[发明专利]一种网络入侵检测报警的方法

摘要

基于网络入侵检测报警方法，IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID，并确定以下基本元素；1）节点、服务；2）节点价值和服务价值；3）节点安全度；4）报警可信度；5）报警危险度；6）报警威胁度计算：报警威胁度的评价要先对报警可信度和报警危险度进行评价，报警可信度的评价还需要先对报警信息的环境匹配度进行评价，因此其算法还是多层传递的；6-1）、根据已知各环境因素的匹配度计算环境匹配度；6-2）、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度；攻击类型可信度的状态分为高、中、低三种，取值分别为1、0.6、0.2，相关攻击的状态分别设为强相关、弱相关和无相关三种状态。

主权项

1.基于网络入侵检测报警方法，其特征是基于如下步骤，IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID，并确定以下一些基本元素；1)节点、服务指的是网络中一个特殊的机器和设备，而服务指的是一个节点所提供的基于局域网或Internet的网络服务，节点和服务对进入系统的连接来说是目的地；2)节点价值和服务价值节点价值是一个用来表示节点重要性的量化的一个值，其中1表示的是最低的重要性，而N表示最高的重要性；每一个服务都要赋予一个表示服务重要性的服务价值，其范围也是从1到M；3)节点安全度节点的安全度标示的是节点的安全性；节点的安全度也是一个量化的值，它由节点安装的操作系统及版本，应用程序，开放的服务、端口，使用的安全措施以及它在网络中的位置等来确定；它的值在一个范围之间，同节点价值一样，设为1到P，其中1表示最低的安全度，P表示最高安全度；节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的；对报警信息的评价，确定评价出来的等级为10个：0.1，0.2，0.3，…，1，值越大其威胁程度越高，而管理员也可以考虑根据其实际需要，对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁；报警信息的威胁度包括两个方面：报警可信度与报警危险度；4)报警可信度报警可信度指的是报警信息所报攻击真实发生的可能性；首先，一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞，因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度；系统的环境归结到5个属性：操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用；根据攻击特征的不同将攻击分成扫描攻击，拒绝服务攻击，缓冲区溢出攻击，基于Web代码的攻击和其它攻击等几种类型并分配不同的可信程度；其次报警信息所报攻击的相关攻击信息也影响其可信程度，其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击；或类似的攻击是否已多次发生过；相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表；最后，目的地的节点安全度，也影响着报警信息可信度，安全度高的系统势必会增加攻击成功的难度；综上所述，报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关；5)报警危险度报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度；对不同节点价值和服务价值的目的地发起同样的攻击，如果都成功的话，对系统造成的危害是不同的；同时，报警信息所报攻击自身，由于攻击目的和攻击方式的不同，导致攻击成功后对系统的影响，即危害程度也会不同，实际上一般的IDS也都有一个报警自身危险程度的评估；因此，报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的；6)报警威胁度计算由于报警威胁度采用多层模糊模型识别的方法进行报警威胁度评价；多层识别用于识别某个具体对象属于何种类别，而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别，这与我们前面分析的报警威胁度评价原理是非常吻合的；报警威胁度的评价要先对报警可信度和报警危险度进行评价，报警可信度的评价还需要先对报警信息的环境匹配度进行评价，因此其算法还是多层传递的；具体如下：设因素集为U＝{U₁，U₂}，其中U₁为报警可信度，U₂为报警危险度；评判集为V＝{V₁，V₂，…，V_n}，其中从V₁到V_n表示从低到高报警威胁度的n个评价等级，本文中n＝10；而因素U₁和U₂又分别由以下因素决定：U₁＝{u₁₁，u₁₂，u₁₃，u₁₄}，其中u₁₁、u₁₂、u₁₃、u₁₄分别指的是环境匹配度、攻击类型可信度、相关攻击情况、节点安全度诸因素；U₂＝{u₂₁，u₂₂，u₂₃}，其中u₂₁、u₂₂、u₂₃分别指的是报警自身危险度、节点价值、服务价值；最后u₁₁＝{w₁，w₂，w₃，w₄，w₅}，其中w₁、w₂、w₃、w₄、w₅分别指的是操作系统、硬件、服务、端口、应用诸因素；6-1)、根据已知各环境因素的匹配度计算环境匹配度u₁₁；先确定u₁₁的评判集p＝{0.1，0.2，…，1}，表示环境匹配的从低到高的10个等级，然后确定w₁、w₂、w₃、w₄、w₅对各个评判等级的标准匹配度，建立匹配度矩阵R＝{R_ij}；采用一种简便方法，即设R_ij＝p_i，表示在评价等级是p_i时因素w_j的匹配度；而对操作系统因素的实际匹配情况，只确定三种，即匹配、不匹配和未知，匹配度取值分别为1、0和0.5；就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级；而由于各个因素的匹配情况对报警匹配情况影响的不同，因此在进行对比时还要设定各自的权值α₁，…，α₅，其中贴近度的计算，使用Euclid贴近度来进行计算，即计算其中r＝(r₁，r₂，r₃，r₄，r₅)表示报警r的实际匹配度，计算出来δ(r，R_j)值最大的表示报警r的实际环境匹配度等级为j；6-2)、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度：可信度和危险度以及威胁度的计算都是先确定相应的评判集，然后建立各自的标准匹配度矩阵，实验中其建立过程类似于环境匹配度矩阵；而报警的攻击类型等因素的实际匹配度取值，定义如下：攻击类型可信度的状态分为高、中、低三种，取值分别为1、0.6、0.2，相关攻击的状态分别设为强相关、弱相关和无相关三种，取值分别为1，0.7和0.4，自身危险度按通常IDS的风险等级设为高、中、低三种状态，取值分别为1、0.6和0.2；节点安全度、节点价值、服务价值的计算时的取值要乘上0.1，环境匹配度、可信度和危险度的取值为下层因素评判出来的等级；贴近度的计算依然使用Euclid贴近度来进行计算，最终计算出报警威胁度的等级。