專利名稱:基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機(jī)安全領(lǐng)域,具體涉及一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng)。
背景技術(shù):
在電子信息時代,計算機(jī)網(wǎng)絡(luò)滲透到社會生活的各個方面,其安全問題已經(jīng)成為影響國家獨立與安全、經(jīng)濟(jì)運行與發(fā)展的重大問題。隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化,系統(tǒng)的弱點和漏洞趨于分布式。此外,隨著黑客入侵水平的提高,入侵行為也不再是單一的行為,而表現(xiàn)出相互協(xié)作的特點。單個的入侵檢測系統(tǒng)(IDS,Intrusion Detection System)設(shè)備(無論是主機(jī)型還是網(wǎng)絡(luò)型)應(yīng)對分布式、協(xié)同式、復(fù)雜模式攻擊的入侵行為時,就顯得十分力單勢薄。日益加劇的分布化、協(xié)同化的網(wǎng)絡(luò)攻擊行為的典型特點有1)攻擊持續(xù)時間長,單個攻擊行為不明顯;2)攻擊者范圍分布廣泛,攻擊危害性大;3)攻擊成員之間及時交流攻擊信息,使攻擊時間縮短,攻擊手段更加優(yōu)化。
面對這種趨勢,現(xiàn)有的安全系統(tǒng)暴露出嚴(yán)重的缺陷。例如,常用的安全系統(tǒng)只能針對獨立的入侵行為,而難以防范有組織的協(xié)同入侵行為。隨著協(xié)同入侵的危害性日益嚴(yán)重,構(gòu)建一種可以防御協(xié)同入侵的安全系統(tǒng)是當(dāng)前的迫切需要。
IDS作為一種重要的安全部件,是網(wǎng)絡(luò)與信息安全防護(hù)體系的重要組成部分。IDS首先通過在計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息并對收集到的信息進(jìn)行分析,判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,然后根據(jù)分析結(jié)果采取決策并做出適當(dāng)?shù)捻憫?yīng)。從理論上講,IDS可以主動地檢測到對系統(tǒng)或網(wǎng)絡(luò)的入侵,并對這些入侵進(jìn)行記錄和響應(yīng),這是防火墻、身份識別和認(rèn)證、加密解密等其他許多安全措施所不能做到的。但是IDS的處理速度一直是影響其性能的一大瓶頸,雖然IDS是直接接入網(wǎng)絡(luò)的,但如果其檢測速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度,那么就會漏掉其中的部分?jǐn)?shù)據(jù)包,從而影響安全系統(tǒng)的準(zhǔn)確性和有效性。為了提高檢測速度,快速地從系統(tǒng)日志、網(wǎng)絡(luò)流量等大量原始數(shù)據(jù)中發(fā)現(xiàn)檢測攻擊的知識和規(guī)律,我們將數(shù)據(jù)挖掘技術(shù)應(yīng)用在入侵檢測系統(tǒng)中。數(shù)據(jù)挖掘(DM,Data Mining)就是從大量的、不完全的、有噪聲的、模糊的以及隨機(jī)的數(shù)據(jù)中提取潛在有用的信息和知識的過程。
依照數(shù)據(jù)采集的地點和數(shù)據(jù)處理地點的是否相同,數(shù)據(jù)挖掘分為集中式數(shù)據(jù)挖掘和分布式數(shù)據(jù)挖掘。明尼蘇達(dá)州大學(xué)研制出一個基于集中式數(shù)據(jù)挖掘的入侵檢測系統(tǒng)(MINDS),即各個受保護(hù)節(jié)點的系統(tǒng)日志及網(wǎng)絡(luò)數(shù)據(jù)被集中處理。數(shù)據(jù)挖掘所需的數(shù)據(jù)源(各個節(jié)點的系統(tǒng)日志和網(wǎng)絡(luò)流量等信息)分布在各個節(jié)點上,隨著網(wǎng)絡(luò)的迅猛發(fā)展,這些數(shù)據(jù)量也急速增長,將這些數(shù)據(jù)集中處理存在著兩大弊端一是數(shù)據(jù)傳輸占用了大量帶寬,二是進(jìn)行數(shù)據(jù)挖掘節(jié)點的資源有限,難以保證挖掘的實時性。隨著受保護(hù)節(jié)點的增加,系統(tǒng)處理的任務(wù)將日趨繁重,降低了系統(tǒng)的可擴(kuò)展性,同時也不能實現(xiàn)入侵檢測的實時性。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有入侵檢測的不足以及協(xié)同入侵的特點,提出一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng),可以快速準(zhǔn)確地檢測出已知的協(xié)同入侵,并防范已知協(xié)同入侵的變種及新型的協(xié)同入侵。
本發(fā)明提供的一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng),利用計算機(jī)網(wǎng)絡(luò)技術(shù)和入侵檢測技術(shù)實現(xiàn),其特征在于該系統(tǒng)由控制臺模塊和客戶端模塊組成,控制臺模塊負(fù)責(zé)為所有的客戶端節(jié)點提供服務(wù),為各個客戶端模塊之間的聯(lián)系和合作提供信息,客戶端模塊主要完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測結(jié)果傳輸;客戶端模塊包括數(shù)據(jù)收集模塊、數(shù)據(jù)集成模塊、常規(guī)入侵檢測模塊、協(xié)同入侵檢測模塊、報警聚類模塊、數(shù)據(jù)挖掘模塊、數(shù)據(jù)傳輸模塊、常規(guī)入侵規(guī)則庫、協(xié)同入侵規(guī)則庫和局部數(shù)據(jù)庫;局部數(shù)據(jù)庫用于存放本節(jié)點的網(wǎng)絡(luò)信息,包括6個字段的信息協(xié)議號,源IP,源端口,目的IP,目的端口和時間;常規(guī)入侵規(guī)則庫用于存放描述常見的單個入侵的規(guī)則;協(xié)同入侵規(guī)則庫用于存放描述相互合作的、分布式入侵的規(guī)則,包括6個字段的信息相關(guān)性、空間相關(guān)度、時間相關(guān)度、不可信任IP范圍、入侵危害程度和響應(yīng)策略;數(shù)據(jù)收集模塊負(fù)責(zé)收集本節(jié)點的網(wǎng)絡(luò)信息,并存放于局部數(shù)據(jù)庫,數(shù)據(jù)集成模塊提取局部數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行集成與預(yù)處理,選取特征域,提取關(guān)鍵信息,將信息提供給常規(guī)入侵檢測模塊、協(xié)同入侵檢測模塊;常規(guī)入侵檢測模塊負(fù)責(zé)將數(shù)據(jù)集成模塊提供的信息與常規(guī)入侵規(guī)則庫中的規(guī)則進(jìn)行比較,生成可疑的常規(guī)入侵報警信息,傳送給數(shù)據(jù)傳輸模塊;協(xié)同入侵檢測模塊負(fù)責(zé)將數(shù)據(jù)集成模塊提供的信息與協(xié)同入侵規(guī)則庫中的規(guī)則進(jìn)行比較,生成可疑的協(xié)同入侵報警信息,傳送給數(shù)據(jù)傳輸模塊;數(shù)據(jù)傳輸模塊將可疑報警信息傳送給負(fù)載最輕的節(jié)點中的數(shù)據(jù)傳輸模塊,并由其傳輸給負(fù)載最輕的節(jié)點中報警聚類模塊和數(shù)據(jù)挖掘模塊;負(fù)載最輕的節(jié)點中的報警聚類模塊負(fù)責(zé)將可疑報警信息進(jìn)行整合和歸并,生成確認(rèn)報警信息,通過其數(shù)據(jù)傳輸模塊傳送給控制臺模塊;負(fù)載最輕的節(jié)點中的數(shù)據(jù)挖掘模塊負(fù)責(zé)對可疑報警信息進(jìn)行挖掘處理,生成新的協(xié)同入侵規(guī)則,通過其數(shù)據(jù)傳輸模塊傳送給控制臺模塊;控制臺模塊包括監(jiān)控模塊、規(guī)則發(fā)布模塊和全局響應(yīng)模塊;監(jiān)控模塊負(fù)責(zé)對各客戶端模塊的監(jiān)測與控制,找出本輪入侵檢測中負(fù)載最輕的節(jié)點,并將接收到的確認(rèn)報警信息和新的協(xié)同入侵規(guī)則分別傳送給規(guī)則發(fā)布模塊和全局響應(yīng)模塊;規(guī)則發(fā)布模塊負(fù)責(zé)將新生成的協(xié)同入侵規(guī)則傳送至各個客戶端模塊;全局響應(yīng)模塊根據(jù)確認(rèn)報警信息對常規(guī)入侵和協(xié)同入侵進(jìn)行響應(yīng)。
上述客戶端模塊還可以包括規(guī)則更新模塊,它接收規(guī)則發(fā)布模塊發(fā)來的新的協(xié)同入侵規(guī)則,進(jìn)行分析,確定是否添加至協(xié)同入侵規(guī)則庫;并對協(xié)同入侵規(guī)則庫進(jìn)行使用頻率統(tǒng)計與刪除管理。
本發(fā)明的基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng)具有以下優(yōu)點及效果(1)通過數(shù)據(jù)挖掘?qū)惓z測技術(shù)引入系統(tǒng),檢測未知模式的入侵行為傳統(tǒng)的誤用入侵檢測系統(tǒng)是對任何已知攻擊的特征進(jìn)行編碼,檢測已知的入侵模式。這種系統(tǒng)可以有針對性地高效檢測入侵活動,但是對未知的入侵活動或已知入侵活動的變形無能為力。通過將數(shù)據(jù)挖掘技術(shù)應(yīng)用在入侵檢測系統(tǒng)中,可以從網(wǎng)絡(luò)流量等大量原始數(shù)據(jù)中發(fā)現(xiàn)用于檢測未知攻擊模式的知識和規(guī)律。
(2)減少了對網(wǎng)絡(luò)資源的占用傳統(tǒng)的數(shù)據(jù)挖掘是將分布在各個地方的數(shù)據(jù)通過網(wǎng)絡(luò)傳送到一個節(jié)點上進(jìn)行集中的處理,這種方式適合客戶端節(jié)點機(jī)數(shù)目少的情況;基于分布式數(shù)據(jù)挖掘所需的數(shù)據(jù)源就在本地,不需要經(jīng)過網(wǎng)絡(luò)傳輸,減少了對網(wǎng)絡(luò)資源的占用。
(3)實時性由于數(shù)據(jù)挖掘是分布式的,每個客戶端模塊只負(fù)責(zé)處理本地的數(shù)據(jù),與傳統(tǒng)的集中式的數(shù)據(jù)挖掘相比具有實時性。
(4)可擴(kuò)展性進(jìn)行數(shù)據(jù)挖掘的客戶端節(jié)點的數(shù)目可以按照管理員的要求在監(jiān)控模塊中設(shè)定,因此客戶端節(jié)點的數(shù)目不受限制;控制臺模塊完成接受客戶端模塊的注冊和注銷請求的簡單功能,不會成為系統(tǒng)可擴(kuò)展性的瓶頸。
(5)動態(tài)的負(fù)載均衡性數(shù)據(jù)挖掘會消耗大量的系統(tǒng)資源,為了達(dá)到一個動態(tài)的負(fù)載均衡,在客戶端負(fù)載最小的節(jié)點上對可疑報警信息進(jìn)行報警聚類和數(shù)據(jù)挖掘,生存確認(rèn)報警信息及新的協(xié)同入侵規(guī)則。
(6)規(guī)則加入與刪除的動態(tài)性在每次檢測過程中發(fā)現(xiàn)的新的協(xié)同入侵規(guī)則都會通過自動編碼加入到各個節(jié)點的協(xié)同入侵規(guī)則庫中;并依據(jù)一定的策略刪除協(xié)同入侵規(guī)則庫中無用的規(guī)則,防止入侵規(guī)則庫的過度膨脹。
圖1為基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng)的結(jié)構(gòu)示意圖;圖2為數(shù)據(jù)挖掘控制臺模塊和客戶端模塊的一種具體實施方式
的結(jié)構(gòu)示意圖;圖3為數(shù)據(jù)挖掘控制臺模塊和客戶端模塊的另一種具體實施方式
的結(jié)構(gòu)示意圖;圖4為數(shù)據(jù)挖掘控制臺模塊的工作流程圖;圖5為數(shù)據(jù)挖掘客戶端模塊的工作流程圖。
具體實施例方式
下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)的說明。
如圖1所示,基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng)共由兩個部分組成控制臺模塊3和若干客戶端模塊2.1、2.2、……、2.n(下面稱為客戶端模塊2)。其中控制臺模塊3為所有的客戶端節(jié)點1.1、1.2、……、2.n提供服務(wù),為各個客戶端模塊2之間的聯(lián)系和合作提供信息。客戶端模塊2主要完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測結(jié)果傳輸。
控制臺模塊3由三個部分組成監(jiān)控模塊5,規(guī)則發(fā)布模塊4和全局響應(yīng)模塊6。監(jiān)控模塊5接受并處理各個客戶端模塊2的注冊或注銷請求;數(shù)據(jù)收集和數(shù)據(jù)處理構(gòu)成一輪入侵檢測,數(shù)據(jù)處理完進(jìn)入到下一輪的數(shù)據(jù)收集,在每一輪入侵檢測的初始階段收集并顯示各個節(jié)點的負(fù)載信息,比較得到負(fù)載最輕的節(jié)點,并將比較結(jié)果傳送到各個節(jié)點;向客戶端模塊2發(fā)布控制命令,其工作流程如圖4所示。
如圖2所示每個客戶端模塊2包括以下幾個部分?jǐn)?shù)據(jù)收集模塊7、數(shù)據(jù)集成模塊9、常規(guī)入侵檢測模塊11、協(xié)同入侵檢測模塊12、報警聚類模塊16、數(shù)據(jù)挖掘模塊14、數(shù)據(jù)傳輸模塊15、常規(guī)入侵規(guī)則庫10、協(xié)同入侵規(guī)則庫13和局部數(shù)據(jù)庫8。
局部數(shù)據(jù)庫8用于存放本節(jié)點的網(wǎng)絡(luò)信息,至少包括6個字段的信息協(xié)議號,源IP,源端口,目的IP,目的端口和時間。各字段的說明如下協(xié)議號入侵事件的協(xié)議類型,分為TCP、UDP及ICMP;源IP入侵事件的源IP地址;源端口入侵事件的源端口;目的IP入侵事件的源IP地址;目的端口入侵事件的目的端口;時間入侵事件發(fā)生的時間。
常規(guī)入侵規(guī)則庫10用于存放描述常見的單個入侵的規(guī)則,可采用現(xiàn)有的入侵規(guī)則庫,如Snort規(guī)則庫。該規(guī)則庫通常至少包括5個字段的信息規(guī)則編號、攻擊類型、攻擊服務(wù)、攻擊特征碼和入侵危害程度。各字段的說明如下規(guī)則編號一條規(guī)則紀(jì)錄的數(shù)字編號;攻擊類型分為Dictionary Attack(字典攻擊)、Scan(端口掃描)、DoS(拒絕服務(wù)攻擊)三種;攻擊服務(wù)各種眾所周知的服務(wù)(如Web、FTP等),ANY表示任意服務(wù);攻擊特征碼表示代表一次攻擊的標(biāo)志性特征碼;入侵危害程度指入侵事件的危害程度,該程度可分為最嚴(yán)重(0級)、較嚴(yán)重(1級)和次嚴(yán)重(2級)。
協(xié)同入侵規(guī)則庫用于存放描述相互協(xié)作的、分布式入侵的規(guī)則。它包括已知的協(xié)同入侵的規(guī)則及系統(tǒng)發(fā)現(xiàn)的新的協(xié)同入侵的規(guī)則。通常該規(guī)則庫包括6個字段的信息相關(guān)性、空間相關(guān)度、時間相關(guān)度、不可信任IP范圍、入侵危害程度和響應(yīng)策略。各字段解釋如下相關(guān)性分為空間相關(guān)(S)和時間相關(guān)(T);空間相關(guān)度當(dāng)“相關(guān)性”字段為S時,此處為構(gòu)成一次空間上分布的入侵行為的相關(guān)度范圍;時間相關(guān)度當(dāng)“相關(guān)性”字段為T時,此處為時間上分布的入侵行為的相關(guān)度;不可信任IP范圍指發(fā)起攻擊的IP地址范圍;入侵危害程度指入侵事件的危害程度,該程度可分為最嚴(yán)重(0級)、較嚴(yán)重(1級)和次嚴(yán)重(2級);響應(yīng)策略針對某一協(xié)同入侵行為的全局響應(yīng)策略。
數(shù)據(jù)收集模塊7收集本節(jié)點的網(wǎng)絡(luò)信息,如入侵事件的協(xié)議類型,入侵事件的源IP地址,入侵事件的源端口,入侵事件的源IP地址,入侵事件的目的端口,入侵事件發(fā)生的時間等,并存放于局部數(shù)據(jù)庫8。數(shù)據(jù)集成模塊9從局部數(shù)據(jù)庫8中提取與常規(guī)入侵相關(guān)的數(shù)據(jù),直接傳送給常規(guī)入侵檢測模塊11;它還從局部數(shù)據(jù)庫8中提取與協(xié)同入侵相關(guān)的數(shù)據(jù),以時間為單位進(jìn)行劃分,例如以5分鐘為單位,將該時間單位內(nèi)的數(shù)據(jù)提供給協(xié)同入侵檢測模塊12。
常規(guī)入侵檢測模塊11將數(shù)據(jù)集成模塊9提供的信息與常規(guī)入侵規(guī)則庫10中的規(guī)則進(jìn)行比較,如果匹配成功,則說明可能發(fā)生常規(guī)入侵。協(xié)同入侵檢測模塊12對數(shù)據(jù)集成模塊9提供的信息進(jìn)行統(tǒng)計分析,并與協(xié)同入侵規(guī)則庫13中的規(guī)則進(jìn)行比較,如果符合規(guī)則的描述,如1秒內(nèi)中對同一端口所有連接的時間相關(guān)度大于0.7,就可能發(fā)生協(xié)同入侵,如表3所示。檢測模塊11、12將可疑報警信息通過數(shù)據(jù)傳輸模塊15傳送給負(fù)載最輕的節(jié)點。負(fù)載最輕的節(jié)點可能是本節(jié)點或其它的節(jié)點。
負(fù)載最輕的節(jié)點中的數(shù)據(jù)傳輸模塊將接收到的可疑報警信息,傳輸給報警聚類模塊16和數(shù)據(jù)挖掘模塊14。
報警聚類模塊16負(fù)責(zé)將可疑報警信息進(jìn)行整合和歸并,生成確認(rèn)報警信息。由于一次攻擊可能產(chǎn)生多個報警信息,報警聚類模塊16對接收的可疑報警信息進(jìn)行處理,把相關(guān)性較強(qiáng)的可疑報警信息進(jìn)行聚類。本系統(tǒng)采用相似度評估的方法來衡量可疑報警信息之間的關(guān)系。相似度評估主要采用基于距離的方法,使用距離來表示兩個可疑報警信息之間的相似性,距離越小則相似性越高??梢蓤缶畔⒅懈鱾€字段的重要性是不相同的,因此使用權(quán)值來代表字段的重要程度。對于兩個可疑報警信息,如果它們在相同字段的權(quán)值越大,則它們越相似。因此,距離公式表示為d(i,j)=(|xi1-xj1|2+|xi2-xj2|2+...+|xip-xjp|)22]]>其中(xi1,xi2,...xip)和(xj1,xj2,...xjp)是兩個p維的可疑報警信息,p為大于或等于局部數(shù)據(jù)庫字段個數(shù)的正整數(shù)。
報警聚類模塊16根據(jù)相似度評估函數(shù)對可疑報警信息進(jìn)行分析,將相似性較大的報警信息進(jìn)行聚類合并,生成確認(rèn)報警信息,然后傳送給數(shù)據(jù)傳輸模塊15。
數(shù)據(jù)挖掘模塊14負(fù)責(zé)對可疑報警信息進(jìn)行挖掘處理,生成新的協(xié)同入侵規(guī)則。入侵者通常是制定一個全局的入侵計劃,采取分步驟攻擊的方式達(dá)到入侵目的。數(shù)據(jù)挖掘模塊14采用基于特征值的報警信息的分析方法,對可疑報警信息進(jìn)行時間和空間的關(guān)聯(lián)分析,例如計算入侵者的IP分布的空間相關(guān)度,如果在1秒內(nèi)建立半連接(已建立TCP/IP連接,未完成三次握手的狀態(tài))的源IP的空間相關(guān)度大于0.8,于是產(chǎn)生新的協(xié)同入侵規(guī)則在未來5分鐘內(nèi)拒絕來自這些IP的連接請求,如表3所示。數(shù)據(jù)挖掘模塊14根據(jù)某一次協(xié)同入侵預(yù)測下一次協(xié)同入侵行為并提前進(jìn)行預(yù)測和防范,對新的協(xié)同入侵行為進(jìn)行識別;并且將新的協(xié)同入侵規(guī)則傳送給數(shù)據(jù)傳輸模塊15。
數(shù)據(jù)傳輸模塊15將接收到的確認(rèn)報警信息和新的協(xié)同入侵規(guī)則傳輸至控制臺模塊3中的監(jiān)控模塊5。當(dāng)接收到確認(rèn)報警信息后,監(jiān)控模塊5調(diào)用全局響應(yīng)模塊6,對入侵進(jìn)行響應(yīng),如記錄安全事件,隔離入侵者IP等等。當(dāng)接收到新的協(xié)同入侵規(guī)則后,監(jiān)控模塊5調(diào)用規(guī)則發(fā)布模塊4,將新的協(xié)同入侵規(guī)則傳送到各個節(jié)點的協(xié)同入侵規(guī)則庫13。
如圖3所示,為了更好的管理協(xié)同入侵規(guī)則庫13,本發(fā)明可以在客戶端模塊內(nèi)增設(shè)規(guī)則更新模塊17,用于優(yōu)化協(xié)同入侵規(guī)則庫。協(xié)同規(guī)則更新步驟中,為避免規(guī)則的重復(fù)性,在建立協(xié)同入侵規(guī)則庫13之后,對于規(guī)則發(fā)布模塊4每一次發(fā)布的新規(guī)則,規(guī)則更新模塊17要根據(jù)它和已有規(guī)則之間的相似性度量閾值決定是否對協(xié)同入侵規(guī)則庫13進(jìn)行更新。為了避免規(guī)則庫過度膨脹,對每一個新生成的規(guī)則定義使用頻度,每當(dāng)該規(guī)則匹配到一個安全事件,該規(guī)則的使用頻度加1,規(guī)則更新模塊17將使用最近最少使用算法淘汰使用頻度低的規(guī)則。
實例在具有16個節(jié)點機(jī)上的集群系統(tǒng)構(gòu)建一個基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng),其基本配置如表1所示。
表1各節(jié)點的硬件及網(wǎng)絡(luò)配置其中,控制臺模塊安裝在一臺主機(jī)上,客戶端模塊分別安裝在其余15臺主機(jī)上,由此組成了一個完整的基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng)。具體實施如下一個節(jié)點安裝控制臺模塊,其余節(jié)點分別安裝客戶端模塊。對整個系統(tǒng)的配置說明如下1)局部數(shù)據(jù)庫該數(shù)據(jù)庫共6個字段,其示例如表1。
表1局部數(shù)據(jù)庫示例2)常規(guī)入侵規(guī)則庫該常規(guī)規(guī)則庫共5個字段,其示例如表2。
表2常規(guī)入侵規(guī)則庫示例3)協(xié)同入侵規(guī)則庫該數(shù)據(jù)庫共6個字段,其示例如表3。
表3協(xié)同入侵規(guī)則庫的配置示例
權(quán)利要求
1.一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng),利用計算機(jī)網(wǎng)絡(luò)技術(shù)和入侵檢測技術(shù)實現(xiàn),其特征在于該系統(tǒng)由控制臺模塊(3)和客戶端模塊(2)組成,控制臺模塊(3)負(fù)責(zé)為所有的客戶端節(jié)點提供服務(wù),為各個客戶端模塊(2)之間的聯(lián)系和合作提供信息,客戶端模塊(2)主要完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測結(jié)果傳輸;客戶端模塊(2)包括數(shù)據(jù)收集模塊(7)、數(shù)據(jù)集成模塊(9)、常規(guī)入侵檢測模塊(11)、協(xié)同入侵檢測模塊(12)、報警聚類模塊(16)、數(shù)據(jù)挖掘模塊(14)、數(shù)據(jù)傳輸模塊(15)、常規(guī)入侵規(guī)則庫(10)、協(xié)同入侵規(guī)則庫(13)和局部數(shù)據(jù)庫(8);局部數(shù)據(jù)庫(8)用于存放本節(jié)點的網(wǎng)絡(luò)信息,包括6個字段的信息協(xié)議號,源IP,源端口,目的IP,目的端口和時間;常規(guī)入侵規(guī)則庫(10)用于存放描述常見的單個入侵的規(guī)則;協(xié)同入侵規(guī)則庫(13)用于存放描述相互合作的、分布式入侵的規(guī)則,包括6個字段的信息相關(guān)性、空間相關(guān)度、時間相關(guān)度、不可信任IP范圍、入侵危害程度和響應(yīng)策略;數(shù)據(jù)收集模塊(7)負(fù)責(zé)收集本節(jié)點的網(wǎng)絡(luò)信息,并存放于局部數(shù)據(jù)庫(8),數(shù)據(jù)集成模塊(9)提取局部數(shù)據(jù)庫(8)的數(shù)據(jù)進(jìn)行集成與預(yù)處理,選取特征域,提取關(guān)鍵信息,將信息提供給常規(guī)入侵檢測模塊(11)、協(xié)同入侵檢測模塊(12);常規(guī)入侵檢測模塊(11)負(fù)責(zé)將數(shù)據(jù)集成模塊(9)提供的信息與常規(guī)入侵規(guī)則庫(10)中的規(guī)則進(jìn)行比較,生成可疑的常規(guī)入侵報警信息,傳送給數(shù)據(jù)傳輸模塊(15);協(xié)同入侵檢測模塊(12)負(fù)責(zé)將數(shù)據(jù)集成模塊(9)提供的信息與協(xié)同入侵規(guī)則庫(13)中的規(guī)則進(jìn)行比較,生成可疑的協(xié)同入侵報警信息,傳送給數(shù)據(jù)傳輸模塊(15);數(shù)據(jù)傳輸模塊(15)將可疑報警信息傳送給負(fù)載最輕的節(jié)點中的數(shù)據(jù)傳輸模塊,并由其傳輸給負(fù)載最輕的節(jié)點中報警聚類模塊和數(shù)據(jù)挖掘模塊;負(fù)載最輕的節(jié)點中的報警聚類模塊負(fù)責(zé)將可疑報警信息進(jìn)行整合和歸并,生成確認(rèn)報警信息,通過其數(shù)據(jù)傳輸模塊傳送給控制臺模塊(3);負(fù)載最輕的節(jié)點中的數(shù)據(jù)挖掘模塊負(fù)責(zé)對可疑報警信息進(jìn)行挖掘處理,生成新的協(xié)同入侵規(guī)則,通過其數(shù)據(jù)傳輸模塊傳送給控制臺模塊(3);控制臺模塊(3)包括監(jiān)控模塊(5)、規(guī)則發(fā)布模塊(4)和全局響應(yīng)模塊(6);監(jiān)控模塊(5)負(fù)責(zé)對各客戶端模塊(2)的監(jiān)測與控制,找出本輪入侵檢測中負(fù)載最輕的節(jié)點,并將接收到的確認(rèn)報警信息和新的協(xié)同入侵規(guī)則分別傳送給規(guī)則發(fā)布模塊(4)和全局響應(yīng)模塊(6);規(guī)則發(fā)布模塊(4)負(fù)責(zé)將新生成的協(xié)同入侵規(guī)則傳送至各個客戶端模塊;全局響應(yīng)模塊(6)根據(jù)確認(rèn)報警信息對常規(guī)入侵和協(xié)同入侵進(jìn)行響應(yīng)。
2.根據(jù)權(quán)利要求1所述的檢測系統(tǒng),其特征在于所述客戶端模塊(2)還包括規(guī)則更新模塊(17),它接收規(guī)則發(fā)布模塊(4)發(fā)來的新的協(xié)同入侵規(guī)則,進(jìn)行分析,確定是否添加至協(xié)同入侵規(guī)則庫(13);并對協(xié)同入侵規(guī)則庫(13)進(jìn)行使用頻率統(tǒng)計與刪除管理。
3.根據(jù)權(quán)利要求1或2所述的檢測系統(tǒng),其特征在于所述報警聚類模塊(16)采用基于距離的相似度評估函數(shù)對可疑報警信息進(jìn)行分析,將相似性較大的報警信息進(jìn)行聚類合并,生成確認(rèn)報警信息。
4.根據(jù)權(quán)利要求1或2所述的檢測系統(tǒng),其特征在于所述數(shù)據(jù)挖掘模塊(14)采用基于特征值的報警信息的分析方法,對可疑報警信息進(jìn)行時間和空間的關(guān)聯(lián)分析,生成新的協(xié)同入侵規(guī)則。
5.根據(jù)權(quán)利要求3所述的檢測系統(tǒng),其特征在于所述數(shù)據(jù)挖掘模塊(14)采用基于特征值的報警信息的分析方法,對可疑報警信息進(jìn)行時間和空間的關(guān)聯(lián)分析,生成新的協(xié)同入侵規(guī)則。
全文摘要
本發(fā)明公開了一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測系統(tǒng),包括控制臺模塊和客戶端模塊。前者為客戶端節(jié)點提供服務(wù),為客戶端模塊之間的聯(lián)系和合作提供信息;后者完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測結(jié)果傳輸。其中,常規(guī)入侵檢測模塊可檢測已知的常規(guī)入侵;協(xié)同入侵檢測模塊可檢測已知的協(xié)同入侵;報警聚類模塊對可疑報警信息進(jìn)行整合與歸并,降低了誤警率;數(shù)據(jù)挖掘模塊使用關(guān)聯(lián)算法發(fā)現(xiàn)新的協(xié)同入侵規(guī)則,從而防范已知協(xié)同入侵的變種及新型的協(xié)同入侵。該系統(tǒng)與傳統(tǒng)產(chǎn)品相比,不僅防范常規(guī)入侵,而且防范協(xié)同入侵;具有可擴(kuò)展性、提高了入侵檢測的實時性、減少了對網(wǎng)絡(luò)資源的占用、達(dá)到動態(tài)的負(fù)載均衡性等優(yōu)點。
文檔編號G06F17/30GK1553293SQ20031011161
公開日2004年12月8日 申請日期2003年12月19日 優(yōu)先權(quán)日2003年12月19日
發(fā)明者金海 , 孫建華, 韓宗芬, 陳浩, 程恩, 易川江, 鄒建平, 涂旭平, 楊志玲, 何麗莉, 黃瑾, 金 海 申請人:華中科技大學(xué)