專利名稱：基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域，具體涉及一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)。
背景技術(shù)：
在電子信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)滲透到社會(huì)生活的各個(gè)方面，其安全問(wèn)題已經(jīng)成為影響國(guó)家獨(dú)立與安全、經(jīng)濟(jì)運(yùn)行與發(fā)展的重大問(wèn)題。隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)和漏洞趨于分布式。此外，隨著黑客入侵水平的提高，入侵行為也不再是單一的行為，而表現(xiàn)出相互協(xié)作的特點(diǎn)。單個(gè)的入侵檢測(cè)系統(tǒng)(IDS，Intrusion Detection System)設(shè)備(無(wú)論是主機(jī)型還是網(wǎng)絡(luò)型)應(yīng)對(duì)分布式、協(xié)同式、復(fù)雜模式攻擊的入侵行為時(shí)，就顯得十分力單勢(shì)薄。日益加劇的分布化、協(xié)同化的網(wǎng)絡(luò)攻擊行為的典型特點(diǎn)有1)攻擊持續(xù)時(shí)間長(zhǎng)，單個(gè)攻擊行為不明顯；2)攻擊者范圍分布廣泛，攻擊危害性大；3)攻擊成員之間及時(shí)交流攻擊信息，使攻擊時(shí)間縮短，攻擊手段更加優(yōu)化。
面對(duì)這種趨勢(shì)，現(xiàn)有的安全系統(tǒng)暴露出嚴(yán)重的缺陷。例如，常用的安全系統(tǒng)只能針對(duì)獨(dú)立的入侵行為，而難以防范有組織的協(xié)同入侵行為。隨著協(xié)同入侵的危害性日益嚴(yán)重，構(gòu)建一種可以防御協(xié)同入侵的安全系統(tǒng)是當(dāng)前的迫切需要。
IDS作為一種重要的安全部件，是網(wǎng)絡(luò)與信息安全防護(hù)體系的重要組成部分。IDS首先通過(guò)在計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)收集到的信息進(jìn)行分析，判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，然后根據(jù)分析結(jié)果采取決策并做出適當(dāng)?shù)捻憫?yīng)。從理論上講，IDS可以主動(dòng)地檢測(cè)到對(duì)系統(tǒng)或網(wǎng)絡(luò)的入侵，并對(duì)這些入侵進(jìn)行記錄和響應(yīng)，這是防火墻、身份識(shí)別和認(rèn)證、加密解密等其他許多安全措施所不能做到的。但是IDS的處理速度一直是影響其性能的一大瓶頸，雖然IDS是直接接入網(wǎng)絡(luò)的，但如果其檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，那么就會(huì)漏掉其中的部分?jǐn)?shù)據(jù)包，從而影響安全系統(tǒng)的準(zhǔn)確性和有效性。為了提高檢測(cè)速度，快速地從系統(tǒng)日志、網(wǎng)絡(luò)流量等大量原始數(shù)據(jù)中發(fā)現(xiàn)檢測(cè)攻擊的知識(shí)和規(guī)律，我們將數(shù)據(jù)挖掘技術(shù)應(yīng)用在入侵檢測(cè)系統(tǒng)中。數(shù)據(jù)挖掘(DM，Data Mining)就是從大量的、不完全的、有噪聲的、模糊的以及隨機(jī)的數(shù)據(jù)中提取潛在有用的信息和知識(shí)的過(guò)程。
依照數(shù)據(jù)采集的地點(diǎn)和數(shù)據(jù)處理地點(diǎn)的是否相同，數(shù)據(jù)挖掘分為集中式數(shù)據(jù)挖掘和分布式數(shù)據(jù)挖掘。明尼蘇達(dá)州大學(xué)研制出一個(gè)基于集中式數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)(MINDS)，即各個(gè)受保護(hù)節(jié)點(diǎn)的系統(tǒng)日志及網(wǎng)絡(luò)數(shù)據(jù)被集中處理。數(shù)據(jù)挖掘所需的數(shù)據(jù)源(各個(gè)節(jié)點(diǎn)的系統(tǒng)日志和網(wǎng)絡(luò)流量等信息)分布在各個(gè)節(jié)點(diǎn)上，隨著網(wǎng)絡(luò)的迅猛發(fā)展，這些數(shù)據(jù)量也急速增長(zhǎng)，將這些數(shù)據(jù)集中處理存在著兩大弊端一是數(shù)據(jù)傳輸占用了大量帶寬，二是進(jìn)行數(shù)據(jù)挖掘節(jié)點(diǎn)的資源有限，難以保證挖掘的實(shí)時(shí)性。隨著受保護(hù)節(jié)點(diǎn)的增加，系統(tǒng)處理的任務(wù)將日趨繁重，降低了系統(tǒng)的可擴(kuò)展性，同時(shí)也不能實(shí)現(xiàn)入侵檢測(cè)的實(shí)時(shí)性。

發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有入侵檢測(cè)的不足以及協(xié)同入侵的特點(diǎn)，提出一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)，可以快速準(zhǔn)確地檢測(cè)出已知的協(xié)同入侵，并防范已知協(xié)同入侵的變種及新型的協(xié)同入侵。
本發(fā)明提供的一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)，利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和入侵檢測(cè)技術(shù)實(shí)現(xiàn)，其特征在于該系統(tǒng)由控制臺(tái)模塊和客戶端模塊組成，控制臺(tái)模塊負(fù)責(zé)為所有的客戶端節(jié)點(diǎn)提供服務(wù)，為各個(gè)客戶端模塊之間的聯(lián)系和合作提供信息，客戶端模塊主要完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測(cè)結(jié)果傳輸；客戶端模塊包括數(shù)據(jù)收集模塊、數(shù)據(jù)集成模塊、常規(guī)入侵檢測(cè)模塊、協(xié)同入侵檢測(cè)模塊、報(bào)警聚類模塊、數(shù)據(jù)挖掘模塊、數(shù)據(jù)傳輸模塊、常規(guī)入侵規(guī)則庫(kù)、協(xié)同入侵規(guī)則庫(kù)和局部數(shù)據(jù)庫(kù)；局部數(shù)據(jù)庫(kù)用于存放本節(jié)點(diǎn)的網(wǎng)絡(luò)信息，包括6個(gè)字段的信息協(xié)議號(hào)，源IP，源端口，目的IP，目的端口和時(shí)間；常規(guī)入侵規(guī)則庫(kù)用于存放描述常見(jiàn)的單個(gè)入侵的規(guī)則；協(xié)同入侵規(guī)則庫(kù)用于存放描述相互合作的、分布式入侵的規(guī)則，包括6個(gè)字段的信息相關(guān)性、空間相關(guān)度、時(shí)間相關(guān)度、不可信任IP范圍、入侵危害程度和響應(yīng)策略；數(shù)據(jù)收集模塊負(fù)責(zé)收集本節(jié)點(diǎn)的網(wǎng)絡(luò)信息，并存放于局部數(shù)據(jù)庫(kù)，數(shù)據(jù)集成模塊提取局部數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行集成與預(yù)處理，選取特征域，提取關(guān)鍵信息，將信息提供給常規(guī)入侵檢測(cè)模塊、協(xié)同入侵檢測(cè)模塊；常規(guī)入侵檢測(cè)模塊負(fù)責(zé)將數(shù)據(jù)集成模塊提供的信息與常規(guī)入侵規(guī)則庫(kù)中的規(guī)則進(jìn)行比較，生成可疑的常規(guī)入侵報(bào)警信息，傳送給數(shù)據(jù)傳輸模塊；協(xié)同入侵檢測(cè)模塊負(fù)責(zé)將數(shù)據(jù)集成模塊提供的信息與協(xié)同入侵規(guī)則庫(kù)中的規(guī)則進(jìn)行比較，生成可疑的協(xié)同入侵報(bào)警信息，傳送給數(shù)據(jù)傳輸模塊；數(shù)據(jù)傳輸模塊將可疑報(bào)警信息傳送給負(fù)載最輕的節(jié)點(diǎn)中的數(shù)據(jù)傳輸模塊，并由其傳輸給負(fù)載最輕的節(jié)點(diǎn)中報(bào)警聚類模塊和數(shù)據(jù)挖掘模塊；負(fù)載最輕的節(jié)點(diǎn)中的報(bào)警聚類模塊負(fù)責(zé)將可疑報(bào)警信息進(jìn)行整合和歸并，生成確認(rèn)報(bào)警信息，通過(guò)其數(shù)據(jù)傳輸模塊傳送給控制臺(tái)模塊；負(fù)載最輕的節(jié)點(diǎn)中的數(shù)據(jù)挖掘模塊負(fù)責(zé)對(duì)可疑報(bào)警信息進(jìn)行挖掘處理，生成新的協(xié)同入侵規(guī)則，通過(guò)其數(shù)據(jù)傳輸模塊傳送給控制臺(tái)模塊；控制臺(tái)模塊包括監(jiān)控模塊、規(guī)則發(fā)布模塊和全局響應(yīng)模塊；監(jiān)控模塊負(fù)責(zé)對(duì)各客戶端模塊的監(jiān)測(cè)與控制，找出本輪入侵檢測(cè)中負(fù)載最輕的節(jié)點(diǎn)，并將接收到的確認(rèn)報(bào)警信息和新的協(xié)同入侵規(guī)則分別傳送給規(guī)則發(fā)布模塊和全局響應(yīng)模塊；規(guī)則發(fā)布模塊負(fù)責(zé)將新生成的協(xié)同入侵規(guī)則傳送至各個(gè)客戶端模塊；全局響應(yīng)模塊根據(jù)確認(rèn)報(bào)警信息對(duì)常規(guī)入侵和協(xié)同入侵進(jìn)行響應(yīng)。
上述客戶端模塊還可以包括規(guī)則更新模塊，它接收規(guī)則發(fā)布模塊發(fā)來(lái)的新的協(xié)同入侵規(guī)則，進(jìn)行分析，確定是否添加至協(xié)同入侵規(guī)則庫(kù)；并對(duì)協(xié)同入侵規(guī)則庫(kù)進(jìn)行使用頻率統(tǒng)計(jì)與刪除管理。
本發(fā)明的基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)具有以下優(yōu)點(diǎn)及效果(1)通過(guò)數(shù)據(jù)挖掘?qū)惓z測(cè)技術(shù)引入系統(tǒng)，檢測(cè)未知模式的入侵行為傳統(tǒng)的誤用入侵檢測(cè)系統(tǒng)是對(duì)任何已知攻擊的特征進(jìn)行編碼，檢測(cè)已知的入侵模式。這種系統(tǒng)可以有針對(duì)性地高效檢測(cè)入侵活動(dòng)，但是對(duì)未知的入侵活動(dòng)或已知入侵活動(dòng)的變形無(wú)能為力。通過(guò)將數(shù)據(jù)挖掘技術(shù)應(yīng)用在入侵檢測(cè)系統(tǒng)中，可以從網(wǎng)絡(luò)流量等大量原始數(shù)據(jù)中發(fā)現(xiàn)用于檢測(cè)未知攻擊模式的知識(shí)和規(guī)律。
(2)減少了對(duì)網(wǎng)絡(luò)資源的占用傳統(tǒng)的數(shù)據(jù)挖掘是將分布在各個(gè)地方的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳送到一個(gè)節(jié)點(diǎn)上進(jìn)行集中的處理，這種方式適合客戶端節(jié)點(diǎn)機(jī)數(shù)目少的情況；基于分布式數(shù)據(jù)挖掘所需的數(shù)據(jù)源就在本地，不需要經(jīng)過(guò)網(wǎng)絡(luò)傳輸，減少了對(duì)網(wǎng)絡(luò)資源的占用。
(3)實(shí)時(shí)性由于數(shù)據(jù)挖掘是分布式的，每個(gè)客戶端模塊只負(fù)責(zé)處理本地的數(shù)據(jù)，與傳統(tǒng)的集中式的數(shù)據(jù)挖掘相比具有實(shí)時(shí)性。
(4)可擴(kuò)展性進(jìn)行數(shù)據(jù)挖掘的客戶端節(jié)點(diǎn)的數(shù)目可以按照管理員的要求在監(jiān)控模塊中設(shè)定，因此客戶端節(jié)點(diǎn)的數(shù)目不受限制；控制臺(tái)模塊完成接受客戶端模塊的注冊(cè)和注銷請(qǐng)求的簡(jiǎn)單功能，不會(huì)成為系統(tǒng)可擴(kuò)展性的瓶頸。
(5)動(dòng)態(tài)的負(fù)載均衡性數(shù)據(jù)挖掘會(huì)消耗大量的系統(tǒng)資源，為了達(dá)到一個(gè)動(dòng)態(tài)的負(fù)載均衡，在客戶端負(fù)載最小的節(jié)點(diǎn)上對(duì)可疑報(bào)警信息進(jìn)行報(bào)警聚類和數(shù)據(jù)挖掘，生存確認(rèn)報(bào)警信息及新的協(xié)同入侵規(guī)則。
(6)規(guī)則加入與刪除的動(dòng)態(tài)性在每次檢測(cè)過(guò)程中發(fā)現(xiàn)的新的協(xié)同入侵規(guī)則都會(huì)通過(guò)自動(dòng)編碼加入到各個(gè)節(jié)點(diǎn)的協(xié)同入侵規(guī)則庫(kù)中；并依據(jù)一定的策略刪除協(xié)同入侵規(guī)則庫(kù)中無(wú)用的規(guī)則，防止入侵規(guī)則庫(kù)的過(guò)度膨脹。


圖1為基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖；圖2為數(shù)據(jù)挖掘控制臺(tái)模塊和客戶端模塊的一種具體實(shí)施方式
的結(jié)構(gòu)示意圖；圖3為數(shù)據(jù)挖掘控制臺(tái)模塊和客戶端模塊的另一種具體實(shí)施方式
的結(jié)構(gòu)示意圖；圖4為數(shù)據(jù)挖掘控制臺(tái)模塊的工作流程圖；圖5為數(shù)據(jù)挖掘客戶端模塊的工作流程圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明。
如圖1所示，基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)共由兩個(gè)部分組成控制臺(tái)模塊3和若干客戶端模塊2.1、2.2、……、2.n(下面稱為客戶端模塊2)。其中控制臺(tái)模塊3為所有的客戶端節(jié)點(diǎn)1.1、1.2、……、2.n提供服務(wù)，為各個(gè)客戶端模塊2之間的聯(lián)系和合作提供信息。客戶端模塊2主要完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測(cè)結(jié)果傳輸。
控制臺(tái)模塊3由三個(gè)部分組成監(jiān)控模塊5，規(guī)則發(fā)布模塊4和全局響應(yīng)模塊6。監(jiān)控模塊5接受并處理各個(gè)客戶端模塊2的注冊(cè)或注銷請(qǐng)求；數(shù)據(jù)收集和數(shù)據(jù)處理構(gòu)成一輪入侵檢測(cè)，數(shù)據(jù)處理完進(jìn)入到下一輪的數(shù)據(jù)收集，在每一輪入侵檢測(cè)的初始階段收集并顯示各個(gè)節(jié)點(diǎn)的負(fù)載信息，比較得到負(fù)載最輕的節(jié)點(diǎn)，并將比較結(jié)果傳送到各個(gè)節(jié)點(diǎn)；向客戶端模塊2發(fā)布控制命令，其工作流程如圖4所示。
如圖2所示每個(gè)客戶端模塊2包括以下幾個(gè)部分?jǐn)?shù)據(jù)收集模塊7、數(shù)據(jù)集成模塊9、常規(guī)入侵檢測(cè)模塊11、協(xié)同入侵檢測(cè)模塊12、報(bào)警聚類模塊16、數(shù)據(jù)挖掘模塊14、數(shù)據(jù)傳輸模塊15、常規(guī)入侵規(guī)則庫(kù)10、協(xié)同入侵規(guī)則庫(kù)13和局部數(shù)據(jù)庫(kù)8。
局部數(shù)據(jù)庫(kù)8用于存放本節(jié)點(diǎn)的網(wǎng)絡(luò)信息，至少包括6個(gè)字段的信息協(xié)議號(hào)，源IP，源端口，目的IP，目的端口和時(shí)間。各字段的說(shuō)明如下協(xié)議號(hào)入侵事件的協(xié)議類型，分為TCP、UDP及ICMP；源IP入侵事件的源IP地址；源端口入侵事件的源端口；目的IP入侵事件的源IP地址；目的端口入侵事件的目的端口；時(shí)間入侵事件發(fā)生的時(shí)間。
常規(guī)入侵規(guī)則庫(kù)10用于存放描述常見(jiàn)的單個(gè)入侵的規(guī)則，可采用現(xiàn)有的入侵規(guī)則庫(kù)，如Snort規(guī)則庫(kù)。該規(guī)則庫(kù)通常至少包括5個(gè)字段的信息規(guī)則編號(hào)、攻擊類型、攻擊服務(wù)、攻擊特征碼和入侵危害程度。各字段的說(shuō)明如下規(guī)則編號(hào)一條規(guī)則紀(jì)錄的數(shù)字編號(hào)；攻擊類型分為Dictionary Attack(字典攻擊)、Scan(端口掃描)、DoS(拒絕服務(wù)攻擊)三種；攻擊服務(wù)各種眾所周知的服務(wù)(如Web、FTP等)，ANY表示任意服務(wù)；攻擊特征碼表示代表一次攻擊的標(biāo)志性特征碼；入侵危害程度指入侵事件的危害程度，該程度可分為最嚴(yán)重(0級(jí))、較嚴(yán)重(1級(jí))和次嚴(yán)重(2級(jí))。
協(xié)同入侵規(guī)則庫(kù)用于存放描述相互協(xié)作的、分布式入侵的規(guī)則。它包括已知的協(xié)同入侵的規(guī)則及系統(tǒng)發(fā)現(xiàn)的新的協(xié)同入侵的規(guī)則。通常該規(guī)則庫(kù)包括6個(gè)字段的信息相關(guān)性、空間相關(guān)度、時(shí)間相關(guān)度、不可信任IP范圍、入侵危害程度和響應(yīng)策略。各字段解釋如下相關(guān)性分為空間相關(guān)(S)和時(shí)間相關(guān)(T)；空間相關(guān)度當(dāng)“相關(guān)性”字段為S時(shí)，此處為構(gòu)成一次空間上分布的入侵行為的相關(guān)度范圍；時(shí)間相關(guān)度當(dāng)“相關(guān)性”字段為T時(shí)，此處為時(shí)間上分布的入侵行為的相關(guān)度；不可信任IP范圍指發(fā)起攻擊的IP地址范圍；入侵危害程度指入侵事件的危害程度，該程度可分為最嚴(yán)重(0級(jí))、較嚴(yán)重(1級(jí))和次嚴(yán)重(2級(jí))；響應(yīng)策略針對(duì)某一協(xié)同入侵行為的全局響應(yīng)策略。
數(shù)據(jù)收集模塊7收集本節(jié)點(diǎn)的網(wǎng)絡(luò)信息，如入侵事件的協(xié)議類型，入侵事件的源IP地址，入侵事件的源端口，入侵事件的源IP地址，入侵事件的目的端口，入侵事件發(fā)生的時(shí)間等，并存放于局部數(shù)據(jù)庫(kù)8。數(shù)據(jù)集成模塊9從局部數(shù)據(jù)庫(kù)8中提取與常規(guī)入侵相關(guān)的數(shù)據(jù)，直接傳送給常規(guī)入侵檢測(cè)模塊11；它還從局部數(shù)據(jù)庫(kù)8中提取與協(xié)同入侵相關(guān)的數(shù)據(jù)，以時(shí)間為單位進(jìn)行劃分，例如以5分鐘為單位，將該時(shí)間單位內(nèi)的數(shù)據(jù)提供給協(xié)同入侵檢測(cè)模塊12。
常規(guī)入侵檢測(cè)模塊11將數(shù)據(jù)集成模塊9提供的信息與常規(guī)入侵規(guī)則庫(kù)10中的規(guī)則進(jìn)行比較，如果匹配成功，則說(shuō)明可能發(fā)生常規(guī)入侵。協(xié)同入侵檢測(cè)模塊12對(duì)數(shù)據(jù)集成模塊9提供的信息進(jìn)行統(tǒng)計(jì)分析，并與協(xié)同入侵規(guī)則庫(kù)13中的規(guī)則進(jìn)行比較，如果符合規(guī)則的描述，如1秒內(nèi)中對(duì)同一端口所有連接的時(shí)間相關(guān)度大于0.7，就可能發(fā)生協(xié)同入侵，如表3所示。檢測(cè)模塊11、12將可疑報(bào)警信息通過(guò)數(shù)據(jù)傳輸模塊15傳送給負(fù)載最輕的節(jié)點(diǎn)。負(fù)載最輕的節(jié)點(diǎn)可能是本節(jié)點(diǎn)或其它的節(jié)點(diǎn)。
負(fù)載最輕的節(jié)點(diǎn)中的數(shù)據(jù)傳輸模塊將接收到的可疑報(bào)警信息，傳輸給報(bào)警聚類模塊16和數(shù)據(jù)挖掘模塊14。
報(bào)警聚類模塊16負(fù)責(zé)將可疑報(bào)警信息進(jìn)行整合和歸并，生成確認(rèn)報(bào)警信息。由于一次攻擊可能產(chǎn)生多個(gè)報(bào)警信息，報(bào)警聚類模塊16對(duì)接收的可疑報(bào)警信息進(jìn)行處理，把相關(guān)性較強(qiáng)的可疑報(bào)警信息進(jìn)行聚類。本系統(tǒng)采用相似度評(píng)估的方法來(lái)衡量可疑報(bào)警信息之間的關(guān)系。相似度評(píng)估主要采用基于距離的方法，使用距離來(lái)表示兩個(gè)可疑報(bào)警信息之間的相似性，距離越小則相似性越高。可疑報(bào)警信息中各個(gè)字段的重要性是不相同的，因此使用權(quán)值來(lái)代表字段的重要程度。對(duì)于兩個(gè)可疑報(bào)警信息，如果它們?cè)谙嗤侄蔚臋?quán)值越大，則它們?cè)较嗨?。因此，距離公式表示為d(i,j)=(|xi1-xj1|2+|xi2-xj2|2+...+|xip-xjp|)22]]>其中(xi1，xi2，...xip)和(xj1，xj2，...xjp)是兩個(gè)p維的可疑報(bào)警信息，p為大于或等于局部數(shù)據(jù)庫(kù)字段個(gè)數(shù)的正整數(shù)。
報(bào)警聚類模塊16根據(jù)相似度評(píng)估函數(shù)對(duì)可疑報(bào)警信息進(jìn)行分析，將相似性較大的報(bào)警信息進(jìn)行聚類合并，生成確認(rèn)報(bào)警信息，然后傳送給數(shù)據(jù)傳輸模塊15。
數(shù)據(jù)挖掘模塊14負(fù)責(zé)對(duì)可疑報(bào)警信息進(jìn)行挖掘處理，生成新的協(xié)同入侵規(guī)則。入侵者通常是制定一個(gè)全局的入侵計(jì)劃，采取分步驟攻擊的方式達(dá)到入侵目的。數(shù)據(jù)挖掘模塊14采用基于特征值的報(bào)警信息的分析方法，對(duì)可疑報(bào)警信息進(jìn)行時(shí)間和空間的關(guān)聯(lián)分析，例如計(jì)算入侵者的IP分布的空間相關(guān)度，如果在1秒內(nèi)建立半連接(已建立TCP/IP連接，未完成三次握手的狀態(tài))的源IP的空間相關(guān)度大于0.8，于是產(chǎn)生新的協(xié)同入侵規(guī)則在未來(lái)5分鐘內(nèi)拒絕來(lái)自這些IP的連接請(qǐng)求，如表3所示。數(shù)據(jù)挖掘模塊14根據(jù)某一次協(xié)同入侵預(yù)測(cè)下一次協(xié)同入侵行為并提前進(jìn)行預(yù)測(cè)和防范，對(duì)新的協(xié)同入侵行為進(jìn)行識(shí)別；并且將新的協(xié)同入侵規(guī)則傳送給數(shù)據(jù)傳輸模塊15。
數(shù)據(jù)傳輸模塊15將接收到的確認(rèn)報(bào)警信息和新的協(xié)同入侵規(guī)則傳輸至控制臺(tái)模塊3中的監(jiān)控模塊5。當(dāng)接收到確認(rèn)報(bào)警信息后，監(jiān)控模塊5調(diào)用全局響應(yīng)模塊6，對(duì)入侵進(jìn)行響應(yīng)，如記錄安全事件，隔離入侵者IP等等。當(dāng)接收到新的協(xié)同入侵規(guī)則后，監(jiān)控模塊5調(diào)用規(guī)則發(fā)布模塊4，將新的協(xié)同入侵規(guī)則傳送到各個(gè)節(jié)點(diǎn)的協(xié)同入侵規(guī)則庫(kù)13。
如圖3所示，為了更好的管理協(xié)同入侵規(guī)則庫(kù)13，本發(fā)明可以在客戶端模塊內(nèi)增設(shè)規(guī)則更新模塊17，用于優(yōu)化協(xié)同入侵規(guī)則庫(kù)。協(xié)同規(guī)則更新步驟中，為避免規(guī)則的重復(fù)性，在建立協(xié)同入侵規(guī)則庫(kù)13之后，對(duì)于規(guī)則發(fā)布模塊4每一次發(fā)布的新規(guī)則，規(guī)則更新模塊17要根據(jù)它和已有規(guī)則之間的相似性度量閾值決定是否對(duì)協(xié)同入侵規(guī)則庫(kù)13進(jìn)行更新。為了避免規(guī)則庫(kù)過(guò)度膨脹，對(duì)每一個(gè)新生成的規(guī)則定義使用頻度，每當(dāng)該規(guī)則匹配到一個(gè)安全事件，該規(guī)則的使用頻度加1，規(guī)則更新模塊17將使用最近最少使用算法淘汰使用頻度低的規(guī)則。
實(shí)例在具有16個(gè)節(jié)點(diǎn)機(jī)上的集群系統(tǒng)構(gòu)建一個(gè)基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)，其基本配置如表1所示。

表1各節(jié)點(diǎn)的硬件及網(wǎng)絡(luò)配置其中，控制臺(tái)模塊安裝在一臺(tái)主機(jī)上，客戶端模塊分別安裝在其余15臺(tái)主機(jī)上，由此組成了一個(gè)完整的基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)。具體實(shí)施如下一個(gè)節(jié)點(diǎn)安裝控制臺(tái)模塊，其余節(jié)點(diǎn)分別安裝客戶端模塊。對(duì)整個(gè)系統(tǒng)的配置說(shuō)明如下1)局部數(shù)據(jù)庫(kù)該數(shù)據(jù)庫(kù)共6個(gè)字段，其示例如表1。

表1局部數(shù)據(jù)庫(kù)示例2)常規(guī)入侵規(guī)則庫(kù)該常規(guī)規(guī)則庫(kù)共5個(gè)字段，其示例如表2。

表2常規(guī)入侵規(guī)則庫(kù)示例3)協(xié)同入侵規(guī)則庫(kù)該數(shù)據(jù)庫(kù)共6個(gè)字段，其示例如表3。


表3協(xié)同入侵規(guī)則庫(kù)的配置示例
權(quán)利要求
1.一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)，利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和入侵檢測(cè)技術(shù)實(shí)現(xiàn)，其特征在于該系統(tǒng)由控制臺(tái)模塊(3)和客戶端模塊(2)組成，控制臺(tái)模塊(3)負(fù)責(zé)為所有的客戶端節(jié)點(diǎn)提供服務(wù)，為各個(gè)客戶端模塊(2)之間的聯(lián)系和合作提供信息，客戶端模塊(2)主要完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測(cè)結(jié)果傳輸；客戶端模塊(2)包括數(shù)據(jù)收集模塊(7)、數(shù)據(jù)集成模塊(9)、常規(guī)入侵檢測(cè)模塊(11)、協(xié)同入侵檢測(cè)模塊(12)、報(bào)警聚類模塊(16)、數(shù)據(jù)挖掘模塊(14)、數(shù)據(jù)傳輸模塊(15)、常規(guī)入侵規(guī)則庫(kù)(10)、協(xié)同入侵規(guī)則庫(kù)(13)和局部數(shù)據(jù)庫(kù)(8)；局部數(shù)據(jù)庫(kù)(8)用于存放本節(jié)點(diǎn)的網(wǎng)絡(luò)信息，包括6個(gè)字段的信息協(xié)議號(hào)，源IP，源端口，目的IP，目的端口和時(shí)間；常規(guī)入侵規(guī)則庫(kù)(10)用于存放描述常見(jiàn)的單個(gè)入侵的規(guī)則；協(xié)同入侵規(guī)則庫(kù)(13)用于存放描述相互合作的、分布式入侵的規(guī)則，包括6個(gè)字段的信息相關(guān)性、空間相關(guān)度、時(shí)間相關(guān)度、不可信任IP范圍、入侵危害程度和響應(yīng)策略；數(shù)據(jù)收集模塊(7)負(fù)責(zé)收集本節(jié)點(diǎn)的網(wǎng)絡(luò)信息，并存放于局部數(shù)據(jù)庫(kù)(8)，數(shù)據(jù)集成模塊(9)提取局部數(shù)據(jù)庫(kù)(8)的數(shù)據(jù)進(jìn)行集成與預(yù)處理，選取特征域，提取關(guān)鍵信息，將信息提供給常規(guī)入侵檢測(cè)模塊(11)、協(xié)同入侵檢測(cè)模塊(12)；常規(guī)入侵檢測(cè)模塊(11)負(fù)責(zé)將數(shù)據(jù)集成模塊(9)提供的信息與常規(guī)入侵規(guī)則庫(kù)(10)中的規(guī)則進(jìn)行比較，生成可疑的常規(guī)入侵報(bào)警信息，傳送給數(shù)據(jù)傳輸模塊(15)；協(xié)同入侵檢測(cè)模塊(12)負(fù)責(zé)將數(shù)據(jù)集成模塊(9)提供的信息與協(xié)同入侵規(guī)則庫(kù)(13)中的規(guī)則進(jìn)行比較，生成可疑的協(xié)同入侵報(bào)警信息，傳送給數(shù)據(jù)傳輸模塊(15)；數(shù)據(jù)傳輸模塊(15)將可疑報(bào)警信息傳送給負(fù)載最輕的節(jié)點(diǎn)中的數(shù)據(jù)傳輸模塊，并由其傳輸給負(fù)載最輕的節(jié)點(diǎn)中報(bào)警聚類模塊和數(shù)據(jù)挖掘模塊；負(fù)載最輕的節(jié)點(diǎn)中的報(bào)警聚類模塊負(fù)責(zé)將可疑報(bào)警信息進(jìn)行整合和歸并，生成確認(rèn)報(bào)警信息，通過(guò)其數(shù)據(jù)傳輸模塊傳送給控制臺(tái)模塊(3)；負(fù)載最輕的節(jié)點(diǎn)中的數(shù)據(jù)挖掘模塊負(fù)責(zé)對(duì)可疑報(bào)警信息進(jìn)行挖掘處理，生成新的協(xié)同入侵規(guī)則，通過(guò)其數(shù)據(jù)傳輸模塊傳送給控制臺(tái)模塊(3)；控制臺(tái)模塊(3)包括監(jiān)控模塊(5)、規(guī)則發(fā)布模塊(4)和全局響應(yīng)模塊(6)；監(jiān)控模塊(5)負(fù)責(zé)對(duì)各客戶端模塊(2)的監(jiān)測(cè)與控制，找出本輪入侵檢測(cè)中負(fù)載最輕的節(jié)點(diǎn)，并將接收到的確認(rèn)報(bào)警信息和新的協(xié)同入侵規(guī)則分別傳送給規(guī)則發(fā)布模塊(4)和全局響應(yīng)模塊(6)；規(guī)則發(fā)布模塊(4)負(fù)責(zé)將新生成的協(xié)同入侵規(guī)則傳送至各個(gè)客戶端模塊；全局響應(yīng)模塊(6)根據(jù)確認(rèn)報(bào)警信息對(duì)常規(guī)入侵和協(xié)同入侵進(jìn)行響應(yīng)。
2.根據(jù)權(quán)利要求1所述的檢測(cè)系統(tǒng)，其特征在于所述客戶端模塊(2)還包括規(guī)則更新模塊(17)，它接收規(guī)則發(fā)布模塊(4)發(fā)來(lái)的新的協(xié)同入侵規(guī)則，進(jìn)行分析，確定是否添加至協(xié)同入侵規(guī)則庫(kù)(13)；并對(duì)協(xié)同入侵規(guī)則庫(kù)(13)進(jìn)行使用頻率統(tǒng)計(jì)與刪除管理。
3.根據(jù)權(quán)利要求1或2所述的檢測(cè)系統(tǒng)，其特征在于所述報(bào)警聚類模塊(16)采用基于距離的相似度評(píng)估函數(shù)對(duì)可疑報(bào)警信息進(jìn)行分析，將相似性較大的報(bào)警信息進(jìn)行聚類合并，生成確認(rèn)報(bào)警信息。
4.根據(jù)權(quán)利要求1或2所述的檢測(cè)系統(tǒng)，其特征在于所述數(shù)據(jù)挖掘模塊(14)采用基于特征值的報(bào)警信息的分析方法，對(duì)可疑報(bào)警信息進(jìn)行時(shí)間和空間的關(guān)聯(lián)分析，生成新的協(xié)同入侵規(guī)則。
5.根據(jù)權(quán)利要求3所述的檢測(cè)系統(tǒng)，其特征在于所述數(shù)據(jù)挖掘模塊(14)采用基于特征值的報(bào)警信息的分析方法，對(duì)可疑報(bào)警信息進(jìn)行時(shí)間和空間的關(guān)聯(lián)分析，生成新的協(xié)同入侵規(guī)則。
全文摘要
本發(fā)明公開(kāi)了一種基于分布式數(shù)據(jù)挖掘的協(xié)同入侵檢測(cè)系統(tǒng)，包括控制臺(tái)模塊和客戶端模塊。前者為客戶端節(jié)點(diǎn)提供服務(wù)，為客戶端模塊之間的聯(lián)系和合作提供信息；后者完成數(shù)據(jù)挖掘所需數(shù)據(jù)的收集、處理和檢測(cè)結(jié)果傳輸。其中，常規(guī)入侵檢測(cè)模塊可檢測(cè)已知的常規(guī)入侵；協(xié)同入侵檢測(cè)模塊可檢測(cè)已知的協(xié)同入侵；報(bào)警聚類模塊對(duì)可疑報(bào)警信息進(jìn)行整合與歸并，降低了誤警率；數(shù)據(jù)挖掘模塊使用關(guān)聯(lián)算法發(fā)現(xiàn)新的協(xié)同入侵規(guī)則，從而防范已知協(xié)同入侵的變種及新型的協(xié)同入侵。該系統(tǒng)與傳統(tǒng)產(chǎn)品相比，不僅防范常規(guī)入侵，而且防范協(xié)同入侵；具有可擴(kuò)展性、提高了入侵檢測(cè)的實(shí)時(shí)性、減少了對(duì)網(wǎng)絡(luò)資源的占用、達(dá)到動(dòng)態(tài)的負(fù)載均衡性等優(yōu)點(diǎn)。
文檔編號(hào)G06F17/30GK1553293SQ20031011161
公開(kāi)日2004年12月8日 申請(qǐng)日期2003年12月19日 優(yōu)先權(quán)日2003年12月19日
發(fā)明者金海 , 孫建華, 韓宗芬, 陳浩, 程恩, 易川江, 鄒建平, 涂旭平, 楊志玲, 何麗莉, 黃瑾, 金 海 申請(qǐng)人:華中科技大學(xué)