專利名稱:基于黑板結(jié)構(gòu)的警報(bào)協(xié)同系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
一種用于多步網(wǎng)絡(luò)入侵檢測的警報(bào)協(xié)同系統(tǒng),尤其涉及一種基于黑板結(jié)構(gòu)的用于多步網(wǎng)絡(luò)入侵檢測的警報(bào)協(xié)同系統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡(luò)信息技術(shù)在社會各領(lǐng)域的全面應(yīng)用,網(wǎng)絡(luò)安全越來越成為人們關(guān)心的話題。雖然迄今為止已發(fā)展了多種安全機(jī)制來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò),但是在有逐漸壯大的安全隊(duì)伍和逐步完善的安全產(chǎn)品的同時(shí),CERT的安全報(bào)告顯示近年的網(wǎng)絡(luò)入侵事件呈逐年上升趨勢,網(wǎng)絡(luò)安全形勢不容樂觀。入侵檢測系統(tǒng)(IDS)的目標(biāo)是對網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出 警報(bào)。從實(shí)際效果的角度講,入侵檢測系統(tǒng)需要實(shí)現(xiàn)的目標(biāo)就是識別出網(wǎng)絡(luò)中含有虛假或欺騙信息的數(shù)據(jù)包,并阻止它們的繼續(xù)傳播。然而,網(wǎng)絡(luò)攻擊者們往往不是單獨(dú)地對一臺主機(jī)進(jìn)行攻擊,也不是僅僅利用一個(gè)漏洞,而是更多地采用多步攻擊。現(xiàn)有的HIDS的缺點(diǎn)是可移植性差以及檢測的范圍受到限制,而NIDS的缺點(diǎn)是只能監(jiān)視局域網(wǎng)內(nèi)的活動(dòng),而且難以定位入侵者。隨著網(wǎng)絡(luò)入侵行為的泛濫及其手段復(fù)雜性的增強(qiáng),目前獨(dú)立的入侵檢測系統(tǒng)存在入侵檢測的范圍受到限制、提供的警報(bào)信息不全面以及不能實(shí)時(shí)檢測和響應(yīng)等缺點(diǎn),因此各種入侵檢測系統(tǒng)有相互配合和共同協(xié)作的發(fā)展趨勢。本發(fā)明涉及相關(guān)術(shù)語定義如下入侵檢測系統(tǒng)(IDS) :IDS是指依照一定的安全策略,通過軟、硬件,對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)攻擊企圖和攻擊行為的系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS):利用專用的網(wǎng)絡(luò)通訊監(jiān)測網(wǎng)絡(luò)上的網(wǎng)絡(luò)通訊包,對網(wǎng)絡(luò)行為的異常進(jìn)行預(yù)警?;谥鳈C(jī)的入侵檢測系統(tǒng)(HIDS):采用實(shí)時(shí)監(jiān)控手段,對主機(jī)系統(tǒng)的安全記錄進(jìn)行跟蹤分析,以確定可疑的非法入侵活動(dòng)。入侵檢測消息交換格式(IDMEF):由互聯(lián)網(wǎng)工程任務(wù)組(IETF)的入侵檢測工作組(IDffG)制定的標(biāo)準(zhǔn),作為標(biāo)準(zhǔn)數(shù)據(jù)格式來統(tǒng)一不同安全產(chǎn)品所產(chǎn)生的報(bào)警消息格式,從而有利于各類安全產(chǎn)品共享信息數(shù)據(jù),增進(jìn)它們之間的協(xié)同工作。黑板結(jié)構(gòu)是人工智能領(lǐng)域中的一種問題求解模型,由一個(gè)稱為黑板的全局教據(jù)庫和邏輯上獨(dú)立的知識源組成,黑板可以有多個(gè)分區(qū),知識源分為局部知識源和全局知識源,一個(gè)局部知識源只能響應(yīng)一個(gè)黑板分區(qū)的狀態(tài)變化,一個(gè)全局知識源可以響應(yīng)整個(gè)黑板的狀態(tài)變化,其中知識源是自驅(qū)運(yùn)動(dòng)。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于黑板結(jié)構(gòu)的用于多步網(wǎng)絡(luò)入侵檢測的警報(bào)協(xié)同系統(tǒng),通過協(xié)同宏觀上網(wǎng)絡(luò)中的流量異常信息與微觀上主機(jī)的可疑行為信息,對網(wǎng)絡(luò)攻擊行為進(jìn)行準(zhǔn)確判斷,從而更加及時(shí)、準(zhǔn)確地判斷入侵行為。
一種基于黑板結(jié)構(gòu)的警報(bào)協(xié)同系統(tǒng),其執(zhí)行包括以下步驟I.入侵檢測系統(tǒng)注冊階段1A.入侵檢測系統(tǒng)發(fā)出注冊請求,警報(bào)協(xié)同系統(tǒng)的預(yù)處理模塊根據(jù)入侵檢測系統(tǒng)的地址判斷是否是新的入侵檢測系統(tǒng);1B.如果是新的入侵檢測系統(tǒng),記錄該入侵檢測系統(tǒng)的地址和警報(bào)格式,并觸發(fā)黑板結(jié)構(gòu)在黑板中生成新的黑板分區(qū)以存儲該入侵檢測系統(tǒng)產(chǎn)生的警報(bào),用該黑板分區(qū)對應(yīng)的局部知識源記錄該入侵檢測系統(tǒng)的規(guī)則;如果不是新的入侵檢測系統(tǒng),進(jìn)入步驟ID ;1C.將局部知識源中的規(guī)則全局化,同時(shí)對規(guī)則的威脅度和可信度賦予初值并存儲到規(guī)則全局化模塊,其中專家和管理員也可以為全局知識源定義和添加的新的入侵規(guī)則;1D.注冊完成。 2.警報(bào)協(xié)同處理階段2A.警報(bào)協(xié)同系統(tǒng)接收來自于已注冊入侵檢測系統(tǒng)的子警報(bào),并將這些子警報(bào)存儲在對應(yīng)的黑板分區(qū)中;2B.局部知識源判斷是否存在響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,如果存在一個(gè)可以響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,如果沒有相應(yīng)的規(guī)則,進(jìn)入步驟2C ;2C.如果全局知識源只有一個(gè)響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加1,如果全局知識源存在多個(gè)規(guī)則同時(shí)響應(yīng)黑板分區(qū)的狀態(tài)變化,進(jìn)入步驟3 ;3.沖突消減階段3A.比較規(guī)則威脅度的大小,如果存在多條規(guī)則具有最大威脅度,進(jìn)入步驟3B ;如果最大威脅度的規(guī)則只有一個(gè),則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加1,并結(jié)束。3B.比較多個(gè)規(guī)則的可信度,將具有最大可信度的規(guī)則輸出到響應(yīng)系統(tǒng),如果存在多個(gè)規(guī)則具有最大可信度,隨機(jī)選擇一個(gè)輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,并結(jié)束。其中步驟IA中所述的地址判斷是指根據(jù)該入侵檢測系統(tǒng)的IP地址判斷該入侵檢測系統(tǒng)是否已經(jīng)注冊;步驟IB中所述的黑板是指系統(tǒng)在內(nèi)存中分配的獨(dú)立模塊,用于暫時(shí)存儲警報(bào)及其存活狀態(tài),黑板包含多個(gè)黑板分區(qū),每個(gè)黑板分區(qū)存儲來自一個(gè)入侵檢測系統(tǒng)的所有警報(bào)及其存活狀態(tài),其中警報(bào)存儲時(shí)間為IOs ;步驟IB中所述的局部知識源是指黑板結(jié)構(gòu)中可以響應(yīng)對應(yīng)黑板分區(qū)狀態(tài)變化的專家?guī)欤搶<規(guī)煊涗浽撊肭謾z測系統(tǒng)的規(guī)則,其中局部知識源只可以響應(yīng)對應(yīng)黑板分區(qū)的狀態(tài)變化,當(dāng)有新的警報(bào)存儲到黑板分區(qū)中,其狀態(tài)就會發(fā)生變化;步驟IC中所述的全局化是指將規(guī)則變換后存儲到全局知識源,其中規(guī)則變換的過程如下同一局域網(wǎng)中存在基于主機(jī)的入侵檢測系統(tǒng)Hi, i = 1,2,...,m,和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)N」,j = 1,2,...,n,其中m表示HIDS的個(gè)數(shù),η表示NIDS的個(gè)數(shù),與Hi對應(yīng)的局部知識源中存在一條規(guī)則R,其格式為if (A and B) then C,其中A、B是來自于Hi的警報(bào),C是即將面臨的網(wǎng)絡(luò)入侵名稱,而其中B是基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)均可發(fā)出的警報(bào),所以全局化結(jié)束后會在全局知識源中加入一條規(guī)則GlobalRif(A and B) then C,其中A是來自于Hi的警報(bào),B是來自于Hi或者Nj的警報(bào),C是即將面臨的網(wǎng)絡(luò)入侵名稱,因此全局知識源可以響應(yīng)更多的黑板分區(qū),更加及時(shí)、準(zhǔn)確地判斷出網(wǎng)絡(luò)入侵;步驟IC中所述的威脅度是用來描述入侵對網(wǎng)絡(luò)或者主機(jī)的影響程度,威脅度越大,表明入侵對網(wǎng)絡(luò)或者主機(jī)的影響越大,越需要提前處理,入侵檢測系統(tǒng)中的每條規(guī)則都會對應(yīng)一個(gè)威脅度,其中確定威脅度初值的方式有兩種,一種是根據(jù)入侵檢測系統(tǒng)自身確定,另一種是根據(jù)專家經(jīng)驗(yàn)確定;
步驟IC中所述的可信度是指在警報(bào)協(xié)同系統(tǒng)中存儲的一個(gè)入侵檢測系統(tǒng)對一個(gè)入侵判斷的歷史準(zhǔn)確度,即存儲在全局知識源中的每一條規(guī)則都會對應(yīng)一個(gè)可信度值,警報(bào)協(xié)同系統(tǒng)會依據(jù)可信度值的大小來判斷是否選擇使用該入侵檢測系統(tǒng)的規(guī)則,其中,歷史準(zhǔn)確度會隨著警報(bào)協(xié)同系統(tǒng)中規(guī)則所識別的入侵的增多而變化,所有規(guī)則的可信度初始值為O;步驟2A中所述的子警報(bào)是指由入侵檢測系統(tǒng)發(fā)送給警報(bào)協(xié)同系統(tǒng)的警報(bào)。
圖I為本發(fā)明的模塊關(guān)系示意2是本發(fā)明的入侵檢測系統(tǒng)注冊流程示意3是本發(fā)明的警報(bào)協(xié)同處理階段流程示意圖
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例進(jìn)一步對本發(fā)明加以說明。參照圖1,示出了說明本發(fā)明的一個(gè)實(shí)施例中一種基于黑板結(jié)構(gòu)的警報(bào)協(xié)同系統(tǒng)的模塊關(guān)系圖。(一 )參照圖2,示出了說明本發(fā)明的一個(gè)實(shí)施例中入侵檢測系統(tǒng)注冊流程1A.入侵檢測系統(tǒng)發(fā)出注冊請求,警報(bào)協(xié)同系統(tǒng)的預(yù)處理模塊I根據(jù)入侵檢測系統(tǒng)的地址判斷是否是新的入侵檢測系統(tǒng);1B.如果是新的入侵檢測系統(tǒng),記錄該入侵檢測系統(tǒng)的地址和警報(bào)格式,并觸發(fā)黑板結(jié)構(gòu)在黑板2中生成新的黑板分區(qū)以存儲該入侵檢測系統(tǒng)產(chǎn)生的警報(bào),用該黑板分區(qū)對應(yīng)的局部知識源3記錄該入侵檢測系統(tǒng)的規(guī)則,如果不是新的入侵檢測系統(tǒng),進(jìn)入步驟ID ;1C.將局部知識源3中的規(guī)則全局化,同時(shí)對規(guī)則的威脅度和可信度賦予初值并存儲到規(guī)則全局化模塊4,其中專家和管理員也可以為全局知識源5定義和添加的新的入侵規(guī)則;1D.注冊完成。( 二)參照圖3,示出了說明本發(fā)明的一個(gè)實(shí)施例中警報(bào)協(xié)同處理階段流程2A.警報(bào)協(xié)同系統(tǒng)接收來自于已注冊入侵檢測系統(tǒng)的子警報(bào),并將這些子警報(bào)存儲在對應(yīng)的黑板分區(qū)中;
2B.局部知識源3判斷是否存在響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,如果存在一個(gè)可以響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,如果沒有相應(yīng)的規(guī)則,進(jìn)入步驟2C ;2C.如果全局知識源5只有一個(gè)響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加1,如果全局知識源5存在多個(gè)規(guī)則同時(shí)響應(yīng)黑板分區(qū)的狀態(tài)變化,進(jìn)入步驟3 ;3沖突消減階段3A.比較規(guī)則威脅度的大小,如果存在多條規(guī)則具有最大威脅度,進(jìn)入步驟3B ;如果最大威脅度的規(guī)則只有一個(gè),則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加1,并結(jié)束。3B.比較多個(gè)規(guī)則的可信度,將具有最大可信度的規(guī)則輸出到響應(yīng)系統(tǒng),如果存在 多個(gè)規(guī)則具有最大可信度,隨機(jī)選擇一個(gè)輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,并結(jié)束。本實(shí)施例中未詳細(xì)描述之處為公知技術(shù),本領(lǐng)域技術(shù)人員都能實(shí)現(xiàn),因此這里不再累述。本領(lǐng)域的技術(shù)人員在不脫離權(quán)利要求書確定的本發(fā)明的精神和范圍的條件下,還可以對以上內(nèi)容進(jìn)行各種各樣的修改。因此本發(fā)明的范圍并不僅限于以上的說明,而是由權(quán)利要求書的范圍來確定的。
權(quán)利要求
1.一種基于黑板結(jié)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于該系統(tǒng)的執(zhí)行包括以下步驟 (一)入侵檢測系統(tǒng)注冊階段 IA.入侵檢測系統(tǒng)發(fā)出注冊請求,警報(bào)協(xié)同系統(tǒng)的預(yù)處理模塊根據(jù)入侵檢測系統(tǒng)的地址判斷是否是新的入侵檢測系統(tǒng); IB.如果是新的入侵檢測系統(tǒng),記錄該入侵檢測系統(tǒng)的地址和警報(bào)格式,并觸發(fā)黑板結(jié)構(gòu)在黑板中生成新的黑板分區(qū)以存儲該入侵檢測系統(tǒng)產(chǎn)生的警報(bào),用該黑板分區(qū)對應(yīng)的局部知識源記錄該入侵檢測系統(tǒng)的規(guī)則,如果不是新的入侵檢測系統(tǒng),進(jìn)入步驟ID ; IC.將局部知識源中的規(guī)則全局化,同時(shí)對規(guī)則的威脅度和可信度賦予初值并存儲到規(guī)則全局化模塊,其中專家和管理員也可以為全局知識源定義和添加的新的入侵規(guī)則; ID.注冊完成。
(二)警報(bào)協(xié)同處理階段 2A.警報(bào)協(xié)同系統(tǒng)接收來自于已注冊入侵檢測系統(tǒng)的子警報(bào),并將這些子警報(bào)存儲在對應(yīng)的黑板分區(qū)中; 2B.局部知識源判斷是否存在響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,如果存在一個(gè)規(guī)則可以響應(yīng)黑板分區(qū)的狀態(tài)變化的規(guī)則,則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,如果沒有相應(yīng)的規(guī)則,進(jìn)入步驟2C ; 2C.如果全局知識源只有一個(gè)響應(yīng)黑板分區(qū)狀態(tài)變化的規(guī)則,則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加1,如果全局知識源存在多個(gè)規(guī)則同時(shí)響應(yīng)黑板分區(qū)的狀態(tài)變化,進(jìn)入步驟(三); (三)沖突消減階段 3A.比較規(guī)則威脅度的大小,如果存在多條規(guī)則具有最大威脅度,進(jìn)入步驟3B ;如果最大威脅度的規(guī)則只有一個(gè),則將該規(guī)則輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,并結(jié)束。
3B.比較多個(gè)規(guī)則的可信度,將具有最大可信度的規(guī)則輸出到響應(yīng)系統(tǒng),如果存在多個(gè)規(guī)則具有最大可信度,隨機(jī)選擇一個(gè)輸出到響應(yīng)系統(tǒng),同時(shí)將該規(guī)則對該子警報(bào)的可信度值增加I,并結(jié)束。
2.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(一)IA所述地址判斷是指根據(jù)該入侵檢測系統(tǒng)的IP地址判斷該入侵檢測系統(tǒng)是否已經(jīng)注ππ/ttr O
3.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(一)IB所述黑板是指系統(tǒng)在內(nèi)存中分配的獨(dú)立模塊,用于暫時(shí)存儲警報(bào)及其存活狀態(tài),黑板包含多個(gè)黑板分區(qū),每個(gè)黑板分區(qū)存儲來自一個(gè)入侵檢測系統(tǒng)的所有警報(bào)及其存活狀態(tài),其中警報(bào)存儲時(shí)間為10s。
4.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(一)IB所述局部知識源是指黑板結(jié)構(gòu)中可以響應(yīng)對應(yīng)黑板分區(qū)狀態(tài)變化的專家?guī)?,該專家?guī)煊涗浽撊肭謾z測系統(tǒng)的規(guī)則,其中局部知識源只可以響應(yīng)對應(yīng)黑板分區(qū)的狀態(tài)變化,當(dāng)有新的警報(bào)存儲到黑板分區(qū)中,其狀態(tài)就會發(fā)生變化。
5.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(一)IC所述全局化是指將規(guī)則變換后存儲到全局知識源,其中規(guī)則變換的過程如下同一局域網(wǎng)中存在基于主機(jī)的入侵檢測系統(tǒng)Hi, i = 1,2,...,m,和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)Nj,j = 1,2,...,n,其中m表示HIDS的個(gè)數(shù),η表示NIDS的個(gè)數(shù),與Hi對應(yīng)的局部知識源中存在一條規(guī)則R,其格式為if(A and B) then C,其中A、B是來自于Hi的警報(bào),C是即將面臨的網(wǎng)絡(luò)入侵名稱,而其中B是基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)均可發(fā)出的警報(bào),所以全局化結(jié)束后會在全局知識源中加入一條規(guī)則Global R if (A and B) thenC,其中A是來自于Hi的警報(bào),B是來自于Hi或者%的警報(bào),C是即將面臨的網(wǎng)絡(luò)入侵名稱,因此全局知識源可以響應(yīng)更多的黑板分區(qū),更加及時(shí)、準(zhǔn)確地判斷出網(wǎng)絡(luò)入侵。
6.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(一)IC所述威脅度是用來描述入侵對網(wǎng)絡(luò)或者主機(jī)的影響程度,威脅度越大,表明入侵對網(wǎng)絡(luò)或者主機(jī)的影響越大,越需要提前處理,入侵檢測系統(tǒng)中的每條規(guī)則都會對應(yīng)一個(gè)威脅度,其中確定威脅度初值的方式有兩種,一種是根據(jù)入侵檢測系統(tǒng)自身確定,另一種是根據(jù)專家經(jīng)驗(yàn)確定。
7.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(一)IC所述可信度是指在警報(bào)協(xié)同系統(tǒng)中存儲的一個(gè)入侵檢測系統(tǒng)對一個(gè)入侵判斷的歷史準(zhǔn)確度,即存儲在全局知識源中的每一條規(guī)則都會對應(yīng)一個(gè)可信度值,警報(bào)協(xié)同系統(tǒng)會依據(jù)可信度值的大小來判斷是否選擇使用該入侵檢測系統(tǒng)的規(guī)則,其中,歷史準(zhǔn)確度會隨著警報(bào)協(xié)同系統(tǒng)中規(guī)則所識別的入侵的增多而變化,所有規(guī)則的可信度初始值為O。
8.根據(jù)權(quán)利要求I所述的一種基于黑板機(jī)構(gòu)的警報(bào)協(xié)同系統(tǒng),其特征在于步驟(二)2A所述子警報(bào)是指由入侵檢測系統(tǒng)發(fā)送給警報(bào)協(xié)同系統(tǒng)的警報(bào)。
全文摘要
本發(fā)明涉及一種基于黑板結(jié)構(gòu)的用于多步網(wǎng)絡(luò)入侵檢測的警報(bào)協(xié)同系統(tǒng),所采用的方法是構(gòu)建了基于黑板結(jié)構(gòu)的警報(bào)協(xié)同系統(tǒng),將各個(gè)入侵檢測系統(tǒng)的警報(bào)和規(guī)則變換后存儲到系統(tǒng)中,綜合考慮規(guī)則的威脅度和可信度對網(wǎng)絡(luò)的影響,從而協(xié)同宏觀上網(wǎng)絡(luò)中的流量異常信息與微觀上主機(jī)的可疑行為信息,對網(wǎng)絡(luò)攻擊行為進(jìn)行準(zhǔn)確判斷。本發(fā)明提出了沖突消減方法,通過計(jì)算不同攻擊行為對網(wǎng)絡(luò)的威脅度和各個(gè)入侵檢測系統(tǒng)警報(bào)的可信度,優(yōu)先選擇出最需要處理的警報(bào)。
文檔編號H04L29/06GK102882893SQ201210421489
公開日2013年1月16日 申請日期2012年10月30日 優(yōu)先權(quán)日2012年10月30日
發(fā)明者劉衍珩, 孫鑫, 丁航, 朱建啟, 李飛鵬, 常建平 申請人:吉林大學(xué)