专利名称::网络入侵事件关联检测方法
技术领域:
:本发明涉及一种网络安全
技术领域:
的检测方法,具体是一种网络入侵事件关联检测方法。技术背景随着计算机网络的高速发展,信息和网络的安全己经成为国家、企业和个人一个不容回避的问题。入侵检测系统作为网络安全问题的一种解决方案,由于它具有对网络/系统进行主动监测以发现入侵行为的特点,己成为继防火墙、数据加密等传统安全保护措施后的新一代安全保护技术。基于误用的入侵检测系统通常不能检测出新类型的攻击和己知攻击的变种攻击,而基于异常的入侵检测系统误警率太高。而且更为重要的是现在的入侵检测系统只注重对单个的入侵事件或异常状态进行检测,不能发现入侵者的入侵逻辑步骤及入侵策略。总的来说,其主要的弱点表现在如下几个方面1、在告警信息量很大的情况下,告警信息难以有效管理;2、无法识别出由同一个入侵过程所产生的多个告警信息之间的关联关系;3、误告警信息的大量存在;4、IDS木身的可扩展性问题等。针对上述主要弱点,人们提出了几种告警相关方法,主要是用来对告警信息进行二次分析,以识别告警信息之间的关联关系,在入侵检测系统中引入告警相关部件主要意义表现在l、可以识别出入侵逻辑步骤及入侵策略,将现有的入侵检测系统从只能检测单个的入侵事件、异常状态转换成检测入侵者;2、通过识别告警信息之间的关联关系,可以孤立、识别误告警信息,这样就可以降低误警率;3、对由同一入侵事件引起的重复告警信息进行合并,可以减少告警数量。经对现有技术的文献检索发现,F.Cuppens和A.Miege在((Proceedingsofthe2002IEEESymposiumonSecurityandPrivacy》(2002IEEE安全与保密论坛会议集)发表了"AlertCorrelationinaCooperativeIntrusionDetectionFramework"(协同入侵检测架构中的告警关联),该文中提出基于因果关系的告警关联方法,具体为一个完整的入侵总是有个过程,这个过程可以分为多个不同的入侵阶段,前一阶段的入侵是为后一阶段的入侵做准备的,不同阶段的入侵步骤会引起不同的告警信息,这些告警信息之间就会存在一定的关联关系,也就是相关关系。为了实现这种告警相关方法,必须为每种入侵定义它的前置条件和后置条件,前置条件是实现这个入侵必需满足的前提,而后置条件是这个入侵成功后所造成的结果。根据前一个阶段产生的告警信息的后置条件的实例是否满足当前入侵告警的前置条件的实例要求,从而找出前后告警信息之间的相关关系。其方法的不足在于进行告警信息匹配效率非常低,主要原因是入侵者往往要进行几百上千次的某种攻击后,才可能成功一到两次,然后才进行下一步的攻击行为。这种从前到后的匹配方法,理论上可行,但在实际系统中要耗费大量系统资源和时间进行搜索匹配,效率低下。
发明内容本发明的目的是针对上述现有技术的不足,提出了一种网络入侵事件关联检测方法,使其根据黑客攻击有一定顺序关序的特点,收集原始报警事件,对原始报警事件分别进行由果溯因的关联分析,获得关联后事件,高效地进行事件关联分析。本发明是通过如下技术方案实现的,本发明包括如下具体步骤-步骤一、入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos;步骤二、按黑客的攻击步骤,从第四数据库表中的ddos攻击开始,对第四数据库表中每一告警项去存储有安装后门backdoor的第三数据库表中査找匹配之前的黑客攻击行为;步骤三、如果查找匹配未成功,则直接进入步骤四,如果査找匹配成功则继续向前査找,对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行査找匹配,如此类推直至匹配到第一数据库表结束,匹配成功的结果存入关联后的事件数据库表;步骤四、由第四数据库表起始的所有告警项目匹配结束后,然后由第三数据库表开始,对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行査找匹配,取出前次未匹配过的项目,如此类推直至匹配到第一数据库表结束,如此类推直至整个过程的结束。所述查找匹配,是指按照源地址相同并且时间由后向前顺序的条件由后面的数据库表向前面的数据库表进行査找匹配。所述査找匹配,如果匹配成功,则生成一关联事件,将匹配的事件写入关联后的事件数据库表,如果有多个事件匹配成功,多个事件视为同一关联事件,均写入关联后的事件数据库表。黑客攻击中,前一步攻击成功是下一步攻击的基础和条件,每一种攻击也许只有少量获得成功,如扫描了上千台机器可能只有十几台具有系统的漏洞,对这十几台有漏洞的系统进行攻击,也许只有几台能够提升权限入侵成功,进入系统。本发明的方法发现后续的攻击时,去匹配前一种攻击,如,发现"安装后门",则之前很可能进行了"提升权限"的行为,现按照同一源地址去寻找"提升权限"的事件。如果发现有的话,则可把两个事件进行关联。从攻击的结果着手,先找出已经产生DDOS攻击的告警,然后反方向逆推,在一定的时间范围内遍历整个告警日志,寻找上一步安装后门的告警进行匹配,匹配的条件是"源地址相同并且时间由后向前顺序",如果配对成功则进行前一步提升权限的告警搜索,如此类推直至整个过程的结束。与现有技术相比,本发明具有如下有益效果1、可以有效的降低入侵检测系统的误报率,提高其报告安全事件的准确率;2、由识别已经成功的攻击结果去匹配之前的攻击行为,能够大大降低分析数据量,提高关联分析速度和效率;能够通过关联分析,找到安全事件内在了联系,达到准确识别攻击的目的和过程。图1是本发明ddoS攻击工作流程图;图2是本发明工作流程图。具体实施方式下面结合附图对本发明的实施例作详细说明本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。如图1所示,黑客入侵系统的行为有一定前后顺序关系的,以利用Solaris(UNIX操作系统的一种)主机上的Sadmind漏洞(一种系统安全漏洞)进行拒绝服务攻击为例,这种攻击先进行缓冲区溢出攻击,以取得该主机上的根用户权限,然后再发起拒绝服务攻击,它的一般入侵步骤如下所示1,利用端口扫描工具(IPswe印)扫描目标网络,以探测活动主机信息;2,利用SadmindPing(UNIX的一种命令语言)来探测活动Solaris主机是否运行了有漏洞的sadraind后台进程;3,若Solaris主机有漏洞,利用含有sadmind漏洞的主机发起缓冲区溢出攻击,以取得该主机的根权限,这个攻击步骤需进行多次,以取得多台主机的根权限;4,在这些取得了根权限的主机上分别安装拒绝服务攻击程序,并在其中一台主机上安装控制程序;5,黑客从控制机上控制拒绝服务ddos攻击程序进行攻击;黑客的入侵是一个有序过程,只有前面的入侵步骤成功后,后面的入侵步骤才可能正常执行。如图2所示,本实施例针对上述黑客入侵系统的一般顺序,提出如下具体步骤首先,建立四个数据库表用于存放四种类型原始报警事件扫描漏洞scan、提升权限elevation、安装后门backdoor、拒绝服务攻击ddos,事先将所有提升权限的攻击事件都存入数据库表elevation,将所有具有后门的事件都存入数据库表backdoor,将所有的扫描攻击事件都存入数据库表scan,将所有具有拒绝服务攻击的事件都存入数据库表ddos。如表1所示为每种数据库表定义的形式。同时建立关联后的事件数据库表,同样有四个corscan、corelevation、corbackdoor、corddos,女口表2所示表l存放原始报警事件的数据库表定义<table>tableseeoriginaldocumentpage7</column></row><table>表2建立关联后的数据库表定义<table>tableseeoriginaldocumentpage7</column></row><table>然后,进行由果溯因的匹配查找过程,如图2所示,包括如下具体步骤1.在数据库表ddos中取出一条未匹配过的记录,进入第2步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第6步;2.以一个时间窗在数据库表backdoor中来査找同一个源地址(IP)入侵告警事件以前出现的告警事件,该时间窗可设置缺省为4小时;若找不到,则没有关联事件,退出,返回第l步;如果找到,则进入第3步;3.生成关联事件cid,将匹配的事件存入关联后的事件数据库表corbackdoor和表corddos表中。但是其中可能有多个事件匹配成功,例如进行了多次安装后门的攻击才成功ddoS攻击,这些事件都认为是同一关联事件中的步骤,赋予同一关联事件cid,存入数据库表corddos,将搜索出来的安装后门事件用同一关联事件cid写入关联后的数据库表corbackdoor;完成后,进入第4步;4.继续在数据库表elevation中进行査找,以一个时间窗在数据库表elevation中来査找同一个源地址入侵告警以前出现的告警事件,如果找不到,则没有关联事件,退出,返回第l步;如果找到,则将前述步骤中所产生的cid连同该条记录写入corelevation中,同样的,可能存在多个事件匹配,如进行了多次提升权限的攻击才成功安装后门,这些事件都认为是同一关联事件,仍然是用前述的cid,存入corelevation;5.继续在数据库表scan中进行査找,以一个时间窗在数据库表scan中来查找同一个源地址该事件以前出现的告警事件,如果找不到,则没有关联事件,退出返回第l步。如果找到,将前述步骤中所产生的cid连同该条记录写入数据库表corscan中,同样,可能有多个事件匹配,这些事件都认为是同一关联事件,仍用同一关联cid,存入数据库表corscan中。然后退出,本次关联结束,返回第l步;6.在数据库表backdoor中取出一条未匹配过的记录,进入第7步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第10步。7.以一个时间窗在数据库表evaluation中匹配査找同目的地址和同源地址该事件以前记录的事件,该时间窗可设置缺省为4小时。如果找不到,则没有关联事件,退出返回第6步。如果找到,则进入下一步;8.生成关联事件cid,将匹配的事件存入数据库表co:rbackdoor和数据库表corelevation中,可能有多个事件匹配,例如进行了多次安装后门和提升权限的攻击,但这些事件都认为是同一关联事件,但仍然认为是同一关联事件,赋予相同的cid,并且写入数据库表corbackdoor和数据库表corelevation中,进入下一步;9.继续在数据库表scan中进行查找,如果找不到,则没有关联事件,退出返回第6步。如果找到,则按同一关联事件cid,将匹配的事件写入数据库表corscan,可能有多个事件匹配,这些事件都认为是同一关联事件,赋予同样的cid,写入数据库表corscan,退出,本次关联结束,返回第6步;10.在数据库表evaluation中取出一条未匹配过的记录,进入第11步,如果全部记录都已经匹配过,则说明所有记录都处理过,整个过程结束;11.以一个时间窗来在数据库表scan中査找同目的地址和同源地址该事件以前上报的事件,该时间窗可设置缺省为4小时。如果找不到,则没有关联事件,退出返回第10步。如果找到,则进入下一步;12.生成关联cid,将匹配的事件写入数据库表corscan和corelevation,可能有多个事件匹配,如进行了多次扫描漏洞和提升权限的攻击,这些事件都认为是同一关联事件,赋予关联事件cid,存入数据库表corscan和corelevation,返回第10步。本实施例方法,首先就能够正确的识别已经成功的进行了的攻击,能够给管理员最及时的消息,除此之外,由于不同的步骤之间也可以进行一定程度上的关联,这样可以大大的降低告警量,例如,在找不到到DDOS攻击的最后一步的情况下,进行backdoor的搜索,如果能进一步找到可以与evaluation中有关告警相匹配,则同样的情况下也可以进行关联,这样将两者合并为一个告警,同样也可以减轻管理员的负荷量。类推,如果在匹配完evaluation情况下,继续进行了scan的匹配,成功的话那么就可以合并为同一个告警。权利要求1、一种网络入侵事件关联检测方法,其特征在于,包括如下步骤步骤一、入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos;步骤二、按黑客的攻击步骤,从第四数据库表中的ddos攻击开始,对第四数据库表中每一告警项去存储有安装后门backdoor的第三数据库表中查找匹配之前的黑客攻击行为;步骤三、如果查找匹配未成功,则直接进入步骤四,如果查找匹配成功则继续向前查找,对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行查找匹配,如此类推直至匹配到第一数据库表结束,匹配成功的结果存入关联后的事件数据库表;步骤四、由第四数据库表起始的所有告警项目匹配结束后,然后由第三数据库表开始,对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行查找匹配,取出步骤三中未匹配过的项目,如此类推直至匹配到第一数据库表结束,如此类推直至整个过程的结束。2、根据权利要求l所述的网络入侵事件关联检测方法,其特征是,所述查找匹配,是指按照源地址相同并且时间由后向前顺序的条件由后面的数据库表向前面的数据库表进行査找匹配。3、根据权利要求1或2所述的网络入侵事件关联检测方法,其特征是,所述查找匹配,如果匹配成功,则生成一关联事件,将匹配的事件写入关联后的事件数据库表,如果有多个事件匹配成功,多个事件视为同一关联事件,均写入关联后的事件数据库表。全文摘要一种网络安全
技术领域:
的网络入侵事件关联检测方法,本发明中,入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,从第四数据库表中的攻击开始,对第四数据库表中每一告警项去存储有安装后门的第三数据库表中查找匹配之前的黑客攻击行为;如果查找匹配成功则继续向前查找,对第三数据库表中的警告项去存储有提升权限的第二数据库表中的进行查找匹配,类推直至匹配到第一数据库表结束,匹配成功的结果存入关联后的事件数据库表;由第四数据库表起始的所有告警项目匹配结束后,然后由第三数据库表开始,类推直至匹配到第一数据库表结束。本发明可降低了入侵检测系统的误报率,提高其报告安全事件的准确率。文档编号H04L12/24GK101272286SQ20081003741公开日2008年9月24日申请日期2008年5月15日优先权日2008年5月15日发明者越吴,平易,李建华,宁柳,蒋兴浩申请人:上海交通大学