专利名称:一种基于场景的混合入侵检测方法及系统的制作方法
技术领域:
本发明涉及一种基于场景的混合入侵检测方法及系统,属于工业控制安全技术领域。
背景技术:
近来,信息攻击已经严重威胁到网络的稳定性。这些攻击利用网络的互联、交互特性,传播的速度非常快,而且攻击技术越来越高明,攻击手段越来越复杂。传统的信息安全系统例如防火墙、入侵检测系统(IDS)等,在网络攻击预报方面存在着严重不足,通常在这些攻击造成了严重破坏之后才响应。大多数传统的入侵检测系统采用基于网络或基于主机的方法识别和响应攻击。这些系统常常采用两类入侵检测手段,即异常入侵检测和特征入侵检测,如图5所示。异常检测是通过检测与可接受行为的偏差,即当用户活动与正常行为有重大偏差时被认为是入侵;特征检测,收集非正常操作的行为特征,建立相关的特征库,当检测到用户或系统行为与特征相匹配时,系统就认为这种行为是入侵。基于主机的入侵检测系统通过分析主机事件日志、系统调用及安全审计记录等,来发现、提取攻击特征和异常行为;而基于网络的入侵检测系统是基于网络上的数据流量来发现、提取攻击模式和异常行为的。而大多数情况下,入侵者利用应用系统的漏洞及不安全的配置来入侵系统,应用层攻击能够利用合法用户的边界防御后门来入侵系统,因此,上述两种IDS系统很难检测这类攻击。当前,基于网络和基于主机的入侵检测系统通常与应用系统的访问控制相分离, 这些安全设备之间缺乏协调和内部交互,不利于检测复杂的攻击,尤其对于实时持续攻击, 造成破坏之前,不能有效响应。当前普遍应用的IDS系统的另一个不足在于,经常会有很高的误警概率,可能造成的后果是导致合法用户服务的中断。因此,成功的入侵检测系统要求应用准确、有效的模型分析大量的应用、系统和网络审计数据,并对识别的攻击进行实时响应。目前计算机病毒、各种网络攻击等新特点层出不穷,工业控制系统面临着安全新挑战。对工业控制系统来说,更严重的安全威胁常常来自内部,因为内部攻击者了解控制网络结构,包括目标文件、系统漏洞、程序漏洞等,攻击手段更复杂、隐蔽。而国内大部分工业自动化系统的网络层采取了一些传统安全防护措施,大多数针对工业控制领域的安全设备主要集中在网络层次上,用于保护企业级网络来自hternet的外部攻击,但物理层安全防护还没有成熟的产品和解决方案,无法应对越来越严重的内部攻击。对于工业控制领域来说,不同的工业应用场合,其控制网络有各自不同的特点和要求,通常需要特点的应用层知识来构建安全策略,来识别可疑行为及应用合适的响应策略。因此,传统的基于应用的IDS系统,很难管理及部署。当前一些商用的IDS系统的缺点就是缺少安全策略。这些系统主要依赖内建的静态算法,不能灵活适应这种改变了系统安全行为的系统。对于采用异常检测的系统来说,任何与正常行为轮廓的偏差都被认为是可疑行为,这大大增加了系统的虚警概率。
发明内容
本发明的目的在于,提供一种基于场景的混合入侵检测方法及系统,它能提高入侵检测的准确率,对系统物理层进行安全防护,防止系统内部攻击。为解决上述技术问题,本发明采用如下的技术方案一种基于场景的混合入侵检测方法,包括以下步骤
Si,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特
征;
S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件,其中预报方法可以采用时间序列分析法、概率模型法、数据挖掘法等方法组合使用;
S3,结合可疑入侵事件和告警关联信息,根据统计规律、学习机制或专家判别方法来确定入侵事件;
S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。前述的一种基于场景的混合入侵检测方法中,所述相关应用场景信息是对系统当前状态和功能的所有信息的描述;所述相关应用场景信息包括
预定义场景,用于描述赋予访问请求的操作所要满足的条件;
请求结果场景,用于激活访问请求的是接受或拒绝的行为;
中间场景,用于定义访问请求的操作在执行过程中必须满足的条件;
事后场景,用于定义访问请求的操作执行后所要满足的条件,并激活事后要执行的动作。前述的一种基于场景的混合入侵检测方法中,所述访问控制策略是对受保护目标的某种特殊类型的访问请求的管理,该策略执行过程分为4个连续阶段,每一个阶段仅定义策略库中特定的子集,每一个阶段都有一个标示结果的状态标志(即授权状态),该标志包括授权(T:True)、未授权(F:False)和不确定(U:Uncertain)。前述的一种基于场景的混合入侵检测方法中,所述策略执行过程包括
访问控制阶段,开始于一个三元组的访问请求命令,即访问目标、访问请求的操作和场景信息,执行系统通过系统调用来获得与目标相联系的安全策略,如果没有发现相应的安全策略,则授权状态被设置为F,访问请求被拒绝;
授权核对阶段,通过函数调用评估预定义场景和请求结果场景,得到相应的授权状态; 如果没有发现预定义场景或中间场景,则授权状态设为T ;
执行控制阶段,包括访问请求操作的执行过程及执行控制过程状态的判定,产生的结果存储在执行状态变量中;
事后响应阶段,执行状态被传递给事后响应函数,评估事后场景信息,评估结果存储在相应的状态变量中,如果未发现事后场景信息,其状态变量直接被设置为T。前述的一种基于场景的混合入侵检测方法中,审计数据即入侵检测系统的输入数据,其格式由入侵检测系统所处网络中的位置决定,包括RTU控制器、DCS/SCADA软件、历史数据库、应用日志和IP数据包的输出数据。前述的一种基于场景的混合入侵检测方法中,如果步骤S3不能完全确定可疑入侵事件为入侵事件,就将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生;所述动态可信度量模块通过TPM (安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量,将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用 TPM进行硬件级别的保护。前述的一种基于场景的混合入侵检测方法中,安全管理平台接收到报警信息后, 确定报警级别,识别安全设备水平,对攻击源进行跟踪,将报警和审计记录保存到日志文件中,并根据安全事件结果对安全数据库、安全规则/策略进行更新。实现前述方法的一种基于场景的混合入侵检测系统,包括入侵检测系统和安全管理平台;入侵检测系统包括
数据采集模块,用于访问请求操作开始时,采集审计数据; 入侵检测模块,用于分析采集的审计数据,检测其是否是入侵事件; 通讯接口,用于入侵检测模块与数据采集模块进行双向通讯; 报警响应模块,用于入侵事件发生时,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示;
和安全管理模块,用于对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警相应模块发送的安全更新信息;
安全管理平台包括安全数据库、通讯接口、数据调度及分析引擎和人机界面。其中,安全数据库是包含各种类型的数据源信息,例如,正常的用户行为,主要用在异常检测中;入侵特征和入侵场景,它们描述了攻击者使用的渗透目标系统的已知技术;用于监视和记录用户行为的应用审计记录;其他安全设备所产生的攻击报告,单一的安全设备通常无法检测到特洛伊木马或其他篡改软件的攻击,通过各安全设备的信息共享及入侵报告的相关融合,有助于检测和防御网络和域边界的复杂入侵;定制的各种策略,包括访问控制策略、预报方法策略、报警响应策略、应用行为的调整策略、正常行为模式的调整策略等。前述的一种基于场景的混合入侵检测系统中,入侵检测模块包括 标准化模块,用于将审计数据转换为系统可识别的标准格式;
数据预处理模块,用于根据访问控制策略及相关应用场景信息,提取审计数据的特
征;
预报模块,用于根据审计数据的特征,应用组合的预报方法预报可疑入侵事件; 和决策模块,用于结合可疑入侵事件和告警关联信息,计算,确定入侵事件。前述的一种基于场景的混合入侵检测系统中,入侵检测系统还包括基于TPM的动态可信度量模块;当决策模块不能完全确定可疑入侵事件为入侵事件时,决策模块将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,对入侵检测系统各模块进行可信度量,验证是否有入侵事件发生。所述动态可信度量模块通过TPM (安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量, 将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用TPM进行硬件级别的保护。与现有技术相比,本发明采用特定应用场景作为数据源来检测用户的动机,不但可以用来检测入侵和异常行为,还能够处理内部攻击、系统故障、硬件退化、异常环境条件及意外误用操作等,非常适用于工业控制领域的安全防御。本发明采用基于访问控制机制及混合入侵预报的灵活架构,采用动态的入侵检测策略,而不是不变的内建算法,大大增加了系统的鲁棒性,使得细粒度的入侵行为检测成为可能,能够检测复杂的攻击,提高了入侵检测的准确率。目前有多种攻击预报方法,如时间序列分析法、概率模型法、数据挖掘法等,它们各有优劣。时间序列分析法能够跟踪观测流量的稳定变化趋势,但在流量发生突变的情况下,预报就不准确;同时使用这种方法预测入侵,需要确定一个阈值,当观测流量大于指定的阈值时,可认为是入侵,但阈值的确定非常困难。概率模型法通过计算网络中特定事件的概率分布来预测入侵发生的可能性,比较常用的如马尔可夫链模型和贝叶斯方法,它们的缺点是很难获取或计算先验网络状态分布及各状态之间的转换概率。数据挖掘方法能够提取隐含在大型数据库或数据集中未知的潜在的信息,挖掘出网络状态变化中各种变量的相关性,来发现入侵,但是大多数数据挖掘方法计算量比较大、算法比较复杂,如神经网络、支持向量机等,而且其结果往往不能形象化描述当时的网络状况。由于攻击变得越来越复杂和多样化,而且现有的各种预报技术各有利弊,采用单一的预报方法很难检测,会增加唉虚警概率,因此采用组合后的预报方法,能够实现在危害发生之前的快速入侵报警,提高预警能力,降低了误警、虚警率。采用基于应用场景自适应调整预报策略,根据网络攻击或攻击的可能性来动态调整防御策略,该策略就是选取合适的信息,作为评估场景来激活或关闭特定的策略项,用于调整对应用目标的访问,该安全策略可以完成对一些实时攻击方法的检测,提高了入侵检测的准确率。动态可信度量模块通过TPM和传统硬件重新设计可信BIOS,使得安全芯片能在系统启动过程中对各模块进行信任度量;将可信度量从BIOS启动静态度量扩展到进程及模块的度量,并利用TPM进行硬件级别的保护,属于系统物理层安全防护,可以防止内部攻
击ο
图1是本发明实施例的结构示意图2是本发明实施例的访问控制策略过程示意图; 图3是本发明实施例的审计数据构成示意图; 图4是本发明实施例的入侵检测模块的行为结构图; 图5是混合入侵检测的基本原理图。下面结合附图和具体实施方式
对本发明作进一步的说明。
具体实施例方式
具体实施例方式一种基于场景的混合入侵检测方法,包括以下步骤
Si,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特
征;
S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件,其中预报方法可以采用时间序列分析法、概率模型法、数据挖掘法等方法组合使用;
S3,结合可疑入侵事件和告警关联信息,根据统计规律、学习机制或专家判别方法来确定入侵事件;
S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。 相比于IT系统来说,控制系统具有相对简单的拓扑、稳定的用户群、常规的通讯模式及有限的通讯协议,因此实现基于网络的入侵检测、异常检测及白名单系统比信息系统相对较容易,但是它与信息系统最大的不同是控制系统与物理世界的交互。一般IT系统的安全研究主要集中在信息保护,但是它并没有考虑攻击对计算及控制算法的影响,进而对物理系统的影响。对于工业控制系统来说,除了传统的基于特征的入侵检测,基于异常的入侵检测应用一个物理系统的模型来代替传统的网络流量或软件行为。工业控制网络中普遍使用的SCADA系统中,主要的攻击类型如表1所示。 表1 针对SCADA系统主要的攻击类型
权利要求
1.一种基于场景的混合入侵检测方法,其特征在于,包括以下步骤Si,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特征;S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件; S3,结合可疑入侵事件和告警关联信息,确定入侵事件;S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。
2.根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于,所述相关应用场景信息是对系统当前状态和功能的所有信息的描述;所述相关应用场景信息包括预定义场景,用于描述赋予访问请求的操作所要满足的条件;请求结果场景,用于激活访问请求的是接受或拒绝的行为;中间场景,用于定义访问请求的操作在执行过程中必须满足的条件;事后场景,用于定义访问请求的操作执行后所要满足的条件,并激活事后要执行的动作。
3.根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于所述访问控制策略是对受保护目标的访问请求的管理,该策略执行过程分为4个连续阶段,每一个阶段仅定义策略库中特定的子集,每一个阶段都有一个标示结果的状态标志(即授权状态),该标志包括授权(T:True)、未授权(F:False)和不确定(U:Uncertain)。
4.根据权利要求2或3所述的一种基于场景的混合入侵检测方法,其特征在于,所述策略执行过程包括访问控制阶段,开始于一个三元组的访问请求命令,即访问目标、访问请求的操作和场景信息,执行系统通过系统调用来获得与目标相联系的安全策略,如果没有发现相应的安全策略,则授权状态被设置为F,访问请求被拒绝;授权核对阶段,通过函数调用评估预定义场景和请求结果场景,得到相应的授权状态; 如果没有发现预定义场景或中间场景,则授权状态设为T ;执行控制阶段,包括访问请求操作的执行过程及执行控制过程状态的判定,产生的结果存储在执行状态变量中;事后响应阶段,执行状态被传递给事后响应函数,评估事后场景信息,评估结果存储在相应的状态变量中,如果未发现事后场景信息,其状态变量直接被设置为T。
5.根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于审计数据即入侵检测系统的输入数据,其格式由入侵检测系统所处网络中的位置决定,包括RTU控制器、DCS/SCADA软件、历史数据库、应用日志和IP数据包输出数据。
6.根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于如果步骤 S3不能完全确定可疑入侵事件为入侵事件,就将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生。
7.根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于安全管理平台接收到报警信息后,确定报警级别,识别安全设备水平,对攻击源进行跟踪,将报警和审计记录保存到日志文件中,并根据安全事件结果对安全数据库、安全规则/策略进行更新。
8.实现权利要求1 7所述方法的一种基于场景的混合入侵检测系统,其特征在于, 包括入侵检测系统和安全管理平台;入侵检测系统包括数据采集模块,用于访问请求操作开始时,采集审计数据; 入侵检测模块,用于分析采集的审计数据,检测其是否是入侵事件; 通讯接口,用于入侵检测模块与数据采集模块进行双向通讯; 报警响应模块,用于入侵事件发生时,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示;和安全管理模块,用于对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警相应模块发送的安全更新信息;安全管理平台包括安全数据库、通讯接口、数据调度及分析引擎和人机界面。
9.根据权利要求8所述的一种基于场景的混合入侵检测系统,其特征在于,入侵检测模块包括标准化模块,用于将审计数据转换为系统可识别的标准格式;数据预处理模块,用于根据访问控制策略及相关应用场景信息,提取审计数据的特征;预报模块,用于根据审计数据的特征,应用组合的预报方法预报可疑入侵事件; 和决策模块,用于结合可疑入侵事件和告警关联信息,确定入侵事件。
10.根据权利要求9所述的一种基于场景的混合入侵检测系统,其特征在于入侵检测系统还包括基于TPM的动态可信度量模块,它通过TPM (安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量,将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用 TPM进行硬件级别的保护,当决策模块不能完全确定可疑入侵事件为入侵事件时,决策模块将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生。
全文摘要
本发明公开了一种基于场景的混合入侵检测方法及系统,所述方法包括以下步骤S1,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特征;S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件;S3,结合可疑入侵事件和告警关联信息,确定入侵事件;S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。本发明能提高入侵检测的准确率,对系统物理层进行安全防护,防止系统内部攻击。
文档编号H04L29/06GK102546638SQ20121000870
公开日2012年7月4日 申请日期2012年1月12日 优先权日2012年1月12日
发明者于立业, 张云贵, 张伟, 王丽娜, 赵华, 赵永丽 申请人:冶金自动化研究设计院