CN102882893A - 基于黑板结构的警报协同系统 - Google Patents
基于黑板结构的警报协同系统 Download PDFInfo
- Publication number
- CN102882893A CN102882893A CN2012104214890A CN201210421489A CN102882893A CN 102882893 A CN102882893 A CN 102882893A CN 2012104214890 A CN2012104214890 A CN 2012104214890A CN 201210421489 A CN201210421489 A CN 201210421489A CN 102882893 A CN102882893 A CN 102882893A
- Authority
- CN
- China
- Prior art keywords
- alarm
- rule
- detection system
- blackboard
- intruding detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明涉及一种基于黑板结构的用于多步网络入侵检测的警报协同系统,所采用的方法是:构建了基于黑板结构的警报协同系统,将各个入侵检测系统的警报和规则变换后存储到系统中,综合考虑规则的威胁度和可信度对网络的影响,从而协同宏观上网络中的流量异常信息与微观上主机的可疑行为信息,对网络攻击行为进行准确判断。本发明提出了冲突消减方法,通过计算不同攻击行为对网络的威胁度和各个入侵检测系统警报的可信度,优先选择出最需要处理的警报。
Description
技术领域
一种用于多步网络入侵检测的警报协同系统,尤其涉及一种基于黑板结构的用于多步网络入侵检测的警报协同系统。
背景技术
随着网络信息技术在社会各领域的全面应用,网络安全越来越成为人们关心的话题。虽然迄今为止已发展了多种安全机制来保护计算机网络,但是在有逐渐壮大的安全队伍和逐步完善的安全产品的同时,CERT的安全报告显示近年的网络入侵事件呈逐年上升趋势,网络安全形势不容乐观。
入侵检测系统(IDS)的目标是对网络传输进行实时监控,在发现可疑传输时发出警报。从实际效果的角度讲,入侵检测系统需要实现的目标就是识别出网络中含有虚假或欺骗信息的数据包,并阻止它们的继续传播。然而,网络攻击者们往往不是单独地对一台主机进行攻击,也不是仅仅利用一个漏洞,而是更多地采用多步攻击。现有的HIDS的缺点是可移植性差以及检测的范围受到限制,而NIDS的缺点是只能监视局域网内的活动,而且难以定位入侵者。随着网络入侵行为的泛滥及其手段复杂性的增强,目前独立的入侵检测系统存在入侵检测的范围受到限制、提供的警报信息不全面以及不能实时检测和响应等缺点,因此各种入侵检测系统有相互配合和共同协作的发展趋势。
本发明涉及相关术语定义如下:
入侵检测系统(IDS):IDS是指依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现攻击企图和攻击行为的系统。
基于网络的入侵检测系统(NIDS):利用专用的网络通讯监测网络上的网络通讯包,对网络行为的异常进行预警。
基于主机的入侵检测系统(HIDS):采用实时监控手段,对主机系统的安全记录进行跟踪分析,以确定可疑的非法入侵活动。
入侵检测消息交换格式(IDMEF):由互联网工程任务组(IETF)的入侵检测工作组(IDWG)制定的标准,作为标准数据格式来统一不同安全产品所产生的报警消息格式,从而有利于各类安全产品共享信息数据,增进它们之间的协同工作。
黑板结构是人工智能领域中的一种问题求解模型,由一个称为黑板的全局教据库和逻辑上独立的知识源组成,黑板可以有多个分区,知识源分为局部知识源和全局知识源,一个局部知识源只能响应一个黑板分区的状态变化,一个全局知识源可以响应整个黑板的状态变化,其中知识源是自驱运动。
发明内容
本发明的目的在于提供一种基于黑板结构的用于多步网络入侵检测的警报协同系统,通过协同宏观上网络中的流量异常信息与微观上主机的可疑行为信息,对网络攻击行为进行准确判断,从而更加及时、准确地判断入侵行为。
一种基于黑板结构的警报协同系统,其执行包括以下步骤:
1.入侵检测系统注册阶段:
1A.入侵检测系统发出注册请求,警报协同系统的预处理模块根据入侵检测系统的地址判断是否是新的入侵检测系统;
1B.如果是新的入侵检测系统,记录该入侵检测系统的地址和警报格式,并触发黑板结构在黑板中生成新的黑板分区以存储该入侵检测系统产生的警报,用该黑板分区对应的局部知识源记录该入侵检测系统的规则;如果不是新的入侵检测系统,进入步骤1D;
1C.将局部知识源中的规则全局化,同时对规则的威胁度和可信度赋予初值并存储到规则全局化模块,其中专家和管理员也可以为全局知识源定义和添加的新的入侵规则;
1D.注册完成。
2.警报协同处理阶段:
2A.警报协同系统接收来自于已注册入侵检测系统的子警报,并将这些子警报存储在对应的黑板分区中;
2B.局部知识源判断是否存在响应黑板分区状态变化的规则,如果存在一个可以响应黑板分区状态变化的规则,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,如果没有相应的规则,进入步骤2C;
2C.如果全局知识源只有一个响应黑板分区状态变化的规则,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,如果全局知识源存在多个规则同时响应黑板分区的状态变化,进入步骤3;
3.冲突消减阶段:
3A.比较规则威胁度的大小,如果存在多条规则具有最大威胁度,进入步骤3B;如果最大威胁度的规则只有一个,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,并结束。
3B.比较多个规则的可信度,将具有最大可信度的规则输出到响应系统,如果存在多个规则具有最大可信度,随机选择一个输出到响应系统,同时将该规则对该子警报的可信度值增加1,并结束。
其中:
步骤1A中所述的地址判断是指根据该入侵检测系统的IP地址判断该入侵检测系统是否已经注册;
步骤1B中所述的黑板是指系统在内存中分配的独立模块,用于暂时存储警报及其存活状态,黑板包含多个黑板分区,每个黑板分区存储来自一个入侵检测系统的所有警报及其存活状态,其中警报存储时间为10s;
步骤1B中所述的局部知识源是指黑板结构中可以响应对应黑板分区状态变化的专家库,该专家库记录该入侵检测系统的规则,其中局部知识源只可以响应对应黑板分区的状态变化,当有新的警报存储到黑板分区中,其状态就会发生变化;
步骤1C中所述的全局化是指将规则变换后存储到全局知识源,其中规则变换的过程如下:同一局域网中存在基于主机的入侵检测系统Hi,i=1,2,...,m,和基于网络的入侵检测系统Nj,j=1,2,...,n,其中m表示HIDS的个数,n表示NIDS的个数,与Hi对应的局部知识源中存在一条规则R,其格式为:if(A and B)then C,其中A、B是来自于Hi的警报,C是即将面临的网络入侵名称,而其中B是基于主机的入侵检测系统和基于网络的入侵检测系统均可发出的警报,所以全局化结束后会在全局知识源中加入一条规则Global_R:if(A and B)then C,其中A是来自于Hi的警报,B是来自于Hi或者Nj的警报,C是即将面临的网络入侵名称,因此全局知识源可以响应更多的黑板分区,更加及时、准确地判断出网络入侵;
步骤1C中所述的威胁度是用来描述入侵对网络或者主机的影响程度,威胁度越大,表明入侵对网络或者主机的影响越大,越需要提前处理,入侵检测系统中的每条规则都会对应一个威胁度,其中确定威胁度初值的方式有两种,一种是根据入侵检测系统自身确定,另一种是根据专家经验确定;
步骤1C中所述的可信度是指在警报协同系统中存储的一个入侵检测系统对一个入侵判断的历史准确度,即存储在全局知识源中的每一条规则都会对应一个可信度值,警报协同系统会依据可信度值的大小来判断是否选择使用该入侵检测系统的规则,其中,历史准确度会随着警报协同系统中规则所识别的入侵的增多而变化,所有规则的可信度初始值为0;
步骤2A中所述的子警报是指由入侵检测系统发送给警报协同系统的警报。
附图说明
图1为本发明的模块关系示意图
图2是本发明的入侵检测系统注册流程示意图
图3是本发明的警报协同处理阶段流程示意图
具体实施方式
下面结合附图和实施例进一步对本发明加以说明。
参照图1,示出了说明本发明的一个实施例中一种基于黑板结构的警报协同系统的模块关系图。
(一)参照图2,示出了说明本发明的一个实施例中入侵检测系统注册流程:
1A.入侵检测系统发出注册请求,警报协同系统的预处理模块1根据入侵检测系统的地址判断是否是新的入侵检测系统;
1B.如果是新的入侵检测系统,记录该入侵检测系统的地址和警报格式,并触发黑板结构在黑板2中生成新的黑板分区以存储该入侵检测系统产生的警报,用该黑板分区对应的局部知识源3记录该入侵检测系统的规则,如果不是新的入侵检测系统,进入步骤1D;
1C.将局部知识源3中的规则全局化,同时对规则的威胁度和可信度赋予初值并存储到规则全局化模块4,其中专家和管理员也可以为全局知识源5定义和添加的新的入侵规则;
1D.注册完成。
(二)参照图3,示出了说明本发明的一个实施例中警报协同处理阶段流程:
2A.警报协同系统接收来自于已注册入侵检测系统的子警报,并将这些子警报存储在对应的黑板分区中;
2B.局部知识源3判断是否存在响应黑板分区状态变化的规则,如果存在一个可以响应黑板分区状态变化的规则,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,如果没有相应的规则,进入步骤2C;
2C.如果全局知识源5只有一个响应黑板分区状态变化的规则,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,如果全局知识源5存在多个规则同时响应黑板分区的状态变化,进入步骤3;
3冲突消减阶段:
3A.比较规则威胁度的大小,如果存在多条规则具有最大威胁度,进入步骤3B;如果最大威胁度的规则只有一个,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,并结束。
3B.比较多个规则的可信度,将具有最大可信度的规则输出到响应系统,如果存在多个规则具有最大可信度,随机选择一个输出到响应系统,同时将该规则对该子警报的可信度值增加1,并结束。
本实施例中未详细描述之处为公知技术,本领域技术人员都能实现,因此这里不再累述。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明,而是由权利要求书的范围来确定的。
Claims (8)
1.一种基于黑板结构的警报协同系统,其特征在于该系统的执行包括以下步骤:
(一)入侵检测系统注册阶段:
1A.入侵检测系统发出注册请求,警报协同系统的预处理模块根据入侵检测系统的地址判断是否是新的入侵检测系统;
1B.如果是新的入侵检测系统,记录该入侵检测系统的地址和警报格式,并触发黑板结构在黑板中生成新的黑板分区以存储该入侵检测系统产生的警报,用该黑板分区对应的局部知识源记录该入侵检测系统的规则,如果不是新的入侵检测系统,进入步骤1D;
1C.将局部知识源中的规则全局化,同时对规则的威胁度和可信度赋予初值并存储到规则全局化模块,其中专家和管理员也可以为全局知识源定义和添加的新的入侵规则;
1D.注册完成。
(二)警报协同处理阶段:
2A.警报协同系统接收来自于已注册入侵检测系统的子警报,并将这些子警报存储在对应的黑板分区中;
2B.局部知识源判断是否存在响应黑板分区状态变化的规则,如果存在一个规则可以响应黑板分区的状态变化的规则,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,如果没有相应的规则,进入步骤2C;
2C.如果全局知识源只有一个响应黑板分区状态变化的规则,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,如果全局知识源存在多个规则同时响应黑板分区的状态变化,进入步骤(三);
(三)冲突消减阶段:
3A.比较规则威胁度的大小,如果存在多条规则具有最大威胁度,进入步骤3B;如果最大威胁度的规则只有一个,则将该规则输出到响应系统,同时将该规则对该子警报的可信度值增加1,并结束。
3B.比较多个规则的可信度,将具有最大可信度的规则输出到响应系统,如果存在多个规则具有最大可信度,随机选择一个输出到响应系统,同时将该规则对该子警报的可信度值增加1,并结束。
2.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(一)1A所述地址判断是指根据该入侵检测系统的IP地址判断该入侵检测系统是否已经注册。
3.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(一)1B所述黑板是指系统在内存中分配的独立模块,用于暂时存储警报及其存活状态,黑板包含多个黑板分区,每个黑板分区存储来自一个入侵检测系统的所有警报及其存活状态,其中警报存储时间为10s。
4.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(一)1B所述局部知识源是指黑板结构中可以响应对应黑板分区状态变化的专家库,该专家库记录该入侵检测系统的规则,其中局部知识源只可以响应对应黑板分区的状态变化,当有新的警报存储到黑板分区中,其状态就会发生变化。
5.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(一)1C所述全局化是指将规则变换后存储到全局知识源,其中规则变换的过程如下:同一局域网中存在基于主机的入侵检测系统Hi,i=1,2,...,m,和基于网络的入侵检测系统Nj,j=1,2,...,n,其中m表示HIDS的个数,n表示NIDS的个数,与Hi对应的局部知识源中存在一条规则R,其格式为:if(A and B)then C,其中A、B是来自于Hi的警报,C是即将面临的网络入侵名称,而其中B是基于主机的入侵检测系统和基于网络的入侵检测系统均可发出的警报,所以全局化结束后会在全局知识源中加入一条规则Global R:if(A and B)then C,其中A是来自于Hi的警报,B是来自于Hi或者Nj的警报,C是即将面临的网络入侵名称,因此全局知识源可以响应更多的黑板分区,更加及时、准确地判断出网络入侵。
6.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(一)1C所述威胁度是用来描述入侵对网络或者主机的影响程度,威胁度越大,表明入侵对网络或者主机的影响越大,越需要提前处理,入侵检测系统中的每条规则都会对应一个威胁度,其中确定威胁度初值的方式有两种,一种是根据入侵检测系统自身确定,另一种是根据专家经验确定。
7.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(一)1C所述可信度是指在警报协同系统中存储的一个入侵检测系统对一个入侵判断的历史准确度,即存储在全局知识源中的每一条规则都会对应一个可信度值,警报协同系统会依据可信度值的大小来判断是否选择使用该入侵检测系统的规则,其中,历史准确度会随着警报协同系统中规则所识别的入侵的增多而变化,所有规则的可信度初始值为0。
8.根据权利要求1所述的一种基于黑板机构的警报协同系统,其特征在于步骤(二)2A所述子警报是指由入侵检测系统发送给警报协同系统的警报。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104214890A CN102882893A (zh) | 2012-10-30 | 2012-10-30 | 基于黑板结构的警报协同系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104214890A CN102882893A (zh) | 2012-10-30 | 2012-10-30 | 基于黑板结构的警报协同系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102882893A true CN102882893A (zh) | 2013-01-16 |
Family
ID=47484036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104214890A Pending CN102882893A (zh) | 2012-10-30 | 2012-10-30 | 基于黑板结构的警报协同系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882893A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798425A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种黑客攻击行为的检测方法、系统及相关装置 |
| CN111240966A (zh) * | 2020-01-03 | 2020-06-05 | 中国建设银行股份有限公司 | 一种告警信息处理方法及系统 |
| CN113748660A (zh) * | 2019-04-18 | 2021-12-03 | 奥兰治 | 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
| US20100287615A1 (en) * | 2007-09-19 | 2010-11-11 | Antony Martin | Intrusion detection method and system |
-
2012
- 2012-10-30 CN CN2012104214890A patent/CN102882893A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100287615A1 (en) * | 2007-09-19 | 2010-11-11 | Antony Martin | Intrusion detection method and system |
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
Non-Patent Citations (3)
| Title |
|---|
| MILLER P,ET AL: ""Collaborative intrusion detection system "", 《FUZZY INFORMATION PROCESSING SOCIETY, 2003. NAFIPS 2003. 22ND INTERNATIONAL CONFERENCE OF THE NORTH AMERICAN》 * |
| 汪晓东 等: ""基于IDXP的网络安全防卫系统"", 《计算机工程》 * |
| 陈继 等: ""基于黑板的自治代理协同入侵检测系统模型"", 《计算机与数字工程》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798425A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种黑客攻击行为的检测方法、系统及相关装置 |
| CN113748660A (zh) * | 2019-04-18 | 2021-12-03 | 奥兰治 | 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 |
| CN113748660B (zh) * | 2019-04-18 | 2024-04-05 | 奥兰治 | 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 |
| CN111240966A (zh) * | 2020-01-03 | 2020-06-05 | 中国建设银行股份有限公司 | 一种告警信息处理方法及系统 |
| CN111240966B (zh) * | 2020-01-03 | 2023-10-24 | 中国建设银行股份有限公司 | 一种告警信息处理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
| Gruebler et al. | An intrusion detection system against black hole attacks on the communication network of self-driving cars | |
| CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
| CN104303152B (zh) | 在内网检测异常以识别协同群组攻击的方法、装置和系统 | |
| Khan et al. | An enhanced multi-stage deep learning framework for detecting malicious activities from autonomous vehicles | |
| Wang et al. | An exhaustive research on the application of intrusion detection technology in computer network security in sensor networks | |
| CN102546638B (zh) | 一种基于场景的混合入侵检测方法及系统 | |
| Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
| Tianfield | Cyber security situational awareness | |
| Mohammed et al. | Intrusion detection system based on SVM for WLAN | |
| CN102075516A (zh) | 一种网络多步攻击识别和预测方法 | |
| CN112822206B (zh) | 网络协同攻击行为的预测方法、装置以及电子设备 | |
| CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
| CN101668012B (zh) | 安全事件检测方法及装置 | |
| AU2020102142A4 (en) | Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system | |
| CN109995793A (zh) | 网络动态威胁跟踪量化方法及系统 | |
| CN104601553A (zh) | 一种结合异常监测的物联网篡改入侵检测方法 | |
| CN109698823A (zh) | 一种网络威胁发现方法 | |
| JP2023031255A (ja) | 異常検出 | |
| CN102882893A (zh) | 基于黑板结构的警报协同系统 | |
| CN109918901A (zh) | 实时检测基于Cache攻击的方法 | |
| Mohammad et al. | A novel local network intrusion detection system based on support vector machine | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| Ebrahimi et al. | Automatic attack scenario discovering based on a new alert correlation method | |
| CN108494791A (zh) | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130116 |