警报的主机IP地址，Alert1、Alert2、Alert3Alert4对应表示BotDet的产生的四种CC通信警报类型。

4.根据权利要求2所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述入站扫描行为和出站扫描行为的检测通过端口监听的方式进行，入站扫描证据Al_in为端口扫描失败次数占总数的比例，出站扫描证据Al_out是主机出站扫描的IP的信息熵，用如下公式表示：

其中，port_f表示时间窗内端口扫描的失败次数，port_all表示时间窗内所有端口扫描的次数，p_i为第i个IP出现的概率，f(p_i)表示单个IP出现的不确定性函数，Al_out代表单个IP不确定性的统计平均值。

5.根据权利要求1所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述步骤(2)分布式行为图模板建立的步骤如下：

首先定义检测周期，将检测周期内收集到的入侵证据关联形成证据集合，并以行为图的方式展现，公式如下：

AS_i＝{Al_in,i,value_i,Al_out,i} (5)

IDBG_i＝(V,W_V) (6)

其中，AS_i表示时间窗内的证据集合，i表示时间窗编号；IDBG_i表示主机在第i个时间窗内的行为图，V∈{V₁,V₂,V₃}表示图中的证据节点，V₁代表入站扫描证据节点，V₂代表CC通信证据节点，V₃代表出站扫描证据节点，W_V表示节点的值。

6.根据权利要求5所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述行为图IDBG_i中，V₁和V₃所表示的证据节点是对主机端口扫描数据进行统计，是对主机正常行为的统计，而V₂所表示的证据节点是对检测到的CC通信警报数量进行统计，是对主机异常行为的统计，因此将主机的行为图分为以下两种类型：(1)主成分图(IDBG⁽¹⁾)，没有V₂节点的图；(2)噪声图(IDBG⁽²⁾)，出现了V₂节点的图。