[发明专利]一种多路IDS集成检测方法和装置

说明书

本发明提供了一种多路IDS集成检测方法和装置。所述方法包括获取可疑流量PCAP包；对可疑流量PCAP包进行流量会话回放，进行威胁检测，生成告警数据；对告警数据进行根因分析，得到误报或漏报事件集合；从IDS设备厂家集合中筛选出IDS弱势集合，得到候选IDS集合；从候选IDS集合中筛选出IDS权威集合，进行权重分配和权重投票，生成多路IDS设备集成模型；对实时流量进行多路IDS检测，再进行多路IDS集成检测，输出威胁事件。以此方式，利用较低的时间和计算复杂度减少联合检测的漏报和误报，极大的提高了威胁检测性能，降低了威胁事件基数，极大提高了网络维护人员的工作效率，降低了其工作负担。

技术领域

本发明一般涉及网络入侵检测领域，并且更具体地，涉及一种多路IDS集成检测方法和装置。

背景技术

近几十年来，计算机系统一直在建立、存储、处理和传输过程中不断增加数据量。在此过程中，计算机系统安全运行成为一个核心关键问题，有必要防止未经授权的人侵入计算机和计算机网络。目前，最常用的计算机系统安全工具是反病毒、防火墙、入侵检测、入侵阻断等。近年来，计算机网络安全不断受到学术界和工业界的重视，新的技术和流量监控工具不断涌现以避免未经授权的入侵。入侵可以定义为试图破坏计算机系统和网络资源的完整性、机密性或可用性。入侵检测系统（IDS）是一种网络安全产品，旨在监控网络流量、检测安全威胁并发出告警。大多数IDS设备是以签名检测技术为核心，这是主流的检测技术。即利用特定的攻击模式匹配来限制入侵。为了使得基于签名的IDS设备都能够检出正确的结果，必须要求IDS设备的供应商维护所有已知的、完备的签名知识库。然而，在基于签名防御机制的IDS设备实施过程中往往存在一些重大的挑战，即误报和漏报问题。对于用户来讲，无论是漏报还是误报都是难以接受的。前者导致用户的网络被攻陷和接管，而用户毫无所知；后者，大量的、频繁的威胁告警干扰系统管理员的正常工作，进而导致用户不信任供应商提供的IDS设备。

为了降低IDS设备的误报率和漏报率，IDS设备分析师通常需要手工处理IDS设备的威胁事件以确定是准确告警还是误报，进而优化签名知识库。但是，IDS设备分析师也仅能够处理误报，对于漏报无能为力。在此过程中，使用单一的IDS设备已经成为了障碍。为了同时优化IDS误报和漏报，克服单一IDS设备的局限性，使用多个不同供应商的IDS设备进行集成，每个供应商的IDS设备都有专属的、擅长的知识领域签名设计。对于知识领域，可以被定义为网络协议类型、威胁类型等。其中，网络协议类型包括TCP、UDP、HTTP、FPT、MySQL等；威胁类型包括DoS攻击、暴力破解、SQL Injection、XSS、端口扫描等。在专属的、擅长的知识领域，该提供商的IDS设备在威胁误报和漏报领域具有较大的优势，能够更为准确的识别恶意流量。

然而，使用多个不同供应商的IDS设备进行集成可能导致检测结果发生冲突。为了解决此类冲突提出了若干方法，例如多数票算法（MV算法），分析出潜在的误报和漏报，再根据具体流量进行最终的误报和漏报确认。但是，MV算法并没有关注对威胁告警的处理，更没有考虑不同的IDS设备擅长的领域知识能力，进而导致检测效率不高。又例如，CWV算法，进一步考虑了每个IDS设备的可信度，但进行IDS筛选时，仅选取单一特性进行评估，未考虑IDS设备的优势多样性。又例如，依据警报之间的差异程度关联聚合来自多种IDS 的警报，借此抑制警报泛滥、构建警报航迹，再用D-S 方法提升网络安全态势评估的精准性。该方法为了降低时空复杂度或者对统计样本的要求，引入了很难被满足的约束条件，限制了该方法的适用范围。刘等人将流量数据包属性划分为3个类别，即内容属性、本质属性和流量属性，先用神经网络分别检测，再用模糊积分融合。又例如，支持在线增量训练的警报融合模型，将初级警报向量映射为表决模式，以缩小统计空间。通过训练统计出各种表决模式在正常或攻击流量下的条件概率分布，依据统计特征的变化即时推断待检测流量的构成情况，使用阈值约束法和贝叶斯推断做出融合决策。上述这两种方法，当训练样本的种类、数量较少时，统计空间非常稀疏；未充分训练不但会导致性能降低，还容易引发相当棘手的拒绝决策问题。