[发明专利]分布式自优化入侵检测报警关联系统

权利要求书

1.一种分布式自优化入侵检测报警关联系统，其特征在于：该系统包括警报库(5)、被监测系统信息库(6)、入侵检测系统特性库(7)、关联知识库(8)、局部报警关联分析模块(9)、系统响应部件(10)、报警采信权重信息库(11)、入侵企图预测候选库(12)、目标系统信息库(13)、全局关联分析模块(14)、人机接口模块(15)和至少一个入侵检测单元(4)，每个入侵检测单元(4)均包括一个报警聚集与融合模块(3)，至少一个检测代理模块(1)和至少一个警报过滤与规范化模块(2)；

警报库(5)用于存储规范化的报警信息；

被监测系统信息库(6)用于存储被监测的系统的特性信息，包括被监测系统采用的操作系统和存在的系统漏洞；

入侵检测系统特性库(7)用于存储入侵检测单元(4)本身的特性，包括入侵检测单元所采用的检测方式；

关联知识库(8)用于存储关联规则和知识，为报警关联分析提供关联依据；

报警采信权重信息库(11)用于存储入侵报警的采信权重信息，包括报警已发生的时间和报警的次数；

入侵企图预测候选库(12)用于存储入侵企图，包括下一步的入侵目标；

目标系统信息库(13)用于存储网络中要保护的目标的特性信息；

检测代理模块(1)用于实现入侵检测并产生原始报警，并提供给警报过滤与规范化模块(2)；

警报过滤与规范化模块(2)用于过滤原始报警中明显冗余或不完整的报警，并规范化检测代理模块(1)提交的报警，使产生的报警格式一致，最后将规范化的报警信息提交给报警聚集与融合模块(3)，同时存储到警报库(5)；

报警聚集与融合模块(3)利用被监测系统信息库(6)和入侵检测系统特性库(7)，对接收的规范化的报警进行聚集和融合，得到报警簇，并提供给局部报警关联分析模块(9)；

局部报警关联分析模块(9)利用关联知识库(8)中的关联规则对接收的报警簇进行关联分析，然后将处理后的报警事件传递给全局关联分析模块(14)，并将报警的采信权重信息存储到报警采信权重信息库(11)中，将预测的入侵企图存放到入侵企图预测候选库(12)中；一旦局部报警关联分析模块(9)识别到入侵的发生，就通知系统响应部件(10)；

全局关联分析模块(14)利用报警采信权重信息库(11)、入侵企图预测候选库(12)和目标系统信息库(13)的信息，对各局部报警关联分析模块(9)提供的分析结果进行综合，获得整个网络的安全态势，在检测到入侵时，即通知系统响应部件(10)；全局关联分析模块(14)还提供三类反馈信息：第一类是将反映入侵检测系统特性的信息更新到入侵检测系统特性库(7)，第二类是将新的关联规则或关联规则的优先级信息更新到关联知识库(8)，第三类是将入侵企图预测规则和知识、报警采信权重计算规则信息更新到局部报警关联分析模块，以影响产生报警采信权重信息、入侵企图预测候选方案的规则和规则的优先权重；全局关联分析模块(14)通过人机接口模块(15)与用户进行交互；

系统响应部件(10)根据局部报警关联分析模块和全局关联分析模块发送的通知，执行响应动作，避免入侵的进一步发生。

2.根据权利要求1所述的分布式自优化入侵检测报警关联系统，其特征在于：人机接口模块(15)包括警报几何显示模块(15.1)、人机交互界面(15.2)和目标识别模块(15.3)；

人机交互界面(15.2)用于接收用户指令和控制参数，

警报几何显示模块(15.1)基于报警危急度排序和分类，以几何形式显示报警需要处理的危急情况；

目标识别模块(15.3)用于显示推断出来的下一步的入侵目标的信息。

3.根据权利要求1或2所述的分布式自优化入侵检测报警关联系统，其特征在于：警报过滤与规范化模块(2)包括警报过滤模块(2.1)和规范化处理模块(2.2)；

警报过滤模块(2.1)接收来自检测代理模块(1)提交的初级报警，过滤掉明显相同的冗余报警，并删除错误报警和缺乏重要信息的无效报警，然后将处理后的有效报警输出到规范化处理模块(2.2)；

规范化处理模块(2.2)对原始报警进行完善，补全规范化报警所需要的信息和字段，抛弃无关或不需要提交的无用信息，减少网络报警信息的传送量，并定义入侵检测报警中必须包含的重要的字段和字段的格式。

4.根据权利要求1或2所述的分布式自优化入侵检测报警关联系统，其特征在于：检测代理模块(1)包括部署在不同位置的多个探测器(1.1)、检测引擎(1.2)以及报警引擎(1.3)；探测器(1.1)用于获取主机和网络的信息，检测引擎(1.2)通过检测主机和网络的信息发现入侵信息，提供给报警引擎(1.3)，报警引擎(1.3)产生初级报警，提交给警报过滤与规范化模块(2)处理。