专利名称:一种网络入侵检测报警的方法
技术领域:
本发明涉及一种网络入侵检测报警的新方法。
背景技术:
自从20世纪80年代James Anderson首先提出入侵检测概念以来,入侵检测系统作为网络安全的一个组件获得了极大的发展。许多研发机构和安全厂商都在进行这方面的研究和开发,推出了很多相应的产品。虽然功能越来越强,但它们目前都存在着一个重要问题过高的误报。这一方面给管理员增加了繁重的工作负担,从而使其可能忽视了系统中真正需要处理的关键攻击事件;另一方面,过高的误报率使得自动入侵响应,比如与防火墙联动,不能很好地执行下去。
发明内容
本发明目的是,从IDS(入侵检测)自身的特点出发,提出了一个能感知IDS所处系统环境的基于威胁度的报警分析TDAA(Threat-based Dynamic Alerts Analysis)模型, 该模型较之以前的一些报警评价研究在评价标准上进行了改进,使用了威胁度的概念,即在通常使用的可信度评价标准的基础上,增加了对危险度的评价,并增加了节点、服务的价值和节点安全度等概念,使得评价模型更加全面、科学和合理。在报警威胁度的计算上,本发明使用了改进了的多层模糊模型识别的方法,并且我们在评判矩阵、权值的确定方面进行了改进和简化,降低了参数的不确定性。这种算法较之以前的研究在算法原理上更加贴近于报警评价的原理,并且在计算中,减少了计算的步骤和复杂度,减少了需要人工确定或学习的参数,因此报警评价计算的准确度得到了提高。本发明技术方案是基于网络入侵检测报警方法,IDS报警信息属性包括时间戳、 源IP、目的IP、端口号、攻击类型和探测器ID,并确定以下一些基本元素。1)节点、服务指的是网络中一个特殊的机器和设备,而服务指的是一个节点所提供的基于局域网或hternet的网络服务,节点和服务对进入系统的连接来说是目的地;2)节点价值和服务价值节点价值是一个用来表示节点重要性的量化的一个值,其中1表示的是最低的重要性,而N表示最高的重要性;每一个服务都要赋予一个表示服务重要性的服务价值,其范围也是从1到M ;3)节点安全度和节点价值与服务价值标示的是节点与服务的重要性相似,节点的安全度标示的是节点的安全性。节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定。它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度(本章中为了计算机的简便设P为10)。一台安装了 Wind0WS98并且没有加装安全补丁,而且其大部分端口都开放的节点可以评估它的安全度为1,另一台安装RedHat AS3且安装当前所有补丁,安装单机防火墙,关闭了大多数服务的节点,可以评估它的安全度为9。节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的。对报警信息的评价,我们确定评价出来的等级为10个0. 1,0.2,0.3,…,1,值越大其威胁程度越高,而管理员也可以考虑根据其实际需要,对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁等。如上所述,报警信息的威胁度包括两个方面报警可信度与报警危险度。4)报警可信度报警可信度指的是报警信息所报攻击真实发生的可能性。首先,一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞,因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度。本文将系统的环境归结到5个属性 操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用。同时,报警信息的可信度还与报警信息所报攻击的特征有很大的关系,如有的攻击的特征是一串字符,或某个特殊端口,当只检测到这一个特征时,其可信度较低;另外一些攻击,由一系列特殊操作组成,正常活动不会进行这套操作,这些类型的可信度相对较高。在本文中,根据攻击特征的不同将攻击分成扫描攻击,拒绝服务攻击,缓冲区溢出攻击, 基于Web代码的攻击和其它攻击等几种类型并分配不同的可信程度。其次报警信息所报攻击的相关攻击信息也影响其可信程度,其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击;或类似的攻击是否已多次发生过。 相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表。最后,目的地的节点安全度,也影响着报警信息可信度,安全度高的系统势必会增加攻击成功的难度。综上所述,报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关。5)报警危险度报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度。对不同节点价值和服务价值的目的地发起同样的攻击,如果都成功的话,对系统造成的危害是不同的。同时,报警信息所报攻击自身,由于攻击目的和攻击方式的不同,导致攻击成功后对系统的影响,即危害程度也会不同,实际上一般的IDS也都有一个报警自身危险程度的评估。因此,报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的。6)报警威胁度计算由于报警威胁度采用多层模糊模型识别的方法进行报警威胁度评价。多层识别用于识别某个具体对象属于何种类别,而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别,这与我们前面分析的报警威胁度评价原理是非常吻合的;报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的;具体如下设因素集为U = IU1,队},其中U1为报警可信度,U2为报警危险度;评判集为V= IV1, V2,…,Vn},其中从义到¥ 表示从低到高报警威胁度的η个评价等级,本文中η = 10。而因素仏和U2又分别由以下因素决定
5
U1 = {un,u12,u13,U1J,其中un、u12、u13、u14分别指的是环境匹配度、攻击类型可信度、相关攻击情况、节点安全度诸因素;U2 = {u21, u22, u23},其中U21, U22, U23分别指的是报警自身危险度、节点价值、服务价值;最后U11 = Iw1, w2, W3, w4, w5},其中Wl、w2, W3> w4、W5分别指的是操作系统、硬件、服务、端口、应用诸因素;6-1)、根据已知各环境因素的匹配度计算环境匹配度U11 ;先确定U11的评判集ρ = {0. 1,0.2,…,1},表示环境匹配的从低到高的10个等级,然后确定W1、W2、W3、W4、W5对各个评判等级的标准匹配度,建立匹配度矩阵R= (RijI ;采用一种简便方法,即设Ru = Pi,表示在评价等级是Pi时因素%的匹配度;而对操作系统因素的实际匹配情况,只确定三种,即匹配、不匹配和未知,匹配度取值分别为1、0和0.5;就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级; 而由于各个因素的匹配情况对报警匹配情况影响的不同,因此在进行对比时还要设定各自
的权值α Γ", 05,其中1>=1;
/=1贴近度的计算,使用Euclid贴近度来进行计算,即计算+4) = 1-^^- )2,其
中r = (ri,r2,r3,r4,r5)表示报警r的实际匹配度,计算出来δ (r, Rj)值最大的表示报警 r的实际环境匹配度等级为j。6-2)、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度可信度和危险度以及威胁度的计算都是先确定相应的评判集,然后建立各自的标准匹配度矩阵,实验中其建立过程类似于环境匹配度矩阵。而报警的攻击类型等因素的实际匹配度取值,定义如下攻击类型可信度的状态分为高、中、低三种,取值分别为 1、0. 6,0. 2,相关攻击的状态分别设为强相关、弱相关和无相关三种,取值分别为1,0. 7和 0. 4,自身危险度按通常IDS的风险等级设为高、中、低三种状态,取值分别为1、0. 6和0. 2 ; 节点安全度、节点价值、服务价值的计算时的取值要乘上0. 1,环境匹配度、可信度和危险度的取值为下层因素评判出来的等级;贴近度的计算依然使用Euclid贴近度来进行计算,最终计算出报警威胁度的等级。如何对IDS报警信息进行评价和管理一直是入侵检测研究领域的重要课题,一方面它能让系统管理员从海量的报警信息中发现较为可信的关键的报警信息,另一方面对系统的进一步响应包括自动响应也起着促进的作用。但是目前已有的一些报警评价和管理机制往往不够明确,其评价因素也不够全面。本发明有益效果是TDAA模型提出了一个新的报警评价体系报警威胁度,它将报警可信度和危险度结合在一起,全面地考虑了报警信息评价的各个因素并明确了评价标准。
具体实施例方式根据IETF 入侵检测工作组 IDWGantrusion Detection Working Group)起草的 ΛIl^llJff Ε^ ^ΙΙ- ζ IDMEF (Intrusion Detection Message Exchange Format), — IDS报警信息包含的属性主要包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID等。如果要对IDS报警信息的威胁度进行评价,仅凭IDS报警提供的这些信息是不够的,为此还要确定以下一些基本元素。1节点、月艮务节点指的是网络中一个特殊的机器和设备,而服务指的是一个节点所提供的基于局域网或hternet的网络服务。节点和服务对进入系统的连接来说是目的地。2节点价值和服务价值节点价值是一个用来表示节点重要性的量化的一个值。我们设节点价值度量的范围从1到N,其中1表示的是最低的重要性,而N表示最高的重要性(本章中为了计算的简便N设为10)。一些诸如不重要的匿名FTP服务器或者密罐(Honey pot)系统等节点的节点价值可能被赋予1 ;相反,像生产服务器这样非常关键的节点可能被赋予一个比较高的节点价值比如9。像节点一样,每一个服务都要赋予一个表示服务重要性的服务价值,其范围也是从1到M(同节点价值一样,本章中为了计算的简便,M也设为10)。节点价值、服务价值的度量范围和取值是根据整个系统的具体情况由系统管理员指定的。如果在一个有很多节点、服务的网络,特别是一些大型的企业网络,要在整个网络里对每台主机和服务逐一分配或修改节点价值和服务价值将是一件非常繁琐且困难的事。 为了减少节点管理的复杂性以及便于对节点和服务的价值进行分配,这时可以引入了角色的概念。这儿的角色借鉴了 RBAC(Role-Based Access Control) M中的角色某些特征,它与RBAC中的角色最大的不同在于对角色赋予的是价值属性而不是授权。3节点安全度和节点价值与服务价值标示的是节点与服务的重要性相似,节点的安全度标示的是节点的安全性。节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定。它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度(本章中为了计算机的简便设P为10)。一台安装了 Wind0WS98并且没有加装安全补丁,而且其大部分端口都开放的节点可以评估它的安全度为1,另一台安装RedHat AS3且安装当前所有补丁,安装单机防火墙,关闭了大多数服务的节点,可以评估它的安全度为9。节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的。对报警信息的评价,我们确定评价出来的等级为10个0. 1,0. 2,0. 3,…,1,值越大其威胁程度越高,而管理员也可以考虑根据其实际需要,对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁等。如上文所述,报警信息的威胁度包括两个方面报警可信度与报警危险度。4报警可信度报警可信度指的是报警信息所报攻击真实发生的可能性。首先,一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞,因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度。本文将系统的环境归结到5个属性 操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用。同时,报警信息的可信度还与报警信息所报攻击的特征有很大的关系,如有的攻击的特征是一串字符,或某个特殊端口,当只检测到这一个特征时,其可信度较低;另外一些攻击,由一系列特殊操作组成,正常活动不会进行这套操作,这些类型的可信度相对较高。在本文中,根据攻击特征的不同将攻击分成扫描攻击,拒绝服务攻击,缓冲区溢出攻击, 基于Web代码的攻击和其它攻击等几种类型并分配不同的可信程度。其次报警信息所报攻击的相关攻击信息也影响其可信程度,其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击;或类似的攻击是否已多次发生过。 相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表。最后,目的地的节点安全度,也影响着报警信息可信度,安全度高的系统势必会增加攻击成功的难度。综上所述,报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关。5报警危险度报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度。对不同节点价值和服务价值的目的地发起同样的攻击,如果都成功的话,对系统造成的危害是不同的。同时,报警信息所报攻击自身,由于攻击目的和攻击方式的不同,导致攻击成功后对系统的影响,即危害程度也会不同,实际上一般的IDS也都有一个报警自身危险程度的评估。因此,报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的。6报警威胁度计算由于报警威胁度实际上是个模糊概念,经过细致地分析和比较,本文采用多层模糊模型识别的方法进行报警威胁度评价。模型识别用于识别某个具体对象属于何种类别, 而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别,这与我们前面分析的报警威胁度评价原理是非常吻合的。当然,由于本文报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的。具体如下设因素集为U = IU1,队},其中U1为报警可信度,U2为报警危险度;评判集为V= IV1, V2,…,Vn},其中从义到¥ 表示从低到高报警威胁度的η个评价等级,本文中η = 10。而因素仏和U2又分别由以下因素决定U1 = {un,u12,u13,u14},其中un、u12、u13、u14分别指的是环境匹配度、攻击类型可信度、相关攻击情况、节点安全度诸因素。U2 = {u21, u22, u23},其中U21, U22, U23分别指的是报警自身危险度、节点价值、服务价值。最后U11 = Iw1, w2, W3, w4, w5},其中Wl、w2, W3> w4、W5分别指的是操作系统、硬件、服务、端口、应用诸因素。具体计算过程如下1、根据已知各环境因素的匹配度计算环境匹配度un。先确定U11的评判集ρ = {0. 1,0.2,…,1},表示环境匹配的从低到高的10个等级,然后确定wi、w2、w3、 、W5对各个评判等级的标准匹配度,建立匹配度矩阵R = {Ru},可由专家确定或通过学习获得。本文的实验使用一种简便方法,即设Ru = Pi,表示在评价等级是Pi时因素%的匹配度,例如R34 = 03表示环境匹配等级为0. 3时,报警所需端口和节点端口的匹配度应为0. 3。而对操作系统等因素的实际匹配情况,只确定三种,即匹配、不匹配和未知,匹配度取值分别为1、0和0.5。这样,就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级。而由于各个因素的匹配情况对报警匹配情
况影响的不同,因此在进行对比时还要设定各自的权值h,…,Ci5,其中
权利要求
1.基于网络入侵检测报警方法,其特征是基于如下步骤,IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID,并确定以下一些基本元素;1)节点、服务指的是网络中一个特殊的机器和设备,而服务指的是一个节点所提供的基于局域网或 Internet的网络服务,节点和服务对进入系统的连接来说是目的地;2)节点价值和服务价值节点价值是一个用来表示节点重要性的量化的一个值,其中1表示的是最低的重要性,而N表示最高的重要性;每一个服务都要赋予一个表示服务重要性的服务价值,其范围也是从1到M ;3)节点安全度节点的安全度标示的是节点的安全性;节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定;它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度;节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的;对报警信息的评价,确定评价出来的等级为10个0. 1,0.2,0.3,…,1,值越大其威胁程度越高,而管理员也可以考虑根据其实际需要,对报警威胁度的等级分类成诸如高度威胁、中度威胁、轻度威胁和无威胁;报警信息的威胁度包括两个方面报警可信度与报警危险度;4)报警可信度报警可信度指的是报警信息所报攻击真实发生的可能性;首先,一般一种攻击要达到目的只能针对某种系统或服务程序的漏洞,因此可以通过将攻击所需的环境与目的地系统真实的环境进行对比来确定报警信息的可信度;系统的环境归结到5个属性操作系统的类型与版本、硬件类型、服务及使用的程序和版本、网络端口、应用;根据攻击特征的不同将攻击分成扫描攻击,拒绝服务攻击,缓冲区溢出攻击,基于Web 代码的攻击和其它攻击等几种类型并分配不同的可信程度;其次报警信息所报攻击的相关攻击信息也影响其可信程度,其中相关攻击信息指系统中近段时间里是否存在和该攻击相关的辅助攻击;或类似的攻击是否已多次发生过;相关攻击信息对每一个报警需要建立一个强相关和弱相关攻击的列表;最后,目的地的节点安全度,也影响着报警信息可信度,安全度高的系统势必会增加攻击成功的难度;综上所述,报警信息的可信度与目的地系统的环境、攻击类型、相关攻击信息以及目的地系统节点安全度有关;5)报警危险度报警危险度指的是报警信息所报攻击如果真实发生时对系统的危险程度;对不同节点价值和服务价值的目的地发起同样的攻击,如果都成功的话,对系统造成的危害是不同的; 同时,报警信息所报攻击自身,由于攻击目的和攻击方式的不同,导致攻击成功后对系统的影响,即危害程度也会不同,实际上一般的IDS也都有一个报警自身危险程度的评估;因此,报警危险度与报警目的地的节点价值、服务价值以及报警信息本身的危险度是直接相关的;6)报警威胁度计算由于报警威胁度采用多层模糊模型识别的方法进行报警威胁度评价;多层识别用于识别某个具体对象属于何种类别,而模糊模型识别是在标准模型和待识别对象可能是模糊的情况下的识别,这与我们前面分析的报警威胁度评价原理是非常吻合的;报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的;具体如下设因素集为U = {U”队},其中U1为报警可信度,U2为报警危险度; 评判集为V= IV1J2,…,vn},其中从力到¥ 表示从低到高报警威胁度的η个评价等级,本文中η = 10 ;而因素仏和U2又分别由以下因素决定U1 = {un,U12,U13, u14},其中un、u12、u13、u14分别指的是环境匹配度、攻击类型可信度、 相关攻击情况、节点安全度诸因素;U2 = {u21,U22, U23},其中U21、U22、UM分别指的是报警自身危险度、节点价值、服务价值; 最后U11 = (W1,W2,W3,W4,W5},其中W1、W2、W3、W4、W5分别指的是操作系统、硬件、服务、端口、应用诸因素;6-1)、根据已知各环境因素的匹配度计算环境匹配度U11 ;先确定U11的评判集P= {0.1,0.2,…,1},表示环境匹配的从低到高的10个等级,然后确定^^^^ 对各个评判等级的标准匹配度,建立匹配度矩阵! = (RijI ;采用一种简便方法,即设Ru = Pi,表示在评价等级是Pi时因素%的匹配度;而对操作系统因素的实际匹配情况,只确定三种,即匹配、不匹配和未知,匹配度取值分别为1、0和0.5 ;就能进行各因素实际匹配度和每一评判等级的标准匹配度进行贴近度计算来评判匹配等级;而由于各个因素的匹配情况对报警匹配情况影响的不同,因此在进行对比时还要设定各自的权 值 a1,...a5,其中∑ai=1; 贴近度的计算,使用Euclid贴近度来进行计算,即计算
全文摘要
基于网络入侵检测报警方法,IDS报警信息属性包括时间戳、源IP、目的IP、端口号、攻击类型和探测器ID,并确定以下基本元素;1)节点、服务;2)节点价值和服务价值;3)节点安全度;4)报警可信度;5)报警危险度;6)报警威胁度计算报警威胁度的评价要先对报警可信度和报警危险度进行评价,报警可信度的评价还需要先对报警信息的环境匹配度进行评价,因此其算法还是多层传递的;6-1)、根据已知各环境因素的匹配度计算环境匹配度;6-2)、使用和计算环境匹配度一样的方法来逐级计算可信度和危险度以及最后的报警威胁度;攻击类型可信度的状态分为高、中、低三种,取值分别为1、0.6、0.2,相关攻击的状态分别设为强相关、弱相关和无相关三种状态。
文档编号H04L12/26GK102281163SQ20111027788
公开日2011年12月14日 申请日期2011年9月19日 优先权日2011年9月19日
发明者刘建邦, 张辰, 潘健翔, 石进, 高为 申请人:南京大学, 江苏南大苏富特科技股份有限公司