专利名称:一种网络入侵行为和正常行为的形式化描述方法
技术领域:
本发明属于网络与信息安全领域,具体涉及一种网络正常行为和入侵行为的形式化描述方法,为分布式入侵检测系统提供理论上的帮助。
(3)通过对信息系统进行试探和扫描,试图发现帐户口令或系统的缺陷,然后入侵系统;(4)恶意使用正常的网络操作,如采用非正常的频率等,造成信息系统崩溃和不能正常提供服务的拒绝服务攻击(Denial of Service,DoS)(5)利用特殊的命令序列进行攻击,如正常远程登录到主机系统之后,设法得到超级用户的权限;(6)利用正常的网络操作,向目的系统传达恶意的信息,攻击系统。如特洛伊木马、Java Applet、ActiveX等。
如何建立一个安全而又稳定的系统,保证重要信息的安全,对于未来Internet的可持续发展具有战略意义。入侵检测系统为我们提供了一种有效手段,可以尽量减轻或避免损失,是网络安全系统中重要的组成部分。目前,以提高系统和网络的安全度,对于黑客试图入侵的系统和网络提供检测服务为目标的研究领域极具活力。入侵检测系统的核心问题是如何建立入侵检测模型,即怎样识别来自黑客的网络入侵。
目前入侵检测模型主要有两种类型误用检测和异常检测。误用检测包括基于规则(Rule-Based Intrusion Detection)、基于模型(Model-BasedIntrusion Detection)等建模方式,主要用于检测利用已知系统缺陷的入侵。异常检测包括基于统计(Statistic-Based Intrusion Detection)、完整性分析等建模方式,通过建立目标系统,受监控系统及其用户的正常活动模型来检测系统和用户的实际活动是否符合正常模型,从而判断系统是否遭受到攻击。
一个基本的入侵检测系统需要解决两个问题一是如何充分并可靠地提取包含关键行为特征的数据;二是如何高效并准确地判定入侵行为。随着Internet的飞速发展,对网络,尤其是大型网络的安全保护需求也更加迫切。入侵检测系统应能检测大范围网络攻击,特别是大规模分布式入侵,这就要求对入侵行为进行很好的形式化描述。以往的描述多是简单的入侵特征描述,对复杂的入侵行为特别是分布式入侵行为无能为力。发明目的由于网络入侵行为越来越复杂,以往简单的入侵特征描述已经不能胜任识别入侵行为的需要,这就造成了入侵检测系统和防火墙等安全部件不能够有效地检测复杂的入侵行为。我们发明了一种入侵行为形式化描述方法,就是为入侵检测服务,采用一种简洁统一高效的形式化描述理论来精确描述系统行为或入侵行为的特征。
我们发明了用以下四元组对入侵行为给予总体上的描述<动作特征,协议或系统状态,逻辑顺序,数量>称之为ASSQ四元组。其中1.动作特征(Action Signature)——指攻击者的行动在网络中的具体表现,这包括正常的或异常的表现。如SYN与FIN标准位同时置1的TCP包,SYN标志位置1的TCP连接发起包等。2.协议或系统状态(State)——指攻击发生时协议或系统的状态和状态转换。这里的协议状态就是网络协议有限状态机中定义的状态,而此处的协议状态转换却不完全属于协议有限状态机中定义的状态转换,因为有些攻击会造成网络协议的异常状态转换。这里的系统状态可以用已有的,也可以根据需要进行自定义设计。3.顺序(Sequence)——包括动作和状态发生的逻辑上的各种关系。4.数量(Quantity)——指一切与动作、状态相关的数量。数量关系集合就是一个整数集合,如TCP协议允许出于SYN——RCVD状态的最多连接数量(即系统允许的半开放连接数目),收到SYN连接请求的端口个数等。
在这种描述中,各元素均是可观的,ASSQ四元组存在如下关系动作独立于其它3个元素;状态独立于顺序和数量关系,这里的状态与动作之间可能不存在直接的因果关系;并不是对每种网络协议攻击的描述都需要有特定的逻辑顺序和数量关系存在。
如SYN/FIN攻击对于TCP头中的SYN与FIN标准位同时置1,会造成TCP协议产生未定义的异常转换状态。SYN/FIN网络协议攻击的ASSQ四元组描述如下<SYN与FIN同时置1的TCP包,SYN-RCVD→CLOSE-wAIT,空,空>对于TCP协议来说,可以有如下协议状态{CLOSED(关闭状态)、CLOSING(同时关闭)、CLOSE_wAIT(关闭等待)、LAST_ACK(被动关闭)、LISTEN(监听)、TIME_WIT(超时)、ESTABLISHED(连接已建立)、FIN_WAIT(关闭等待)、SYN_SENT(连接请求发送)、SYN_TECEIVED(接受连接请求)……}下表是我们对动作特征的分类
本发明利用了petri网模型的一些思想,在其基础上进行了重新定义和修改,来实现ASSQ四元组的描述,下面具体介绍其具体实现。首先我们给出必要的定义定义1三元式N=(P,T;F)称作网当且仅当(1)P∪T≠;(2)F(P×T)∪(T×P);(3)dom(F)∪cod(F)=P∪T在这个定义中,P表示位置结点集合,T表示变迁结点集合,F为位置结点与变迁结点间的有向弧集合。定义2对x∈P∪T,令·x={y|(y∈P∪T)∧((y,x)∈F}和x·={y|(y∈P∪T)∧((x,y)∈F)},则称·x和x·分别为x的前置集和后置集。定义3针对我们的描述,定义一个4元组PN=(P,T;F,M0)(1)P={pi,i=1~m},m>0是有限位置集合,位置pi用圆圈表示,代表系统或协议的某个状态;(2)T={ti,i=1~n},n>0是有限变迁集合,变迁ti用黑线条表示,代表一个入侵动作。(3)F(P×T)∪(T×P)是变迁和位置的关系集合,用位置和变迁之间的有向弧线来表示(4)M0∶P→N是PN的标识,M0={M0(pi),i=1~m},M0(pi)为位置pi中的数字,在圆圈中有标注,代表某一状态实现的当前次数。M0代表初始状态。PN初始M0随着系统事件的发生将变化。PN的当前的标识记为M,表示系统当前的状态。
基本PN的变迁可实施规则为给定t,若对于所有p∈·t-t·,M(p)≥1,则称t是可实施的,记作M[t>。即若变迁t的所有输入位置中的数字都具有至少为1,则该变迁可实施变迁的实施意味着在当前的系统状态下,变迁所代表的事件发生的前提条件得到满足。(5)在M下是使能的变迁t可以引发,引发后得到后继标识M′,则 记作M[t>M′。其中M′(p0)=M(p0)=1,即初始状态永远保持激发态。
在
图1中,初始标识M0=[100],由于p∈·t1M0(p)≥1,则M0[t1>,记M0[t1>M1,其中M1=[110]。以此类推,可以有 定义4PETRI网PN的可达表示集合R(M0)是满足下列条件的最小集合1,M0∈R(M0),2,若有M∈R(M0),t∈T,使得M[t>M′,则M′∈R(M0)。定义5设PN=(P,T;F,M0)为一个Petri网,GfR(M0),为终态集合,令L(PN,Gf)={σ∈T*∧M0[σ>M∧M∈Gf},则称L(PN,Gf)为PN的网语言发明与现有技术相比具有的优点和积极效果本发明主要是针对网络入侵行为和正常行为提出的一种形式化描述方法。该方法。随着网络技术的发展,目前网络入侵行为体现出以下几种特点(1)没有地域和时间的限制,跨越国界的攻击就同在现场一样方便(2)通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强(3)入侵手段更加隐蔽和复杂本发明就是在研究和分析了网络入侵行为和正常行为之后,提出了ASSQ四元组的概念,系统、全面的对各种行为给予归类和描述,并在已有petri网的基础上,进行重新定义和修改,从而形成了一种针对网络入侵行为和系统正常行为系统、高效的形式化描述方法。
对于四元组中的顺序(Sequence)关系,用入侵petri网也有很好的对应描述,a,b,c∈A(A是入侵动作集合),有如下几种顺序关系顺序关系如图2偏序关系如图3选择关系如图4并发关系如图5使用这种形式化描述方法,可以用已有的协议规则和状态,也可以根据需要自己设计相应的P、T集合。例如可以对TCP协议攻击实施描述,如图6所示。
由于入侵行为往往和正常行为混杂在一起,所以不容易分辨。在这个例子中,当M矩阵中表示p4、p5状态的数量超过阈值时,就意味着发生了入侵行为。对应于p5状态的入侵行为就是著名的syn攻击。
我们将目前已知的1300多种网络入侵事件划分成了5大类拒绝服务攻击,非授权访问尝试,预攻击探测,可疑活动和其它。每一大类又分为若干子类,用我们的方法都能够给予很好的描述。
权利要求
1.一种对网络入侵行为和正常行为进行形式化描述的方法,以ASSQ四元组为理论基础,在已有的petri网模型基础上根据描述的需要进行了重新定义和修改,可以应用在各种入侵检测和相关的系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。
2.如权利要求1所述的ASSQ四元组,定义<动作特征,协议或系统状态,逻辑顺序,数量>四类元素对入侵行为和正常行为实施准确、高效的形式化描述,其中动作特征(Action)指攻击者的行动在网络中的具体表现,这包括正常的或异常的表现;协议或系统状态(State)指攻击发生时协议或系统的状态和状态转换,可以采用原有的协议状态,也可以根据具体需要自定义出新的状态;逻辑顺序(Sequence)包括动作和状态发生的逻辑上的各种关系;数量(Quantity)指一切与动作、状态相关的数量,其数量关系集合就是一个整数集合,将这四种元素有机地结合起来,就完成了对入侵行为和正常行为的有效描述。
3.如权利要求1所述的ASSQ四元组,按照实际情况,将动作特征元素分成五类Source_data、Dest_data、Protocol_sig、Service_sig、else。此种分类涵盖了所有的动作特征。
4.如权利要求1所述的描述方法的具体实现部分,是在已经存在的petri网(PN)模型的基础上,结合ASSQ四元组理论,进行了重新定义和修改,在原来petri网中P表示位置结点集合,T表示变迁结点集合,F为位置结点与变迁结点间的有向弧集合,我们重新定义如下(1)P={pi,i=1~m},m>0是有限位置集合,位置pi用圆圈表示,代表系统或协议的某个状态;(2)T={ti,i=1~n},n>0是有限变迁集合,变迁ti用黑线条表示,代表一个入侵动作;(3)F(P×T)∪(T×P)是变迁和位置的关系集合,用位置和变迁之间的有向弧线来表示;(4)M0P→N是PN的标识,M0={M0(pi),i=1~m},M0(pi)为位置pi中的数字,在圆圈中有标注,代表某一状态实现的当前次数,M0代表初始状态,PN初始M0随着系统事件的发生将变化,PN的当前的标识记为M,表示系统当前的状态,基本PN的变迁可实施规则为给定t,若对于所有p∈·t-t·,M(p)≥1,则称t是可实施的,记作M[t>,即若变迁t的所有输入位置的数字都具有至少为1,则该变迁可实施变迁的实施意味着在当前的系统状态下,变迁所代表的事件发生的前提条件得到满足;(5)在M下是使能的变迁t可以引发,引发后得到后继标识M′,则 记作M[t>M′,其中M′(p0)=M(p0)=1,即初始状态永远保持激发态。
全文摘要
本发明为一种网络入侵行为和正常行为的形式化描述方法。本发明对于网络中存在的入侵和攻击行为,特别是分布式入侵行为,进行了细致分析,在此基础上,提出了一种对于网络行为和正常行为的形式化描述方法。本方法以ASSQ四元组为理论基础,在已有Petri网模型的基础上,进行了重新定义和修改,可以应用在各种入侵检测和相关的系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。
文档编号H04L9/34GK1477811SQ03146380
公开日2004年2月25日 申请日期2003年7月11日 优先权日2003年7月11日
发明者褚永刚, 杨亚飞, 魏战松, 杨义先 申请人:北京邮电大学