当前位置:首页 >> IT/计算机 >>

基于网络安全知识库的入侵检测模型_图文

第26卷第3期 2009年3月

计算机应用研究
Application

Research of Computers

V01.26 No.3 Mar.2009

基于网络安全知识库的入侵检测模型
肖 云1,王选宏2
(1.西北大学信息科学与技术学院,西安710127;2.西安邮电学院通信工程系,西安710121)
摘要:在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据 过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分

析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系
统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利 用的知识更为丰富。能够更容易地发现协同攻击并有效降低误报率。 关键词:网络安全;知识库;入侵检测模型;关联;威胁评估 中图分类号:TP393.08 文献标志码:A 文章编号:1001—3695(2009)03?1079—03

Intrusion detection framework based
XIAO

on

network security knowledge databases

Yunl,WANG Xuan—hon92

(1.&hod ofInformation
Institutes

Science&Technology,No疗hwestUnit℃rsity,X/’∞710127,China;2.脚t.ofCommunicateEngineering,Xi’tin
framework
based the existing network security knowledge databa-

of Post&Te/ecommun/cat函ns,X/’口n 710121,Ch/na)
paper

Abstract:This

proPosed



new

intrusion detection

on

seS.It included data filtering,attack attempt analyzing and threat evaluation engines.The evolving self-organizing map WaS used to find attacks with sgme source and multi targets.Time series analysis method Wag utilized to obtain correlation rules to
on.1ine.80 the complicated attacks with disperse attack times could be checked.Then the threat e— quantitative threat evaluation formulas for evaluating serves,hosts and local area network were given. The framework is more integrated and has more useful knowledge than existing intrusion detection system(IDS)and easier to correlate intrusion
events

valuation indexes and

find

coordinated attacks witIl lower false positive

rate.

Key words:network security;knowledge

datasets;intrusion detection

framework;correlation;threat evaluation

0引言
目前,国内外著名安全厂商和研究机构已经建立了一些知 名的安全信息数据库系统,比如CERT组织维护最新的安全公 告、CVE建立了一个统一名称的漏洞数据库,Snort和ISS均建 立了相当丰富的攻击特征库,Norton等反病毒厂商也建立了庞 大的病毒特征库。这些安全数据库基本上都是针对某个方面 建立的数据库,没有考虑不同安全知识库之间的信息关联分 析,更没有考虑基于统一网络安全知识库系统的整体安全预 防、入侵检测、系统评估的综合应用。实际上系统漏洞、人侵攻 击、策略管理之间存在互为因果、相互影响的关系,单纯考虑其 中一方面因素是很难解决复杂的网络安全问题。只有将各种 网络安全知识统一、关联起来,充分利用各个知识库的信息,才 能有效地进行整体安全预防、入侵检测和系统评估。目前,国 内外关于统一网络安全知识库系统研究领域基本上还是一片 空白。本文在分析现有的入侵检测系统(intrusion
detection



网络安全知识库系统
目前已构建的网络安全知识库系统包括以下几个知识库: a)攻击特征库(policy)。该库收集了现有的各种攻击特

征,主要包括攻击名称、攻击类型、协议、攻击特征、攻击描述、 严重程度、对应的漏洞等信息。

b)漏洞库(budist)。该库收集了现有的各种漏洞,主要
包括漏洞名称、漏洞描述、漏洞优先级、漏洞的破坏方法、漏洞 的修补方法以及所影响的操作系统、对应特征等信息。 C)案例库(instance)。该库中的数据是描述对应于攻击特 征库中某个攻击的具体实例,包括该攻击实例所属模式、源 IP、目的IP、源端口、目的端口、攻击特征、发生的时间、所属的 攻击模式的阶段等信息。 d)模式库(pattern)。该库包括两个部分:(a)行为习惯表

(schemaDB),表中的数据用于描述黑客的攻击一般行为模式,
包括模式名称、阶段1的类型、阶段2的类型、……、阶段n的 类型以及模式描述等信息。(b)阶段攻击特征表(attackSigna- ture),用于描述对应于模式的某个阶段的攻击特征,主要包括 攻击特征名称、所属阶段名称、特征描述、所用的攻击工具、所 影响的操作系统、攻击发生的条件、攻击的目的、攻击的危害程 度、所属的模式的名称等信息。 e)攻击代码及工具库(attack—code—t001)。该库收集了目

system,IDS)的固有问题的基础上,充分利用笔者所在研究中 心构建的统一完整的网络安全知识库系统的信息,提出一个基 于网络安全基础知识库系统入侵检测模型,并着重讨论了模型 中推理决策框架和关键技术。

收稿日期:2008?06-20;修回日期:2008—08-24

基金项目:国家“8637计划资助项目(2004AAIZ2280)

作者简介:肖云(1978-),女,陕西武功人,博士,主要研究方向为网络安全、信息融合(yunmoyx@鲫ail.eonl);王选宏(1977?),男,工程师,硕
士,主要研究方向为信号处理、信息安全.


万   方数据

?1080?

计算机应用研究

第26卷

前典型的攻击代码和攻击工具。 f)安全管理策略库(manage—policy)。该库包括安全防御 和联动响应策略。安全防御策略包括漏洞名称、漏洞严重性等 级、最佳补丁安装时间、主机和漏洞对应信息、漏洞和已有补丁 对应信息等。联动响应策略包括攻击(攻击主机和受害主机 的IP地址、端口、协议等)、响应名称以及防火墙规则等信息。 g)关联规则库(eoH_mh)。该库包含的关联规则是指在 报警数据、漏洞等信息载体中,存在于项目集合或对象集合之 间的频繁模式、关联、相关性或因果结构。各个安全知识库之 间互为因果,互相影响,其关系如图l所示。图1中各个安全 知识库之间的关系解释如下: (a)抽象。对攻击案例库中的案例进行抽象就是模式库 中的模式。 (b)实例化。模式库中模式的具体形式就是案例库中的 案例。 (C)利用。案例库中的案例是利用漏洞库中的某个漏洞 发起的。 (d)原因。漏洞库中的漏洞是产生案例库中攻击案例的 根本原因。 (e)实现。执行攻击代码或攻击工具可为案例库添加攻 击案例。 (f)对象。主机中的漏洞是安全管理所要处理的对象。 (g)对应1。攻击特征库中的攻击特征与漏洞库中的漏洞 相对应。漏洞会导致一些攻击的发生,一个漏洞对应多个攻击 特征;而某一种攻击的产生是由于系统中存在的某些漏洞而引 起的。一个攻击特征也对应多个漏洞。 (h)对应2。攻击代码及工具库中的攻击代码或攻击工具 和攻击特征库中的攻击特征相对应。攻击代码或攻击工具会 导致一些攻击的发生,从而对应一些攻击特征。 (i)对应3。攻击特征库中的某个攻击与案例库的某个案 例相对应。 (j)依据l。安全管理策略库中的信息可以作为获取关联 规则的一个依据。 (k)依据2。关联规则库中的规则可由案例库中的几个琐 碎案例获得。

b)难以发现多个目标的空间上分散的同源攻击。现有的。 IDS中的各个售ensor各自负责某个局部,无法从全局的角度发 现分散的同源攻击。 c)难以检测时间上分散的分步骤复杂攻击。现有的sen— sor仅仅分析一次会话或一次入侵,历史状态信息和攻击的上 下文信息没有保存,无法发现协作的攻击企图。 纵观以上问题,本文认为现有的IDS的研究对其体系结构 的完整性重视不够,没有充分利用网络安全知识信息,而是试 图通过高精度的sen∞r来发现攻击,必然不能彻底解决IDS的 固有问题。因此应该考虑充分利用网络安全知识信息,并利用 合理的推理决策框架来解决现有的IDS问题。 2.2基于网络安全知识库系统的入侵检测模型 根据笔者已构建的网络信息安全知识库,本文提出一个基 于网络信息安全知识库的IDS预警框架。其框架如图2所示。

系统安全警理意

图1网络安全知识库关系图

图2基于嗍络安全知识库系统的 检测模型

在图2中,被保护的网络中的主机可预先使用安全管理策 略库中的安全管理策略进行配置,在保证其正常工作的前提下 尽可能地增加其安全性。攻击代码及工具库中的攻击代码和 攻击工具可向网络中的测试主机发动攻击,以测试1DS的性 能。以下对各层的功能和结构作详细的说明。 1)智能传感层 该层主要由三部分组成,即入侵检测传感器、安全管理策 略库和攻击特征库,其功能是监测网络中的异常情况,上报可 疑的网络异常事件。安全管理策略库可提供系统的预设安全 策略以及用户信息,为系统提供有价值的辅助决策信息。攻击 特征库是sen∞r检测的依据。Sensor的输入有六种,即网络数 据包、用户输入特性、用户命令序列、系统日志信息、系统调用

2基于网络安全知识库系统的入侵检测模型
2.1

入侵检测系统研究现状及固有问题的分析 一个理论上完整的IDS在体系结构上至少要包含以下四

序列和敏感文件访问信息。网络数据包是流入网络的数据包; 用户输入特性是用户的击键模式和键盘输入特性,通过建立与 账户对应的键盘输入模式可以区别合法的用户和冒用账户的 行为;用户命令序列是用户输入的指令序列;系统日志信息是 操作系统的日志记录;系统调用序列是应用程序运行时产生的 调用序列;文件访问信息是指系统的password等敏感文件的访 问信息。Sensor采用的技术有两种,即模式匹配和统计建模分 析。网络数据包分析模块采用基于攻击签名的模式匹配技术, 其余均采用统计建模分析的方法来发现系统中的异常。Sen— sor的输出可分为准确的攻击报告和模糊的异常报告。 2)数据过滤层 该层的功能是对各传感器上报的可疑事件利用安全管理 策略库以及漏洞库中的信息进行过滤、关联,即首先是将sen— sor上报的原始数据统一到同一个框架下的同一格式;然后对 数据进行滤波、标定和变换,剔除明显错误的野值,如一个无效 的时间戳;随后按照事件种类、源IP、时间等对各条报警进行

个部分…: a)传感器(∞IIsors)。它负责攻击信息的采集、检测和生 成可疑事件报告。 b)分析引擎(an且lysis engine)。它负责对传感器上报的可 疑事件报告作分析和处理,给出合适的响应决策。 c)数据库(database)。该库作为IDS可疑事件报告的历史 缓冲池,为tDS系统决策服务。 d)响应中心(response center)。该中心根据分析引擎的结 果作出合适的响应。 现有的IDS研究集中在高精度的senfloT的研究上,也取得 了很大的进展口。。但是目前IDS仍存在以下一些难题: a)高误报率和大量冗余信息。高误报率是IDS最大的难 题,是IDS实用化的瓶颈。据统计最高时可达99%以上的误 报警或无关报警口J。

万   方数据

第3期



云,等:基于网络安全知识库的入侵检测模型

?108l?

关联,这样就可以发现同源的多目标攻击;最后将滤波后的信 息上报给攻击企图分析与报警层。上报数据的格式为
E=(事件种类,所用的协议,源IP,源端口,目标IP, 目标端口,时间,主机,用户>

发展趋势的预报,包括主机级和网络系统级的安全态势评估。 该层的功能是根据下层上报的攻击报告,结合安全策略库和漏 洞库的信息得出当前系统受入侵的严重程度分析。本文将受 保护网络内的主机简单地分为服务器和普通主机。把漏洞的 严重性分成高、中、低三个级别,即远程和本地管理员权限对应 为高;普通用户权限、权限提升、读取受限文件、远程和本地拒 绝服务对应中级;远程非授权文件存取、口令恢复、欺骗、服务 器信息泄露对应低级别。本文对系统所遭受的攻击分为五 类N J:a)Discovery类,如IP
sweep、DNS
zone

关联的方法采用进化型自组织映射(evolving
zing

self-organi.

maps,ESOM)方法p1对报警数据进行聚类,以发现同源的 a)选择学习速率占(f)的初始值蛾,确定迭代的最大次数

多目标攻击。ESOM方法的步骤如下: tE,生长阈值r。 b)输入一个新的数据茗,如果网络没有神经元,转到d), 否则转到c)。 c)在现有的神经元中,如果与菇的距离中最小的都比r 小,转到e),否则转到c)。

transfer;b)Scan

类,主要指端口扫描类;c)Escalation类,主要是指权限提升类 攻击,如口令猜测、buffer overflow等;d)DeniM-of-service类,如 Synaood攻击、Smurf攻击等;e)Stealth类,如IP spoofing等。分 别定义受保护网络内主机的重要性因子h;(对应于第i个主机 在整个受保护的主机内的重要性的比重),主机漏洞的严重性 因子q和每类攻击所造成的危害因子a。,可分别计算局域网 系统威胁靠和主机威胁%: %=;dI山+∑F,k
(7)

d)在网络中产生一个新的神经元,其权值睇+,=茗。
e)使用式(1)和(2)更新邻域^管(t)内神经元的权值E 和连接强度厶:
△暇2

fs(f)‘[ai(*)/军aI(z)](*一职)iE以(t) ‘

io

u’ (2) (3)

f擘%㈤

其中:%∈(1,2,3,4,5);.『∈(1,2);At是从当前时刻t。。以前t 时间段内的所有攻击;k是从当前时刻t一以前t时间段内的 攻击所利用的漏洞。

£‘(t+1)=届Lf(‘)+(1一卢)df(x)a。(z) 口f(Ⅳ)=exp(一0*一职II 2/,2)iE[1,N]

f)学习时间到达最大次数£一后,指定菇所属的类别为获 胜神经元的标号。 3)攻击企图分析层 该层针对的对象是时间上分散的分步骤复杂攻击。由于 本层设置了三个重要的安全知识库,即案例库、模式库和关联 规则库,可以在此基础上分析时间上分散的攻击企图。本文对 案例库中的经典案例提取出报警时间、报警名称、源IP、源端 口、目的IP、目的端口、协议等信息,从中获取关联规则。参考 Qin等人H o提出的时间序列分析的思想,先定义时间间隔r, 接着将该时间间隔划分成Ⅳ份,利用ESOM将发生在时间段i 内的报警事件聚合成事件A;,从而产生报警事件集合{Al,.“, Ai,.“,A。},然后引入AR(autoregressive)模型 .,,(t)=二日f,,(k—i)+e0(&) 和ARMA(autoregressive
moving

h。军k‰

(8)

通过式(7)和(8)可以量化计算出历史t时间段内主机级和 局域网系统级的威胁总和,从而对系统的安全态势作出量化评估。

3结束语
本文分析了IDS的研究现状,指出了困扰IDS发展的高误 报率和大量冗余信息、难以发现多个目标的空间上分散的同源 攻击以及时间上分散的分步骤复杂攻击的三个问题,充分利用 已构建的统一完整的网络安全知识库系统的信息,提出一个基 于网络安全基础知识库系统的入侵检测模型。该模型在现有
IDS

s即sor的基础上加入了数据过滤、攻击企图分析和态势评

(4)

估引擎,采用快速有效的ESOM发现同源的多目标攻击,采用 基于ESOM的时间序列分析法获取的关联规则来进行在线的 报警事件的关联,以识别时间上分散的复杂攻击,最后对主机 级和局域网系统级分别给出相应的评估指标以及对应的综合 评估方法。 本文所提出的基于网络安全知识库的入侵检测模型各部 分的功能已基本实现,并且已经集成到国家“863”高技术研究 发展计划项目集成化网络安全防卫系统中。下一步的工作为 研究更为有效的数据库信息自动获取方法,以便进一步丰富各

average)模型
(5)

,,(☆)=.暑a‘,,(t—i)+.∑户‘x(k—f)+el(I)

其中:P表示延迟的长度;or;,;和0;(1≤i≤p)是参数。最后使 用GCT(granger causality test)计算和验证报警事件的因果关 系,即利用公式
g=[(凡一RI)/p]/[Rl/(T-2p一1)]一ro,,T-2p一1) (6)

其中:Ro=五蠢(||});R,=,量e;(k);T=N-p;F指Fisher分布)
计算新发生的报警事件所对应的时间序列变量y(k)和最近发 生的报警事件所对应的时间序列变量髫(k)之间的g值。如果 g大于,测试中给定的阈值,则认为舅和Y有GC(granger
eau?

个知识库,为各部分功能的进一步加强提供强有力的知识支持。 参考文献:
【1]STEPHEN N.Network
intrusion

detection:an analyst's handbook

sality)关系,并且g值越大,两者的关联性越大。这些报警事 件间的因果关系被作为关联规则存入关联规则库。在线因果 关联时,可将新发生的报警事件与关联规则库中的关联规则进 行有效的模式匹配,以识别时间上分散的分步骤攻击。对于在 线关联的入侵事件,可在典型攻击案例库中搜索最佳案例,利 用最佳案例预测下一步的入侵活动,给出预警或采取相应的响 应措施。 4)态势评估层

[K].[S.I.]:New Biders Publishing,1999. [2]JUHSCH K,DACIER M.Mining intrusion detection alarms for∞-
tionable
ltnog on

knowledge[C]//Prec of the 8th ACM International Confe—
Knowledge
Discovery

and

Data

Mining.New York:ACM analysis by evolving self-

Press,2002:366-375.

[3]DENG Da,KASABOV N.On—line [4]QIN Xin?zhou,LEE W.Statistical
alert Advances
in

pattern

organizing maps[J].Neurocomputing,2003,51:87?103.
causality

analysis of INFOSEC
on

data[C]//Proc of the 6th International Symposium

Recent

Intrusion Detection.Berlin:Springer,2003:73-93.

网络安全态势评估的含义是当前系统安全状况的评估和

[5】李辉,蔡忠闽,韩崇昭,等.基于信息融合的入侵检测模型与方法 【J].小型微型计算机系统,2003,24(9):1602.1606.

万   方数据

基于网络安全知识库的入侵检测模型
作者: 作者单位: 刊名: 英文刊名: 年,卷(期): 肖云, 王选宏, XIAO Yun, WANG Xuan-hong 肖云,XIAO Yun(西北大学,信息科学与技术学院,西安,710127), 王选宏,WANG Xuanhong(西安邮电学院,通信工程系,西安,710121) 计算机应用研究 APPLICATION RESEARCH OF COMPUTERS 2009,26(3)

参考文献(5条) 1.李辉;蔡忠闽;韩崇昭 基于信息融合的入侵检测模型与方法[期刊论文]-小型微型计算机系统 2003(09) 2.QIN Xin-zhou;LEE W Statistical causality analysis of INFOSEC alert data 2003 3.DENG Da;KASABOV N On-line pattern analysis by evolving self-organizing maps[外文期刊] 2003(0) 4.JULISCH K;DACIER M Mining intrusion detection alarms for actionable knowledge 2002 5.STEPHEN N Network intrusion detection:an analyst's handbook 1999

本文链接:http://d.g.wanfangdata.com.cn/Periodical_jsjyyyj200903085.aspx