专利名称:网络入侵行为关联事件的检测方法及系统的制作方法
技术领域:
本发明涉及一种作为网络安全的重要产品之一的网络入侵监测系统(NIDSNetwork Intrusion Detection System)的核心关键技术一网络入侵行为关联事件的检测方法及系统。
背景技术:
NIDS安装在被保护的网段中,其监听网卡工作在混杂模式下,分析网段中所有的数据包,进行网络安全事件的实时检测和响应。目前NIDS普遍采用两类技术进行安全事件的检测基于网络数据特征的匹配技术和基于网络行为的检测技术。前者是利用网络数据与攻击模式特征匹配的技术,如果在网络数据中发现攻击特征数据,则生成特征事件,实现事件的告警(在此称之为网络特征事件)。
随着网络攻击技术的不断变化,NIDS系统对于新的攻击手段的检测也应快速提高。众所周知,网络的攻击行为不是简单的单个行为,而是一连串相关行为的组合。而目前绝大多数的NIDS系统,对于攻击行为的检测都是采用攻击特征和事件关联性硬编码方式实现,这样对于新出现的攻击手段,只能靠能够识别该攻击的升级程序进行程序升级,这对于NIDS对于安全事件的实时、快速响应,显然不适合。
发明内容
本发明的目的就是设计一种针对网络行为检测的技术,它提供了一个文本化的行为定义语言(称之为行为关联事件描述语言),在网络特征事件的基础上,完成特征事件间的关联分析,生成新的、更准确的安全事件,并提供良好的用户可定义接口,便于开发者和用户现场维护。
本发明所述的一种可定制的网络入侵检测行为关联事件的检测方法,是入侵检测系统在基本的特征事件基础上,对各类事件进行综合的统计、分析,并根据描述语言的定义,产生新的事件行为关联事件。系统根据一段时间、多个协议、多次发生的事件生成新的行为关联事件,他们能够揭示隐蔽的攻击行为,和一些网络的异常行为。该方法包含如下步骤(1)、捕获网络中的原始报文数据包;(2)、对该原始报文数据进行解析;(3)、生成基于网络数据特征的基本的安全事件(本文也称为特征事件);(4)、读取预先定制的关联事件的触发事件、关联方法、约束条件、比较关系、预期结果等模式;(5)、根据该模式进行事件关联性分析;(6)、输出关联后的结果。
上述(1)步骤为NIDS系统的基本数据来源,即在网络中捕获原始数据。
上述(2)步骤为将(1)步骤所获的数据按网络协议进行解析处理,即按照协议的层次划分从底到顶逐层,对包括应用层协议在内的所有协议按照循序渐进的方式进行解析。而所述的进行协议解析更进一步包括如果协议为IP协议,则对解析中的协议数据进行重组后,再进一步继续协议解析,以便获得网络数据的真实特征,否则的话,有可能丢掉故意对数据进行分片以隐藏攻击特征的恶意攻击行为;如果协议为TCP协议,则对TCP的报文流进行重组后,再进一步继续协议解析,以便获得TCP的连接状态和流重组以后的数据。
上述(3)步骤为将步骤(2)所得到的解析后的数据进行处理,读取预先设定的特征数据,并对该特征数据和相应的协议数据比较匹配,进而得到具有事件特征和网络特征的触发事件;上述(4)步骤为读取预先定制的关联事件的触发事件、关联方法、约束条件、比较关系和预期结果等模式并将其存储在关联事件规则缓冲区内;上述(5)步骤为对步骤(4)中得到的触发事件和网络数据,依据步骤(4)得到的规则进行匹配处理。进而产生关联事件。
本系统包括的模块为以下几个部分数据捕获模块用于捕获网络中的原始报文数据包;协议解析模块用于对该原始报文数据包进行协议解析;触发事件生成模块用于生成基本的特征事件数据;关联事件规则处理模块读入并存储预先定制的关联事件的规则;触发事件缓冲区处理模块根据关联事件规则中的触发事件、约束条件,整理触发事件缓冲区;关联事件分析模块调用每个触发事件相应的关联方法,依据约束条件处理触发事件缓冲区,并根据比较关系和预定的关联结果,判断是否产生关联事件;事件上报模块用于输出新的关联事件;行为关联事件以选择统计为基础,根据发生的事件,统计与该事件相关的其他事件发生的次数,从而产生新的事件。例如,口令猜测是网络上最常见的一种攻击方法,通过多次不成功的猜测,攻击者最终可能猜对口令并进入目标系统。目前一般的NIDS系统往往无法预报这种攻击行为,然而通过行为关联事件的处理系统,可以定义这样一个行为关联事件当同一源机器到同一目的机器,口令登录失败的次数大于5次时,产生新的事件口令猜测事件。
本发明中所述的网络入侵行为关联事件检测方法,建立了一个有效的、可扩展的事件描述方法,它能够描述所有的NIDS关联事件,实现了事件的关联特征与程序无关,确保了NIDS系统对安全事件的快速响应。
本发明具有以下优点1、可以有效地降低入侵检测系统的误报率,提高其报告事件的准确率;2、当出现网络事件新的关联攻击行为时,可以在不升级应用程序的前提下,迅速地把这些关联行为增加到含有NIDS事件的关联模式库中,达到报警的目的;4、通过灵活的用户可定义接口,实现了行为关联事件的更新与程序无关,确保了NIDS系统对安全事件的快速响应,以及用户可现场定制事件的能力。
图1是本发明所述的网络入侵监测系统中行为关联事件的检测方法的组成架构图;图2是本发明所述的网络入侵监测系统中行为关联事件的检测方法的流程图;下面结合附图和具体实现来详细描述本发明。
具体实施例方式
系统工作的环境本系统工作在百兆或千兆网络的以太网络环境,通过本系统的百兆或千兆网卡能够获取网络中的以太报文数据包。
系统工作的方法将系统获取的网络数据按标准的以太数据结构、IP数据结构、TCP/UDP数据结构和标准应用层的数据进行分析,并进行IP的碎片重组和TCP的流重组,进而获得网络中的真实数据特征。分析后所得的数据即可得到与网络报文特征和不安全数据特征直接相关的网络特征事件,包括该事件的名称(或标识)、与该事件相关的源和目的MAC地址、源和目的IP地址、源和目的端口地址、攻击次数、特征数据等。
将上述所获的网络特征事件及其相关信息放入网络特征事件缓冲区中,该缓冲区按照事件标识、源和目的地址进行合并存放,即相同的事件标识、相同的源、目的地址作为同一个行为方式,将该行为方式的发生次数进行累计计算。
按标准格式读取行为关联事件的描述文件,该描述文件包括行为关联事件标识(或名称)、触发事件标识(或名称)、关联方法、约束条件、比较关系、预期运算结果。下面逐一解释该行为关联事件的描述内容关联事件标识(或名称)用户利用本系统时,希望产生的行为关联事件的名称,关联事件是无极嵌套的,即关联后产生的事件可以再次作为触发事件进行关联分析,并生成新的关联事件。
触发事件进行该行为关联事件的判断条件,只有发生该事件时,开始对其定义的规则进行判断。行为关联事件有一个关键的问题,就是判断的时机,不可能对所有的事件进行判断,只能够对特定的事件进行特定行为关联事件的判断,这既节省判断时间,也符合逻辑。因此,给每个行为关联事件定义了一个触发事件,只有这个事件发生时,才开始判断相应的行为关联事件,同时后续的各个选择数据的默认值也为该事件的各个数值。触发事件由网络特征事件和行为关联事件组成。
关联方法是触发事件生成关联事件的统计分析方法。是该关联事件分析方法的核心。目前的关联有num,即计数函数和Pass函数,即口令强弱判断函数,num方法通过各种选择条件产生统计的计数数据,与给定的期望运算结果进行比较而生成行为关联事件。Pass方法通过与相应用户名的比对以及口令本身的简单与复杂来判定口令的强弱性。在此基础上系统还可以扩展更复杂的统计分析方法,供用户选择应用。
约束条件是行为关联语言的关键,它通过对事件、地址、端口进行各种选择操作,从而对一段时间内的事件进行统计计数。Event代表事件名称,如果没有等于操作符号,则按照触发该行为关联事件的事件进行选择,否则按照给出的事件进行选择。Sip表示触发事件的源IP地址,dip表示触发事件的目的IP地址,sport表示触发事件的源端口号,dport表示触发事件的目的端口号。统计运算符号表示选择不同的数据,即缓冲区中不相同的数据个数,如不同的地址、不同的端口个数。没有操作符号时表示统计个数。
比较关系本系统现包括大于(>)、等于(=)和不等于(~)3种比较关系,供用户将实际结果与期望值进行比较选择。
预期结果是用户对于该关联事件的分析后的预期值。
举例如下FTP_口令扫描事件FTP_口令扫描 FTP_注册失败 num(event,sip,dip)>10当相同的源IP地址、目的IP地址之间连续发生10次以上的FTP_注册失败事件时,产生FTP_口令扫描事件。这是一个标准的ftp口令猜测行为。
Finger_ftp探测事件Finger_ftp探测 FTP_连接 num(event=FINGER_用户,sip,dip)>1当在FTP_连接事件发生时,在相同的地址对上发生过FINGER_用户事件,也就是说在一个相同的地址对上连续发生finger_用户事件和FTP_连接事件,这明显是一个探测后攻击行为,先用finger命令探测系统的用户名称,然后用该用户进行口令猜测攻击。对于此类事件,目前其他系统均没有有效的报警方法。
一个行为关联事件可以由多个运算数据关系式通过与、或的关系产生。
根据行为关联事件的标识在事件缓冲区中定位事件的位置;根据触发事件的标识定位特征事件在事件缓冲区的位置;根据触发事件的关联方法设置关联功能模式;根据触发事件的约束条件设置触发事件的条件运算模式;根据比较关系设置比较方式;根据预期结果设置预期值。例如ping洪流事件表示在icmp_ping事件发生后,统计事件缓冲区,当与该事件的事件名称、源IP地址、目的IP地址都相同的事件个数大于200次时,产生ping洪流事件。Ping分布洪流事件表示在icmp_ping事件发生后,统计事件缓冲区,当与该事件的事件名称、目的IP地址都相同的事件个数大于600次时,并且与该事件的事件名称、目的IP地址相同、而不同的源IP地址的个数大于3个时,产生ping分布洪流事件,它表示有3个以上不同的源地址对本地进行攻击。
软件实现流程对行为关联事件描述语言的软件实现结构,见说明书附图2。
权利要求
1.一种网络入侵行为关联事件的检测方法,其特征在于入侵检测系统在基本的特征事件基础上,应用统计分析的方法,生成关联事件,该方法包含如下步骤(1)、捕获网络中的原始报文数据包;(2)、对该原始报文数据进行解析;(3)、生成基于网络数据特征的基本的安全事件;(4)、读取预先定制的关联事件的触发事件、关联方法、约束条件、比较关系、预期结果等模式;(5)、根据该模式进行事件关联性分析;(6)、输出关联后的结果。
2.根据权利要求1所述的网络入侵行为关联事件的检测方法制备的系统,其特征在于,该系统包含有数据捕获模块用于捕获网络中的原始报文数据包;协议解析模块用于对该原始报文数据包进行协议解析;触发事件生成模块用于生成基本的特征事件数据;关联事件规则处理模块读入并存储预先定制的关联事件的规则;触发事件缓冲区处理模块根据关联事件规则中的触发事件、约束条件,整理触发事件缓冲区;关联事件分析模块调用每个触发事件相应的关联方法,依据约束条件处理触发事件缓冲区,并根据比较关系和预定的关联结果,判断是否产生关联事件;事件上报模块用于输出新的关联事件。
3.根据权利要求2所述的网络入侵行为关联事件的检测系统,其特征在于协议解析模块是将系统获取的网络数据按标准的以太数据结构、IP数据结构、TCP/UDP数据结构和标准应用层的数据进行分析,并进行IP的碎片重组和TCP的流重组,进而获得网络中的真实数据特征,分析后所得的数据即可得到与网络报文特征和不安全数据特征直接相关的网络特征事件,包括该事件的名称(或标识)、与该事件相关的源和目的MAC地址、源和目的IP地址、源和目的端口地址、攻击次数、特征数据。
4.根据权利要求2所述的网络入侵行为关联事件的检测系统,其特征在于触发事件生成模块,该模块区按照事件标识、源和目的地址进行合并存放,即相同的事件标识、相同的源、目的地址作为同一个行为方式,将该行为方式的发生次数进行累计计算。
5.根据权利要求2所述的一种检测网络行为关联的网络入侵监测系统,其特征在于关联事件规则处理模块包括行为关联事件标识(或名称)、触发事件标识(或名称)、关联方法、约束条件、比较关系、预期运算结果。
6.根据权利要求5所述的网络入侵行为关联事件的检测系统,其特征在于触发事件由网络特征事件和行为关联事件组成。
7.根据权利要求5所述的网络入侵行为关联事件的检测系统,其特征在于关联事件是无极嵌套的,即关联后产生的事件可以再次作为触发事件进行关联分析,并生成新的关联事件。
8.根据权利要求5所述的网络入侵行为关联事件的检测系统,其特征在于关联方法的统计分析方法为统计函数和口令强弱判断函数。
9.根据权利要求5所述的网络入侵行为关联事件的检测系统,其特征在于约束条件通过对事件、地址、端口进行各种选择操作,从而对一段时间内的事件进行统计计数。
10.根据权利要求5所述的网络入侵行为关联事件的检测系统,其特征在于比较关系包括大于(>)、等于(=)和不等于(~)3种比较关系。
全文摘要
本发明涉及一种网络入侵行为关联事件的检测方法及系统,该方法包含如下步骤1.捕获网络中的原始报文数据包;2.对该原始报文数据进行解析;3.生成基于网络数据特征的安全事件;4.读取预先定制的安全事件的触发事件、关联运算、约束条件等模式;5.根据该模式进行事件关联性分析;6.输出关联后的结果。本方法通过用户自定制方式可以处理所有的NIDS行为关联事件,有效地提高网络入侵监测分析的速度,能够大大节省匹配事件时间,降低误报率,提高准确率,可以在不升级应用程序的前提下,迅速地把这些更新特征增加到含有NIDS事件库的特征数据模块中,达到报警的目的。
文档编号H04L12/26GK1529248SQ20031010197
公开日2004年9月15日 申请日期2003年10月20日 优先权日2003年10月20日
发明者王虹, 许金鹏, 苏砫, 李化, 蒋涛, 张文贵, 李秀峰, 王 虹 申请人:北京启明星辰信息技术有限公司