專利名稱:入侵檢測方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及例如IP網(wǎng)絡(luò)的通信系統(tǒng)領(lǐng)域��,更具體地��,涉及用于在這種通信系 統(tǒng)中檢測入侵的系統(tǒng)和方法���。
背景技術(shù):
網(wǎng)絡(luò)在信息系統(tǒng)中的快速增長已經(jīng)引起對諸如NIDS(網(wǎng)絡(luò)入侵檢測系統(tǒng))��、 HIDS (主機入侵檢測系統(tǒng))的IDS (入侵檢測系統(tǒng))和NIPS (網(wǎng)絡(luò)入侵防御系統(tǒng))的日益關(guān) 注,其中NIPS結(jié)合了防火墻和NIDS�����。計算機網(wǎng)絡(luò)必須被保護以免受DoS (拒絕服務(wù))攻擊�、未授權(quán)的信息披露或操縱以 及數(shù)據(jù)的修改或破壞���。同時,必須提供關(guān)鍵信息系統(tǒng)的可用性����、機密性和完整性��。據(jù)報道����,在2004年已經(jīng)有10�����,000種新病毒或已有病毒的變種�����,每小時有至少一次 新攻擊(Kay,"Low volume viruses :new tools for criminals����,���,, Network Secur. 6, 2005, 第16-18頁)�����。2001年�,紅色蠕蟲代碼在不到14小時內(nèi)傳播到超過359����,000臺因特網(wǎng)主機 (Moore 等���,"Code Red :acase study on the spread and victims of internet worm,���,����, Proceeding of thesecond ACM Internet measurement workshop,2002)�。在 2003 年��, SQLSlammer蠕蟲在不到30分鐘內(nèi)傳播超過75,000臺主機�,其中90%的主機在10分鐘內(nèi)被 感染(Moore 等,"The spread of the sapphire/slammer wormtechnical report����,��,��,CAIDA 技術(shù)報告�,2003年)。2002年��,美國聯(lián)邦調(diào)查局調(diào)查報告說外部黑客成功攻擊的平均成本 是56�����,000美元�,而成功內(nèi)部人員攻擊的平均成本被報道為270萬美元(Power "2002CSI/ FBI computercrime and security survey”,計算機安全問題和趨勢,第八卷第一篇���,2002 年春)����。IDS通常指定一些具有檢測��、識別和響應(yīng)目標(biāo)系統(tǒng)上未授權(quán)或異常的活動的軟件����。傳統(tǒng)地,IDS在設(shè)計上被集中化��,集中式IDS通常安裝在網(wǎng)絡(luò)的阻塞點�����,例如網(wǎng)絡(luò) 服務(wù)提供商網(wǎng)關(guān)��,并利用在物理上集成在單個處理單元內(nèi)的集中式應(yīng)用以獨立模式運行�。 也存在分布式IDS����,其包括部署在大型網(wǎng)絡(luò)的不同區(qū)域上的多個傳感器,所有這些傳感器最 終向聚集信息并進行處理的中央服務(wù)器報告��。IDS的目的是區(qū)分入侵者和正常用戶。IDS的目標(biāo)是提供一種用于實時或批量檢 測安全違背的機制。違背通過外部人員企圖闖入系統(tǒng)或者內(nèi)部人員企圖濫用其特權(quán)而啟動�����。IDS所執(zhí)行的主要功能是監(jiān)控并分析用戶和系統(tǒng)活動���,評估關(guān)鍵系統(tǒng)或數(shù)據(jù)文 件的完整性����,識別反映已知攻擊的活動模式���,自動響應(yīng)所檢測的活動���,以及報告檢測處理的結(jié)果�。入侵檢測可根據(jù)檢測方法劃分為三種類型濫用檢測����、異常檢測和數(shù)據(jù)挖掘。混合 入侵方法也是已知的���,其同時結(jié)合了兩種方法����。已知如KDD-99���,用于比較檢測方法的標(biāo)簽數(shù) 據(jù)集已由國際知識發(fā)現(xiàn)與數(shù)據(jù)發(fā)掘工具競賽提供���。濫用檢測致力于搜索已知攻擊的蹤跡或模式。濫用檢測系統(tǒng)試圖將計算機活動與所存儲的已知的利用或攻擊的簽名進行匹配�。它使用攻擊的先驗知識以查找攻擊蹤跡。換 句話說���,濫用檢測是指使用已知的系統(tǒng)入侵或弱點的模式(例如�,具有緩沖器溢出漏洞的 系統(tǒng)實用程序)以匹配和識別入侵����。 攻擊動作的順序、危害系統(tǒng)安全的條件以及入侵后遺留的證據(jù)(例如��,損害或系 統(tǒng)日志)可用多個通用模式匹配模型表示����。這些模式匹配模型將已知的簽名編碼為模式, 接著這些模式與審計數(shù)據(jù)進行匹配。模式匹配常常是指模糊邏輯和人工智能技術(shù)����,如神經(jīng) 網(wǎng)絡(luò)��。例如�����,NIDES (下一代入侵檢測專家系統(tǒng))使用規(guī)則以描述攻擊動作,STAT (狀態(tài)轉(zhuǎn) 移分析工具)使用狀態(tài)轉(zhuǎn)移圖以模擬系統(tǒng)的一般狀態(tài)和訪問控制違背����,IDIOT (現(xiàn)代入侵檢 測)使用彩色網(wǎng)格以將入侵簽名表示為目標(biāo)系統(tǒng)上的事件序列。濫用檢測系統(tǒng)的主要優(yōu)點在于一旦已知的入侵的模式被存儲��,這些入侵的未來 實例可被有效地檢測����。然而�����,新發(fā)明的攻擊將可能不被檢測到����,導(dǎo)致不可接受的漏報率�。盡管濫用檢測被 假定為比異常檢測更準(zhǔn)確���,但這種技術(shù)的主要缺陷是創(chuàng)建包含入侵和非入侵活動的最有可 能的變異的簽名。異常檢測使用正常用戶或系統(tǒng)行為的模型(用戶和系統(tǒng)簡檔)�,并將偏離該模型 的重大偏差標(biāo)記為潛在惡意。例如����,在用戶登錄會話期間的CPU使用率和系統(tǒng)命令的頻率 是包含在用戶簡檔中的統(tǒng)計參數(shù)�����。偏離簡檔的偏差可以被計算為要素統(tǒng)計的偏差的加權(quán) 禾口�。異常檢測系統(tǒng)的主要優(yōu)點在于其能夠檢測未知的入侵,因為這種系統(tǒng)不需要特定 入侵的先驗知識����。然而,定義并維護正常簡檔是不平凡并易出錯的任務(wù)��,導(dǎo)致有時出現(xiàn)不可接受的
故障警報等級����。許多近來的IDS方法已經(jīng)利用數(shù)據(jù)挖掘技術(shù)����,例如CMDS (計算機濫用檢測系統(tǒng))����、 IDES (入侵檢測專家系統(tǒng))���、MIDAS (多入侵檢測和報警系統(tǒng))���?�;跀?shù)據(jù)挖掘的IDS從傳感器收集數(shù)據(jù)�,諸如例如從Cyber-Patrol公司可獲得的 傳感器�。傳感器監(jiān)控系統(tǒng)的某些方面����,諸如網(wǎng)絡(luò)活動性、由用戶進程使用的系統(tǒng)呼叫�����、文件 系統(tǒng)訪問。傳感器從正被監(jiān)控的原始數(shù)據(jù)流中提取預(yù)測特征以產(chǎn)生可用于檢測的格式化數(shù) 據(jù)���。對于基于網(wǎng)絡(luò)的攻擊系統(tǒng)�����,JAM使用頻繁情節(jié)挖掘��,其在網(wǎng)絡(luò)中生成特定節(jié)點的正 常使用模式。這些模式被用于建立確定網(wǎng)絡(luò)節(jié)點的異常的基本分類器。為了確保正確的分 類����,應(yīng)當(dāng)為分類器的學(xué)習(xí)階段收集足夠量的正常和異常數(shù)據(jù)�。一組基本分類器可用于建立 元分類器,因為每個基本分類器監(jiān)控網(wǎng)絡(luò)的不同節(jié)點����,該網(wǎng)絡(luò)的入侵可由元分類器結(jié)合其 基本分類器的結(jié)果而檢測��。IDS根據(jù)其分析的審計資源位置的類型來分類���。大多數(shù)IDS被分類為用于識別并轉(zhuǎn)移攻擊的基于網(wǎng)絡(luò)的入侵檢測或者基于主機 的入侵檢測方法�����。當(dāng)IDS在網(wǎng)絡(luò)流中查找這些模式時,其被分類為基于網(wǎng)絡(luò)的入侵檢測�����?��;诰W(wǎng)絡(luò)的IDS分析在網(wǎng)絡(luò)上捕獲的網(wǎng)絡(luò)分組���。作為例子��,SNORT是開源網(wǎng)絡(luò)入侵檢測系統(tǒng)���,其能夠執(zhí)行實時流量分析和分組登錄IP網(wǎng)絡(luò)����。SNORT不能自動生成入侵模 式��。專家必須首先分析并分類攻擊分組,并對相應(yīng)的用于濫用檢測的模式和規(guī)則進行手編 程序��。模式的數(shù)量不斷在增長,在當(dāng)前SNORT版本中已經(jīng)超過2100種�����。當(dāng)IDS在日志文件中查找攻擊簽名時��,其被分類為基于主機的入侵檢測����?��;谥鳈C的IDS系統(tǒng)被本地安裝在主機機器上�。基于主機的IDS分析主機邊界審計資源����,諸如操 作系統(tǒng)審計痕跡�����、系統(tǒng)日志和應(yīng)用日志�。換句話說����,基于主機的IDS系統(tǒng)評估活動�����,并訪問 放置有基于主機的IDS的關(guān)鍵服務(wù)器�。當(dāng)前IDS已經(jīng)致力于使用歷史模式來識別攻擊��。但是在使用新的模式或者不采用 模式識別攻擊方面存在困難。使用基于規(guī)則的方法�,諸如USTAT(用于UNIX的狀態(tài)轉(zhuǎn)移分 析工具)、NADIR(網(wǎng)絡(luò)異常檢測和入侵報告)和W&S(智慧與感知)�����,攻擊序列中輕微的變 化能夠影響活動規(guī)則比較�,以致入侵不能被入侵檢測機制檢測到����。兩種類型的錯誤導(dǎo)致引起不可避免的IDS成本。這些錯誤包括IDS中誤報錯誤 (false positive error)禾口漏 艮錯誤(false negative error)�����。由于IDS傳感器將正常分組或者活動曲解為攻擊,因此發(fā)生誤報錯誤����。由于攻擊 者被誤分類為正常用戶��,因此發(fā)生漏報錯誤。估計IDS報告的多達(dá)99%的警報與安全問題無關(guān)(Julish��,“Using rootcause analysis to handle intrusion detection alarm”����,多特蒙德大學(xué)博士論文���,2003年��,第一 頁)。原因包括以下方面�。首先,在許多情況下,入侵與正?;顒觾H有輕微的不同。由于苛 刻的實時要求��,IDS不能夠分析所有活動的上下文到所要求的程度�。第二,書寫IDS的簽名 是非常困難的任務(wù)�。在某些情況下��,很難在極度特定的簽名(其不能夠捕獲所有攻擊或其 變異)和極度普通的信號(其將合法動作識別為入侵)之間確定恰當(dāng)?shù)钠胶?��。第三����,在?些環(huán)境中正常的動作在其它環(huán)境中可能是惡意的�。第四,假定每天分析包含二十個入侵分 組的一百萬個分組,1. 0的理想檢測率和非常低的10-5級誤報率導(dǎo)致10個誤報��,即����,貝葉斯 正確檢測率僅有66%����。這些誤報入侵警報是關(guān)鍵問題,其抑制實際入侵事件的評估和解決��。這個數(shù)量的 誤報對任何在入侵警報之后的關(guān)聯(lián)進程有重大的負(fù)面影響,無論該進程是基于自動還是人 工的。實際上��,本領(lǐng)域有關(guān)入侵檢測的研究狀況已經(jīng)證明巨量的誤報警報極大地降低了試 圖鏈接幾個警報以檢測多步復(fù)雜攻擊的自動關(guān)聯(lián)引擎的性能(Ning等����,“Learning attack strategiesfrom intrusion alert”��,關(guān)于計算機與通信安全的ACM會議,2003年)。如果人類專家執(zhí)行該關(guān)聯(lián)�,則大量的誤報警報會使其分心,因為他試圖檢測危險 的攻擊���。這使得發(fā)現(xiàn)真實的入侵更加困難�。為了給出真實的例子���,多達(dá)10G字節(jié)的安全日志每天由大約15個傳感器生成�����。在 關(guān)聯(lián)之后�����,每天大約100個警報被傳送到安全管理系統(tǒng)�,在由人類專家分析后,每天僅有十 個情形被認(rèn)為是“看起來危險”����。已經(jīng)提出各種方案以解決降低入侵警報誤報的問題���。這些方案中的大多數(shù)與報警關(guān)聯(lián)有關(guān)�。關(guān)聯(lián)技術(shù)可以被分類為若干類型���。首先�����, 關(guān)聯(lián)裝置集合與同一個危險事件(即��,同一個攻擊)有關(guān)的幾個入侵警報�。第二裝置集合 幾個與幾個危險事件有關(guān)的入侵警報以便確定復(fù)雜攻擊是否在網(wǎng)絡(luò)內(nèi)正在進行���。盡管報警關(guān)聯(lián)的鼓動者已首先期望可降低誤報警報的數(shù)量�����,但現(xiàn)在���,已知誤報警報抑制共同的關(guān)聯(lián)引擎的性能(Ning 等���,“Learning attackstrategies from intrusion alert",有關(guān)計算機與通信安全的ACM會議�����,2003年)。另外,該關(guān)聯(lián)已經(jīng)成為計算機的耗 時任務(wù)�����,其通過誤報泛濫將關(guān)聯(lián)系統(tǒng)暴露給DoS攻擊���。另一種降低誤報警報的方法包括使用體系結(jié)構(gòu)(例如網(wǎng)絡(luò)拓?fù)?、已知的現(xiàn)有弱點)的上下文信息以確定攻擊是否有某些機會成功����,并指出真實入侵的可能性��。這種技術(shù) 與警報驗證的概念有關(guān)�。在文獻中,存在兩種類型的警報驗證主動的和被動的��。主動警報驗證使用在警報已經(jīng)出現(xiàn)后收集的信息以確定該攻擊是否成功����,而被動 驗證使用體系結(jié)構(gòu)安全的先驗信息以確定該攻擊是否有機會成功。現(xiàn)有的被動驗證系統(tǒng)使用體系結(jié)構(gòu)安全的靜態(tài)知識�,并且不衡量它����。這可導(dǎo)致警報被誤分類為誤報,并進而產(chǎn)生漏報(警報不是針對真實攻擊生成���,并且被分類為誤報)�。在另一個方面,現(xiàn)有的主動警報驗證系統(tǒng)是基于可證明攻擊成功的信息(即,與通常由IDS/IPS使用的攻擊簽名相比的入侵的簽名)的后驗(在入侵警報已經(jīng)發(fā)布后)收 集��。在這種情況下�����,主要問題是驗證可在攻擊者已經(jīng)掩蓋了其入侵的蹤跡后發(fā)生。
發(fā)明內(nèi)容
鑒于傳統(tǒng)的系統(tǒng)和方法的上述和其它問題�����,本發(fā)明的一個目的是提供一種用于在入侵檢測系統(tǒng)中過濾誤報警報的有效方法�。在本發(fā)明的第一個方面���,提供一種入侵檢測方法,用于檢測網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未 授權(quán)使用或異?���;顒樱摲椒òㄒ韵虏襟E對與目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建所定 義的前提(defined precondition)����;創(chuàng)建與所述所定義的前提對應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn) (assurancereference)�����;捕獲與目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)�����,例如,網(wǎng)絡(luò)數(shù)據(jù)、類似日志的數(shù)據(jù)�,有利地����,該捕獲步 驟實時地進行����;將所捕獲的數(shù)據(jù)與攻擊簽名進行比較,以在所捕獲的數(shù)據(jù)與至少一個攻擊簽名匹 配時����,生成至少一個安全警報;根據(jù)目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)�,用于定義與所述所定義的前提對應(yīng)的保障基 準(zhǔn);將根據(jù)目標(biāo)邊界的保障監(jiān)控發(fā)布的數(shù)據(jù)(例如����,體系結(jié)構(gòu)單元的配置文件)與保 障基準(zhǔn)進行比較����,以在所述根據(jù)保障監(jiān)控發(fā)布的數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障 fn息�;獲取所生成的安全警報的前提��;檢查與所述前提對應(yīng)的保障信息是否已被獲?��。划?dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配時��,生成 驗證后的安全警報�����;當(dāng)所述安全警報的所獲取的前提與至少一個對應(yīng)的保障信息之間沒有發(fā)現(xiàn)匹配 時��,過濾所述安全警報���;當(dāng)對該警報沒有獲取前提和/或與所述前提對應(yīng)的保障基準(zhǔn)沒有被定義時����,發(fā)出未經(jīng)驗證的安全警報����。前提的定義可以使用諸如Lambda的攻擊語言描述進行��。使用Lambda語言的 攻擊描述的例子可以例如在Cuppens等所著的“Alert Correlation ina Cooperative Intrusion Detection Framework,�, (Proceedings of the 2002IEEE Symposium on security and privacy)中找至Ij0“每個漏洞的前提”指出允許利用一個漏洞的目標(biāo)系統(tǒng)的未授權(quán)或異常使用的方 段。換句話說,如果對于攻擊,系統(tǒng)缺點(例如,代碼錯誤)可被利用�,則這種缺點就是漏洞���?����!懊總€攻擊的前提”指出具有簽名并利用幾個漏洞的攻擊的前提。換句話說�,如果 各種系統(tǒng)形式缺陷(例如,代碼錯誤)可被具有簽名的攻擊使用�����,則這些形式缺陷都是漏 洞。有利地�����,在檢測漏洞警報(例如�����,CERT警報)后�����,進行強化(enrichment)過程,所 述強化過程包括對所述新漏洞的每一個或利用一個或多個漏洞的攻擊定義將被監(jiān)控的保 障基準(zhǔn)��;對所述新漏洞的每一個或利用一個或多個漏洞的攻擊定義安全事件;以及對所述 安全事件定義前提�?��!袄靡粋€或多個漏洞的攻擊”包括至少一個新漏洞和已被處理的漏洞的組合。有利地,使用自動算法以相關(guān)引擎可理解的語言轉(zhuǎn)換漏洞警報���。在本發(fā)明的另一個方面��,提供一種入侵檢測系統(tǒng)��,用于檢測網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未 授權(quán)使用或異?;顒樱撓到y(tǒng)包括用于對與目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建 所定義的前提的裝置����;用于創(chuàng)建與所述所定義的前提對應(yīng)并考慮所述目標(biāo)邊界的保障基準(zhǔn)的裝置��;用于捕獲與目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的嗅探器���;用于將所捕獲的數(shù)據(jù)與攻擊簽名進行比較�����,以在所捕獲的數(shù)據(jù)與至少一個攻擊簽 名匹配時,生成至少一個安全警報的裝置���;用于根據(jù)目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的裝置����;用于將根據(jù)目標(biāo)邊界的保障監(jiān)控發(fā)布的數(shù)據(jù)與保障基準(zhǔn)進行比較��,以在所述根據(jù) 保障監(jiān)控發(fā)布的數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障信息的裝置�;用于獲取所生成的安全警報的前提的裝置��;用于檢查與所述前提對應(yīng)的保障信息是否已被獲取的裝置;其中��,當(dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配 時�����,所述系統(tǒng)生成驗證后的安全警報�����;當(dāng)所述安全警報的所獲取的前提與至少一個對應(yīng)的保障信息之間沒有發(fā)現(xiàn)匹配 時���,所述系統(tǒng)過濾所述安全警報�;當(dāng)對該警報沒有獲取前提和/或與所述前提對應(yīng)的保障基準(zhǔn)沒有被定義時,所述 系統(tǒng)發(fā)出未經(jīng)驗證的安全警報��。在本發(fā)明的另一個方面中��,提供一種包括計算機可用媒體的計算機程序產(chǎn)品����,所 述媒體存儲有用于使計算機檢測網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動的控制邏輯����,所 述控制邏輯包括_用于對與所述目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建所定義的前提的第一計算機可讀程序代碼�;-用于創(chuàng)建與所述所定義的前提對應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)的第二計算機可 讀程序代碼�;-用于捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的第三計算機可讀程序代碼��;-用于將所捕獲的數(shù)據(jù)與攻擊簽名比較,以在所捕獲的數(shù)據(jù)與至少一個攻擊簽名匹配時,生成至少一個安全警報的第四計算機可讀程序代碼;-用于根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的第五計算機可讀程序代碼;-用于將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)出的保障數(shù)據(jù)與保障基準(zhǔn)比較���,以在根 據(jù)保障監(jiān)控發(fā)出的所述數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障信息的第六計算機可讀 程序代碼;_用于獲取所生成的安全警報的前提的第七計算機可讀程序代碼�����;_用于檢查與所述前提對應(yīng)的保障信息是否已被獲取的第八計算機可讀程序代 碼�����;其中�����,所述計算機程序產(chǎn)品-當(dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配時,生 成驗證后的安全警報;-當(dāng)所述安全警報的所獲取的前提與至少一個對應(yīng)的保障信息之間沒有發(fā)現(xiàn)匹配 時�,過濾所述安全警報�;-當(dāng)對該警報沒有獲取前提和/或與所述前提對應(yīng)的保障基準(zhǔn)沒有被定義時���,發(fā) 出未經(jīng)驗證的安全警報。通過結(jié)合附圖考慮優(yōu)選實施例的詳細(xì)說明��,本發(fā)明的上述和其它目的和優(yōu)點將變 得明顯。
圖1是根據(jù)本發(fā)明的入侵檢測系統(tǒng)的示意圖�����。
具體實施例方式信息流(漏洞的保障方面)從漏洞數(shù)據(jù)庫1開始��,漏洞數(shù)據(jù)庫1可由CERT(計算 機應(yīng)急響應(yīng)小組)建立或由專家根據(jù)其知識和CERT所發(fā)布的信息建立。轉(zhuǎn)換/強化模塊2能夠定義度量(metrics)的保障基準(zhǔn)3����,度量是負(fù)責(zé)觀察目標(biāo)邊 界的監(jiān)控探測器�����,以便檢查安全策略是否已被應(yīng)用,并還驗證安全機制根據(jù)所述策略被激 活并運行����?��?紤]用于安全保障的可測量數(shù)據(jù)4的范圍和CERT漏洞數(shù)據(jù)庫1,模塊2定義將被 度量為了安全保障目的而監(jiān)控的保障基準(zhǔn)3����。安全保障,也稱為SCC (安全順應(yīng)性和一致性) 是實體滿足組織的AR(保障基準(zhǔn))的信心的基礎(chǔ)�。漏洞一被公開���,該過程就能夠生成先驗保障基準(zhǔn)��。從CERT數(shù)據(jù)庫1開始���,另一個信息流(漏洞的安全方面)被轉(zhuǎn)發(fā)到強化模塊5�����,用 于安全關(guān)聯(lián)目的�����。模塊5使用IDS/IPS/探測器簽名數(shù)據(jù)庫6作為輸入以定義與每個CERT漏洞有關(guān)的前提和后置條件7�����。兩個基于CERT的轉(zhuǎn)換/強化過程2���、5都能通過使用自動算法來進行�����,CERT警報 被轉(zhuǎn)換成關(guān)聯(lián)引擎可理解的語言���,或通過人工轉(zhuǎn)換CERT警報��。前提的定義可以使用諸如Lambda的攻擊語言描述進行���。使用Lambda語言的攻 擊描述的例子可以在例如Cuppens等人所著的“AlertCorrelation in a Cooperative Intrusion Detection Framework,��,(Proceedings of the 2002 IEEE Symposium on security and privacy, http://41x. free, fr/articles/cm02. pdf)中找至丨J�����。該轉(zhuǎn)換/強化過程可以在IETF(互聯(lián)網(wǎng)工程任務(wù)組)被標(biāo)準(zhǔn)化,例如在入侵檢測 工作組��。模塊8查找處理安全事件前提7的保障基準(zhǔn)3����。如果某些安全事件前提7沒有被 保障基準(zhǔn)數(shù)據(jù)庫3覆蓋,則模塊9將其定義到數(shù)據(jù)庫10中。這有利于獲得將用于誤報降低 的一組完整的保障基準(zhǔn)。某些安全裝置11���,如IDS或防火墻���,監(jiān)督目標(biāo)邊界12���。同時�,安全保障度量13也 監(jiān)督同一目標(biāo)邊界12。安全軟件或裝置11基于已知的攻擊簽名生成安全警報14�,而保障度量13基于保 障基準(zhǔn)數(shù)據(jù)庫3生成保障信息15。安全警報14和保障信息15被發(fā)送到驗證模塊16�����。安全警報14 一生成,驗證模塊16就獲取特定安全警報14的前提,并檢查對應(yīng)的 保障信息是否也已被獲取�����。如果安全警報及其前提與一個或多個保障信息匹配����,則該警報被認(rèn)為是可信的, 并生成驗證后的安全警報17����。如果現(xiàn)有的監(jiān)控精確邊界的保障度量沒有提供保障信息,而安全警報對于該邊界 被發(fā)出���,則該警報被認(rèn)為是不可信的�����,并被過濾18。最后��,如果安全警報在安全警報數(shù)據(jù)庫中是未知的和/或?qū)υ摼瘓蟛淮嬖诒U隙?量����,那么發(fā)出未經(jīng)驗證的安全警報19?����?梢酝ㄖ獙⑸院蟀惭b的SOC(安全操作中心����,例如,阿 爾卡特_朗訊的危險管理中心)將監(jiān)控并給出安全保障反饋的度量。由IDS和/或防火墻發(fā)出的安全警報在中間模塊(驗證模塊16)被過濾����,降低誤 報的數(shù)量��。通過用新型的安全保障信息強化現(xiàn)有的警報驗證�����,所提出的發(fā)明將降低誤報率��。Mi目標(biāo)系統(tǒng)被配置為處理SSH(安全外殼)連接。登錄被缺省設(shè)置為使用基于證書 的SSH認(rèn)證��,該信息被存儲在安全保障策略中�����。對應(yīng)的安全保障度量定期檢查SSH認(rèn)證是否仍在正確地工作�����。暴力攻擊由IDS檢測��。該攻擊只有在前提被驗證時才成功�����。前提是SSH連接必須 被設(shè)置為密碼認(rèn)證�����。當(dāng)該警報到達(dá)驗證模塊時,該模塊檢查“SSH認(rèn)證配置已變化”保障信息(從證書 認(rèn)證到密碼認(rèn)證)是否已被發(fā)出。如果已發(fā)出���,則該安全警報被認(rèn)為是關(guān)于保障上下文相 關(guān)�����,并發(fā)出驗證后的安全警報�。相反,如果沒有獲取對應(yīng)的保障信息����,則安全警報被認(rèn)為是 不相關(guān)的,并被過濾�。已知誤報警報降低關(guān)聯(lián)過程的性能、準(zhǔn)確性和相關(guān)性����。已知誤報警報抑制入侵告警關(guān)聯(lián)引擎的整體性能�,但是對于人工執(zhí)行安全事件的分析的安全專家,誤報警報也是重 要的問題�����。本發(fā)明通過使用安全保障(即��,配置一致性測量)以過濾(即,驗證)(由商用現(xiàn) 貨COTS IDS/IPS生成的)入侵警報,能夠降低誤報入侵警報的出現(xiàn)�����。這將使安全專家和入侵關(guān)聯(lián)引擎集中在真實警報上��,從而改善能力以更快并準(zhǔn)確 地理解攻擊的真正危險。另外����,保障基準(zhǔn)通過提取并強化CERT類警報的信息���,相對可檢測的IDS/IPS事件 的前提進行更新���。該階段可在IETF入侵檢測工作組被標(biāo)準(zhǔn)化��。本發(fā)明在被動驗證方法上的價值在于體系結(jié)構(gòu)的漏洞被連續(xù)地測量(主動和先 驗方法)����。與后驗方法相比,本發(fā)明通過在驗證過程已收集了入侵成功的線索之前覆蓋攻擊 者的蹤跡�����,極大地降低了攻擊者欺騙驗證系統(tǒng)的可能性�。換句話說�����,本發(fā)明產(chǎn)生了較少的漏 報。另外��,在本發(fā)明的方案中����,驗證在攻擊已發(fā)生之前執(zhí)行����。與入侵的線索在攻擊已發(fā) 生后收集的后驗驗證相比����,真實警報更快地出現(xiàn)。事實上,收集過程是耗時的。
權(quán)利要求
一種入侵檢測方法,用于檢測網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動��,包括以下步驟-對與所述目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建所定義的前提;-創(chuàng)建與所述所定義的前提對應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn);-捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)�����;-將所捕獲的數(shù)據(jù)與攻擊簽名進行比較,以在所捕獲的數(shù)據(jù)與至少一個攻擊簽名匹配時�,生成至少一個安全警報��;-根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)����;-將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進行比較���,以在根據(jù)保障監(jiān)控發(fā)布的所述數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障信息�����;-獲取所生成的安全警報的前提����;-檢查與所述前提對應(yīng)的保障信息是否已被獲?。?當(dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配時,生成驗證后的安全警報���;-當(dāng)所述安全警報的所獲取的前提與至少一個對應(yīng)的保障信息之間沒有發(fā)現(xiàn)匹配時�,過濾所述安全警報�����;-當(dāng)對該警報沒有獲取前提和/或與所述前提對應(yīng)的保障基準(zhǔn)沒有被定義時���,發(fā)出未經(jīng)驗證的安全警報��。
2.根據(jù)權(quán)利要求1的入侵檢測方法����,其中�,在檢測漏洞警報之后,進行強化過程����,所述 強化過程包括對所述新漏洞的每一個或利用一個或多個漏洞的攻擊(即,至少一個新漏 洞和已被處理的漏洞的結(jié)合)定義將被監(jiān)控的保障基準(zhǔn);對所述新漏洞的每一個或利用一 個或多個漏洞的攻擊定義安全事件���;以及對所述安全事件定義前提����。
3.根據(jù)權(quán)利要求2的入侵檢測方法,包括以關(guān)聯(lián)引擎可理解的語言轉(zhuǎn)換所述漏洞警報����。
4.一種入侵檢測系統(tǒng),用于檢測網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異?;顒樱╛用于對與所述目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建 所定義的前提的裝置�����;-用于創(chuàng)建與所述所定義的前提對應(yīng)并考慮目標(biāo)邊界的基準(zhǔn)的裝置����; -用于捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的嗅探器�;_用于將所捕獲數(shù)據(jù)與攻擊簽名進行比較���,以在所捕獲的數(shù)據(jù)與至少一個攻擊簽名匹 配時�,生成至少一個安全警報的裝置;-用于根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的裝置�����;_用于將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進行比較����,以在根 據(jù)保障監(jiān)控發(fā)布的所述數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障信息的裝置; _用于獲取所生成的安全警報的前提的裝置; -用于檢查與所述前提對應(yīng)的保障信息是否已被獲取的裝置���; 其中����,當(dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配時�����,所 述系統(tǒng)生成驗證后的安全警報;當(dāng)所述安全警報的所獲取的前提與至少一個對應(yīng)的保障信息之間沒有發(fā)現(xiàn)匹配時,所 述系統(tǒng)過濾所述安全警報�����;當(dāng)對該警報沒有獲取前提和/或與所述前提對應(yīng)的保障基準(zhǔn)沒有被定義時�,所述系統(tǒng) 發(fā)出未經(jīng)驗證的安全警報���。
5. 一種包括計算機可用媒體的計算機程序產(chǎn)品�,所述媒體存儲有用于使計算機檢測網(wǎng) 絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異?�;顒拥目刂七壿?,所述控制邏輯包括_用于對與所述目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建 所定義的前提的第一計算機可讀程序代碼�����;_用于創(chuàng)建與所述所定義的前提對應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)的第二計算機可讀程 序代碼��;-用于捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的第三計算機可讀程序代碼�����; _用于將所捕獲的數(shù)據(jù)與攻擊簽名進行比較����,以在所捕獲的數(shù)據(jù)與至少一個攻擊簽名 匹配時,生成至少一個安全警報的第四計算機可讀程序代碼���;-用于根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的第五計算機可讀程序代碼�; _用于將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進行比較����,以在根 據(jù)保障監(jiān)控發(fā)布的所述數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障信息的第六計算機可讀 程序代碼��;-用于獲取所生成的安全警報的前提的第七計算機可讀程序代碼�; -用于檢查與所述前提對應(yīng)的保障信息是否已被獲取的第八計算機可讀程序代碼; 其中�,所述計算機程序產(chǎn)品-當(dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配時,生成驗 證后的安全警報�;_當(dāng)所述安全警報的所獲取的前提與至少一個對應(yīng)的保障信息之間沒有發(fā)現(xiàn)匹配時, 過濾所述安全警報�;-當(dāng)對該警報沒有獲取前提和/或與所述前提對應(yīng)的保障基準(zhǔn)沒有被定義時���,發(fā)出未 經(jīng)驗證的安全警報。
全文摘要
用于檢測網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異?���;顒拥娜肭謾z測方法���,包括對與目標(biāo)系統(tǒng)有關(guān)的每個漏洞和/或利用一個或多個漏洞的每個攻擊創(chuàng)建所定義的前提;創(chuàng)建與所定義的前提對應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)�;捕獲與目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù);將所捕獲的數(shù)據(jù)與攻擊信號進行比較�,以在所捕獲的數(shù)據(jù)與至少一個攻擊信號匹配時,生成至少一個安全警報�;根據(jù)目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù);將根據(jù)目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進行比較�����,以在根據(jù)保障監(jiān)控發(fā)布的數(shù)據(jù)與至少一個保障基準(zhǔn)匹配時生成保障信息�;獲取所生成的安全警報的前提;檢查與前提對應(yīng)的保障信息是否已被獲?���?�;當(dāng)所生成的安全警報及其所獲取的前提與至少一個對應(yīng)的保障信息匹配時���,生成驗證后的安全警報;當(dāng)安全警報的所獲取的前提與至少一個對應(yīng)的保障信息不匹配時�����,過濾安全警報�;當(dāng)沒有獲取該警報的前提和/或沒有定義與前提對應(yīng)的保障基準(zhǔn)時�,發(fā)出未經(jīng)驗證的安全警報。
文檔編號H04L29/06GK101803337SQ200880107741
公開日2010年8月11日 申請日期2008年9月19日 優(yōu)先權(quán)日2007年9月19日
發(fā)明者A·西納雅, A·馬丁, L·可勒維, S·迪比 申請人:阿爾卡特朗訊公司