用于基于ip声誉安全的协作入侵检测生态系统的利记博彩app

用于基于ip声誉安全的协作入侵检测生态系统的利记博彩app
【技术领域】
[0001] 本公开一般设及用于计算机网络的安全系统。
【背景技术】
[0002] 计算机会遭受多种攻击，例如由通常被称为黑客的主体发起的攻击。例如黑客的 蓄意破坏者可能试图侵入计算机，在工业间碟行动中窃取计算机中的信息，或植入病毒，或 者篡改记录W达到使某人的利益或声誉受益或受损的目的。为了打击该些活动，可W由入 侵检测系统（ID巧对计算机进行监控和保护。入侵检测系统是监控计算机网络并识别潜在 威胁的设备或系统。
[0003] 入侵检测的一个重要概念是因特网协议（I巧地址的"声誉（r巧utation) "，IP声 誉服务可W向IDS系统告警某些可疑的IP地址。特别的，IP声誉服务保持那些与被识别 为托管包括但不限于恶意软件、钓鱼内容和/或垃圾邮件等可疑内容的多个IP地址有关的 信息。IDS-般采取行动缓和威胁，IP声誉服务提供的信息则提供额外的能力，进一步允许 IDS阻止或警告终端用户那些被识别为向托管可疑内容的请求提供服务的特定IP地址。该 允许IP声誉服务在可疑IP地址（或U化）需要被评级为"告警级别"时向IDS软件告警。 例如，某个IP地址可能是垃圾邮件或恶意软件的来源，或者是某僵尸网络的一部分，或者 参与了某些攻击，IP声誉服务将"告警级别"赋予该IP地址（或URL)，后者接着又警告其 客户（通常是ID巧要小屯、对待该IP地址（或U化）。
[0004] 然而，目前实行的该样的IP声誉系统有一个局限，即它们是集中管理并且是分布 式的。通常，IDS软件的供应商监视可疑的IP地址，并通过专口的通知服务向其IDS软件客 户告警该些声誉问题。但是，使用单一的集中管理系统来发现和传播重要的IP声誉信息， 是一种缓慢的方式。事实上，由于该种集中管理的方式，许多客户系统可能会在等待更新的 过程中不必要地受到流巧消息的影响。例如，如果由某网络中的某个入侵检测系统检测到 的问题没有立即传播到同一网络中的其他IDS,则会存在攻击向量可能利用不同的技术到 达另一设备的潜在可能。鉴于越来越多的针对任一特定网络目标的攻击被特意设计成"轻 量级"并难W发现的高级持续性威胁（AdvancedPersistentT虹eats(APT))的事件，该尤 其令人担忧。事实上，常常是通过一可能是实时地一分析和组合该些"轻量级"事件，才能 提供真正网络漏洞的线索。
[0005] 解决该一问题的一种已知方式是由网络中的入侵监测系统向安全事件管理系统 (SecurityIncidentandEventManager(SIEM))告警。该种方式提供了一种中央"命令 和控制"式样的控制台，然而却要依靠人工干预来决定是否多个事件构成一个有组织的攻 击。大多数情况下，该些事件通常是在发生之后被彻底地回顾，并且很难通过手动分析找到 模式，尤其是由于APT只会在IDS中引起很低级别的事件。

【发明内容】

[0006] 一种入侵检测系统（ID巧被加强，W在该种系统的集群中运行，被组织成集群的 入侵检测系统（IDSs)互相协作，W实时地、或近乎实时地在协作的系统之间交换IP声誉影 响事件的信息，W提高总体的系统响应时间，阻止隐藏的攻击（例如一但不限于一高级持 续性威胁（APTs))破坏网络资源。优选地，IDS包括IP声誉分析引擎，用于分析新的和现有 的事件（包括但不限于来自集群中其他IDS的信息）、关联信息并发出潜在的告警。IP声 誉分析引擎可W实施诸如模式匹配算法、连续数据挖掘算法等算法，W方便所述操作。
[0007] 在一个示例性实施例中，将一组入侵检测系统端点设置在计算机网络中或计算机 网络上，并配置到一个集群中。将IDS端点集群W共享IP声誉影响事件，利用集群范围的 视角（view)来确定IP声誉，并将该集群范围视图馈送回IDS端点，可W提供相比于现有技 术更加可靠和可扩展的增强的早期威胁检测。
[0008] 根据另一个特定实施例，将一个入侵检测系统端点配置为协作检测系统集群的成 员。优选地，入侵检测系统配置为定义它将与其他IDS共享的数据W及它想接收的数据。可 W使用"发布-订阅"或类似机制将一个IDS在集群中注册，W实现数据共享。一旦集群被 配置，每个IDS自主进行工作，但IP声誉影响信息根据事实上所执行的"发布-订阅"机制 的共享协议进行共享。随着IP声誉影响事件产生，（例如在某个特定IDS中操作的）分析 引擎可W确定与某一IP地址关联的声誉。可W根据多种因素进行该确定，例如活动的当前 级别、活动的最后日期、观察到的活动的类型W及关联的IP地址或U化（例如源或目标，或 两者）。IDS分析引擎利用此信息，优选地与从集群中的其他一个或多个IDS接收的类似信 息一起进行分析。根据分析，并且可选地根据安全策略中的限定，在有效的"集群范围"内 就该声誉将要与某一IP地址关联做出确定。。该通知然后可W被传送给IP声誉服务。在 IP声誉服务处被分析，与其他信息关联并且相应地进行评级。然后，可W将该信息与其他 IP声誉转发回集群并在其中维持。
[0009] 因此，根据本公开，入侵检测系统的协作集群彼此共享IP声誉信息，优选地在本 地级别共享。根据本公开配置的IDS包括向集群的其他成员分发IP声誉信息的机制，并且 可W包括IP声誉分析引擎，其将接收的无害事件流解析成需要采取行动的潜在的攻击的 数据。
[0010] 上面已经描述了本发明的一些特定特征。该些特征仅仅出于说明的目的。可W通 过W不同的方式应用或通过修改公开的本发明取得更多有益效果。
【附图说明】
[0011] 为了更完整的理解本发明及其优势，参照W下附图对本发明进行说明，其中：
[0012] 图1描述了可W实现本公开示例性实施例的示例方面的一个典型的分布式数据 处理环境的框图；
[0013] 图2是可W实现本公开示例性实施例的示例方面的一个典型的数据处理系统的 框图；
[0014] 图3示出了实施本公开主题的一个已知的入侵检测系统（ID巧；
[0015] 图4示出了入侵检测系统的IDS传感器；
[0016] 图5示出了已知的IP声誉服务；
[0017] 图6示出了具有一组IDS的企业网络；
[001引图7示出了根据本公开的代表性IDS集群；
[0019] 图8示出了根据本公开的代表性IDS实例；
[0020] 图9示出了集群中的第一入侵检测系统向第二入侵检测系统报告入侵事件；
[0021] 图10示出了根据本公开接收IP声誉影响信息并传递给IDS实例中的分析引擎；
[0022] 图11示出了执行发布/订阅通信方法W交换信息的一对IDS实例；
[002引图12示出了实现为WS通知服务的代表性发布/订阅机制；
[0024]图13示出了可W在入侵检测系统的分析引擎中处理的代表性的IP声誉影响信 息；
[00巧]图14示出了代表性的分析引擎；
[0026] 图15示出了代表性的模式匹配算法。
【具体实施方式】
[0027] 现在参考图1-2,其中示出了可W实现本公开示例性实施例的数据处理环境的示 例性框图。应该理解，图1-2仅仅是出于示例的目的，不能认为是对能够实现本公开主题的 示例性实施例的环境的限制。可W在不背离本发明精神和范围的前提下对示出的环境做出 多种修改。
[0028] 现在参考图1，其中示出了可W实现本公开示例性实施例的示例性分布式数据处 理系统。分布式数据处理系统100可W包括可W实现本公开示例性实施例的各个方面的计 算机网络。分布式数据处理系统100包括用于至少一个网络102,用于提供分布式数据处理 系统100内连接的不同设备和计算机之间通信链路。网络102可W包括例如有线、无线通 信链路或光缆连接。
[0029] 在所示的示例中，服务器104和106与存储单元108 -起连接至网络102。此外， 客户机110、112和114也连接至网络102。该些客户机110、112和114可W例如是个人计 算机、网络计算机等。在所示的示例中，服务器104向客户机110、112和114提供诸如引导 文件、操作系统映像W及应用的数据。客户机11〇、112和114在给出的示例中是服务器104 的客户机。分布式数据处理系统100可W包括未显示的其他的服务器W及其他设备。
[0030] 在给出的示例中，分布式数据处理系统100是具有网络102的因特网，