文献类型：专利

专利类型：发明专利

是否失效：否

是否授权：否

申 请 号：CN201110277885.6

申 请 日：20110919

发 明 人：石进 张辰 高为 刘建邦 潘健翔

申 请 人：南京大学 江苏南大苏富特科技股份有限公司

申请人地址：210093 江苏省南京市鼓楼区汉口路22号

公 开 日：20111214

公 开 号：CN102281163A

代 理 人：陈建和

代理机构：32112 南京天翼专利代理有限责任公司

语　　种：中文

摘　　要：<B>基于网络入侵检测报警方法，</B>IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID，并确定以下基本元素；<B>1</B><B>）节点、服务；</B><B>2</B><B>）节点价值和服务价值；</B><B>3</B><B>）</B><B>节点安全度；</B><B>4</B><B>）</B><B>报警可信度；</B><B>5</B><B>）</B><B>报警危险度；</B><B>6</B><B>）</B><B>报警威胁度计算：</B>报警威胁度的评价要先对报警可信度和报警危险度进行评价，报警可信度的评价还需要先对报警信息的环境匹配度进行评价，因此其算法还是多层传递的；6-1）、根据已知各环境因素的匹配度计算环境匹配度<Image file="2011102778856100004DEST_PATH_IMAGE001.GIF" he="6" imgContent="undefined" imgFormat="GIF" wi="6"/>；6-2）、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度；攻击类型可信度的状态分为高、中、低三种，取值分别为1、0.6、0.2，相关攻击的状态分别设为强相关、弱相关和无相关三种状态。

主 权 项：1.基于网络入侵检测报警方法，其特征是基于如下步骤，IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID，并确定以下一些基本元素；1)节点、服务指的是网络中一个特殊的机器和设备，而服务指的是一个节点所提供的基于局域网或Internet的网络服务，节点和服务对进入系统的连接来说是目的地；2)节点价值和服务价值节点价值是一个用来表示节点重要性的量化的一个值，其中1表示的是最低的重要性，而N表示最高的重要性；每一个服务都要赋予一个表示服务重要性的服务价值，其范围也是从1到M；3)节点安全度节点的安全度标示的是节点的安全性；节点的安全度也是一个量化的值，它由节点安装的操作系统及版本，应用程序，开放的服务、端口，使用的安全措施以及它在网络中的位置等来确定；它的值在一个范围之间，同节点价值一样，设为1到P，其中1表示最低的安全度，P表示最高安全度；节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的；对报警信息的评价，确定评价出来的等级为10个：0.1，0.2，0.3，…，1，值越大其威胁程度越高，而管理员也可以考虑根据其实际需要，对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁；报警信息的威胁度包括两个方面：报警可信度与报警危险度；4)报警可信度报警可信度指的是报警信息所报攻击真实发生的可能性；首先，一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞，因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度；系统的环境归结到5个属性：操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用；根据攻击特征的不同将攻击�

关 键 词：报警 可信度  匹配度  危险度 报警信息 计算环境 评价  威胁  网络入侵检测 报警方法  服务价值  环境因素  节点安全  相关攻击  端口号 时间戳  攻击  探测器  算法  

IPC专利分类号：H04L12/24(20060101);H04L12/26(20060101);H04L29/06(20060101)