專利名稱:基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法和裝置涉及以交換功能為特征的網(wǎng)絡(luò),是一種防止未經(jīng)允許從數(shù)據(jù)傳輸信道取出數(shù)據(jù)的方法����,是一種用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDSNetwork Intrusion Detection System)的核心關(guān)鍵技術(shù)方法和裝置��。
背景技術(shù):
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)安裝在被保護(hù)的網(wǎng)段中���,通過(guò)將其抓包網(wǎng)卡設(shè)置為混雜模式,對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行捕獲�����、分析��,進(jìn)而對(duì)違犯正常行為規(guī)則的行為進(jìn)行響應(yīng)���、報(bào)警�����。目前NIDS普遍采用兩類技術(shù)進(jìn)行安全事件的檢測(cè)基于網(wǎng)絡(luò)數(shù)據(jù)特征的匹配技術(shù)和基于網(wǎng)絡(luò)流量行為的異常檢測(cè)技術(shù)�。傳統(tǒng)的檢測(cè)方法通常使用特征匹配的方式將網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包與攻擊特征庫(kù)進(jìn)行逐一匹配��,如果在網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)攻擊特征數(shù)據(jù)�����,則生成特征事件����,然后進(jìn)行事件告警(在此將所報(bào)警的事件稱之為網(wǎng)絡(luò)特征事件)。
特征匹配技術(shù)的缺點(diǎn)在于它只能對(duì)攻擊過(guò)程的片段進(jìn)行描述��,因此在檢測(cè)過(guò)程中也只能實(shí)現(xiàn)對(duì)于攻擊片段的檢測(cè)��,這在很大的程度上導(dǎo)致了誤報(bào)率和漏報(bào)率都十分高����,而且,這種檢測(cè)技術(shù)也無(wú)法實(shí)現(xiàn)對(duì)于未知特征攻擊的檢測(cè)�����,正因?yàn)閭鹘y(tǒng)的特征匹配技術(shù)存在著這些缺陷�,所以本文提出了一種新型檢測(cè)技術(shù)基于時(shí)間序列和事件序列的關(guān)聯(lián)分析檢測(cè)技術(shù)。這種檢測(cè)技術(shù)采用事件間的關(guān)聯(lián)分析的方法�,對(duì)于攻擊進(jìn)行基于行為過(guò)程的描述方式,以此提高了對(duì)于攻擊描述的全面性和準(zhǔn)確性�,提高NIDS系統(tǒng)的報(bào)警的準(zhǔn)確性,并能夠在很大程度上對(duì)未知類型的攻擊進(jìn)行檢測(cè)����。
在現(xiàn)有的NIDS產(chǎn)品中,存在著的關(guān)聯(lián)分析方法主要是簡(jiǎn)單的基于時(shí)間序列的以時(shí)間為主線的攻擊序列的檢測(cè)、另外一種就是簡(jiǎn)單地基于事件序列的報(bào)警事件之間的關(guān)聯(lián)方法�,這種關(guān)聯(lián)方法從本質(zhì)上說(shuō)屬于一維的分析技術(shù),即只存在時(shí)間維度或者事件維度�,所以這兩種技術(shù)存在著以下局限性1.單維度關(guān)聯(lián)過(guò)于簡(jiǎn)單,沒有同時(shí)考慮攻擊的時(shí)間序列特性和與之相關(guān)的事件序列特性�,所以對(duì)于復(fù)雜的攻擊仍然無(wú)法實(shí)現(xiàn)全面的準(zhǔn)確描述2.簡(jiǎn)單的基于事件序列的檢測(cè)方法無(wú)法準(zhǔn)確地區(qū)分攻擊事件之間的歸屬關(guān)系,只能通過(guò)IP對(duì)簡(jiǎn)單地對(duì)事件進(jìn)行粗粒度的關(guān)聯(lián)�����,無(wú)法將事件之間的聯(lián)系定位到基于四元組的會(huì)話級(jí)別���。
發(fā)明內(nèi)容
本發(fā)明的目的是設(shè)計(jì)一種針對(duì)復(fù)雜攻擊事件的描述和檢測(cè)方法���,該方法提供一種基于文本的對(duì)于復(fù)雜攻擊事件的描述語(yǔ)言,在單一攻擊事件的基礎(chǔ)上����,完成對(duì)于單一事件序列的基于時(shí)間序列的分析,并以此檢測(cè)網(wǎng)絡(luò)中發(fā)生的攻擊行為��,該描述方法提供簡(jiǎn)單易配置的用戶接口�����,使得用戶和開發(fā)人員可以現(xiàn)場(chǎng)修改內(nèi)置的關(guān)聯(lián)特征��,同時(shí)也可以現(xiàn)場(chǎng)添加新的關(guān)聯(lián)事件的特征����。
本發(fā)明所采取的技術(shù)方案是基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法,包括基礎(chǔ)事件規(guī)則庫(kù)�����、關(guān)聯(lián)分析規(guī)則庫(kù)���、一級(jí)檢測(cè)引擎��、關(guān)聯(lián)分析引擎����,運(yùn)行步驟定義基礎(chǔ)事件規(guī)則的步驟���;定義關(guān)聯(lián)分析規(guī)則的步驟�����;對(duì)符合關(guān)聯(lián)分析條件的基礎(chǔ)事件進(jìn)行檢測(cè)的步驟�����;對(duì)基礎(chǔ)事件進(jìn)行時(shí)間序列和事件序列的分析的步驟�;
報(bào)警的步驟。
所述的定義基礎(chǔ)事件規(guī)則的步驟中的子步驟定義各種單一攻擊事件片段行為的表現(xiàn)形式���、特征為基礎(chǔ)事件規(guī)則子步驟���;將各種基礎(chǔ)事件規(guī)則添加到基礎(chǔ)事件規(guī)則庫(kù)子步驟。
所述的定義關(guān)聯(lián)分析規(guī)則的步驟中的子步驟定義各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則的子步驟�����;將各種行為序列規(guī)則添加到關(guān)聯(lián)分析規(guī)則庫(kù)的子步驟��。
所述的對(duì)符合關(guān)聯(lián)分析條件的基礎(chǔ)事件進(jìn)行檢測(cè)的步驟中的子步驟對(duì)網(wǎng)絡(luò)中的報(bào)文進(jìn)行簡(jiǎn)單的基于模式匹配的特征檢測(cè)的子步驟����;向關(guān)聯(lián)分析引擎上報(bào)關(guān)聯(lián)事件的基礎(chǔ)事件子步驟。
所述的對(duì)基礎(chǔ)事件進(jìn)行時(shí)間序列和事件序列的分析的步驟中的子步驟同一會(huì)話四元組內(nèi)的關(guān)聯(lián)分析的子步驟���;不同會(huì)話四元組間的關(guān)聯(lián)分析的子步驟�;基礎(chǔ)事件在限定時(shí)間間隔內(nèi)發(fā)生的關(guān)聯(lián)分析的子步驟��;基礎(chǔ)事件存在條件的關(guān)聯(lián)分析的子步驟;基礎(chǔ)事件不存在的關(guān)聯(lián)分析的子步驟����;判斷基礎(chǔ)事件集合是否滿足關(guān)聯(lián)分析定義規(guī)則���。
基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)裝置���,包括對(duì)各種單一攻擊事件片段行為的表現(xiàn)形式、特征定義為基礎(chǔ)事件規(guī)則的基礎(chǔ)事件定義單元��;對(duì)各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則進(jìn)行定義的關(guān)聯(lián)分析規(guī)則定義單元�;對(duì)符合關(guān)聯(lián)分析條件的基礎(chǔ)事件進(jìn)行檢測(cè)的一級(jí)檢測(cè)引擎;對(duì)基礎(chǔ)事件進(jìn)行時(shí)間序列和事件序列的分析的關(guān)聯(lián)分析引擎�;對(duì)滿足關(guān)聯(lián)分析定義規(guī)則的事件進(jìn)行報(bào)警的關(guān)聯(lián)報(bào)警裝置。
所述的基礎(chǔ)事件定義單元包括定義各種單一攻擊事件片段行為的表現(xiàn)形式���、特征為基礎(chǔ)事件規(guī)則的基礎(chǔ)事件規(guī)則定義裝置�;儲(chǔ)存各種基礎(chǔ)事件規(guī)則的基礎(chǔ)事件規(guī)則庫(kù)���。
所述的關(guān)聯(lián)分析規(guī)則定義單元包括定義各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則的關(guān)聯(lián)分析規(guī)則定義裝置��;儲(chǔ)存各種行為序列規(guī)則的關(guān)聯(lián)分析規(guī)則庫(kù)����。
本發(fā)明的有益效果是1.本發(fā)明與簡(jiǎn)單的特征匹配的檢測(cè)方法相比,將對(duì)于攻擊的檢測(cè)由簡(jiǎn)單地對(duì)攻擊過(guò)程中存在的某個(gè)特征匹配提升為對(duì)于整個(gè)攻擊過(guò)程的匹配����,將攻擊事件的描述由簡(jiǎn)單地描述攻擊行為片斷提升為描述整個(gè)攻擊過(guò)程,從而對(duì)攻擊事件的描述更加全面��、合理����,同時(shí)對(duì)于攻擊的檢測(cè)也更加精準(zhǔn)。
2.該方法同時(shí)考慮到了時(shí)間因素和事件間的順序的因素���,所以�����,對(duì)于攻擊事件的描述與檢測(cè)同時(shí)使用了兩個(gè)維度���,這種描述和檢測(cè)更加符合攻擊檢測(cè)的要求,所以這種檢測(cè)技術(shù)也更加能夠保證檢測(cè)結(jié)果的準(zhǔn)確性��。
3.本發(fā)明對(duì)于基礎(chǔ)事件進(jìn)行了進(jìn)一步區(qū)分�����,即區(qū)分會(huì)話內(nèi)的關(guān)聯(lián)事件與會(huì)話間的關(guān)聯(lián)事件,這就更深地挖掘和描述了基礎(chǔ)事件之間的細(xì)微區(qū)別�����,使得可以區(qū)分出發(fā)生在會(huì)話內(nèi)的復(fù)雜攻擊和會(huì)話之間的復(fù)雜攻擊��。
4.本發(fā)明與傳統(tǒng)的方法相比���,不僅可以描述出IDS報(bào)警事件之間的關(guān)聯(lián)關(guān)系,同時(shí)還描述出了未報(bào)警事件與已報(bào)警事件之間的關(guān)聯(lián)關(guān)系����,這使得事件之間的關(guān)聯(lián)更加多樣化、合理化����,也使得檢測(cè)可以對(duì)發(fā)生事件和未發(fā)生事件進(jìn)行進(jìn)一步區(qū)分,提高檢測(cè)的準(zhǔn)確率���。
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步敘述��。
圖1本發(fā)明的方法運(yùn)行原理框圖圖2本發(fā)明的裝置原理框圖��。
具體實(shí)施例方式
實(shí)施例一首先定義本專利中使用的名詞單一攻擊事件——使用特征匹配的方式所檢測(cè)出來(lái)的某個(gè)攻擊事件���。
單一事件序列——由單一攻擊事件所組成的一個(gè)攻擊事件序列�����。
關(guān)聯(lián)分析——對(duì)單一事件序列中的各個(gè)攻擊事件的關(guān)聯(lián)進(jìn)行分析���。
基礎(chǔ)事件——存在于單一事件序列之中,并需要進(jìn)行關(guān)聯(lián)分析的的單一攻擊事件�。
會(huì)話四元組——一個(gè)TCP連接中的源IP、目的IP����、源端口、目的端口四個(gè)元素所組成的組����。
本實(shí)施例所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法,運(yùn)行原理框圖如圖1所示�,是在捕獲的網(wǎng)絡(luò)數(shù)據(jù)包基礎(chǔ)之上的,對(duì)流量數(shù)據(jù)進(jìn)行總的統(tǒng)計(jì)�����、分析、檢測(cè)��,在檢測(cè)出單步的攻擊行為之后���,再對(duì)這些攻擊行為進(jìn)行兩個(gè)維度的分析����,即時(shí)間維度和事件序列維度�����。并在此分析的基礎(chǔ)上得出關(guān)聯(lián)后的網(wǎng)絡(luò)中是否存在攻擊的檢測(cè)結(jié)果���。
該方法包括如下步驟(1)定義各種單一攻擊事件片段行為的表現(xiàn)形式、特征為基礎(chǔ)事件規(guī)則����。并將各種基礎(chǔ)事件規(guī)則添加到基礎(chǔ)事件規(guī)則庫(kù)。
(2)定義各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則的��。并將各種行為序列規(guī)則添加到關(guān)聯(lián)分析規(guī)則庫(kù)�����。
(3)一級(jí)檢測(cè)引擎對(duì)網(wǎng)絡(luò)中的報(bào)文進(jìn)行簡(jiǎn)單的基于模式匹配的特征檢測(cè),并向關(guān)聯(lián)分析引擎上報(bào)關(guān)聯(lián)事件的基礎(chǔ)事件��。
(4)關(guān)聯(lián)分析引擎對(duì)一級(jí)檢測(cè)引擎上報(bào)的基礎(chǔ)事件進(jìn)行時(shí)間序列的分析和事件序列的分析���,并將分析結(jié)果進(jìn)行判斷�。
定義單一攻擊事件片段的行為特征只有符合單一事件片段的行為特征才是關(guān)聯(lián)分析引擎所需要進(jìn)一步分析的�。例如,可以設(shè)置單一事件片段的行為特征是針對(duì)網(wǎng)絡(luò)內(nèi)135端口的掃描���,并且協(xié)議是MSRPC��,那么�����,只有滿足此條件的掃描事件才會(huì)送至行為關(guān)聯(lián)引擎進(jìn)行進(jìn)一步的分析��,所以符合這種條件的所有事件都將其稱為關(guān)聯(lián)事件的基礎(chǔ)事件�。
關(guān)聯(lián)事件的基礎(chǔ)事件不僅可以對(duì)第三層和第四層的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行匹配�,而且可以對(duì)網(wǎng)絡(luò)內(nèi)任何協(xié)議的數(shù)據(jù)包進(jìn)行基于會(huì)話四元組和協(xié)議分析技術(shù)的高級(jí)模式匹配,這樣就提高了關(guān)聯(lián)事件的基礎(chǔ)事件上報(bào)的準(zhǔn)確率���。
一級(jí)檢測(cè)引擎根據(jù)匹配的結(jié)果上報(bào)關(guān)聯(lián)事件的基礎(chǔ)事件����,這些基礎(chǔ)事件的上報(bào)信息中一般包括基礎(chǔ)事件的事件ID及其發(fā)生時(shí)間和會(huì)話四元組信息。
定義關(guān)聯(lián)事件的行為特征關(guān)聯(lián)分析引擎首先對(duì)上報(bào)的基礎(chǔ)事件進(jìn)行基于會(huì)話四元組的分組����,將基礎(chǔ)事件劃分出會(huì)話四元組內(nèi)的基礎(chǔ)事件和會(huì)話四元組間的基礎(chǔ)事件,并將各個(gè)基礎(chǔ)事件添加到與之相關(guān)的會(huì)話內(nèi)�、會(huì)話間的關(guān)聯(lián)事件隊(duì)列之中,并更改關(guān)聯(lián)事件隊(duì)列的狀態(tài)���,如果關(guān)聯(lián)事件的狀態(tài)滿足了某個(gè)關(guān)聯(lián)事件所定義的攻擊狀態(tài)特征����,就要上報(bào)相關(guān)的關(guān)聯(lián)分析事件�����。
關(guān)聯(lián)事件特征的含義是指����,事先對(duì)某種攻擊進(jìn)行切分�,將整個(gè)攻擊行為切分成幾個(gè)關(guān)鍵步驟,并定義這些關(guān)鍵步驟可能發(fā)生的時(shí)間序列,其中每一個(gè)關(guān)鍵步驟都針對(duì)于一個(gè)特定的基礎(chǔ)事件�,換句話說(shuō),如果這些基礎(chǔ)事件已事先定義好的時(shí)間序列發(fā)生����,那么就認(rèn)為關(guān)聯(lián)事件所代表的攻擊行為發(fā)生關(guān)聯(lián)事件可以定義多種情況的攻擊,具體包括1)同一會(huì)話四元組內(nèi)的關(guān)聯(lián)分析��。
2)不同會(huì)話四元組間的關(guān)聯(lián)分析���。
3)基礎(chǔ)事件在限定時(shí)間間隔內(nèi)發(fā)生的關(guān)聯(lián)分析��。
4)基礎(chǔ)事件存在條件的關(guān)聯(lián)分析�����。
5)基礎(chǔ)事件不存在的關(guān)聯(lián)分析��。
這些情況可以在一定的條件下進(jìn)行組合���,以此來(lái)描述更加復(fù)雜的攻擊行為,做到對(duì)復(fù)雜攻擊行為的精確檢測(cè)����。
為了以一種統(tǒng)一的方式對(duì)上述五種復(fù)雜攻擊行為進(jìn)行檢測(cè)����,本發(fā)明采用了關(guān)聯(lián)分析的定義語(yǔ)法����,這樣在定義關(guān)聯(lián)分析特征的時(shí)候,只需要在規(guī)則文件中添加一條新的關(guān)聯(lián)分析規(guī)則表達(dá)式�����,而不必去求該程序代碼�。
關(guān)聯(lián)分析特征語(yǔ)法關(guān)聯(lián)分析特征定義語(yǔ)言形式化的語(yǔ)法定義如下關(guān)聯(lián)分析規(guī)則::=基礎(chǔ)事件規(guī)則單元[單元關(guān)系 規(guī)則單元]基礎(chǔ)事件規(guī)則單元::=協(xié)議變量 比較操作符 值協(xié)議變量::=表征協(xié)議特征的表達(dá)式比較操作符::=><!~e
單元關(guān)系::=&或|值::=字符串或者十進(jìn)制數(shù)據(jù)下面具體說(shuō)明1)關(guān)聯(lián)分析基礎(chǔ)事件表達(dá)式使用&或|分隔為多個(gè)基礎(chǔ)事件規(guī)則單元����,每個(gè)基礎(chǔ)事件規(guī)則單元是一個(gè)布爾值;如果使用&連接����,則只有多個(gè)規(guī)則單元都是真的話關(guān)聯(lián)基礎(chǔ)規(guī)則才匹配成功;如果使用|連接����,則多個(gè)基礎(chǔ)事件規(guī)則中只要有一個(gè)為真的話關(guān)聯(lián)分析基礎(chǔ)規(guī)則就算匹配成功�;2)各個(gè)關(guān)聯(lián)分析基礎(chǔ)規(guī)則適用->進(jìn)行連接,表示基礎(chǔ)事件發(fā)生的先后順序。
3)比較符號(hào)(<�,>)右部是一個(gè)數(shù)值。
4)關(guān)聯(lián)分析基礎(chǔ)事件使用associ_base進(jìn)行標(biāo)記�,會(huì)話內(nèi)關(guān)聯(lián)分析事件使用associ_4key進(jìn)行標(biāo)記,會(huì)話間關(guān)聯(lián)分析事件使用associ_2key進(jìn)行標(biāo)記��,兩種關(guān)聯(lián)分析事件均可使用同一種關(guān)聯(lián)分析基礎(chǔ)事件���。
5)關(guān)聯(lián)分析基礎(chǔ)事件可以定義兩種存在性條件即存在某一基礎(chǔ)事件和不存在某一基礎(chǔ)事件�����,存在某一基礎(chǔ)事件是指本次關(guān)聯(lián)若想成功報(bào)警必須發(fā)生該關(guān)聯(lián)事件的基礎(chǔ)事件����,不存在某一基礎(chǔ)事件是指本次關(guān)聯(lián)若想成功報(bào)警���,則不能發(fā)生關(guān)聯(lián)事件的基礎(chǔ)事件�。
6)關(guān)聯(lián)分析事件的基礎(chǔ)事件是一級(jí)檢測(cè)引擎實(shí)時(shí)上報(bào)的事件片斷��。
7)這種關(guān)聯(lián)分析方法可以對(duì)關(guān)聯(lián)分析事件基礎(chǔ)事件之間發(fā)生的時(shí)間間隔進(jìn)行定義���,即可以規(guī)定兩條關(guān)聯(lián)分析基礎(chǔ)事件先后發(fā)生的時(shí)間間隔不能超過(guò)一定的值�����,否則��,即使關(guān)聯(lián)分析事件的所有基礎(chǔ)事件都按照一定順序發(fā)生�����,也不能產(chǎn)生關(guān)聯(lián)事件的報(bào)警���。
基礎(chǔ)事件和關(guān)聯(lián)事件規(guī)則舉例定義三個(gè)關(guān)聯(lián)事件的基礎(chǔ)事件�,第一條是MSRPC_連接請(qǐng)求�����,其事件ID為0x95635a3c���;第二條是MSRPC_Printer打印函數(shù)調(diào)用��,其事件ID為0x95635a3d����;第三條是MSRPC_函數(shù)調(diào)用參數(shù)超長(zhǎng)�����,其事件ID為0x95635a3e���,則1)如果NIDS檢測(cè)到某個(gè)會(huì)話中所請(qǐng)求的服務(wù)是MSRPC���,那么將會(huì)上報(bào)一條事件,即MSRPC連接請(qǐng)求��,檢測(cè)該條事件的主要判斷依據(jù)是針對(duì)445端口或135端口的TCP三次握手完成����。
2)在第一條基礎(chǔ)事件MSRPC連接請(qǐng)求產(chǎn)生之后,如果發(fā)現(xiàn)此會(huì)話中的后繼報(bào)文中出現(xiàn)了針對(duì)于Printer服務(wù)的連接請(qǐng)求�����,那么就上報(bào)第二條基礎(chǔ)事件MSRPC_Printer打印函數(shù)調(diào)用����,此條事件的檢測(cè)要點(diǎn)是SMB報(bào)文頭部的命令是0x25�����,同時(shí)MSRPC請(qǐng)求的UUID為8d9f4e40-a03d-11ce-8f69-08003e30051b���。
3)在檢測(cè)到了第二條基礎(chǔ)事件的基礎(chǔ)上����,如果檢測(cè)到了此會(huì)話中MSRPC所攜帶的函數(shù)參數(shù)超過(guò)了256字節(jié)����,那么就要上報(bào)第三條基礎(chǔ)事件MSRPC_函數(shù)調(diào)用參數(shù)超長(zhǎng)。
4)定義MSRPC_Printer緩沖區(qū)溢出攻擊事件�����,該事件的類型為會(huì)話內(nèi)關(guān)聯(lián)分析�,協(xié)議類型為MSRPC,該關(guān)聯(lián)分析的基礎(chǔ)事件就是上面的三條基礎(chǔ)事件���,該關(guān)聯(lián)分析事件的定義為事件ID為0x95635a3c的事件發(fā)生=>事件ID為0x95635a3d的事件發(fā)生=>事件ID為0x95635a3e的事件發(fā)生����。
5)如果上面三個(gè)關(guān)聯(lián)分析的基礎(chǔ)事件按照順序依次發(fā)生��,那么就要上報(bào)關(guān)聯(lián)事件MSRPC_Printer緩沖區(qū)溢出攻擊�����。
關(guān)聯(lián)分析引擎的處理過(guò)程關(guān)聯(lián)分析引擎首先要依次讀入各個(gè)基礎(chǔ)事件的規(guī)則定義,并將各個(gè)基礎(chǔ)事件的規(guī)則初始化到基礎(chǔ)事件規(guī)則集中����。
在初始化基礎(chǔ)事件的規(guī)則集之后,需要加載關(guān)聯(lián)事件的匹配規(guī)則����,關(guān)聯(lián)事件的匹配規(guī)則使用線性數(shù)據(jù)結(jié)構(gòu)來(lái)保存�����,線性型數(shù)據(jù)結(jié)構(gòu)中的每個(gè)節(jié)點(diǎn)需要保存關(guān)聯(lián)事件匹配規(guī)則中的一個(gè)基礎(chǔ)事件的ID�,同時(shí),該節(jié)點(diǎn)還需要初始化與該節(jié)點(diǎn)相對(duì)應(yīng)的關(guān)聯(lián)分析狀態(tài)值�����。
在初始化完成結(jié)束之后���,將進(jìn)入關(guān)聯(lián)分析的檢測(cè)階段�����,首先是一級(jí)事件檢測(cè)引擎對(duì)于網(wǎng)絡(luò)中的報(bào)文與基礎(chǔ)事件規(guī)則集中的各個(gè)規(guī)則進(jìn)行逐一比對(duì)�����,如果某一條基礎(chǔ)事件的規(guī)則得以滿足���,那么將沿著指針鏈查找到與之相關(guān)聯(lián)的關(guān)聯(lián)事件的連表中����,并將連表中的該基礎(chǔ)事件的狀態(tài)置為1��,即已經(jīng)發(fā)生(默認(rèn)值是為發(fā)生)如果關(guān)聯(lián)分析連表中的某條基礎(chǔ)事件的狀態(tài)被置為已發(fā)生�����,那么就需要立即對(duì)該連表進(jìn)行檢查����,如果發(fā)現(xiàn)所有的事件都已經(jīng)被觸發(fā),那么立即上報(bào)該關(guān)聯(lián)分析事件實(shí)施例二基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)裝置���,原理框圖如圖2所示�,包含有基礎(chǔ)事件定義單元���、關(guān)聯(lián)分析規(guī)則定義單元�、一級(jí)事件檢測(cè)引擎、關(guān)聯(lián)分析檢測(cè)引擎�。
基礎(chǔ)事件定義單元該單元主要完成關(guān)聯(lián)分析事件所需要的基礎(chǔ)事件,即事件片斷的定義工作���,基礎(chǔ)事件可以定義在任何協(xié)議層次之上�,并且基礎(chǔ)事件可以使用&與|操作符進(jìn)行復(fù)雜的定義����。
關(guān)聯(lián)分析規(guī)則定義單元該模塊主要完成關(guān)聯(lián)分析事件的定義工作��,對(duì)基礎(chǔ)事件之間的關(guān)系進(jìn)行定義���,這種定義需要考慮到兩個(gè)因素基礎(chǔ)事件之間的發(fā)生時(shí)間的先后順序����,碎片事件之間發(fā)生的事件序列(此時(shí)可能與時(shí)間的先后無(wú)關(guān))����。
一級(jí)檢測(cè)引擎,該引擎所要完成的任務(wù)就是根據(jù)所定義的關(guān)聯(lián)分析基礎(chǔ)事件的定義對(duì)網(wǎng)絡(luò)報(bào)文逐一進(jìn)行匹配��,并上報(bào)檢測(cè)到的關(guān)聯(lián)分析基礎(chǔ)事件,該模塊同時(shí)采用了協(xié)議分析�、協(xié)議自識(shí)別、流重組����、碎片重組、預(yù)處理����、模式匹配等關(guān)鍵技術(shù)來(lái)保證事件片斷的檢測(cè)精度。
關(guān)聯(lián)分析檢測(cè)引擎該引擎將一級(jí)引擎所上報(bào)的關(guān)聯(lián)分析基礎(chǔ)事件進(jìn)行進(jìn)一步的整理���,并判斷基礎(chǔ)事件集合是否滿足關(guān)聯(lián)分析定義規(guī)則�����,如果滿足����,則上報(bào)關(guān)聯(lián)分析事件����。
權(quán)利要求
1.基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法,包括基礎(chǔ)事件規(guī)則庫(kù)��、關(guān)聯(lián)分析規(guī)則庫(kù)、一級(jí)檢測(cè)引擎�、關(guān)聯(lián)分析引擎,其特征在于所述的步驟定義基礎(chǔ)事件規(guī)則的步驟����;定義關(guān)聯(lián)分析規(guī)則的步驟;對(duì)符合關(guān)聯(lián)分析條件的基礎(chǔ)事件進(jìn)行檢測(cè)的步驟�;對(duì)基礎(chǔ)事件進(jìn)行時(shí)間序列和事件序列的分析的步驟;報(bào)警的步驟���。
2.根據(jù)權(quán)利要求1所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法����,其特征在于所述的定義基礎(chǔ)事件規(guī)則的步驟中的子步驟定義各種單一攻擊事件片段行為的表現(xiàn)形式��、特征為基礎(chǔ)事件規(guī)則子步驟��;將各種基礎(chǔ)事件規(guī)則添加到基礎(chǔ)事件規(guī)則庫(kù)子步驟�。
3.根據(jù)權(quán)利要求1所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法�,其特征在于所述的定義關(guān)聯(lián)分析規(guī)則的步驟中的子步驟定義各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則的子步驟;將各種行為序列規(guī)則添加到關(guān)聯(lián)分析規(guī)則庫(kù)的子步驟�����。
4.根據(jù)權(quán)利要求1所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法,其特征在于所述的對(duì)符合關(guān)聯(lián)分析條件的基礎(chǔ)事件進(jìn)行檢測(cè)的步驟中的子步驟對(duì)網(wǎng)絡(luò)中的報(bào)文進(jìn)行簡(jiǎn)單的基于模式匹配的特征檢測(cè)的子步驟����;向關(guān)聯(lián)分析引擎上報(bào)關(guān)聯(lián)事件的基礎(chǔ)事件子步驟。
5.根據(jù)權(quán)利要求1所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法����,其特征在于所述的對(duì)基礎(chǔ)事件進(jìn)行時(shí)間序列和事件序列的分析的步驟中的子步驟同一會(huì)話四元組內(nèi)的關(guān)聯(lián)分析的子步驟;不同會(huì)話四元組間的關(guān)聯(lián)分析的子步驟�;基礎(chǔ)事件在限定時(shí)間間隔內(nèi)發(fā)生的關(guān)聯(lián)分析的子步驟;基礎(chǔ)事件存在條件的關(guān)聯(lián)分析的子步驟�;基礎(chǔ)事件不存在的關(guān)聯(lián)分析的子步驟;判斷基礎(chǔ)事件集合是否滿足關(guān)聯(lián)分析定義規(guī)則�����。
6.基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)裝置�,包括對(duì)各種單一攻擊事件片段行為的表現(xiàn)形式、特征定義為基礎(chǔ)事件規(guī)則的基礎(chǔ)事件定義單元�;對(duì)各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則進(jìn)行定義的關(guān)聯(lián)分析規(guī)則定義單元;對(duì)符合關(guān)聯(lián)分析條件的基礎(chǔ)事件進(jìn)行檢測(cè)的一級(jí)檢測(cè)引擎�;對(duì)基礎(chǔ)事件進(jìn)行時(shí)間序列和事件序列的分析的關(guān)聯(lián)分析引擎;對(duì)滿足關(guān)聯(lián)分析定義規(guī)則的事件進(jìn)行報(bào)警的關(guān)聯(lián)報(bào)警裝置��。
7.根據(jù)權(quán)利要求6所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)裝置�,其特征在于所述的基礎(chǔ)事件定義單元包括定義各種單一攻擊事件片段行為的表現(xiàn)形式���、特征為基礎(chǔ)事件規(guī)則的基礎(chǔ)事件規(guī)則定義裝置;儲(chǔ)存各種基礎(chǔ)事件規(guī)則的基礎(chǔ)事件規(guī)則庫(kù)����。
8.根據(jù)權(quán)利要求6所述的基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)裝置,其特征在于所述的關(guān)聯(lián)分析規(guī)則定義單元包括定義各種攻擊事件中多個(gè)單一攻擊事件片段按時(shí)間順序所形成的行為為行為序列規(guī)則的關(guān)聯(lián)分析規(guī)則定義裝置��;儲(chǔ)存各種行為序列規(guī)則的關(guān)聯(lián)分析規(guī)則庫(kù)��。
全文摘要
本發(fā)明基于時(shí)間序列和事件序列的關(guān)聯(lián)分析攻擊檢測(cè)方法和裝置涉及以交換功能為特征的網(wǎng)絡(luò)��,是一種防止未經(jīng)允許從數(shù)據(jù)傳輸信道取出數(shù)據(jù)的方法和裝置��。所述方法提供一種基于文本的對(duì)于復(fù)雜攻擊事件的描述語(yǔ)言�����,使得用戶可以修改內(nèi)置的關(guān)聯(lián)特征����,同時(shí)也可以現(xiàn)場(chǎng)添加新的關(guān)聯(lián)事件的特征�。本發(fā)明包括基礎(chǔ)事件規(guī)則庫(kù)、關(guān)聯(lián)分析規(guī)則庫(kù)���、一級(jí)檢測(cè)引擎�����、關(guān)聯(lián)分析引擎����。本發(fā)明對(duì)于整個(gè)攻擊過(guò)程進(jìn)行描述,描述更全面���、合理�����,同時(shí)考慮到時(shí)間因素和事件間的順序兩個(gè)維度因素����,這種描述和檢測(cè)更加符合攻擊檢測(cè)的要求�����,對(duì)于基礎(chǔ)事件進(jìn)行了進(jìn)一步區(qū)分�,本發(fā)明還描述了未報(bào)警事件與已報(bào)警事件之間的關(guān)聯(lián)關(guān)系,這一切都大大提高檢測(cè)的準(zhǔn)確率����。
文檔編號(hào)H04L12/26GK101034974SQ20071006493
公開日2007年9月12日 申請(qǐng)日期2007年3月29日 優(yōu)先權(quán)日2007年3月29日
發(fā)明者陳宇, 王洋, 李博, 王鴻鵬, 焦玉峰 申請(qǐng)人:北京啟明星辰信息技術(shù)有限公司