專利名稱:基于因特網(wǎng)協(xié)議版本6的混合式入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明是一種采用基于網(wǎng)絡(luò)和基于主機(jī)相結(jié)合的分布式總體架構(gòu),使用混合 式的檢測(cè)手段�����,能有效地提高準(zhǔn)確度����,降低誤報(bào)率,適應(yīng)IPv6 (因特網(wǎng)協(xié)議6) 對(duì)入侵檢測(cè)系統(tǒng)的新要求����,屬于網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域。
背景技術(shù):
IPv6概述
IPv6是"Internet ProtocolVersion 6"的縮寫�,也被稱作下一代互聯(lián)網(wǎng)協(xié) 議,它是由IETF設(shè)計(jì)的用來替代現(xiàn)行的IPv4協(xié)議的一種新的IP協(xié)議���。IPv6是 為了解決IPv4所存在的一些問題和不足而提出的��,主要在地址空間���、數(shù)據(jù)報(bào)頭 結(jié)構(gòu)、地址自動(dòng)配置���、數(shù)據(jù)傳輸?shù)陌踩?IPSec協(xié)議)��、服務(wù)質(zhì)量(QoS)等方面 作了改進(jìn)��。對(duì)入侵檢測(cè)系統(tǒng)產(chǎn)生主要影響的是數(shù)據(jù)報(bào)頭結(jié)構(gòu)和IPSec協(xié)議�。
入侵檢測(cè)概述
入侵檢測(cè)作為被動(dòng)的網(wǎng)絡(luò)安全防御措施,相對(duì)于防火墻而言具有主動(dòng)檢測(cè)入 侵和實(shí)時(shí)性的特點(diǎn)����。有效地彌補(bǔ)防火墻的不足���,是防火墻重要的和有益的補(bǔ)充�。 入侵檢測(cè)技術(shù)主要分為異常檢測(cè)(anomaly detection, AD)和誤用檢測(cè)(misuse detection, MD)兩種��。異常檢測(cè)也被稱為基于行為的檢測(cè)��,是根據(jù)使用者的行為 或資源使用狀況來判斷是否入侵�。誤用檢測(cè)也被稱為基于知識(shí)的檢測(cè),它運(yùn)用已 知攻擊方法�����,根據(jù)已定義的入侵模式�,通過判斷這些入侵模式是否出現(xiàn)來檢測(cè)����。 在實(shí)際的應(yīng)用中���,最佳的方式是將兩種檢測(cè)技術(shù)并用����。利用誤用檢測(cè)技術(shù)來保證 檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性�����,利用異常檢測(cè)技術(shù)來檢測(cè)可能發(fā)生的未知攻擊��。應(yīng)用的 方式是將誤用檢測(cè)技術(shù)應(yīng)用于系統(tǒng)前臺(tái)�����,而把異常檢測(cè)技術(shù)應(yīng)用于系統(tǒng)的后臺(tái)��。
現(xiàn)有技術(shù)方案及其缺陷
1.基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)
早期的入侵檢測(cè)系統(tǒng)采用基于主機(jī)的體系結(jié)構(gòu)�����,其主要目標(biāo)是在單機(jī)模式
下�,防范對(duì)主機(jī)本身的入侵����,檢測(cè)原理是根據(jù)主機(jī)操作系統(tǒng)提供的審計(jì)數(shù)據(jù)來發(fā)
現(xiàn)可疑的入侵事件�����,再依據(jù)一定的方法判斷是否確為入侵���?;谥鳈C(jī)的入侵
檢測(cè)系統(tǒng)可以運(yùn)行于被檢測(cè)的主機(jī)或單獨(dú)的主機(jī)上�。
由于基于主機(jī)的入侵檢測(cè)系統(tǒng)依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性和完整
性,同時(shí)依賴于對(duì)入侵事件的定義��,若入侵者設(shè)法逃避審計(jì)和進(jìn)行合作入侵���,基
于主機(jī)的入侵檢測(cè)系統(tǒng)就不能有效檢測(cè)入侵,特別是在網(wǎng)絡(luò)環(huán)境下�,僅僅依靠基
于主機(jī)的入侵檢測(cè)系統(tǒng)已不能有效防范對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵,主要是因?yàn)?l)主
機(jī)的審計(jì)信息本身易受攻擊����,入侵者可以通過使用某些系統(tǒng)特權(quán)或比審計(jì)操作本
身更低級(jí)的操作來逃避審計(jì);(2)不能僅通過分析審計(jì)數(shù)據(jù)來檢測(cè)網(wǎng)絡(luò)攻擊(如域
名欺騙��、端口掃描)。除此之外�,基于主機(jī)的HIDS只能知道它所保護(hù)的主機(jī)的信
息,卻很難收集到其他主機(jī)的信息����,甚至由于它運(yùn)行在應(yīng)用層而很難得到底層的
網(wǎng)絡(luò)信息。并且��,HIDS自身的安全直接依賴于它所在的主機(jī)的安全��,如果主機(jī)被
攻破了���, HIDS報(bào)警的正確性�����,就很值得懷疑�����。 2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是當(dāng)前入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)�,其主要策略就是 建立網(wǎng)絡(luò)通信描述模型�����,根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析等數(shù)據(jù)來檢測(cè)入侵��。典型的網(wǎng) 絡(luò)通信描述模式是一個(gè)四維矩陣〈源端����、目的端、使用的服務(wù)���、連接ID〉���,其中 ID是一個(gè)特定連接的唯一標(biāo)識(shí),矩陣中的每一個(gè)單元代表網(wǎng)絡(luò)上一個(gè)特定的連 接��,它從源端主機(jī)到目的端主機(jī)并使用一定的服務(wù)�,每個(gè)單元保存兩個(gè)值 一段 時(shí)間內(nèi)通過網(wǎng)絡(luò)的包數(shù)和這些包所傳送的數(shù)據(jù)量,檢測(cè)方法分為兩種(l)把當(dāng) 前網(wǎng)絡(luò)通信矩陣同一特定模式矩陣進(jìn)行比較���,這個(gè)特定模式矩陣可以是代表某種 入侵的模式矩陣,如果當(dāng)前通信模式與之匹配��,則表示這種入侵可能發(fā)生��,這種 入侵檢測(cè)對(duì)應(yīng)前面所述的誤用入侵檢測(cè)�����;特定模式矩陣還可以是代表網(wǎng)絡(luò)正常交 通模式的模式矩陣,如果當(dāng)前通信模式的概率過低����,則表示異常發(fā)生,這種入侵 檢測(cè)對(duì)應(yīng)于前面所述的異常入侵檢測(cè)����;(2)利用一系列規(guī)則在當(dāng)前網(wǎng)絡(luò)通信矩陣 中尋找特定的交通模式,從而發(fā)現(xiàn)入侵或異?��;顒?dòng)����,在特定網(wǎng)絡(luò)通信模式有待產(chǎn) 生時(shí)�,這種方法非常重要,因?yàn)榇藭r(shí)前一種方法還沒有檢測(cè)的依據(jù)�����。
在對(duì)待被加密的IPv6數(shù)據(jù)方面��,NIDS有著和包過濾防火墻同樣的尷她。如果 有黑客使用加密之后的數(shù)據(jù)包進(jìn)行攻擊�����,NIDS就很難抓到什么蛛絲馬跡了����。
發(fā)明內(nèi)容
技術(shù)問題:本發(fā)明的目的是提供一種基于因特網(wǎng)協(xié)議版本6的混合式入侵檢 測(cè)方法,采用基于網(wǎng)絡(luò)和基于主機(jī)相結(jié)合的分布式總體架構(gòu)���,使用混合式的檢測(cè) 手段�����,能有效地提高準(zhǔn)確度��,降低誤報(bào)率��,適應(yīng)IPv6對(duì)入侵檢測(cè)系統(tǒng)的新要求��。 技術(shù)方案本發(fā)明改進(jìn)的基于IPv6的混合式入侵檢測(cè)的總體設(shè)計(jì)架構(gòu) 在IPv6環(huán)境中���,由于IPSec協(xié)議的存在,終端之間可以釆用加密格式進(jìn)行會(huì)
話����。此時(shí),使用網(wǎng)絡(luò)偵聽的手段無法獲取數(shù)據(jù)包的內(nèi)容�����,因此單純基于網(wǎng)絡(luò)的入
侵檢測(cè)系統(tǒng)(NIDS)將無法檢測(cè)出所有攻擊��。本發(fā)明的IDS采用基于網(wǎng)絡(luò)和基于主 機(jī)相結(jié)合的總體架構(gòu)����。
基于網(wǎng)絡(luò)的分析部分采用改進(jìn)的模式匹配算法偵聽網(wǎng)絡(luò)數(shù)據(jù)包,檢測(cè)已知攻 擊和未經(jīng)IPSec加密的攻擊���;基于主機(jī)的部分針對(duì)IPSec加密數(shù)據(jù)設(shè)計(jì)了應(yīng)用層數(shù) 據(jù)匹配算法�����,對(duì)解密后的數(shù)據(jù)進(jìn)行檢測(cè)��。同時(shí)�,系統(tǒng)采用基于異常的統(tǒng)計(jì)分析算 法�����,監(jiān)控網(wǎng)內(nèi)機(jī)器的系統(tǒng)參數(shù),防止漏報(bào)攻擊給系統(tǒng)帶來進(jìn)一步的損失�。 子模塊及關(guān)鍵技術(shù)
1. 協(xié)議分析子模塊
協(xié)議分析子模塊處于可變特征庫模塊之上,對(duì)收到的數(shù)據(jù)包進(jìn)行協(xié)議解析���, 根據(jù)解析結(jié)果�����,將數(shù)據(jù)包分流到不同的檢測(cè)方法集��。
2. 基于狀態(tài)轉(zhuǎn)換的模式匹配子模塊
模式匹配算法原理是將已知的入侵特征編成模式�,將其與統(tǒng)計(jì)的數(shù)據(jù)進(jìn)行匹 配����, 一旦匹配成立,則判為入侵行為����。
3. 監(jiān)控管理子模塊
由于本系統(tǒng)是一個(gè)分布式的檢測(cè)系統(tǒng),因此有必要設(shè)置一個(gè)服務(wù)器模塊來監(jiān) 視記錄局域網(wǎng)內(nèi)各主機(jī)的工作狀態(tài)��,這就是監(jiān)控管理子模塊����。
4. 統(tǒng)計(jì)分析子模塊
統(tǒng)計(jì)分析子模塊負(fù)責(zé)處理監(jiān)控管理子模塊獲取的網(wǎng)絡(luò)中各主機(jī)的即時(shí)特征 文件�����。
5. 自學(xué)習(xí)子模塊
統(tǒng)計(jì)分析子模塊對(duì)異常的判定是以狀態(tài)參量數(shù)據(jù)庫作為標(biāo)準(zhǔn)的。而對(duì)于不同 的系統(tǒng)�����,由于配置不同���,其正常狀態(tài)下的系統(tǒng)參數(shù)也不盡相同����,因此狀態(tài)參量數(shù) 據(jù)庫的確定是一個(gè)非常重要的過程�。在本項(xiàng)目中,依靠自學(xué)習(xí)子模塊來完成此項(xiàng)工作���。
6. 應(yīng)用層防護(hù)子模塊
由于IPSec加密的數(shù)據(jù)在網(wǎng)關(guān)無法被偵聽到��,加密數(shù)據(jù)流中的數(shù)據(jù)就構(gòu)成了 可能的安全隱患����,應(yīng)用層防護(hù)子模塊就是針對(duì)IPSec加密數(shù)據(jù)而設(shè)立的����。
7. 可變特征庫子模塊
可變特征庫子模塊中的特征庫初始為空�,它接受由統(tǒng)計(jì)分析子模塊對(duì)數(shù)據(jù)包 特征提取后傳來的數(shù)據(jù)包特征信息����,再將提取的特征作為特征庫的特征項(xiàng)入庫時(shí) 需要做一個(gè)判別,判別此次提取的特征是否已經(jīng)包含在特征庫中�,如存在則此次 特征入庫操作不成功,若不存在則將其加入特征庫中��。
8. 告警子模塊
一旦入侵被檢測(cè)到���,各子模塊均會(huì)將告警信息傳到告警模塊��。 可變特征庫的鄰近網(wǎng)絡(luò)共享
網(wǎng)絡(luò)攻擊在很多時(shí)候都不只是攻擊某一臺(tái)或幾臺(tái)機(jī)器���,更多的時(shí)候我們會(huì)發(fā) 現(xiàn)在某區(qū)域的網(wǎng)絡(luò)會(huì)在同一時(shí)間段或相隔不長(zhǎng)的時(shí)間里受到相同手段的攻擊。鑒 于此���,我們提出可變特征庫的鄰近網(wǎng)絡(luò)共享這一方案���,進(jìn)一步提高入侵檢測(cè)的效 率,并提高整個(gè)網(wǎng)絡(luò)的安全性�����。
該方法分為混合式入侵檢測(cè)的總體架構(gòu)的設(shè)計(jì)、子模塊的劃分�����、入侵識(shí)別方 法三部分
a. 總體架構(gòu)設(shè)計(jì)
總體架構(gòu)設(shè)計(jì)分為三個(gè)部分網(wǎng)關(guān)���、主機(jī)、監(jiān)控平臺(tái)���,網(wǎng)關(guān)部分負(fù)責(zé)抓包解 包����,然后開始特征匹配和模式匹配�,主機(jī)部分負(fù)責(zé)對(duì)IPSEC加密數(shù)據(jù)進(jìn)行解密 并進(jìn)行規(guī)則匹配,監(jiān)控平臺(tái)負(fù)責(zé)監(jiān)控網(wǎng)關(guān)和主機(jī)部分���。
b. 劃分子模塊
bl).協(xié)議分析子模塊:協(xié)議分析子模塊處于可變特征庫模塊之上���,對(duì)收到的 數(shù)據(jù)包進(jìn)行協(xié)議解析,根據(jù)解析結(jié)果�����,將數(shù)據(jù)包分流到不同的檢測(cè)方法集,
b2).基于狀態(tài)轉(zhuǎn)換的模式匹配子模塊模式匹配算法原理是將已知的入侵 特征編成模式���,將其與統(tǒng)計(jì)的數(shù)據(jù)進(jìn)行匹配���, 一旦匹配成立,則判為入侵行為���,
b3).監(jiān)控管理子模塊設(shè)置一個(gè)服務(wù)器模塊來監(jiān)視記錄局域網(wǎng)內(nèi)各主機(jī)的 工作狀態(tài)�����,即監(jiān)控管理子模塊�����,
b4).統(tǒng)計(jì)分析子模塊統(tǒng)計(jì)分析子模塊負(fù)責(zé)處理監(jiān)控管理子模塊獲取的網(wǎng)
絡(luò)中各主機(jī)的即時(shí)特征文件�,
b5).自學(xué)習(xí)子模塊統(tǒng)計(jì)分析子模塊對(duì)異常的判定是以狀態(tài)參量數(shù)據(jù)庫作 為標(biāo)準(zhǔn)的,而對(duì)于不同的系統(tǒng)���,由于配置不同�,其正常狀態(tài)下的系統(tǒng)參數(shù)也不盡 相同,因此狀態(tài)參量數(shù)據(jù)庫的確定是一個(gè)非常重要的過程�����,依靠自學(xué)習(xí)子模塊來 完成此項(xiàng)工作��,
b6).應(yīng)用層防護(hù)子模塊由于IPSec加密的數(shù)據(jù)在網(wǎng)關(guān)無法被偵聽到�����,加密 數(shù)據(jù)流中的數(shù)據(jù)就構(gòu)成了可能的安全隱患���,應(yīng)用層防護(hù)子模塊就是針對(duì)IPSec加 密數(shù)據(jù)而設(shè)立的,
b7).可變特征庫子模塊:可變特征庫子模塊中的特征庫初始為空�����,它接受由 統(tǒng)計(jì)分析子模塊對(duì)數(shù)據(jù)包特征提取后傳來的數(shù)據(jù)包特征信息���,再將提取的特征作 為特征庫的特征項(xiàng)入庫時(shí)需要做一個(gè)判別�����,判別此次提取的特征是否已經(jīng)包含在 特征庫中��,如存在則此次特征入庫操作不成功��,若不存在則將其加入特征庫中����。
b8).告警子模塊 一旦入侵被檢測(cè)到,各子模塊均會(huì)將告警信息傳到告警 模塊�����,
c.入侵識(shí)別
cl).通過將捕獲的數(shù)據(jù)包首先同可變特征庫進(jìn)行匹配����,若匹配成功,立即 轉(zhuǎn)入告警子模塊���,使得入侵檢測(cè)系統(tǒng)能更快的檢測(cè)到某些網(wǎng)絡(luò)入侵����。 c2).若在可變特征庫中找不到匹配項(xiàng)����,則進(jìn)入?yún)f(xié)議分析子模塊開始模式匹 配,若匹配成功轉(zhuǎn)入告警子模塊�����。
c3).對(duì)使用了 IPSEC加密的數(shù)據(jù)在主機(jī)部分進(jìn)行解密,然后進(jìn)行規(guī)則匹配��, 若匹配成功轉(zhuǎn)入告警子模塊���。
有益效果本發(fā)明技術(shù)方案中的可變特征庫子模塊的引入����,通過將捕獲的數(shù) 據(jù)包首先同可變特征庫進(jìn)行匹配�,若匹配成功,立即轉(zhuǎn)入告警子模塊�����,使得入侵 檢測(cè)系統(tǒng)能更快的檢測(cè)到某些網(wǎng)絡(luò)入侵�,極大的提高入侵檢測(cè)的效率��。同時(shí)可變 特征庫的鄰近網(wǎng)絡(luò)共享方案通過鄰近網(wǎng)絡(luò)的可變特征庫的互相復(fù)制���,可以在一些 網(wǎng)絡(luò)在本網(wǎng)尚未被入侵時(shí)就預(yù)先截獲入侵特征��,便于盡早采取相應(yīng)措施��,極大提 高了網(wǎng)絡(luò)的整體安全性�����。 其主要保護(hù)點(diǎn)如下-
1)主要技術(shù):引入可變特征庫:解決的問題:通過將截獲的數(shù)據(jù)包特征同特征 庫中特征項(xiàng)匹配來初步判斷入侵�。與現(xiàn)有技術(shù)最主要區(qū)別:現(xiàn)有技術(shù)缺少這一步
檢測(cè)。
2)主要技術(shù)設(shè)定特征項(xiàng)的標(biāo)志位:解決的問題是利用標(biāo)志位值的變化去控
制特征項(xiàng)的傳遞距離�����。
有益效果使得特征項(xiàng)的傳遞不至于過多導(dǎo)致網(wǎng)絡(luò)阻塞�����,距離也不至于 過遠(yuǎn)導(dǎo)致無用�����。
可變特征庫的鄰近網(wǎng)絡(luò)共享����,解決的問題使得某范圍內(nèi)的一部分網(wǎng)絡(luò)在受 到入侵前就可預(yù)測(cè)到可能的攻擊,并采取措施����。比現(xiàn)有技術(shù)能更快的檢測(cè)到 可能的入侵�����,帶有智能特征����。其主要特點(diǎn)如下
1) 主要技術(shù)引入可變特征庫����。 解決的問題:通過將截獲的數(shù)據(jù)包特征同特征庫中特征項(xiàng)匹配來初步判
斷入侵。
與現(xiàn)有技術(shù)最主要區(qū)別:現(xiàn)有技術(shù)缺少這一步檢測(cè)����。
2) 主要技術(shù)設(shè)定特征項(xiàng)的標(biāo)志位。
解決的問題是利用標(biāo)志位值的變化去控制特征項(xiàng)的傳遞距離����。 技術(shù)優(yōu)點(diǎn)使得特征項(xiàng)的傳遞不至于過多導(dǎo)致網(wǎng)絡(luò)阻塞,距離也不至于 過遠(yuǎn)導(dǎo)致無用��。
3) 主要技術(shù)可變特征庫的鄰近網(wǎng)絡(luò)共享
解決的問題使得某范圍內(nèi)的一部分網(wǎng)絡(luò)在受到入侵前就可預(yù)測(cè)到可能 的攻擊��,并采取措施�����。
技術(shù)優(yōu)點(diǎn)比現(xiàn)有技術(shù)能更快的檢測(cè)到可能的入侵�����,帶有智能特征��。
圖l為該體系工作原理圖�,
圖2協(xié)議分析示意圖,
圖3基于狀態(tài)轉(zhuǎn)換的模式匹配原理示意圖��,
圖4特征匹配和入庫過程示意圖�����,
圖5可變特征庫的鄰近網(wǎng)絡(luò)共享示意圖��。
具體實(shí)施例方式
為了適應(yīng)IPv6環(huán)境的需要�,本項(xiàng)目的IDS采用基于網(wǎng)絡(luò)和基于主機(jī)相結(jié)合
的總體架構(gòu),如圖1所示�����。
1. 協(xié)議分析子模塊
協(xié)議分析子模塊處于可變特征庫模塊之上��,對(duì)收到的數(shù)據(jù)包進(jìn)行協(xié)議解析��, 根據(jù)解析結(jié)果,將數(shù)據(jù)包分流到不同的檢測(cè)方法集��。圖中的匹配算法A�、匹配算 法B分別代表了針對(duì)特定協(xié)議設(shè)計(jì)的優(yōu)化算法。在實(shí)際開發(fā)中���,協(xié)議分析可進(jìn)一 步細(xì)化�,如圖2所示���。這種匹配算法技術(shù)利用了網(wǎng)絡(luò)協(xié)議的高度有序性�,有效地 減少了目標(biāo)的匹配范圍���,大大減少了計(jì)算量��,極大提高了入侵分析的效率����,同時(shí) 也使系統(tǒng)對(duì)攻擊檢測(cè)更加準(zhǔn)確�����。
該模塊還具有初步檢測(cè)作用��,用以防御大規(guī)模分布式攻擊帶來的危害�����。通過 對(duì)協(xié)議的識(shí)別���,協(xié)議分析子模塊針對(duì)不同的協(xié)議設(shè)置不同的網(wǎng)絡(luò)流量閾值��, 一旦 發(fā)現(xiàn)明顯偏離正常的流量�,直接判為入侵��,通知告警子模塊����,同時(shí)旁路異常流量, 從而保證模式匹配子模塊的正常工作��,減輕模式匹配子模塊的負(fù)擔(dān)���,并且對(duì)未知 的攻擊也具有一定的檢測(cè)能力����。
2. 基于狀態(tài)轉(zhuǎn)換的模式匹配子模塊
模式匹配算法原理是將已知的入侵特征編成模式��,將其與統(tǒng)計(jì)的數(shù)據(jù)進(jìn)行匹 配, 一旦匹配成立��,則判為入侵行為���。這種檢測(cè)方法只需收集相關(guān)的數(shù)據(jù)集合就 能進(jìn)行判斷����,能減少系統(tǒng)占用����,并且技術(shù)己相當(dāng)成熟,但檢測(cè)的效率和準(zhǔn)確率都 需要提高��。
狀態(tài)轉(zhuǎn)移分析是一種使用狀態(tài)轉(zhuǎn)換圖來表示和檢測(cè)入侵的方法�����。初始狀態(tài)是 指系統(tǒng)檢測(cè)入侵以前的狀態(tài)��,而危險(xiǎn)狀態(tài)則是指確認(rèn)為入侵以后的狀態(tài)����。整個(gè)檢 測(cè)系統(tǒng)被描述為一張狀態(tài)轉(zhuǎn)移圖,根據(jù)當(dāng)前的環(huán)境分析,進(jìn)行狀態(tài)變遷���,從安全 狀態(tài)轉(zhuǎn)到非安全的狀態(tài)����。
本項(xiàng)目采用改進(jìn)的模式匹配子模塊�,將模式匹配分析和狀態(tài)轉(zhuǎn)換分析有機(jī)結(jié) 合��,以提高監(jiān)測(cè)的效率和準(zhǔn)確率���。針對(duì)不同的傳輸層協(xié)議��,首先由模式匹配部分 使用細(xì)化了的規(guī)則來確定可疑的入侵行為�,狀態(tài)轉(zhuǎn)移分析部分隨即采用狀態(tài)轉(zhuǎn)移 圖對(duì)入侵行為實(shí)行進(jìn)一步的判定���,降低誤報(bào)率�����,提高準(zhǔn)確度���。原理如圖3:
正常狀態(tài)是系統(tǒng)的安全狀態(tài),在沒有匹配到可疑的用戶行為時(shí),系統(tǒng)一直處 于此狀態(tài)���。 一旦模式匹配部分匹配到可疑的����、危險(xiǎn)的操作�,系統(tǒng)進(jìn)入到可疑狀態(tài), 同時(shí)根據(jù)當(dāng)前所處的不同類型的可疑狀態(tài)��,動(dòng)態(tài)的確定下一步匹配應(yīng)使用的規(guī)則 集��。在后續(xù)的匹配都符合的情況下��,系統(tǒng)的預(yù)警級(jí)別不斷提高����,最終進(jìn)入攻擊判
定狀態(tài),通知告警子模塊采取相應(yīng)的措施�。
改進(jìn)的模式匹配方法比普通的模式匹配方法有了較大的改進(jìn), 一方面�,它克 服了以往簡(jiǎn)單模式匹配無法考慮事件發(fā)生順序的缺點(diǎn),可以檢測(cè)與順序相關(guān)的異 常事件�����;另一方面,它改變了以往鏈?zhǔn)狡ヅ浞绞?規(guī)則越多���,匹配越慢"的缺點(diǎn)�, 規(guī)則數(shù)和匹配復(fù)雜度之間呈現(xiàn)對(duì)數(shù)關(guān)系��,加快了匹配的速度��。
3. 監(jiān)控管理子模塊
基于誤用的檢測(cè)方法是以規(guī)則庫為基礎(chǔ)的����,因此對(duì)于未知的攻擊手段檢測(cè)較 為薄弱����。基于異常的監(jiān)測(cè)模塊通過檢測(cè)系統(tǒng)參數(shù)及工作情況來判定可能的入侵�, 可以在入侵行為造成更大的危害之前發(fā)現(xiàn)入侵,是模式匹配子模塊的有益補(bǔ)充����。 由于本系統(tǒng)是一個(gè)分布式的檢測(cè)系統(tǒng),因此有必要設(shè)置一個(gè)服務(wù)器模塊來監(jiān)視記 錄局域網(wǎng)內(nèi)各主機(jī)的工作狀態(tài)�����,這就是監(jiān)控管理子模塊。
系統(tǒng)監(jiān)視器工作在受保護(hù)的每臺(tái)主機(jī)上��,實(shí)時(shí)地記錄主機(jī)的系統(tǒng)參數(shù)��,例如 CPU的占用率�, 一段時(shí)間主機(jī)內(nèi)的網(wǎng)絡(luò)連接數(shù)等等,經(jīng)過簡(jiǎn)單處理后發(fā)送給監(jiān)控 管理子模塊����。監(jiān)控管理子模塊采集一段時(shí)間內(nèi)各主機(jī)的系統(tǒng)參數(shù),格式化為統(tǒng)一 的數(shù)據(jù)格式�����,生成原始的特征文件����,發(fā)送給統(tǒng)計(jì)分析子模塊進(jìn)行處理。
4. 統(tǒng)計(jì)分析子模塊
統(tǒng)計(jì)分析子模塊負(fù)責(zé)處理監(jiān)控管理子模塊獲取的網(wǎng)絡(luò)中各主機(jī)的即時(shí)特征 文件��。由于計(jì)算機(jī)系統(tǒng)的瞬時(shí)狀態(tài)具有很強(qiáng)的隨機(jī)性��,發(fā)現(xiàn)異常立刻報(bào)警的方法 會(huì)帶來較高的誤報(bào)率����?����;诮y(tǒng)計(jì)的異常檢測(cè)子模塊考察系統(tǒng)一段時(shí)間內(nèi)的活動(dòng)情 況�����,并結(jié)合狀態(tài)參量數(shù)據(jù)庫中的各種系統(tǒng)參數(shù)進(jìn)行統(tǒng)籌分析���,最終使用異常度函 數(shù)來判別系統(tǒng)的安全狀態(tài),并試圖對(duì)確定為入侵狀態(tài)的數(shù)據(jù)包特征進(jìn)行提取��。
如果異常度S對(duì)于給定時(shí)間的集平均大于某一閾值�,則判定當(dāng)前為入侵狀態(tài)�����, 并將能夠進(jìn)行特征提取的數(shù)據(jù)包的特征提取出來并提交給可變特征庫模塊�����,反之 為正常狀態(tài)�。統(tǒng)計(jì)分析子模塊能在攻擊產(chǎn)生危害時(shí)快速的作出反應(yīng),有效的彌補(bǔ) 模式匹配子模塊漏報(bào)所帶來的危害���。
5. 自學(xué)習(xí)子模塊
統(tǒng)計(jì)分析子模塊對(duì)異常的判定是以狀態(tài)參量數(shù)據(jù)庫作為標(biāo)準(zhǔn)的�。而對(duì)于不同 的系統(tǒng),由于配置不同��,其正常狀態(tài)下的系統(tǒng)參數(shù)也不盡相同���,因此狀態(tài)參量數(shù) 據(jù)庫的確定是一個(gè)非常重要的過程���。在本項(xiàng)目中,依靠自學(xué)習(xí)子模塊來完成此項(xiàng) 工作�����。在系統(tǒng)投入使用之前�,必須先經(jīng)過一段時(shí)期的訓(xùn)練過程。在此過程中�,系統(tǒng)交替處于正常狀態(tài)和受控的攻擊狀態(tài),目的是使自學(xué)習(xí)模塊判別正常狀態(tài)和攻 擊狀態(tài)的統(tǒng)計(jì)閾值����。經(jīng)過訓(xùn)練,狀態(tài)參量數(shù)據(jù)庫中的各項(xiàng)閾值逐漸趨于穩(wěn)定��,統(tǒng) 計(jì)分析子模塊的誤報(bào)率大大降低����,此時(shí)可以將系統(tǒng)投入實(shí)際使用���。
6. 應(yīng)用層防護(hù)子模塊
由于IPSec加密的數(shù)據(jù)在網(wǎng)關(guān)無法被偵聽到,加密數(shù)據(jù)流中的數(shù)據(jù)就構(gòu)成了 可能的安全隱患�,應(yīng)用層防護(hù)子模塊就是針對(duì)IPSec加密數(shù)據(jù)而設(shè)立的。該模塊 對(duì)于未經(jīng)加密的流量不進(jìn)行檢測(cè)����,只對(duì)其IPv6報(bào)頭進(jìn)行掃描。 一旦發(fā)現(xiàn)包頭之后 跟有AH頭或ESP頭則啟動(dòng)防護(hù)模塊對(duì)IPSec協(xié)議棧解密后的數(shù)據(jù)進(jìn)行模式匹配檢 査��。匹配的數(shù)據(jù)來自主機(jī)的應(yīng)用層規(guī)則庫�,采用改進(jìn)的BM算法進(jìn)行多模匹配???慮到采用IPSec加密的流量不大,應(yīng)用層防護(hù)子模塊對(duì)主機(jī)性能不會(huì)造成太大的 影響�����。
7. 可變特征庫子模塊
可變特征庫子模塊中的特征庫初始為空�,它接受由統(tǒng)計(jì)分析子模塊對(duì)數(shù)據(jù)包 特征提取后傳來的數(shù)據(jù)包特征信息����,再將提取的特征作為特征庫的特征項(xiàng)入庫時(shí) 需要做一個(gè)判別�����,判別此次提取的特征是否已經(jīng)包含在特征庫中��,如存在則此次 特征入庫操作不成功�����,若不存在則將其加入特征庫中��。此庫隨時(shí)間增加會(huì)逐漸增 大����,為避免特征庫無限增大���,可設(shè)定一個(gè)庫容量最大值����,當(dāng)特征庫已滿��,而又有 新特征需要添加進(jìn)來時(shí)��,可對(duì)原特征庫的特征項(xiàng)利用最久未匹配算法進(jìn)行舍棄���。 同時(shí)可變特征庫定期清楚標(biāo)志位為OO的特征項(xiàng)(關(guān)于特征項(xiàng)的標(biāo)志位在本專利的 后續(xù)部分會(huì)介紹)��??勺兲卣鲙熳幽K直接位于抓包、重組模塊之上���。首先對(duì)所 抓數(shù)據(jù)包與特征庫進(jìn)行匹配����,若特征符合則判定當(dāng)前為入侵狀態(tài)�,直接轉(zhuǎn)入告警 子模塊。若與特征庫不匹配��,則轉(zhuǎn)入?yún)f(xié)議分析子模塊中繼續(xù)分析(見圖4)�。利用 特征庫子模塊可以對(duì)某些具有典型數(shù)據(jù)包特征的入侵攻擊在對(duì)截獲數(shù)據(jù)包 進(jìn)行特征匹配后就進(jìn)行告警,這極大的提高入侵檢測(cè)的效率�。
8. 告警子模塊
一旦入侵被檢測(cè)到,各子模塊均會(huì)將告警信息傳到告警模塊����。告警模塊負(fù)責(zé) 在第一時(shí)間通知管理員��,評(píng)估入侵損失��,在緊急情況下則采取相關(guān)的保護(hù)措施。 告警通知可以通過圖標(biāo)�、聲音或者EMAIL的方式來進(jìn)行;損失評(píng)估則通過査看監(jiān) 控管理子模塊收集到的各種系統(tǒng)信息���,將主機(jī)的異常工作情況����,例如CPU占用率 高����、網(wǎng)絡(luò)連接阻塞等等,及時(shí)地反映出來���,方便管理員決策�;針對(duì)嚴(yán)重的入侵行
為�,告警子模塊采用限制網(wǎng)絡(luò)速度、限制外發(fā)連接數(shù)甚至部分?jǐn)嚅_網(wǎng)絡(luò)等緊急措 施��,防止入侵損失的進(jìn)一步擴(kuò)大�����。 可變特征庫的鄰近網(wǎng)絡(luò)共享
在圖1所示的改進(jìn)的基于IPV6的混合式入侵檢測(cè)的總體設(shè)計(jì)架構(gòu)中,我們 在基于網(wǎng)絡(luò)的部分增加了可變特征庫子模塊���,接下來我們考慮這樣一個(gè)事實(shí)����,網(wǎng) 絡(luò)攻擊在很多時(shí)候都不只是攻擊某一臺(tái)或幾臺(tái)機(jī)器�����,更多的時(shí)候我們會(huì)發(fā)現(xiàn)在某 區(qū)域的網(wǎng)絡(luò)會(huì)在同一時(shí)間段或相隔不長(zhǎng)的時(shí)間里受到相同手段的攻擊���。鑒于此����, 我們提出可變特征庫的鄰近網(wǎng)絡(luò)共享這一方案��,進(jìn)一步提高入侵檢測(cè)的效率��,并 提高整個(gè)網(wǎng)絡(luò)的安全性���。具體方案如下-
如圖5所示��,在某時(shí)刻網(wǎng)絡(luò)設(shè)備l�����、 2��、 3��、 4的可變特征庫模塊分別為A�、 B����、 C、 D����,每個(gè)網(wǎng)絡(luò)設(shè)備均定時(shí)的將自己的可變特征庫與同自己直接相鄰的網(wǎng)絡(luò)設(shè)備的 特征庫作比較,如發(fā)現(xiàn)對(duì)方特征庫中有自己特征庫中沒有的特征項(xiàng)�,則加入這些 新的特征項(xiàng)。但如果直接按照此方法進(jìn)行下去�����,則可以推知全部網(wǎng)絡(luò)設(shè)備的特征 庫將會(huì)趨向相同��,這將使得可變特征庫很快膨脹到最大容量���,導(dǎo)致可變特征庫不 停的使用最久未匹配算法去清除久未匹配的特征項(xiàng)和不斷添加新的特征項(xiàng)���,導(dǎo)致 效率降低�,并且這也不合實(shí)際�����。對(duì)此我們提出如下解決方法-
對(duì)每一特征項(xiàng)附加一個(gè)兩位的標(biāo)志位����。對(duì)每一個(gè)從統(tǒng)計(jì)分析模塊提取的特征 入庫時(shí)將特征項(xiàng)的標(biāo)志位置為ll,以后當(dāng)鄰近的網(wǎng)絡(luò)設(shè)備的特征庫之間互相復(fù)制 特征項(xiàng)時(shí)����,均首先檢査其標(biāo)志位是否為OO,若為OO��,則不復(fù)制此特征項(xiàng)��,否則復(fù) 制后對(duì)其標(biāo)志位作減l操作����。
利用上述方法,特征項(xiàng)既可以傳遞至一定的網(wǎng)絡(luò)范圍����,又不至于擴(kuò)散到整個(gè) 網(wǎng)絡(luò)中�����,前述問題獲得圓滿解決。特征項(xiàng)在一定的網(wǎng)絡(luò)范圍內(nèi)傳遞是相當(dāng)有利的���, 這個(gè)范圍以特征項(xiàng)的標(biāo)志位為ll的網(wǎng)絡(luò)設(shè)備為中心��,從實(shí)際情況來看�����,假設(shè)當(dāng)網(wǎng) 絡(luò)設(shè)備A首先截獲到攻擊M的數(shù)據(jù)包并將其特征成功分析后導(dǎo)入此網(wǎng)絡(luò)設(shè)備的可 變特征庫中��,網(wǎng)絡(luò)設(shè)備之間進(jìn)行特征庫比較后傳遞至一定范圍�,根據(jù)網(wǎng)絡(luò)攻擊的 一般性特征�,M極有可能會(huì)攻擊與A鄰近的網(wǎng)絡(luò),而此時(shí)A的鄰近網(wǎng)絡(luò)已經(jīng)獲取 M攻擊的數(shù)據(jù)包特征�����,這樣就能快速有效檢測(cè)并對(duì)攻擊采取相應(yīng)措施����。
權(quán)利要求
1.一種基于因特網(wǎng)協(xié)議版本6的混合式入侵檢測(cè)方法���,其特征在于該方法,分為混合式入侵檢測(cè)的總體架構(gòu)的設(shè)計(jì)�、子模塊的劃分、入侵識(shí)別方法三部分 a.總體架構(gòu)設(shè)計(jì) 總體架構(gòu)設(shè)計(jì)分為三個(gè)部分網(wǎng)關(guān)�、主機(jī)、監(jiān)控平臺(tái)���,網(wǎng)關(guān)部分負(fù)責(zé)抓包解包���,然后開始特征匹配和模式匹配,主機(jī)部分負(fù)責(zé)對(duì)IPSEC加密數(shù)據(jù)進(jìn)行解密并進(jìn)行規(guī)則匹配��,監(jiān)控平臺(tái)負(fù)責(zé)監(jiān)控網(wǎng)關(guān)和主機(jī)部分�, b.劃分子模塊 b1).協(xié)議分析子模塊協(xié)議分析子模塊處于可變特征庫模塊之上,對(duì)收到的數(shù)據(jù)包進(jìn)行協(xié)議解析��,根據(jù)解析結(jié)果��,將數(shù)據(jù)包分流到不同的檢測(cè)方法集�,b2).基于狀態(tài)轉(zhuǎn)換的模式匹配子模塊模式匹配算法原理是將已知的入侵特征編成模式,將其與統(tǒng)計(jì)的數(shù)據(jù)進(jìn)行匹配�����,一旦匹配成立,則判為入侵行為�,b3).監(jiān)控管理子模塊設(shè)置一個(gè)服務(wù)器模塊來監(jiān)視記錄局域網(wǎng)內(nèi)各主機(jī)的工作狀態(tài),即監(jiān)控管理子模塊���,b4).統(tǒng)計(jì)分析子模塊統(tǒng)計(jì)分析子模塊負(fù)責(zé)處理監(jiān)控管理子模塊獲取的網(wǎng)絡(luò)中各主機(jī)的即時(shí)特征文件���,b5).自學(xué)習(xí)子模塊統(tǒng)計(jì)分析子模塊對(duì)異常的判定是以狀態(tài)參量數(shù)據(jù)庫作為標(biāo)準(zhǔn)的�����,而對(duì)于不同的系統(tǒng)�����,由于配置不同����,其正常狀態(tài)下的系統(tǒng)參數(shù)也不盡相同,因此狀態(tài)參量數(shù)據(jù)庫的確定是一個(gè)非常重要的過程�,依靠自學(xué)習(xí)子模塊來完成此項(xiàng)工作,b6).應(yīng)用層防護(hù)子模塊由于IPSec加密的數(shù)據(jù)在網(wǎng)關(guān)無法被偵聽到����,加密數(shù)據(jù)流中的數(shù)據(jù)就構(gòu)成了可能的安全隱患���,應(yīng)用層防護(hù)子模塊就是針對(duì)IPSec加密數(shù)據(jù)而設(shè)立的,b7).可變特征庫子模塊可變特征庫子模塊中的特征庫初始為空����,它接受由統(tǒng)計(jì)分析子模塊對(duì)數(shù)據(jù)包特征提取后傳來的數(shù)據(jù)包特征信息,再將提取的特征作為特征庫的特征項(xiàng)入庫時(shí)需要做一個(gè)判別�,判別此次提取的特征是否已經(jīng)包含在特征庫中,如存在則此次特征入庫操作不成功����,若不存在則將其加入特征庫中,b8).告警子模塊一旦入侵被檢測(cè)到����,各子模塊均會(huì)將告警信息傳到告警模塊,c.入侵識(shí)別c1).通過將捕獲的數(shù)據(jù)包首先同可變特征庫進(jìn)行匹配���,若匹配成功����,立即轉(zhuǎn)入告警子模塊,使得入侵檢測(cè)系統(tǒng)能更快的檢測(cè)到某些網(wǎng)絡(luò)入侵����,c2).若在可變特征庫中找不到匹配項(xiàng),則進(jìn)入?yún)f(xié)議分析子模塊開始模式匹配�����,若匹配成功轉(zhuǎn)入告警子模塊�,c3).對(duì)使用了IPSEC加密的數(shù)據(jù)在主機(jī)部分進(jìn)行解密,然后進(jìn)行規(guī)則匹配�,若匹配成功轉(zhuǎn)入告警子模塊。
全文摘要
基于因特網(wǎng)協(xié)議版本6的混合式入侵檢測(cè)方法�,使用混合式的檢測(cè)手段,有效地提高準(zhǔn)確度���,降低誤報(bào)率,適應(yīng)IPv6對(duì)入侵檢測(cè)系統(tǒng)的新要求�。該方法分為混合式入侵檢測(cè)的總體架構(gòu)的設(shè)計(jì)、子模塊的劃分�����、入侵識(shí)別方法三部分其中的可變特征庫子模塊的引入�����,通過將捕獲的數(shù)據(jù)包首先同可變特征庫進(jìn)行匹配,若匹配成功�,立即轉(zhuǎn)入告警子模塊,使得入侵檢測(cè)系統(tǒng)能更快的檢測(cè)到某些網(wǎng)絡(luò)入侵�,提高入侵檢測(cè)的效率。同時(shí)可變特征庫的鄰近網(wǎng)絡(luò)共享方案通過鄰近網(wǎng)絡(luò)的可變特征庫的互相復(fù)制�����,可以在一些網(wǎng)絡(luò)在本網(wǎng)尚未被入侵時(shí)就預(yù)先截獲入侵特征��,便于盡早采取相應(yīng)措施����,提高網(wǎng)絡(luò)的整體安全性。
文檔編號(hào)H04L9/00GK101364981SQ20081012437
公開日2009年2月11日 申請(qǐng)日期2008年6月27日 優(yōu)先權(quán)日2008年6月27日
發(fā)明者孫知信, 胡桂銀 申請(qǐng)人:南京郵電大學(xué)