[发明专利]基于聚类与关联的网络安全报警系统

摘要

本发明为一种基于报警聚类与关联的网络安全报警系统。整个系统主要包括监听模块、缓存模块、分层聚类模块、数据库处理模块、关联分析模块以及报警与响应模块，各模块集成于网络安全系统上层控制台中。分层聚类模块可以减少相同或者相似的冗余报警信息，从而减少了报警信息传输量，也减少了系统处理冗余报警的额外负载，降低了网络安全管理员的处理负荷，使得管理员更加清晰的认识攻击行为和配置安全策略。关联分析模块既可以发现攻击产生时一些特定属性之间的关联规则，以提高检测部件的检测能力；又可以发现攻击行为之间的产生规律和模式，以识别新的或者未知攻击模式，进行攻击预警和提前防范，从而避免协同的或者大规模的攻击行为产生。

主权项

1、一种基于聚类与关联的网络安全报警系统，其特征在于：该系统包括监听模块(2)、缓存模块(3)、分层聚类模块(4)、数据库处理模块(5)、关联分析模块(6)以及报警与响应模块(7)，各模块设置于网络安全系统上层控制台中；监听模块(2)与网络安全系统底层的检测和防御模块(1)进行通讯，专门负责监听和接收来自检测和防御模块(1)的局部报警信息，并将该报警信息提交给缓存模块(3)；缓存模块(3)在监听模块(2)和分层聚类处理模块(4)之间起缓存和同步作用，将来自监听模块(2)的报警信息按照先后顺序进行缓存；分层聚类模块(4)依次从缓冲模块(3)中获取局部报警信息，对该报警信息进行具体的分层聚类处理，判断该报警信息与最近一段时间内的局部报警信息是否具有冗余性，并根据判断结果决定是否将该报警信息提交给报警与响应模块(7)；并将全部报警信息提交给数据库处理模块(5)，由数据库处理模块(5)将其写入数据库，为关联分析模块(6)提供报警信息数据源；关联分析模块(6)与数据库处理模块(5)交互，获取大量的报警信息作为关联分析事件源，运用关联算法进行分析挖掘并对结果进行性能评估，删除错误的和无用的规则和模式，将最终有效的规则和模式提交给报警与响应模块(7)，由其进行规则和模式的配置和运用；报警与响应模块(7)一方面对分层聚类模块(4)传递的局部报警信息进行全局报警，并通过与用户的交互实现响应，另一方面该模块获取关联分析模块(6)产生的规则和模式，进行后台配置，供检测和防御模块(1)使用。