率(rate) (即,目前入侵检测传感器生成告警的速率)。管理器404也可W包括用于向日志输入时间 戳的定时器410,用作当前告警生成速率的比较点的告警生成速率阔值412,W及响应于当 前告警生成速率与告警生成速率阔值412比较的结果应用于一组签名的元素的一个或一 组规则414。定时器410、告警生成速率阔值412和规则414的操作可W由逻辑402执行的 指令实现。
[0045] 图5示出了已知的基于供应商的IP声誉服务500W及它如何与特定于供应商的 入侵检测系统交互。如图所示,供应商的IP声誉服务500监控因特网IP地址并接收一个 或多个漏洞(例如垃圾邮件、僵尸网络、恶意软件等)的指示信息。基于供应商的IP声誉 服务是集中管理的。操作中,它监控可疑的IP地址并通过发布IP声誉报告504向它的IDS 软件客户502告警。
[0046] 图3的入侵检测系统可W在如图1所示的数据处理系统中实现,也可W在网络中 或跨网络(例如企业网)实现多个该样的系统。图6示出了具有一组IDS的企业网络,每 个都由标记600表示。网络中或跨网络可W有多个该样的入侵检测系统。
[0047] 该里描述的入侵检测系统可W包括多种硬件和/或软件组件,并且可W被配置成 W下一种或几种:系统、机器、设备、装置、程序、一组程序、进程、一组进程、一个或多个执行 线程或实例、相关数据和W上的任意组合。IDS功能性可W集成、并存、离散或分离。
[0048] 参照W上的【背景技术】,本公开的技术将在W下进行描述。
[0049] 用于基于IP声誉的安全的协作入侵检测
[0050] 如前所述,根据本公开入侵检测系统(例如企业网中的IDS端点)被配置为协作 检测系统集群的成员。入侵检测系统集群包括两个或更多(典型的甚至更多)入侵检测系 统,但每个特定的IDS被配置。图7显示的代表性IDS集群700包括IDS702a、???702n。 集群中IDS(有时被称作"IDS实例")的数量可W是固定的,也可W是变化的。因此,典型 地,某特定集群的成员会随着IDS的加入或离开而动态地变化。
[0051] 尽管可W使用专用的控制器,优选地集群中的任何IDS都可W作为集群的"领导 者"而负责管理成员对集群的订阅。为此,可W利用"领导者"选举算法实现此目的,并且 集群中的各IDS可W通过例如传播(Spread)的通信机制彼此通信。替代的,集群中的多个 IDS实例可W简单地同时运行。
[0052] 参考图8,在一个优选实施例中,将一个包括本公开功能IDS800配置的包括一个 该IDS通过其向集群注册的订阅模块(subscribermo化le)802。可W(例如由基于Web的 配置工具)配置该订阅模块,W定义该特定IDS与集群中的其他IDS共享的数据,并且定义 该特定IDS想要从一个或多个其他IDS实例接收的数据。典型地,正如下文将要详细说明 的那样,该数据为IP声誉影响信息,即可W被评估而确定(产生或计算)IP地址的"声誉" 的信息。已知的IP声誉数据分析技术可W用于此目的,该些技术可下面描述的方式提 高。两种情况中,优选地可W利用"发布-订阅"或类似机制将IDS向集群注册W实现该样 的数据共享。替代的,可W将该些配置选项和相关数据设置于可W由集群中的每个订阅IDS 实例访问的数据库中。一旦集群被配置,优选地每个IDS自主地进行工作,但IP声誉影响 信息根据由"发布-订阅"(或其他数据共享)机制实施的实际共享协议被共享。
[0053] 除了订阅模块,IDS800还包括一个或多个分析引擎806。具体来说,随着IP声 誉影响事件的产生,分析引擎806可W确定将与某一IP地址关联的声誉。可W根据多种因 素进行该确定,例如活动的当前级别、活动的最后日期、观察到的活动的类型W及关联的IP 地址或U化(例如源或目标,或两者)。IDS分析引擎806利用此信息,优选地与从集群中的 其他一个或多个IDS接收的类似信息一起进行分析。根据该分析,并且可选地根据安全策 略中的限定,在有效的"集群范围"内就该声誉将要与某一IP地址关联做出确定。该通知 然后可W被传送给如上文所述、图5所示的IP声誉服务。在IP声誉服务处被分析,与其他 信息关联并且被相应地评级。然后,可W将该信息与其他IP声誉信息转发回集群并在其中 维持。典型地,IP声誉服务与IDS集群是不同的,但该并非是必要的。
[0054]除了组件802、804和806,IDS还可W包括上文参照图3和图4描述的基本功能 (或其部分)。一个或多个该些功能可W集成、分立、并存、或彼此分离。IDS功能可W由诸 如软件代理的另一组件实现。因此,术语IDS不能作为对本公开的限制。
[00巧]因此,根据本公开,一组协作的入侵检测系统彼此共享IP声誉信息。根据本公开 配置的IDS包括向集群的其他成员分发IP声誉信息的机制(例如发布-订阅机制),并且 可W包括IP声誉分析引擎,其将接收的事件流中的无害事件解析成关于需要针对其采取 行动的潜在攻击的数据。
[0056] 通过构建IDS实例的集群并利用发布-订阅(或等效)通信机制,实现集群成员 间的IP声誉信息的即时交换。当然,并不限制成员的数量。W该种方式,如果一个组织的 网络边界的入侵检测系统检测到某种事件,它可W向本地集群中的其他IDS告警。在一个 更具体的例子中,初始事件可能是利用已知的CVE(通用漏洞披露)签名的攻击,那么IDS 将该数据传递给集群中订阅的其他IDS。图9显示了该场景。此种情况中,要共享的主要数 据为CVE(通用漏洞披露)数据,W及源和目标IP地址,而IP声誉值甚至可能尚未被不计 算和传递。
[0057] 当一个IDS接收到该数据,它优选地立即将其传递给IP声誉分析引擎,后者试图 将该事件与其自己记录的、或由同一集群中的其他IDS之前传递的事件关联。图10显示了 该操作。例如,如果另一个IDS检测到来自同一IP地址的(或许利用了不同的方式的)攻 击,该两个事件可W(由特定IDS中的分析引擎)进行本地相关W指示一个明确的模式。事 实上,通过将来自多个源的该种信息相关,可W指示一个更具针对性的攻击(例如高级持 续性威胁APT)。该种使得某一IDS能够对照从集群中的另一个IDS源接收的信息而分析本 地事件流的方式,同样使得针对影响多个网络资源(或反映分布式攻击)的潜在威胁采取 实时、或近似实时的行动成为可能。此外,正如下面要描述的,分析引擎还可W执行后台数 据挖掘任务W分析收集的数据(可能是大量的数据)来发现感兴趣的其他的潜在事件。 [005引示例性地,IDS可W针对其分析引擎的输出采取一种或多种方式的行动。根据一 个实施例,IDS的工作模式变为突出的告警或阻止。根据一个替代性实施例,IDS创建新的 告警并将其发送至集群中一个或多个其他的订阅者或中央IP声誉服务。
[0059] W下提供了关于本公开IDS的功能的更多细节。
[0060] 如前所述,首先配置集群中的IDS实例。"发布-订阅"模型在图11中示出。在该 例中,IDSA作为发布者,IDSB作为订阅者。由发出关于其要发布的主题的通知的IDSA 定义信息交换,IDSB订阅该主题。根据一个实施例,IDSA配置为发布要向集群中的其他 IDS传递的一组事件类型/评级。根据另一个实施例,IDSA为与因特网连接的边界IDS。 因为IDSA与因特网连接,IDSA记录的IP声誉事件的数量可能非常大,因此,尽管IDSA 可能愿意发布所有的此类事件,IDSB可W选择只订阅某些此类事件。另一方面,如果IDS A在公司网的核屯、深处监控IP声誉事件,IDSB可能由于对该些事件可能更感兴趣而订阅 全部的此类事件。因此,订阅的性质和范围可能有很大的不同。
[0061]特定的订阅-通知机制根据实施方式的不同可W是任何方便的类型。在一个示 例性实施例中,订阅-通知机制可W利用"WS-通知"(WS-Notification)所规定的机制。 "WS-通知"提供了Web服务通信的开放标准,其利用基于主题的发布/订阅消息模式。尽 管特定的WS-通知将依赖于集群实现的细节,例如在一个实施例中,通知服务可W利用 IBMWebSphere⑥应用服务器(IBMWA巧V7. 0来实现,后者根据用于基于XML的Web服务 的化vaAPI实现WS-通知,即7. 0版WS-通知。
[0062]在替代方式中,可W利用0GSI(开放网格服务架构)中规定的订阅-通知机制。实 现该目的的其他的发布-订阅(pub-sub)机制可W包括但不限于微软⑧的WSP。
[0063]通常