[发明专利]分布式自优化入侵检测报警关联系统

摘要

本发明公开了一种分布式自优化入侵检测报警关联系统，包括局部报警关联分析模块、系统响应部件、全局关联分析模块、人机接口模块、入侵检测单元和多个数据库。本发明利用入侵检测系统特性、报警采信权重信息等提高准确率，减少处理的数据量；借助三个反馈回路可实现自动优化配置，避免误配置的影响；通过局部关联和全局关联的结合，可支持分布式应用环境和扩展性；系统响应部件可自动执行有关响应动作，减少安全管理员的工作量，争取更多的响应时间；人机接口模块为安全管理员提供了方便快捷的管理接口，降低了系统使用门槛。本发明克服了现有系统的不足，显著提高系统的检测准确率和效率，可防御分布式大规模入侵，适合现代分布式网络应用环境。

主权项

1、一种分布式自优化入侵检测报警关联系统，其特征在于：该系统包括警报库(5)、被监测系统信息库(6)、入侵检测系统特性库(7)、关联知识库(8)、局部报警关联分析模块(9)、系统响应部件(10)、报警采信权重信息库(11)、入侵企图预测候选库(12)、目标系统信息库(13)、全局关联分析模块(14)、人机接口模块(15)和至少一个入侵检测单元(4)，每个入侵检测单元(4)均包括一个报警聚集与融合模块(3)，至少一个检测代理模块(1)和至少一个警报过滤与规范化模块(2)；警报库(5)用于存储规范化的报警信息；被监测系统信息库(6)用于存储被监测的系统的特性信息，包括被监测系统采用的操作系统和存在的系统漏洞；入侵检测系统特性库(7)用于存储入侵检测单元(4)本身的特性，包括入侵检测单元所采用的检测方式；关联知识库(8)用于存储关联规则和知识，为报警关联分析提供关联依据；报警采信权重信息库(11)用于存储入侵报警的可信权重信息，包括报警已发生的时间和报警的次数；入侵企图预测候选库(12)用于存储入侵企图，包括下一步的入侵目标；目标系统信息库(13)用于存储网络中要保护的目标的特性信息；检测代理模块(1)用于实现入侵检测并产生原始报警，并提供给警报过滤与规范化模块(2)；警报过滤与规范化模块(2)用于过滤原始报警中明显冗余或不完整的报警，并规范化，使产生的报警格式一致，最后将规范化的报警信息提交给报警聚集与融合模块(3)，同时存储到警报库(5)；报警聚集与融合模块(3)利用被监测系统信息库(6)和入侵检测系统特性库(7)，对接收的规范化的报警进行聚集和融合，得到报警簇，并提供给局部报警关联分析模块(9)；局部报警关联分析模块(9)利用关联知识库(8)中的关联规则对接收的报警簇进行关联分析，然后将处理后的报警事件传递给全局关联分析模块(14)，并将报警的采信权重信息存储到报警采信权重信息库(11)中，将预测的入侵企图存放到入侵企图预测库(12)中；一旦局部报警关联分析模块(9)识别到入侵的发生，就通知系统响应部件(10)；全局关联分析模块(14)利用报警采信权重信息库(11)、入侵企图预测候选库(12)和目标系统信息库(13)的信息，对各局部报警关联分析模块(9)提供的分析结果进行综合，获得整个网络的安全态势，在检测到入侵时，即通知系统响应部件(10)；全局关联分析模块(14)还提供三类反馈信息：第一类是将反应入侵检测系统特性的信息更新到入侵检测系统特性库(7)，第二类是将新的关联规则或关联规则的优先级信息更新到关联知识库(8)，第三类是将入侵企图预测规则和知识、报警采信权重计算规则信息更新到局部报警关联分析模块，以影响产生报警采信权重信息、入侵企图预测候选方案的规则和规则的优先权重；全局关联分析模块(14)通过人机接口模块(15)与用户进行交互；系统响应部件(10)根据局部关联分析模块和全局关联分析模块发送的通知，执行响应动作，避免入侵的进一步发生。