專利名稱:具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及其報(bào)警優(yōu)化方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),特別涉及一種具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)���,也涉及到該網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所采用的報(bào)警優(yōu)化方法,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����。
背景技術(shù):
隨著互聯(lián)網(wǎng)使用日益普及����,人們開始越來(lái)越重視網(wǎng)絡(luò)安全問題�����。作為應(yīng)對(duì)網(wǎng)絡(luò)入侵的有效手段���,入侵檢測(cè)系統(tǒng)(Intrusion DetectionSystem���,簡(jiǎn)稱IDS系統(tǒng))在網(wǎng)絡(luò)安全防護(hù)體系中發(fā)揮著重要的作用。
現(xiàn)有的入侵檢測(cè)系統(tǒng)主要包括基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-based IDS�����,簡(jiǎn)稱NIDS)和基于主機(jī)的入侵檢測(cè)系統(tǒng)(Host-based IDS��,簡(jiǎn)稱HIDS)�,其中NIDS根據(jù)被監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)包內(nèi)容檢測(cè)入侵,HIDS則對(duì)系統(tǒng)審計(jì)日志和操作系統(tǒng)進(jìn)程等主機(jī)系統(tǒng)中的信息進(jìn)行分析來(lái)檢測(cè)入侵�����。從檢測(cè)技術(shù)來(lái)看,入侵檢測(cè)系統(tǒng)主要有異常檢測(cè)和誤用檢測(cè)兩類�,其中異常檢測(cè)通過識(shí)別任何違反正常情況的行為檢測(cè)入侵,它可以檢測(cè)未知的攻擊���,但容易產(chǎn)生高誤報(bào)率���;而誤用檢測(cè)明確定義攻擊的特征,通過將檢測(cè)數(shù)據(jù)與攻擊特征匹配來(lái)檢測(cè)入侵�,有較高的準(zhǔn)確率,但只能檢測(cè)規(guī)則定義的已知攻擊��。
現(xiàn)有的入侵檢測(cè)系統(tǒng)雖然在網(wǎng)絡(luò)安全防護(hù)中發(fā)揮了重要作用�����,但仍存在一些較嚴(yán)重的技術(shù)問題�����,影響了入侵檢測(cè)系統(tǒng)的實(shí)際使用效果�,其中報(bào)警不準(zhǔn)確(如誤報(bào)、漏報(bào))和報(bào)警方式不妥當(dāng)(如濫報(bào))的問題尤為突出��。另外���,近年來(lái)出現(xiàn)了許多逃避檢測(cè)的攻擊技術(shù)和專門針對(duì)IDS進(jìn)行DOS攻擊的軟件工具如Stick��、Snot等����,使上述問題顯得尤為突出����。因此,如何減少誤報(bào)�����、漏報(bào)和濫報(bào)�,提高IDS工作的有效性(effectiveness)就成為當(dāng)前入侵檢測(cè)領(lǐng)域的核心研究課題之一。
在現(xiàn)有的研究工作中��,已經(jīng)提出了許多檢測(cè)技術(shù)和方法來(lái)提高IDS的有效性����,準(zhǔn)確地檢測(cè)入侵,主要的有以下幾類(1)利用對(duì)網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的特殊處理技術(shù)避免檢測(cè)的差錯(cuò)����,如在Snort系統(tǒng)中采用了IP碎片重組、TCP會(huì)話重構(gòu)等技術(shù)以檢測(cè)包含在多個(gè)連續(xù)碎片或報(bào)文中的攻擊,RealSecure系統(tǒng)集成了BlackICE的協(xié)議分析技術(shù)�,通過進(jìn)一步分析應(yīng)用協(xié)議的語(yǔ)義信息可以避免許多由于模式匹配技術(shù)的缺陷導(dǎo)致的誤報(bào)和漏報(bào);(2)加強(qiáng)對(duì)入侵的描述能力以提高檢測(cè)的準(zhǔn)確率�����,典型的如NFR的N-Code規(guī)則描述語(yǔ)言���,N-Code語(yǔ)言提供了變量����、運(yùn)算符����、語(yǔ)句、函數(shù)��、異常處理等豐富的語(yǔ)言特性���,可以更加精確的描述入侵的特征及處理方式����,通過這種功能特性���,避免由于對(duì)入侵描述不準(zhǔn)確造成的檢測(cè)錯(cuò)誤��;(3)利用特殊的檢測(cè)算法進(jìn)行檢測(cè)����,如UC Davis研制的GrIDS系統(tǒng)通過構(gòu)建網(wǎng)絡(luò)活動(dòng)圖完成大型網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)功能���;在SRI的EMEARLD系統(tǒng)中��,將基于攻擊知識(shí)庫(kù)的專家系統(tǒng)和基于概率統(tǒng)計(jì)的異常檢測(cè)算法相結(jié)合�;Minnesota大學(xué)的MINDS項(xiàng)目中將基于數(shù)據(jù)挖掘的異常檢測(cè)同特征檢測(cè)進(jìn)行結(jié)合���;中國(guó)發(fā)明專利申請(qǐng)03137094.2所揭示的在事件分析模塊中增設(shè)由相關(guān)特征分析器����、數(shù)據(jù)重組器和大類輪廓分析器構(gòu)成的對(duì)初始化數(shù)據(jù)流進(jìn)行相關(guān)特征分析�、提取和重組的構(gòu)件來(lái)替代原來(lái)的攻擊輪廓分析器,從而構(gòu)成一種新的層次入侵檢測(cè)系統(tǒng)等�����。還有的研究項(xiàng)目中采用神經(jīng)網(wǎng)絡(luò)����、免疫算法等技術(shù)進(jìn)行異常檢測(cè)算法的研究�����。這些工作雖然具備能夠檢測(cè)未知入侵的優(yōu)點(diǎn),但仍然存在誤報(bào)率較高等缺陷�。
本專利發(fā)明人深入分析了現(xiàn)有IDS系統(tǒng)的特征,發(fā)現(xiàn)它們基本上都屬于單級(jí)決策內(nèi)核結(jié)構(gòu)����,即入侵分析結(jié)果只經(jīng)過一個(gè)決策內(nèi)核進(jìn)行處理�����。不同的IDS系統(tǒng)雖然形式上存在差別,但都有一個(gè)邏輯上明確界定的決策內(nèi)核����,它通過特定的檢測(cè)算法對(duì)源數(shù)據(jù)進(jìn)行分析并決定是否進(jìn)行入侵報(bào)警,報(bào)警的準(zhǔn)確程度完全取決于決策內(nèi)核中分析算法的邏輯能力�,雖然研究人員已經(jīng)采取了各種技術(shù)措施來(lái)提高分析算法的準(zhǔn)確性,但其報(bào)警準(zhǔn)確率不高仍然是一個(gè)嚴(yán)重的問題�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種新型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),它具有二級(jí)決策內(nèi)核,各級(jí)決策內(nèi)核采用不同的分析算法�����,從而有效避免了現(xiàn)有單一分析算法的缺陷���,減少了誤報(bào)和濫報(bào)現(xiàn)象����,改善了檢測(cè)效果�。
本發(fā)明的另外一個(gè)目的在于提供一種該網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所采用的報(bào)警優(yōu)化方法�����。
為實(shí)現(xiàn)上述的發(fā)明目的,本發(fā)明采用下述的技術(shù)方案一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)���,包括數(shù)據(jù)源�����、報(bào)警數(shù)據(jù)庫(kù)和管理控制臺(tái)���,其特征在于
所述網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有兩級(jí)決策內(nèi)核�,所述兩級(jí)決策內(nèi)核所采用的決策算法不相同。
所述兩級(jí)決策內(nèi)核中�����,其中第一級(jí)決策內(nèi)核與所述數(shù)據(jù)源相連接����,其結(jié)果輸送給第二級(jí)決策內(nèi)核,所述第二級(jí)決策內(nèi)核與所述報(bào)警數(shù)據(jù)庫(kù)相連接����。
所述第一級(jí)和第二級(jí)決策內(nèi)核分別分布在不同的主機(jī)上�,彼此之間通過報(bào)警代理進(jìn)行通信。
所述第一級(jí)決策內(nèi)核的報(bào)警代理用單獨(dú)的進(jìn)程實(shí)現(xiàn)����,該進(jìn)程與該決策內(nèi)核所在的網(wǎng)絡(luò)入侵檢測(cè)進(jìn)程之間利用共享內(nèi)存的方式進(jìn)行傳遞報(bào)警信息的通信。
所述兩級(jí)決策內(nèi)核分為通信模塊�����、主控模塊�����、決策模塊和輸出模塊,所述決策模塊分為過濾器���、分析器����、關(guān)聯(lián)器和知識(shí)庫(kù)����;所述檢測(cè)系統(tǒng)還具有檢測(cè)引擎和漏洞掃描器,所述檢測(cè)引擎連接所述通信模塊���,所述通信模塊經(jīng)過所述過濾器和分析器將數(shù)據(jù)傳送給所述關(guān)聯(lián)器�,所述漏洞掃描器通過所述知識(shí)庫(kù)也將數(shù)據(jù)傳送給所述關(guān)聯(lián)器��,所述關(guān)聯(lián)器將優(yōu)化后的報(bào)警數(shù)據(jù)傳送給所述輸出模塊���,所述輸出模塊將數(shù)據(jù)傳送給所述管理控制臺(tái)和報(bào)警數(shù)據(jù)庫(kù)�。
如上所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所采用的報(bào)警優(yōu)化方法��,其特征在于包括如下步驟a)通過一種基于報(bào)警緩沖池的報(bào)警過濾算法對(duì)原始報(bào)警數(shù)據(jù)進(jìn)行過濾,過濾掉重復(fù)報(bào)警和濫報(bào)警數(shù)據(jù)�;b)對(duì)過濾后的報(bào)警數(shù)據(jù)利用關(guān)聯(lián)技術(shù)與網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行關(guān)聯(lián)、分析���,以此剔除由于入侵上下文不符而導(dǎo)致的誤報(bào)警數(shù)據(jù)�����,并利用漏洞掃描技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行及時(shí)維護(hù)和更新�。
其中����,所述步驟a)包括如下子步驟(1)開始;(2)獲得互斥鎖��;(3)是否處于特殊處理狀態(tài)���?(4)如果是,進(jìn)入大量報(bào)警的特殊處理狀態(tài)��,釋放互斥鎖并結(jié)束�����;如果否,則將報(bào)警信息與報(bào)警池中信息進(jìn)行匹配��,轉(zhuǎn)入步驟(5)����;(5)是否有重復(fù)報(bào)警?(6)如果是��,進(jìn)行重復(fù)報(bào)警處理�,轉(zhuǎn)入步驟(7);如果否�,直接進(jìn)入步驟(7);(7)將報(bào)警數(shù)據(jù)寫入報(bào)警池����;(8)是否有大量報(bào)警?(9)如果是����,向控制臺(tái)發(fā)出報(bào)告,重置超時(shí)定時(shí)器����,轉(zhuǎn)入步驟(10);如果否�,直接進(jìn)入步驟(11)���;(10)進(jìn)入大量報(bào)警的特殊處理狀態(tài);(11)釋放互斥鎖��;(12)結(jié)束��。
所述步驟b)還包括如下子步驟(1)根據(jù)報(bào)警信息查找入侵規(guī)則庫(kù)�����,找出報(bào)警對(duì)應(yīng)的通用漏洞披露值�����;(2)根據(jù)通用漏洞披露值查找漏洞掃描插件庫(kù)���,找出對(duì)應(yīng)的掃描器插件標(biāo)識(shí)����;(3)查找網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)�,匹配關(guān)聯(lián)掃描器插件標(biāo)識(shí);(4)是否匹配且未過期�����?(5)如果匹配成功且沒有知識(shí)庫(kù)沒有過期���,則關(guān)聯(lián)成功���,輸出報(bào)警并結(jié)束;如果匹配成功但知識(shí)庫(kù)過期����,或者匹配不成功,則轉(zhuǎn)入步驟(6)�����;(6)用關(guān)聯(lián)掃描器插件標(biāo)識(shí)向目標(biāo)機(jī)發(fā)起掃描��;(7)用掃描器掃描結(jié)果更新知識(shí)庫(kù)�����;(8)轉(zhuǎn)入步驟(3)�����,重新對(duì)掃描插件標(biāo)識(shí)進(jìn)行匹配���,如匹配成功則關(guān)聯(lián)成功�,否則關(guān)聯(lián)失敗。
所述步驟b)中��,所述知識(shí)庫(kù)的更新過程包括如下步驟(1)定義一個(gè)知識(shí)過期時(shí)間間隔值��;(2)系統(tǒng)啟動(dòng)時(shí)先清空知識(shí)庫(kù)����,然后啟動(dòng)對(duì)知識(shí)庫(kù)中已有的目標(biāo)機(jī)進(jìn)行一次漏洞掃描,同時(shí)用掃描的結(jié)果初始化知識(shí)庫(kù)���;(3)每次關(guān)聯(lián)時(shí)如果在知識(shí)庫(kù)中找不到匹配項(xiàng)或者能匹配成功但是信息時(shí)間戳超過時(shí)間間隔值���,則再發(fā)起掃描,用掃描結(jié)果更新知識(shí)庫(kù)�。
本發(fā)明所述的基于二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及其采用的報(bào)警優(yōu)化方法具有如下的優(yōu)點(diǎn)●可以同時(shí)在兩級(jí)決策內(nèi)核中采取改進(jìn)檢測(cè)效果的措施,結(jié)構(gòu)更加靈活�,易于擴(kuò)展;●可以針對(duì)第一級(jí)決策內(nèi)核分析算法存在的問題對(duì)二級(jí)內(nèi)核的過濾分析算法進(jìn)行設(shè)計(jì)���,有針對(duì)性的改善檢測(cè)和報(bào)警效果�;●在分布式入侵檢測(cè)的應(yīng)用場(chǎng)景下�����,二級(jí)內(nèi)核可以對(duì)多個(gè)檢測(cè)引擎的分析結(jié)果進(jìn)行全局性的分析����,可以利用網(wǎng)絡(luò)拓?fù)洹?yīng)用部署信息等單個(gè)檢測(cè)引擎所未知的知識(shí)進(jìn)行報(bào)警信息的再分析����、過濾,改善報(bào)警效果�����;●由于有了報(bào)警代理這樣的專門處理報(bào)警信息的邏輯實(shí)體��,使得對(duì)報(bào)警信息進(jìn)行格式轉(zhuǎn)化�����、加解密等處理非常易于實(shí)現(xiàn)��,并且系統(tǒng)體系結(jié)構(gòu)更加清晰���。
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步的說(shuō)明��。
圖1為現(xiàn)有入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖���。
圖2為本發(fā)明所述的具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)圖��。
圖3為基于上述二級(jí)決策內(nèi)核的基本原理研制出的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)圖����。
圖4為分布式二級(jí)決策內(nèi)核的結(jié)構(gòu)圖���。
圖5為在分布式檢測(cè)環(huán)境下的分布式二級(jí)決策內(nèi)核結(jié)構(gòu)的部署方式的一個(gè)實(shí)施例����。
圖6為報(bào)警緩沖池的示意圖���。
圖7為報(bào)警過濾算法的實(shí)現(xiàn)流程圖�����。
圖8為知識(shí)庫(kù)的邏輯結(jié)構(gòu)圖��。
圖9為報(bào)警關(guān)聯(lián)和知識(shí)庫(kù)更新的機(jī)制示意圖�����。
圖10為報(bào)警關(guān)聯(lián)和知識(shí)庫(kù)更新過程的流程圖�����。
具體實(shí)施例方式
如圖1所示�,任何一個(gè)入侵檢測(cè)系統(tǒng)至少應(yīng)該具有數(shù)據(jù)源��、決策內(nèi)核��、報(bào)警數(shù)據(jù)庫(kù)和管理控制臺(tái)����。無(wú)論入侵檢測(cè)系統(tǒng)所執(zhí)行的分析算法為何,它執(zhí)行入侵檢測(cè)功能的流程都是采集數(shù)據(jù)源��、決策內(nèi)核進(jìn)行分析�����、報(bào)警輸出和響應(yīng)�����。因此��,上述的結(jié)構(gòu)圖對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)都是普遍適用的。
圖2為本發(fā)明所述的具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)圖���。它在圖1所示系統(tǒng)的基礎(chǔ)上引入第二級(jí)決策內(nèi)核�,即該系統(tǒng)具有兩個(gè)決策內(nèi)核��,依次分為A與B兩個(gè)部分���,其中A完成傳統(tǒng)的檢測(cè)功能��,B中對(duì)A產(chǎn)生的報(bào)警信息從不同的角度進(jìn)行進(jìn)一步分析和過濾�����,以提高網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)入侵的準(zhǔn)確率�,我們稱這種系統(tǒng)結(jié)構(gòu)為二級(jí)決策內(nèi)核結(jié)構(gòu)��。
本發(fā)明所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不是單純地在系統(tǒng)中增加一個(gè)決策內(nèi)核�����。為了真正起到提高檢測(cè)準(zhǔn)確率的作用����,在本發(fā)明所述的系統(tǒng)中���,決策內(nèi)核B中的決策分析邏輯應(yīng)從與內(nèi)核A中不同的角度進(jìn)行。
即���,一方面���,它應(yīng)從更高級(jí)、更綜合的角度對(duì)報(bào)警信息進(jìn)行分析決策�。在大多數(shù)誤用檢測(cè)IDS系統(tǒng)中�����,內(nèi)核A的決策算法通常是根據(jù)入侵規(guī)則庫(kù)中的攻擊特征信息����,利用模式匹配技術(shù)或者協(xié)議分析技術(shù)進(jìn)行檢測(cè)分析,如果發(fā)現(xiàn)符合攻擊特征的數(shù)據(jù)就進(jìn)行報(bào)警����。在決策內(nèi)核B中,分析算法就沒有必要再根據(jù)入侵規(guī)則進(jìn)行重復(fù)匹配����,而應(yīng)從報(bào)警信息的頻率����、重復(fù)性���、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和應(yīng)用部署信息等方面進(jìn)行總體性的分析�、綜合��,過濾掉錯(cuò)誤的報(bào)警信息或者合并冗余報(bào)警信息�����,提高報(bào)警的準(zhǔn)確率�����,并減少過多的濫報(bào)���,為系統(tǒng)管理員提供綜合�����、更有價(jià)值的信息而不是散亂的��、各自獨(dú)立的報(bào)警事件���。
另一方面�,在二級(jí)決策內(nèi)核中���,還可以利用其它的安全技術(shù)獲得相關(guān)信息進(jìn)行輔助決策�。比如可以根據(jù)一級(jí)內(nèi)核產(chǎn)生的報(bào)警所關(guān)聯(lián)的安全漏洞信息����,實(shí)時(shí)的調(diào)用漏洞掃描系統(tǒng)對(duì)攻擊目標(biāo)系統(tǒng)的漏洞情況進(jìn)行驗(yàn)證,檢查目標(biāo)主機(jī)對(duì)該攻擊是否敏感�����,通過這種方式可以消除許多對(duì)發(fā)生在錯(cuò)誤上下文(context)中的入侵的誤報(bào)警�����;同時(shí)�����,還可以即時(shí)獲取相關(guān)的系統(tǒng)日志����、防火墻日志等信息以輔助進(jìn)行更準(zhǔn)確的決策。
圖3所示為本專利發(fā)明人基于上述二級(jí)決策內(nèi)核的基本原理研制出的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)圖��。如圖3所示�,其中空心箭頭表示數(shù)據(jù)的流向,黑色細(xì)箭頭表示控制操作��,黑色粗箭頭特指優(yōu)化后的報(bào)警數(shù)據(jù)流向����。檢測(cè)引擎、管理控制臺(tái)和報(bào)警數(shù)據(jù)庫(kù)是通用的入侵檢測(cè)系統(tǒng)所共有的���。二級(jí)決策內(nèi)核和漏洞掃描器是為報(bào)警優(yōu)化而新增的����,二級(jí)決策內(nèi)核系統(tǒng)從邏輯上被分成了通信模塊�、主控模塊、決策模塊和輸出模塊四個(gè)部分��。其中通信模塊負(fù)責(zé)與檢測(cè)引擎進(jìn)行通信�,接收原始報(bào)警數(shù)據(jù);決策模塊負(fù)責(zé)對(duì)原始報(bào)警數(shù)據(jù)進(jìn)行過濾���、關(guān)聯(lián)等優(yōu)化處理���;主控模塊負(fù)責(zé)二級(jí)決策內(nèi)核的啟動(dòng)��、配置和管理�����;輸出模塊負(fù)責(zé)最終報(bào)警數(shù)據(jù)的輸出��。漏洞掃描器通過收集目標(biāo)主機(jī)的漏洞信息對(duì)知識(shí)庫(kù)進(jìn)行創(chuàng)建����、維護(hù)及更新��,為報(bào)警的關(guān)聯(lián)提供依據(jù)��。上述系統(tǒng)即實(shí)現(xiàn)了上面提出的二級(jí)決策內(nèi)核結(jié)構(gòu)�,并結(jié)合二級(jí)決策內(nèi)核進(jìn)行了報(bào)警優(yōu)化技術(shù)的實(shí)現(xiàn)�。
必須指出,雖然二級(jí)決策內(nèi)核系統(tǒng)結(jié)構(gòu)為改善報(bào)警效果帶來(lái)了很大的靈活性���,但由于第二級(jí)決策內(nèi)核的引入會(huì)導(dǎo)致處理量的增加���,可能會(huì)影響系統(tǒng)整體的運(yùn)行效率�����。為了克服這個(gè)缺點(diǎn)�,如圖4所示�����,我們進(jìn)一步給出下面的分布式二級(jí)決策內(nèi)核結(jié)構(gòu)�。
該結(jié)構(gòu)在圖2的結(jié)構(gòu)基礎(chǔ)上,增加了兩個(gè)報(bào)警代理部件����,同時(shí)將兩個(gè)虛框內(nèi)的部分分布在不同的機(jī)器上部署,將決策內(nèi)核B的處理工作由另一臺(tái)主機(jī)承擔(dān)����,從而消除二級(jí)決策內(nèi)核給系統(tǒng)帶來(lái)的性能損耗;同時(shí)為了避免決策內(nèi)核A在報(bào)警時(shí)等待網(wǎng)絡(luò)通訊的時(shí)延��,可以將左邊虛框內(nèi)的負(fù)責(zé)網(wǎng)絡(luò)通訊的報(bào)警代理用單獨(dú)的進(jìn)程實(shí)現(xiàn)�����,該進(jìn)程與決策內(nèi)核A所在的網(wǎng)絡(luò)入侵檢測(cè)進(jìn)程之間可以利用共享內(nèi)存方式進(jìn)行傳遞報(bào)警信息的通信,以提高運(yùn)行效率�����。由于決策內(nèi)核B只對(duì)內(nèi)核A產(chǎn)生的比源數(shù)據(jù)量要少的多的報(bào)警信息進(jìn)行處理�����,因此不存在性能上的問題���。象圖4中所示的這種����,兩級(jí)決策內(nèi)核分布在不同主機(jī)上�����、利用報(bào)警代理通過網(wǎng)絡(luò)完成兩級(jí)內(nèi)核間通訊的結(jié)構(gòu)��,我們稱為分布式二級(jí)決策內(nèi)核結(jié)構(gòu)��。
進(jìn)一步的���,上述結(jié)構(gòu)可以很容易地進(jìn)行擴(kuò)展�,以適應(yīng)大規(guī)模分布式網(wǎng)絡(luò)入侵檢測(cè)環(huán)境中的應(yīng)用�����,圖5即為在分布式檢測(cè)環(huán)境下的分布式二級(jí)決策內(nèi)核結(jié)構(gòu)的部署方式的一個(gè)實(shí)施例��。在該實(shí)施例中��,分布在多個(gè)檢測(cè)引擎中的決策內(nèi)核通過各自的報(bào)警代理實(shí)現(xiàn)連接����,并同時(shí)連接一個(gè)二級(jí)決策內(nèi)核。由該內(nèi)核對(duì)多個(gè)檢測(cè)引擎經(jīng)過一級(jí)決策后的報(bào)警數(shù)據(jù)進(jìn)行綜合分析和關(guān)聯(lián)���,從而能夠在減少錯(cuò)誤報(bào)警的同時(shí)�����,更利于發(fā)現(xiàn)網(wǎng)絡(luò)整體范圍內(nèi)發(fā)起的��、單個(gè)檢測(cè)引擎無(wú)法發(fā)現(xiàn)的入侵����。
本發(fā)明不僅提供了上述基于二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),還提供了該系統(tǒng)所采用的特有的報(bào)警優(yōu)化方法����。下面對(duì)此將進(jìn)行詳細(xì)說(shuō)明。
在開發(fā)本系統(tǒng)的過程中��,我們發(fā)現(xiàn)采用現(xiàn)有入侵檢測(cè)系統(tǒng)所采用的特征檢測(cè)技術(shù)存在兩種典型的產(chǎn)生誤報(bào)或?yàn)E報(bào)的情況��,分別說(shuō)明如下當(dāng)利用象Stick��、Snot這樣的專門針對(duì)NIDS的攻擊工具向IDS監(jiān)控的網(wǎng)絡(luò)發(fā)送具有不同攻擊特征的報(bào)文時(shí)�����,IDS系統(tǒng)會(huì)在很短的時(shí)間內(nèi)產(chǎn)生大量的報(bào)警(這些報(bào)警信息往往是不同的���,并不重復(fù))�,導(dǎo)致報(bào)警擁塞甚至系統(tǒng)停止運(yùn)行�����。這種情況下�,雖然數(shù)據(jù)包是具有攻擊特征的,但它所代表的攻擊場(chǎng)景并沒有真正發(fā)生���,因此不會(huì)對(duì)網(wǎng)絡(luò)造成實(shí)際攻擊效果��,而入侵檢測(cè)系統(tǒng)卻無(wú)法判斷這點(diǎn)����,認(rèn)為這些攻擊已經(jīng)真正發(fā)生了���,因而屬于誤報(bào)警的情況����。我們將這種情況稱為局部泛洪報(bào)警�。
在發(fā)生網(wǎng)絡(luò)掃描或者某些方式的DOS攻擊(如Ping flood、smurf等)時(shí)�����,會(huì)重復(fù)性的出現(xiàn)大量具有相同入侵特征的數(shù)據(jù)報(bào)文���,由于入侵檢測(cè)系統(tǒng)對(duì)這些情況只能通過監(jiān)視數(shù)據(jù)報(bào)文的簡(jiǎn)單特征進(jìn)行判斷�����,此時(shí)會(huì)在短時(shí)間內(nèi)產(chǎn)生大量的重復(fù)性報(bào)警信息���,將其它的報(bào)警淹沒���,使管理員無(wú)法做出客觀的判斷和分析,嚴(yán)重降低了系統(tǒng)的實(shí)用性�。這種情況下雖然報(bào)警信息是正確的,不是誤報(bào)�����,但短時(shí)間內(nèi)大量的重復(fù)性報(bào)警會(huì)嚴(yán)重影響系統(tǒng)的實(shí)用性能���,屬于濫報(bào)的情況��。我們稱這種情況為局部重復(fù)報(bào)警�。
為了解決上述特征檢測(cè)技術(shù)所存在的問題�,本發(fā)明提出了一種適合于本具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的報(bào)警優(yōu)化方法。該方法包含兩個(gè)步驟����,第一步是通過一種基于報(bào)警緩沖池的報(bào)警過濾算法對(duì)原始報(bào)警數(shù)據(jù)進(jìn)行過濾,過濾掉重復(fù)報(bào)警和濫報(bào)警數(shù)據(jù)���;第二步是對(duì)過濾后的報(bào)警數(shù)據(jù)利用關(guān)聯(lián)技術(shù)與網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行關(guān)聯(lián)���、分析����,以此剔除由于入侵上下文不符而導(dǎo)致的誤報(bào)警數(shù)據(jù)�,并利用漏洞掃描技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行及時(shí)維護(hù)和更新,以保證關(guān)聯(lián)效果����。
下面對(duì)這兩個(gè)步驟的實(shí)現(xiàn)過程分別加以說(shuō)明���。
如圖6所示����,為了識(shí)別局部泛洪報(bào)警和局部重復(fù)報(bào)警的現(xiàn)象并進(jìn)行相應(yīng)的過濾處理��,我們?cè)O(shè)計(jì)了一個(gè)報(bào)警緩沖池AlertPool��,在緩沖池中完成所有的過濾操作�,過濾之后的報(bào)警信息才真正進(jìn)行報(bào)警。在圖中�,緩沖池中的每一個(gè)節(jié)點(diǎn)表示與一次報(bào)警相關(guān)的信息,為提高操作效率��,以報(bào)警信息的源地址作為依據(jù)將節(jié)點(diǎn)組織為不同的報(bào)警信息隊(duì)列,即任意一個(gè)隊(duì)列中的所有節(jié)點(diǎn)代表的報(bào)警都來(lái)自同一個(gè)源主機(jī)�����。其中AlertNode節(jié)點(diǎn)中包含報(bào)警消息和引起報(bào)警的攻擊數(shù)據(jù)包的詳細(xì)信息�����,AlertQueue結(jié)構(gòu)包含隊(duì)列的整體性信息����,如隊(duì)列長(zhǎng)度、最后更新時(shí)間等��。
在上述方法中�,對(duì)報(bào)警緩沖池的主要處理可以抽象為兩類一類是按照一定的規(guī)則向緩沖池中添加新的節(jié)點(diǎn),另外一類是對(duì)節(jié)點(diǎn)進(jìn)行相應(yīng)的過濾后從池中清除節(jié)點(diǎn)����。在實(shí)現(xiàn)過程中,我們采用了以下的關(guān)鍵技術(shù)(1)采用多線程技術(shù)實(shí)現(xiàn)局部重復(fù)報(bào)警和局部泛洪報(bào)警信息的過濾操作及緩沖池的清理工作����,以提高對(duì)隨機(jī)報(bào)警信息的處理效率;(2)為提高報(bào)警的效率�����,采用共享內(nèi)存機(jī)制實(shí)現(xiàn)一級(jí)決策內(nèi)核與報(bào)警代理進(jìn)程之間的報(bào)警信息通信;(3)將報(bào)警緩沖池視為多線程間的共享資源����,采用互斥鎖技術(shù)對(duì)多線程操作共享資源進(jìn)行同步,以避免出現(xiàn)沖突���;(4)使用定時(shí)器技術(shù)�����,定時(shí)啟動(dòng)用來(lái)清理報(bào)警池及進(jìn)行狀態(tài)管理的操作。
上述的多線程技術(shù)����、共享內(nèi)存機(jī)制、互斥鎖技術(shù)和定時(shí)器技術(shù)等都是現(xiàn)有計(jì)算機(jī)技術(shù)中常用的技術(shù)手段����,在此就不一一解釋了。
上述報(bào)警過濾算法的實(shí)現(xiàn)流程如圖7所示�����,包括如下子步驟(1)開始;(2)獲得互斥鎖alert_lock���;(3)是否處于特殊處理狀態(tài)���?(4)如果是,進(jìn)入大量報(bào)警的特殊處理狀態(tài)���,釋放互斥鎖alert_lock并結(jié)束�;如果否���,則將報(bào)警信息與報(bào)警池中信息進(jìn)行匹配���,轉(zhuǎn)入步驟(5);(5)是否有重復(fù)報(bào)警�?(6)如果是,進(jìn)行重復(fù)報(bào)警處理���,轉(zhuǎn)入步驟(7)�;如果否����,直接進(jìn)入步驟(7)�����;(7)將報(bào)警數(shù)據(jù)寫入報(bào)警池����;(8)是否有大量報(bào)警��?(9)如果是���,向console(控制臺(tái))發(fā)出報(bào)告�,重置超時(shí)定時(shí)器�����,轉(zhuǎn)入步驟(10)��;如果否�����,直接進(jìn)入步驟(11)��;(10)進(jìn)入大量報(bào)警的特殊處理狀態(tài)�;(11)釋放互斥鎖alert_lock;(12)結(jié)束�����。
另外�����,在入侵檢測(cè)系統(tǒng)的實(shí)際應(yīng)用中����,具有攻擊特征的網(wǎng)絡(luò)流量出現(xiàn)在不正確的上下文當(dāng)中是一種重要的產(chǎn)生誤報(bào)警的場(chǎng)景。為了消除這類誤報(bào)警���,我們將報(bào)警信息與一個(gè)包含網(wǎng)絡(luò)系統(tǒng)服務(wù)�、漏洞信息的知識(shí)庫(kù)進(jìn)行關(guān)聯(lián)��,如果關(guān)聯(lián)成功即攻擊所針對(duì)的系統(tǒng)漏洞的確存在����,則說(shuō)明攻擊活動(dòng)將給系統(tǒng)帶來(lái)破壞,應(yīng)立即給出報(bào)警�����,否則說(shuō)明攻擊針對(duì)的漏洞不存在,不會(huì)真正給系統(tǒng)帶來(lái)破壞����,因此報(bào)警信息是誤報(bào)警,應(yīng)該過濾掉�����。為保證網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)的準(zhǔn)確性和客觀性�,我們利用漏洞掃描器對(duì)知識(shí)庫(kù)進(jìn)行動(dòng)態(tài)創(chuàng)建、維護(hù)和更新��。
知識(shí)庫(kù)信息對(duì)報(bào)警信息關(guān)聯(lián)來(lái)說(shuō)是關(guān)鍵的����,因?yàn)殛P(guān)聯(lián)算法的關(guān)聯(lián)內(nèi)容來(lái)自于知識(shí)庫(kù),因此知識(shí)庫(kù)的內(nèi)容����、創(chuàng)建及更新機(jī)制是知識(shí)庫(kù)設(shè)計(jì)的關(guān)鍵問題。知識(shí)庫(kù)的存放在系統(tǒng)中采用數(shù)據(jù)庫(kù)表的形式實(shí)現(xiàn)����,其邏輯結(jié)構(gòu)如圖8所示,包括主機(jī)信息和服務(wù)信息兩部分�。
知識(shí)庫(kù)存儲(chǔ)的是目標(biāo)機(jī)的安全漏洞相關(guān)信息,而漏洞信息反映的是一些軟件配置��、狀態(tài)等信息�����,由于軟件是可以隨時(shí)更新的�����,因此知識(shí)庫(kù)也應(yīng)該是隨之更新的�,這樣才能準(zhǔn)確的反映目標(biāo)機(jī)的狀態(tài)。知識(shí)庫(kù)的更新過程如下所示a)定義一個(gè)知識(shí)過期時(shí)間間隔值T�����,這是可以在命令行中編輯的����;b)系統(tǒng)啟動(dòng)時(shí)先清空知識(shí)庫(kù),然后啟動(dòng)對(duì)知識(shí)庫(kù)中已有的目標(biāo)機(jī)進(jìn)行一次漏洞掃描���,同時(shí)用掃描的結(jié)果初始化知識(shí)庫(kù)�����;c)每次關(guān)聯(lián)時(shí)如果在知識(shí)庫(kù)中找不到匹配項(xiàng)或者能匹配成功但是信息時(shí)間戳超過時(shí)間間隔值����,則再發(fā)起掃描,用掃描結(jié)果更新知識(shí)庫(kù)�����。
通過上述的知識(shí)庫(kù)更新過程���,可以充分保證報(bào)警關(guān)聯(lián)結(jié)果的及時(shí)�����、準(zhǔn)確性�����。
整體而言���,報(bào)警關(guān)聯(lián)和知識(shí)庫(kù)更新的機(jī)制如圖9所示,其具體的實(shí)現(xiàn)過程如圖10所示�����,包括如下步驟(1)根據(jù)報(bào)警信息查找入侵規(guī)則庫(kù)��,找出報(bào)警對(duì)應(yīng)的CVE(CommonVulnerabilities and Exposures�����,通用漏洞披露)值����;(2)根據(jù)CVE值查找漏洞掃描插件庫(kù),找出對(duì)應(yīng)的掃描器插件標(biāo)識(shí)���;(3)查找網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)��,匹配關(guān)聯(lián)掃描器插件標(biāo)識(shí)��;(4)是否匹配且未過期�?(5)如果匹配成功且沒有知識(shí)庫(kù)沒有過期�,則關(guān)聯(lián)成功,輸出報(bào)警并結(jié)束����;如果匹配成功但知識(shí)庫(kù)過期����,或者匹配不成功��,則轉(zhuǎn)入步驟(6)�����;(6)用關(guān)聯(lián)掃描器插件標(biāo)識(shí)向目標(biāo)機(jī)發(fā)起掃描���;(7)用掃描器掃描結(jié)果更新知識(shí)庫(kù)�;(8)轉(zhuǎn)入步驟(3)�����,重新對(duì)掃描插件標(biāo)識(shí)進(jìn)行匹配��,如匹配成功則關(guān)聯(lián)成功��,否則關(guān)聯(lián)失敗�����。
本發(fā)明所述的具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及其報(bào)警優(yōu)化方法不僅在理論上可行�,通過實(shí)驗(yàn)驗(yàn)證也取得了令人滿意的效果�����,下面簡(jiǎn)要介紹如下實(shí)驗(yàn)環(huán)境為100M的共享局域網(wǎng)��,由5臺(tái)主機(jī)承擔(dān)實(shí)驗(yàn)任務(wù)其中兩臺(tái)主機(jī)分別運(yùn)行兩個(gè)檢測(cè)引擎(一級(jí)決策內(nèi)核),一臺(tái)主機(jī)運(yùn)行管理控制臺(tái)����,一臺(tái)主機(jī)運(yùn)行二級(jí)決策內(nèi)核兼作報(bào)警數(shù)據(jù)庫(kù)服務(wù)器,一臺(tái)運(yùn)行測(cè)試工具軟件���,詳細(xì)配置如下
■檢測(cè)引擎的運(yùn)行在192.168.1.175�����,192.168.1.217主機(jī)上��,RedHat Linux 7.2操作系統(tǒng)�,Pentium IV 1G CPU�,512M內(nèi)存;■二級(jí)決策內(nèi)核和報(bào)警數(shù)據(jù)庫(kù)服務(wù)器運(yùn)行在192.168.1.136主機(jī)上�����,Redhat Linux 9.0操作系統(tǒng),Pentium IV 1G CPU��,512M內(nèi)存���;■攻擊測(cè)試軟件(Nmap�,PacketSender�����,snot等)運(yùn)行在192.168.1.219主機(jī)上����,RedHat Linux 7.2操作系統(tǒng),Pentium III 700CPU�����,512M內(nèi)存��;■管理控制臺(tái)運(yùn)行在192.168.1.124主機(jī)上��,Win2000Professional操作系統(tǒng)����,Pentium III 700CPU���,512M內(nèi)存。
實(shí)驗(yàn)1為了測(cè)試二級(jí)決策內(nèi)核中過濾算法的實(shí)際處理效果�,我們分別用下面的方法模擬局部重復(fù)報(bào)警和局部泛洪報(bào)警的情況1)利用NMAP掃描器對(duì)某主機(jī)進(jìn)行特定類型的掃描,在短時(shí)間內(nèi)產(chǎn)生大量相同類型的數(shù)據(jù)報(bào)文�,導(dǎo)致檢測(cè)引擎出現(xiàn)局部重復(fù)報(bào)警;2)利用自行開發(fā)的發(fā)包工具PackerSender向某主機(jī)發(fā)送指定數(shù)量和攻擊特征的數(shù)據(jù)報(bào)文����,模擬局部重復(fù)報(bào)警的情況�;3)用snot作為攻擊工具向檢測(cè)引擎發(fā)起DOS攻擊,短時(shí)間內(nèi)發(fā)送大量�����、具有不同攻擊特征的數(shù)據(jù)報(bào)文�����,導(dǎo)致檢測(cè)引擎出現(xiàn)局部泛洪報(bào)警�����。
利用上面的攻擊模擬方法分別對(duì)引入二級(jí)決策內(nèi)核前后的網(wǎng)絡(luò)入侵檢測(cè)引擎進(jìn)行測(cè)試并對(duì)報(bào)警情況進(jìn)行檢查����,驗(yàn)證二級(jí)決策內(nèi)核對(duì)上面兩種情況的過濾效果�。
實(shí)驗(yàn)結(jié)果如表1所示
表1二級(jí)決策內(nèi)核引入前和引入后對(duì)比由于不同測(cè)試場(chǎng)景中的攻擊數(shù)據(jù)報(bào)文都在較短的集中時(shí)間內(nèi)(<30秒)發(fā)送完畢(這也反映了發(fā)生局部重復(fù)和局部泛洪報(bào)警時(shí)的通常的實(shí)際情況)���,因此二級(jí)決策內(nèi)核中過濾算法的過濾效果極好�,在沒有遺漏對(duì)任何攻擊信息的檢測(cè)的同時(shí)簡(jiǎn)化����、綜合了對(duì)局部重復(fù)報(bào)警和局部泛洪報(bào)警的處理信息,很大程度上提高了檢測(cè)引擎自身的健壯性和對(duì)系統(tǒng)管理員的友好����、易用性,檢測(cè)效果有明顯改進(jìn)��。
實(shí)驗(yàn)2利用Nessus掃描器選定系列針對(duì)Unix系統(tǒng)的攻擊方式向運(yùn)行Windows系統(tǒng)的主機(jī)發(fā)起掃描攻擊���,再選定系列針對(duì)Windows系統(tǒng)的攻擊方式向運(yùn)行Unix系統(tǒng)的主機(jī)發(fā)起掃描攻擊�����,檢驗(yàn)協(xié)同關(guān)聯(lián)技術(shù)的誤報(bào)警過濾效果����。
對(duì)于兩種不同的測(cè)試場(chǎng)景,實(shí)驗(yàn)結(jié)果如表2所示
可見��,對(duì)于出現(xiàn)在不正確的上下文信息中的入侵報(bào)警���,在二級(jí)決策內(nèi)核中部署的協(xié)同關(guān)聯(lián)技術(shù)能夠很好的進(jìn)行過濾���,避免了相當(dāng)數(shù)量的誤報(bào)警的出現(xiàn)。
實(shí)驗(yàn)3
為了測(cè)試由于二級(jí)決策內(nèi)核的引入帶來(lái)的報(bào)警延遲�,我們先使用時(shí)鐘同步工具同步檢測(cè)引擎和二級(jí)決策內(nèi)核的系統(tǒng)時(shí)鐘,然后在檢測(cè)引擎發(fā)出原始報(bào)警時(shí)記下起始時(shí)間�����,在二級(jí)決策內(nèi)核發(fā)出真正的報(bào)警通知時(shí)記下終止時(shí)間���,二者的差值即為時(shí)間延遲。實(shí)驗(yàn)在網(wǎng)絡(luò)正常負(fù)荷和滿負(fù)荷兩種情況下分別進(jìn)行測(cè)試�����,使用PacketSender發(fā)送數(shù)據(jù)包來(lái)模擬網(wǎng)絡(luò)滿負(fù)荷的情況���。
對(duì)于兩種場(chǎng)景分別測(cè)十組數(shù)據(jù)計(jì)算平均值���,實(shí)驗(yàn)結(jié)果如表3所示
表3報(bào)警時(shí)間延遲在兩種網(wǎng)絡(luò)負(fù)荷狀態(tài)下的報(bào)警延遲平均值均小于1秒����,基本上不會(huì)造成系統(tǒng)報(bào)警實(shí)時(shí)性上的延遲問題�����。
上述實(shí)驗(yàn)結(jié)果表明���,我們提出的具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及其報(bào)警優(yōu)化方法能夠有效地減少誤報(bào)和濫報(bào)現(xiàn)象�����,極大地提高了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的實(shí)用性����。
上面結(jié)合具體實(shí)施方式
對(duì)本發(fā)明進(jìn)行了說(shuō)明�,但顯然本發(fā)明的具體實(shí)現(xiàn)形式并不局限于此。對(duì)于本技術(shù)領(lǐng)域的一般技術(shù)人員來(lái)說(shuō)����,在不背離本發(fā)明所述方法的精神和權(quán)利要求范圍的情況下對(duì)它進(jìn)行的各種顯而易見的改變都在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)��,包括數(shù)據(jù)源��、報(bào)警數(shù)據(jù)庫(kù)和管理控制臺(tái)�����,其特征在于所述網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有兩級(jí)決策內(nèi)核�,所述兩級(jí)決策內(nèi)核所采用的決策算法不相同。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)��,其特征在于所述兩級(jí)決策內(nèi)核中����,其中第一級(jí)的決策內(nèi)核與所述數(shù)據(jù)源相連接,其結(jié)果輸送給第二級(jí)的決策內(nèi)核��,所述第二級(jí)決策內(nèi)核與所述報(bào)警數(shù)據(jù)庫(kù)相連接�。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�����,其特征在于所述第一級(jí)和第二級(jí)決策內(nèi)核分別分布在不同的主機(jī)上�����,彼此之間通過報(bào)警代理進(jìn)行通信。
4.如權(quán)利要求3所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�����,其特征在于所述第一級(jí)決策內(nèi)核的報(bào)警代理用單獨(dú)的進(jìn)程實(shí)現(xiàn)���,該進(jìn)程與該決策內(nèi)核所在的網(wǎng)絡(luò)入侵檢測(cè)進(jìn)程之間利用共享內(nèi)存的方式進(jìn)行傳遞報(bào)警信息的通信��。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)��,其特征在于所述兩級(jí)決策內(nèi)核分為通信模塊���、主控模塊、決策模塊和輸出模塊��,所述決策模塊分為過濾器��、分析器�、關(guān)聯(lián)器和知識(shí)庫(kù);所述檢測(cè)系統(tǒng)還具有檢測(cè)引擎和漏洞掃描器��,所述檢測(cè)引擎連接所述通信模塊��,所述通信模塊經(jīng)過所述過濾器和分析器將數(shù)據(jù)傳送給所述關(guān)聯(lián)器,所述漏洞掃描器通過所述知識(shí)庫(kù)也將數(shù)據(jù)傳送給所述關(guān)聯(lián)器�����,所述關(guān)聯(lián)器將優(yōu)化后的報(bào)警數(shù)據(jù)傳送給所述輸出模塊��,所述輸出模塊將數(shù)據(jù)傳送給所述管理控制臺(tái)和報(bào)警數(shù)據(jù)庫(kù)�����。
6.如權(quán)利要求1所述的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所采用的報(bào)警優(yōu)化方法��,其特征在于包括如下步驟a)通過一種基于報(bào)警緩沖池的報(bào)警過濾算法對(duì)原始報(bào)警數(shù)據(jù)進(jìn)行過濾�����,過濾掉重復(fù)報(bào)警和濫報(bào)警數(shù)據(jù)���;b)對(duì)過濾后的報(bào)警數(shù)據(jù)利用關(guān)聯(lián)技術(shù)與網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行關(guān)聯(lián)���、分析,以此剔除由于入侵上下文不符而導(dǎo)致的誤報(bào)警數(shù)據(jù)�����,并利用漏洞掃描技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行及時(shí)維護(hù)和更新�����。
7.如權(quán)利要求6所述的報(bào)警優(yōu)化方法�����,其特征在于所述步驟a)包括如下子步驟(1)開始�;(2)獲得互斥鎖;(3)是否處于特殊處理狀態(tài)�����?(4)如果是����,進(jìn)入大量報(bào)警的特殊處理狀態(tài),釋放互斥鎖并結(jié)束�����;如果否����,則將報(bào)警信息與報(bào)警池中信息進(jìn)行匹配���,轉(zhuǎn)入步驟(5);(5)是否有重復(fù)報(bào)警����?(6)如果是,進(jìn)行重復(fù)報(bào)警處理����,轉(zhuǎn)入步驟(7);如果否�,直接進(jìn)入步驟(7);(7)將報(bào)警數(shù)據(jù)寫入報(bào)警池�;(8)是否有大量報(bào)警?(9)如果是����,向控制臺(tái)發(fā)出報(bào)告,重置超時(shí)定時(shí)器�����,轉(zhuǎn)入步驟(10)����;如果否�����,直接進(jìn)入步驟(11);(10)進(jìn)入大量報(bào)警的特殊處理狀態(tài)��;(11)釋放互斥鎖�;(12)結(jié)束。
8.如權(quán)利要求6所述的報(bào)警優(yōu)化方法����,其特征在于所述步驟b)包括如下子步驟(1)根據(jù)報(bào)警信息查找入侵規(guī)則庫(kù),找出報(bào)警對(duì)應(yīng)的通用漏洞披露值�����;(2)根據(jù)通用漏洞披露值查找漏洞掃描插件庫(kù)�,找出對(duì)應(yīng)的掃描器插件標(biāo)識(shí);(3)查找網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)�,匹配關(guān)聯(lián)掃描器插件標(biāo)識(shí);(4)是否匹配且未過期���?(5)如果匹配成功且沒有知識(shí)庫(kù)沒有過期��,則關(guān)聯(lián)成功�����,輸出報(bào)警并結(jié)束�;如果匹配成功但知識(shí)庫(kù)過期,或者匹配不成功���,則轉(zhuǎn)入步驟(6)��;(6)用關(guān)聯(lián)掃描器插件標(biāo)識(shí)向目標(biāo)機(jī)發(fā)起掃描�����;(7)用掃描器掃描結(jié)果更新知識(shí)庫(kù)���;(8)轉(zhuǎn)入步驟(3),重新對(duì)掃描插件標(biāo)識(shí)進(jìn)行匹配�����,如匹配成功則關(guān)聯(lián)成功�����,否則關(guān)聯(lián)失敗。
9.如權(quán)利要求6所述的報(bào)警優(yōu)化方法��,其特征在于所述步驟b)中��,所述知識(shí)庫(kù)的更新過程包括如下步驟(1)定義一個(gè)知識(shí)過期時(shí)間間隔值���;(2)系統(tǒng)啟動(dòng)時(shí)先清空知識(shí)庫(kù),然后啟動(dòng)對(duì)知識(shí)庫(kù)中已有的目標(biāo)機(jī)進(jìn)行一次漏洞掃描�����,同時(shí)用掃描的結(jié)果初始化知識(shí)庫(kù)���;(3)每次關(guān)聯(lián)時(shí)如果在知識(shí)庫(kù)中找不到匹配項(xiàng)或者能匹配成功但是信息時(shí)間戳超過時(shí)間間隔值��,則再發(fā)起掃描�����,用掃描結(jié)果更新知識(shí)庫(kù)���。
全文摘要
本發(fā)明提出了一種具有二級(jí)決策內(nèi)核的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及其報(bào)警優(yōu)化方法,并結(jié)合二級(jí)決策內(nèi)核進(jìn)行了報(bào)警優(yōu)化技術(shù)的實(shí)現(xiàn)�。報(bào)警優(yōu)化機(jī)制主要包含兩步,第一步是設(shè)計(jì)并實(shí)現(xiàn)了一種基于報(bào)警緩沖池的報(bào)警過濾算法,對(duì)原始報(bào)警數(shù)據(jù)進(jìn)行過濾�,過濾掉重復(fù)報(bào)警和濫報(bào)警數(shù)據(jù);第二步對(duì)過濾后的報(bào)警數(shù)據(jù)利用關(guān)聯(lián)技術(shù)與網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行關(guān)聯(lián)��、分析��,以此剔除由于入侵上下文不符而導(dǎo)致的誤報(bào)警數(shù)據(jù)�����,并利用漏洞掃描技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)知識(shí)庫(kù)進(jìn)行及時(shí)維護(hù)和更新�,以保證關(guān)聯(lián)效果。結(jié)合上述二級(jí)決策體系結(jié)構(gòu)實(shí)現(xiàn)的報(bào)警優(yōu)化技術(shù)能夠有效的減少誤報(bào)和濫報(bào)現(xiàn)象�,改善了檢測(cè)效果,具有較強(qiáng)的實(shí)用價(jià)值��。
文檔編號(hào)H04L12/24GK1694411SQ20041000935
公開日2005年11月9日 申請(qǐng)日期2004年7月16日 優(yōu)先權(quán)日2004年7月16日
發(fā)明者懷進(jìn)鵬, 劉利軍, 劉旭東, 劉慶云, 楊超鋒 申請(qǐng)人:北京航空航天大學(xué)