用于檢測多階段事件的方法和設備的制造方法
【技術(shù)領域】
[0001]本發(fā)明涉及用于從觀察到的數(shù)據(jù)來確定系統(tǒng)行為(特別是用于檢測多階段事件)的方法和設備�。最具體地�,本發(fā)明涉及基于對網(wǎng)絡或子網(wǎng)絡的裝置的行為或流過網(wǎng)絡或子網(wǎng)絡的業(yè)務的觀察��、或者對第三方裝置(諸如����,第三方社交媒體網(wǎng)站等)的行為的觀察來檢測行為(諸如,對連接到互聯(lián)網(wǎng)的計算機裝置的計算機網(wǎng)絡或子網(wǎng)絡的惡意網(wǎng)絡攻擊)的方法和設備����。
【背景技術(shù)】
[0002]隨著所謂的“網(wǎng)絡攻擊”(在這里用作覆蓋諸如包括分布式拒絕服務(DD0S)的拒絕服務(D0S)、用惡意軟件感染目標計算機裝置的攻擊和嘗試一例如����,作為DOS攻擊的一部分或僅為了竊取信息(例如,顧客的信用卡詳細資料)等的活動)日益復雜�����,它們正變得更難以使用單個檢測器進行檢測��,并且同時它們趨向于越來越像多階段攻擊�,其中,多階段攻擊經(jīng)過能夠由熟練的人類安全專家識別(識別為不同階段)的數(shù)個不同階段��。
[0003]因此��,盡管已知用于在與多階段網(wǎng)絡攻擊的各種不同典型階段相關(guān)的各種不同檢測器處檢測惡意業(yè)務和/或活動的已知簽名的監(jiān)控器�����,但是通常很難單獨使用單個監(jiān)控器(或者甚至獨立動作的多個不同監(jiān)控器)檢測復雜的多階段攻擊�。作為代替����,僅通過將各種不同活動(通常由不同檢測器檢測到)聯(lián)系在一起并且將它們作為單個多階段攻擊的多個方面一起進行檢驗�����,才能夠成功地檢測這樣的復雜多階段攻擊���。
[0004]例如�����,DD0S攻擊通常開始于在新聞或社交媒體網(wǎng)站上觀察到的特定目標組織的一些壞公共關(guān)系(PR)��,或者開始于目標組織的一些新弱點被公開�����。然后,潛在攻擊者可以開始談論該目標��,并且與其他攻擊者交換攻擊的想法并且吸收或者組合力量�����。在此后的一些時間,可以觀察到攜帶特定DOS載荷的蠕蟲的檢測�。然后,在與目標組織相關(guān)的目標網(wǎng)絡上可以觀察到掃描活動�,和/或特定HTTP請求量可能增加,并且可以檢測到裝載有DOS惡意軟件的目標/被感染機器��。最后��,在特定協(xié)調(diào)時間從在目標組織網(wǎng)絡內(nèi)和外的多個機器發(fā)起攻擊��,以擊敗與目標組織相關(guān)的關(guān)鍵業(yè)務����。
[0005]如所述,這樣的多階段攻擊可能通常使單獨點檢查失敗�����,并且可能僅通過將攻擊的各種不同階段聯(lián)系在一起并且一起檢驗才被檢測�����。例如����,登錄失敗是十分常見的��,并且不太可能導致主要安全事故���。然而,登錄失敗���,之后成功登錄�����,并且(由惡意的未授權(quán)用戶)獲得管理員權(quán)限���,然后安裝(惡意)軟件并且然后觀察流過網(wǎng)絡的異常業(yè)務很可能一般指示成功攻擊。
[0006]已經(jīng)提出了用于通過查找攻擊的這些不同多個階段自動地或半自動地識別攻擊的各種方法�����,并且以下闡述對這樣的建議的選擇�。
[0007]由Do-Hyeon Lee、Doo-young Kim����、Jae-1l Jung (2008 年信息科學和安全國際會議)所作的 “Mult1-stage Intrus1n Detect1n System Using Hidden MarkovModel (HMM) Algorithm”提出了一種使用HMM算法的多階段入侵檢測系統(tǒng)(IDS)架構(gòu),并且介紹了一種通過估計在入侵的每個階段出現(xiàn)的特征來確定入侵/攻擊的方法����。使用“特征入侵信號”(即,規(guī)則集)來檢測在每個階段使用的入侵技術(shù)(例如�,用于進行網(wǎng)絡探測)。每個攻擊階段都具有執(zhí)行獨立檢測功能的檢測代理�。該檢測代理分析從網(wǎng)絡線路收集的數(shù)據(jù)來識別已知是入侵的信號(使用規(guī)則集)。然后�����,合成由檢測代理檢測到的信號序列�,并且使用HMM算法來確定合成后的檢測序列是否對應于入侵序列。該論文中描述的方法和系統(tǒng)的目的在于產(chǎn)生更好的IDS���,該IDS可以及時地關(guān)聯(lián)不同點處的“本地”警報(即�,入侵信號)�����,以識別最終入侵/攻擊目標���。每個檢測代理(用于每個階段)看上去是彼此獨立的檢測代理����,因此它不具有來自前一階段的關(guān)于特定攻擊目標的任何信息。而是��,僅當代理的檢測信號被合成時�����,才執(zhí)行關(guān)聯(lián)(例如�,如果使用相同目的地IP地址)。該系統(tǒng)不考慮例如外部因素(諸如��,社交媒體中的論述��、或被宣布的新弱點)���。
[0008]由 Ourston 等人所作的 “Applicat1n of Hidden Markov Models to DetectingMult1-stage Network Attacks”(第36屆夏威夷系統(tǒng)科學國際會議的會議記錄-2003)描述了一種用于使用隱馬爾可夫模型(HMM)檢測多階段攻擊的方法��,并且將HMM方法的可用性與其它機器學習技術(shù)進行比較�����。該論文更確切地說掩蓋了確定可視狀態(tài)值的精確方式�����,可能這是因為用于實現(xiàn)其的任何方法對于正被比較的不同機器學習技術(shù)而言都是相同的���,使得無論選擇什么方法,比較都應該仍然是有效的��。然而��,他們建議使用多個檢測器并且預先處理檢測器的輸出����,并且他們建議使用人類專家執(zhí)行警報類型(例如,端口探測)與入侵種類(例如���,初始偵查)之間的一些映射��。雖然該映射看起來是在可觀察值和隱藏狀態(tài)之間����,所以不闡明呈現(xiàn)給HMM模型的可觀察值的特性����。無論如何,該論文的主要結(jié)論都是HMM非常適于檢測多階段網(wǎng)絡攻擊的任務��。
[0009]由Ali Ebrahimi 等人所作的 “Automatic attack scenar1 discovering basedon a new alert correlat1n method” (2011 年 IEEE 國際系統(tǒng)會議(SYSC0N), IEEE, 2011年4月4日,第52-58頁)教導了一種識別多階段攻擊的方法��。該方法包括收集多個入侵檢測系統(tǒng)(IDS)警報并且基于源端口將它們分組到單個組����,并且在該整個組內(nèi),基于目標IP地址將警報細分組到不同子組����,并且然后嘗試將每個子組內(nèi)的警報分配給與多階段攻擊的不同階段對應的進一步子組。
[0010]由 Robert Cole 和 Peng Liu所作的“Addressing Low Base Rates in Intrus1nDetect1n via Uncertainty - Bounding Mult1-Step Analysis��,���,(計算機安全應用會議2008 (ACSAC 2008)年會��,IEEE��,美國新澤西州皮斯卡塔韋����,2008年12月8日�,第269-278頁)描述了一種系統(tǒng),在該系統(tǒng)中�,用戶給予控制以指定攻擊正在發(fā)生的置信度(置信度)與多快檢測到攻擊(靈敏度)之間的折衷�����。作者認識到����,一般而言���,在多階段攻擊檢測系統(tǒng)內(nèi)的這兩個特征之間將一直存在折衷,并且通過對平衡應該在于用戶給予控制�,使他們根據(jù)其自身需要修剪系統(tǒng)(例如,如果用戶具有用于分析可能攻擊的大量人力資源并且具有盡可能快地捕捉攻擊的強烈期望��,則他們傾向于選擇更靈敏的系統(tǒng)�,然而只能提供用于調(diào)查可能攻擊的相對少量資源的用戶傾向于優(yōu)選接收更少的誤報,因此傾向于選擇更慢但更穩(wěn)定的系統(tǒng)(具有幾個誤報)�。在用于實際檢測多階段事件的系統(tǒng)方面,該論文僅描述了非常簡單的系統(tǒng)���,在該系統(tǒng)中�����,假設由傳感器進行的每個檢測都可以清楚地與具有正確或錯誤的簡單概率的特定多階段攻擊的特定階段相關(guān)聯(lián)��。這足以用于證實它們的折衷問題���,但是如作者所承認的�����,對于創(chuàng)建實際多階段攻擊檢測系統(tǒng)是沒有用的���,因此實際多階段攻擊檢測系統(tǒng)需要大量借用用于將傳感器輸出與多階段攻擊相關(guān)聯(lián)的已知現(xiàn)有技術(shù)系統(tǒng)。
[0011]“An analysis Approach for Mult1-stage Network Attacks”描述了一種使用多階段有限狀態(tài)機模型分析易受攻擊的系統(tǒng)的方法���。使用這樣的模型��,網(wǎng)絡管理員可以識別提高系統(tǒng)安全性的最佳方式���,以防止發(fā)生成功攻擊。沒有檢測當前正在發(fā)生的多階段攻擊的教導���,所以其不描述多階段事件檢測器���。
[0012]嘗試檢測在交疊時間段期間可能發(fā)生多于一個多階段事件的相對復雜系統(tǒng)中發(fā)生的多階段事件的所有系統(tǒng)面臨的困難是,如何有效地跟蹤正在發(fā)生并且不通過交疊多階段事件的檢測而變模糊的各個多階段事件,以及另外如何有效地處理多階段事件在其初期與具有類似或相同開始行為的其它事件不能區(qū)分開(或難以區(qū)分開)(尤其是如果不同攻擊從同一攻擊者/或攻擊源發(fā)生)的可能性�����。
【發(fā)明內(nèi)容】
[0013]根據(jù)本發(fā)明的第一方面����,提供了一種用于監(jiān)控系統(tǒng)以檢測受控系統(tǒng)中的多階段事件的發(fā)生的多階段事件檢測器,該多階段事件檢測器包括:一個或更多個事件檢測檢測器單元�,其用于檢測在受控系統(tǒng)上發(fā)生的可觀察事件;一個或更多個參數(shù)產(chǎn)生檢測器單元�����,其用于根據(jù)受控系統(tǒng)的行為產(chǎn)生隨著時間而變化的參數(shù)值���,其中,每個參數(shù)產(chǎn)生檢測器單元都可以與事件檢測檢測器單元相符�����;隱藏狀態(tài)確定器�,其用于基于一個或更多個事件檢測檢測器單元的輸出,確定系統(tǒng)的關(guān)注狀態(tài)的可能序列���;以及轉(zhuǎn)變確定器��,其用于基于由一個或更多個參