專利名稱：入侵檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明通常涉及例如IP網(wǎng)絡(luò)的通信系統(tǒng)領(lǐng)域，更具體地，涉及用于在這種通信系 統(tǒng)中檢測(cè)入侵的系統(tǒng)和方法。
背景技術(shù)：
網(wǎng)絡(luò)在信息系統(tǒng)中的快速增長(zhǎng)已經(jīng)引起對(duì)諸如NIDS(網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))、 HIDS (主機(jī)入侵檢測(cè)系統(tǒng))的IDS (入侵檢測(cè)系統(tǒng))和NIPS (網(wǎng)絡(luò)入侵防御系統(tǒng))的日益關(guān) 注，其中NIPS結(jié)合了防火墻和NIDS。計(jì)算機(jī)網(wǎng)絡(luò)必須被保護(hù)以免受DoS (拒絕服務(wù))攻擊、未授權(quán)的信息披露或操縱以 及數(shù)據(jù)的修改或破壞。同時(shí)，必須提供關(guān)鍵信息系統(tǒng)的可用性、機(jī)密性和完整性。據(jù)報(bào)道，在2004年已經(jīng)有10，000種新病毒或已有病毒的變種，每小時(shí)有至少一次 新攻擊(Kay,"Low volume viruses :new tools for criminals，，, Network Secur. 6, 2005, 第16-18頁(yè))。2001年，紅色蠕蟲代碼在不到14小時(shí)內(nèi)傳播到超過(guò)359，000臺(tái)因特網(wǎng)主機(jī) (Moore 等，"Code Red :acase study on the spread and victims of internet worm，，， Proceeding of thesecond ACM Internet measurement workshop,2002)。在 2003 年， SQLSlammer蠕蟲在不到30分鐘內(nèi)傳播超過(guò)75，000臺(tái)主機(jī)，其中90%的主機(jī)在10分鐘內(nèi)被 感染(Moore 等，"The spread of the sapphire/slammer wormtechnical report，，，CAIDA 技術(shù)報(bào)告，2003年)。2002年，美國(guó)聯(lián)邦調(diào)查局調(diào)查報(bào)告說(shuō)外部黑客成功攻擊的平均成本 是56，000美元，而成功內(nèi)部人員攻擊的平均成本被報(bào)道為270萬(wàn)美元(Power "2002CSI/ FBI computercrime and security survey”，計(jì)算機(jī)安全問(wèn)題和趨勢(shì)，第八卷第一篇，2002 年春)。IDS通常指定一些具有檢測(cè)、識(shí)別和響應(yīng)目標(biāo)系統(tǒng)上未授權(quán)或異常的活動(dòng)的軟件。傳統(tǒng)地，IDS在設(shè)計(jì)上被集中化，集中式IDS通常安裝在網(wǎng)絡(luò)的阻塞點(diǎn)，例如網(wǎng)絡(luò) 服務(wù)提供商網(wǎng)關(guān)，并利用在物理上集成在單個(gè)處理單元內(nèi)的集中式應(yīng)用以獨(dú)立模式運(yùn)行。 也存在分布式IDS，其包括部署在大型網(wǎng)絡(luò)的不同區(qū)域上的多個(gè)傳感器，所有這些傳感器最 終向聚集信息并進(jìn)行處理的中央服務(wù)器報(bào)告。IDS的目的是區(qū)分入侵者和正常用戶。IDS的目標(biāo)是提供一種用于實(shí)時(shí)或批量檢 測(cè)安全違背的機(jī)制。違背通過(guò)外部人員企圖闖入系統(tǒng)或者內(nèi)部人員企圖濫用其特權(quán)而啟動(dòng)。IDS所執(zhí)行的主要功能是監(jiān)控并分析用戶和系統(tǒng)活動(dòng)，評(píng)估關(guān)鍵系統(tǒng)或數(shù)據(jù)文 件的完整性，識(shí)別反映已知攻擊的活動(dòng)模式，自動(dòng)響應(yīng)所檢測(cè)的活動(dòng)，以及報(bào)告檢測(cè)處理的結(jié)果。入侵檢測(cè)可根據(jù)檢測(cè)方法劃分為三種類型濫用檢測(cè)、異常檢測(cè)和數(shù)據(jù)挖掘。混合 入侵方法也是已知的，其同時(shí)結(jié)合了兩種方法。已知如KDD-99，用于比較檢測(cè)方法的標(biāo)簽數(shù) 據(jù)集已由國(guó)際知識(shí)發(fā)現(xiàn)與數(shù)據(jù)發(fā)掘工具競(jìng)賽提供。濫用檢測(cè)致力于搜索已知攻擊的蹤跡或模式。濫用檢測(cè)系統(tǒng)試圖將計(jì)算機(jī)活動(dòng)與所存儲(chǔ)的已知的利用或攻擊的簽名進(jìn)行匹配。它使用攻擊的先驗(yàn)知識(shí)以查找攻擊蹤跡。換 句話說(shuō)，濫用檢測(cè)是指使用已知的系統(tǒng)入侵或弱點(diǎn)的模式(例如，具有緩沖器溢出漏洞的 系統(tǒng)實(shí)用程序)以匹配和識(shí)別入侵。 攻擊動(dòng)作的順序、危害系統(tǒng)安全的條件以及入侵后遺留的證據(jù)(例如，損害或系 統(tǒng)日志)可用多個(gè)通用模式匹配模型表示。這些模式匹配模型將已知的簽名編碼為模式， 接著這些模式與審計(jì)數(shù)據(jù)進(jìn)行匹配。模式匹配常常是指模糊邏輯和人工智能技術(shù)，如神經(jīng) 網(wǎng)絡(luò)。例如，NIDES (下一代入侵檢測(cè)專家系統(tǒng))使用規(guī)則以描述攻擊動(dòng)作，STAT (狀態(tài)轉(zhuǎn) 移分析工具)使用狀態(tài)轉(zhuǎn)移圖以模擬系統(tǒng)的一般狀態(tài)和訪問(wèn)控制違背，IDIOT (現(xiàn)代入侵檢 測(cè))使用彩色網(wǎng)格以將入侵簽名表示為目標(biāo)系統(tǒng)上的事件序列。濫用檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)在于一旦已知的入侵的模式被存儲(chǔ)，這些入侵的未來(lái) 實(shí)例可被有效地檢測(cè)。然而，新發(fā)明的攻擊將可能不被檢測(cè)到，導(dǎo)致不可接受的漏報(bào)率。盡管濫用檢測(cè)被 假定為比異常檢測(cè)更準(zhǔn)確，但這種技術(shù)的主要缺陷是創(chuàng)建包含入侵和非入侵活動(dòng)的最有可 能的變異的簽名。異常檢測(cè)使用正常用戶或系統(tǒng)行為的模型(用戶和系統(tǒng)簡(jiǎn)檔)，并將偏離該模型 的重大偏差標(biāo)記為潛在惡意。例如，在用戶登錄會(huì)話期間的CPU使用率和系統(tǒng)命令的頻率 是包含在用戶簡(jiǎn)檔中的統(tǒng)計(jì)參數(shù)。偏離簡(jiǎn)檔的偏差可以被計(jì)算為要素統(tǒng)計(jì)的偏差的加權(quán) 禾口。異常檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)在于其能夠檢測(cè)未知的入侵，因?yàn)檫@種系統(tǒng)不需要特定 入侵的先驗(yàn)知識(shí)。然而，定義并維護(hù)正常簡(jiǎn)檔是不平凡并易出錯(cuò)的任務(wù)，導(dǎo)致有時(shí)出現(xiàn)不可接受的
故障警報(bào)等級(jí)。許多近來(lái)的IDS方法已經(jīng)利用數(shù)據(jù)挖掘技術(shù)，例如CMDS (計(jì)算機(jī)濫用檢測(cè)系統(tǒng))、 IDES (入侵檢測(cè)專家系統(tǒng))、MIDAS (多入侵檢測(cè)和報(bào)警系統(tǒng))。基于數(shù)據(jù)挖掘的IDS從傳感器收集數(shù)據(jù)，諸如例如從Cyber-Patrol公司可獲得的 傳感器。傳感器監(jiān)控系統(tǒng)的某些方面，諸如網(wǎng)絡(luò)活動(dòng)性、由用戶進(jìn)程使用的系統(tǒng)呼叫、文件 系統(tǒng)訪問(wèn)。傳感器從正被監(jiān)控的原始數(shù)據(jù)流中提取預(yù)測(cè)特征以產(chǎn)生可用于檢測(cè)的格式化數(shù) 據(jù)。對(duì)于基于網(wǎng)絡(luò)的攻擊系統(tǒng)，JAM使用頻繁情節(jié)挖掘，其在網(wǎng)絡(luò)中生成特定節(jié)點(diǎn)的正 常使用模式。這些模式被用于建立確定網(wǎng)絡(luò)節(jié)點(diǎn)的異常的基本分類器。為了確保正確的分 類，應(yīng)當(dāng)為分類器的學(xué)習(xí)階段收集足夠量的正常和異常數(shù)據(jù)。一組基本分類器可用于建立 元分類器，因?yàn)槊總€(gè)基本分類器監(jiān)控網(wǎng)絡(luò)的不同節(jié)點(diǎn)，該網(wǎng)絡(luò)的入侵可由元分類器結(jié)合其 基本分類器的結(jié)果而檢測(cè)。IDS根據(jù)其分析的審計(jì)資源位置的類型來(lái)分類。大多數(shù)IDS被分類為用于識(shí)別并轉(zhuǎn)移攻擊的基于網(wǎng)絡(luò)的入侵檢測(cè)或者基于主機(jī) 的入侵檢測(cè)方法。當(dāng)IDS在網(wǎng)絡(luò)流中查找這些模式時(shí)，其被分類為基于網(wǎng)絡(luò)的入侵檢測(cè)。基于網(wǎng)絡(luò)的IDS分析在網(wǎng)絡(luò)上捕獲的網(wǎng)絡(luò)分組。作為例子，SNORT是開(kāi)源網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，其能夠執(zhí)行實(shí)時(shí)流量分析和分組登錄IP網(wǎng)絡(luò)。SNORT不能自動(dòng)生成入侵模 式。專家必須首先分析并分類攻擊分組，并對(duì)相應(yīng)的用于濫用檢測(cè)的模式和規(guī)則進(jìn)行手編 程序。模式的數(shù)量不斷在增長(zhǎng)，在當(dāng)前SNORT版本中已經(jīng)超過(guò)2100種。當(dāng)IDS在日志文件中查找攻擊簽名時(shí)，其被分類為基于主機(jī)的入侵檢測(cè)。基于主機(jī)的IDS系統(tǒng)被本地安裝在主機(jī)機(jī)器上。基于主機(jī)的IDS分析主機(jī)邊界審計(jì)資源，諸如操 作系統(tǒng)審計(jì)痕跡、系統(tǒng)日志和應(yīng)用日志。換句話說(shuō)，基于主機(jī)的IDS系統(tǒng)評(píng)估活動(dòng)，并訪問(wèn) 放置有基于主機(jī)的IDS的關(guān)鍵服務(wù)器。當(dāng)前IDS已經(jīng)致力于使用歷史模式來(lái)識(shí)別攻擊。但是在使用新的模式或者不采用 模式識(shí)別攻擊方面存在困難。使用基于規(guī)則的方法，諸如USTAT(用于UNIX的狀態(tài)轉(zhuǎn)移分 析工具)、NADIR(網(wǎng)絡(luò)異常檢測(cè)和入侵報(bào)告)和W&S(智慧與感知)，攻擊序列中輕微的變 化能夠影響活動(dòng)規(guī)則比較，以致入侵不能被入侵檢測(cè)機(jī)制檢測(cè)到。兩種類型的錯(cuò)誤導(dǎo)致引起不可避免的IDS成本。這些錯(cuò)誤包括IDS中誤報(bào)錯(cuò)誤 (false positive error)禾口漏 艮錯(cuò)誤(false negative error)。由于IDS傳感器將正常分組或者活動(dòng)曲解為攻擊，因此發(fā)生誤報(bào)錯(cuò)誤。由于攻擊 者被誤分類為正常用戶，因此發(fā)生漏報(bào)錯(cuò)誤。估計(jì)IDS報(bào)告的多達(dá)99%的警報(bào)與安全問(wèn)題無(wú)關(guān)(Julish，“Using rootcause analysis to handle intrusion detection alarm”，多特蒙德大學(xué)博士論文，2003年，第一 頁(yè))。原因包括以下方面。首先，在許多情況下，入侵與正常活動(dòng)僅有輕微的不同。由于苛 刻的實(shí)時(shí)要求，IDS不能夠分析所有活動(dòng)的上下文到所要求的程度。第二，書寫IDS的簽名 是非常困難的任務(wù)。在某些情況下，很難在極度特定的簽名(其不能夠捕獲所有攻擊或其 變異)和極度普通的信號(hào)(其將合法動(dòng)作識(shí)別為入侵)之間確定恰當(dāng)?shù)钠胶狻５谌谀?些環(huán)境中正常的動(dòng)作在其它環(huán)境中可能是惡意的。第四，假定每天分析包含二十個(gè)入侵分 組的一百萬(wàn)個(gè)分組，1. 0的理想檢測(cè)率和非常低的10-5級(jí)誤報(bào)率導(dǎo)致10個(gè)誤報(bào)，即，貝葉斯 正確檢測(cè)率僅有66%。這些誤報(bào)入侵警報(bào)是關(guān)鍵問(wèn)題，其抑制實(shí)際入侵事件的評(píng)估和解決。這個(gè)數(shù)量的 誤報(bào)對(duì)任何在入侵警報(bào)之后的關(guān)聯(lián)進(jìn)程有重大的負(fù)面影響，無(wú)論該進(jìn)程是基于自動(dòng)還是人 工的。實(shí)際上，本領(lǐng)域有關(guān)入侵檢測(cè)的研究狀況已經(jīng)證明巨量的誤報(bào)警報(bào)極大地降低了試 圖鏈接幾個(gè)警報(bào)以檢測(cè)多步復(fù)雜攻擊的自動(dòng)關(guān)聯(lián)引擎的性能(Ning等，“Learning attack strategiesfrom intrusion alert”，關(guān)于計(jì)算機(jī)與通信安全的ACM會(huì)議，2003年)。如果人類專家執(zhí)行該關(guān)聯(lián)，則大量的誤報(bào)警報(bào)會(huì)使其分心，因?yàn)樗噲D檢測(cè)危險(xiǎn) 的攻擊。這使得發(fā)現(xiàn)真實(shí)的入侵更加困難。為了給出真實(shí)的例子，多達(dá)10G字節(jié)的安全日志每天由大約15個(gè)傳感器生成。在 關(guān)聯(lián)之后，每天大約100個(gè)警報(bào)被傳送到安全管理系統(tǒng)，在由人類專家分析后，每天僅有十 個(gè)情形被認(rèn)為是“看起來(lái)危險(xiǎn)”。已經(jīng)提出各種方案以解決降低入侵警報(bào)誤報(bào)的問(wèn)題。這些方案中的大多數(shù)與報(bào)警關(guān)聯(lián)有關(guān)。關(guān)聯(lián)技術(shù)可以被分類為若干類型。首先， 關(guān)聯(lián)裝置集合與同一個(gè)危險(xiǎn)事件(即，同一個(gè)攻擊)有關(guān)的幾個(gè)入侵警報(bào)。第二裝置集合 幾個(gè)與幾個(gè)危險(xiǎn)事件有關(guān)的入侵警報(bào)以便確定復(fù)雜攻擊是否在網(wǎng)絡(luò)內(nèi)正在進(jìn)行。盡管報(bào)警關(guān)聯(lián)的鼓動(dòng)者已首先期望可降低誤報(bào)警報(bào)的數(shù)量，但現(xiàn)在，已知誤報(bào)警報(bào)抑制共同的關(guān)聯(lián)引擎的性能(Ning 等，“Learning attackstrategies from intrusion alert",有關(guān)計(jì)算機(jī)與通信安全的ACM會(huì)議，2003年)。另外，該關(guān)聯(lián)已經(jīng)成為計(jì)算機(jī)的耗 時(shí)任務(wù)，其通過(guò)誤報(bào)泛濫將關(guān)聯(lián)系統(tǒng)暴露給DoS攻擊。另一種降低誤報(bào)警報(bào)的方法包括使用體系結(jié)構(gòu)(例如網(wǎng)絡(luò)拓?fù)洹⒁阎默F(xiàn)有弱點(diǎn))的上下文信息以確定攻擊是否有某些機(jī)會(huì)成功，并指出真實(shí)入侵的可能性。這種技術(shù) 與警報(bào)驗(yàn)證的概念有關(guān)。在文獻(xiàn)中，存在兩種類型的警報(bào)驗(yàn)證主動(dòng)的和被動(dòng)的。主動(dòng)警報(bào)驗(yàn)證使用在警報(bào)已經(jīng)出現(xiàn)后收集的信息以確定該攻擊是否成功，而被動(dòng) 驗(yàn)證使用體系結(jié)構(gòu)安全的先驗(yàn)信息以確定該攻擊是否有機(jī)會(huì)成功。現(xiàn)有的被動(dòng)驗(yàn)證系統(tǒng)使用體系結(jié)構(gòu)安全的靜態(tài)知識(shí)，并且不衡量它。這可導(dǎo)致警報(bào)被誤分類為誤報(bào)，并進(jìn)而產(chǎn)生漏報(bào)(警報(bào)不是針對(duì)真實(shí)攻擊生成，并且被分類為誤報(bào))。在另一個(gè)方面，現(xiàn)有的主動(dòng)警報(bào)驗(yàn)證系統(tǒng)是基于可證明攻擊成功的信息(即，與通常由IDS/IPS使用的攻擊簽名相比的入侵的簽名)的后驗(yàn)(在入侵警報(bào)已經(jīng)發(fā)布后)收 集。在這種情況下，主要問(wèn)題是驗(yàn)證可在攻擊者已經(jīng)掩蓋了其入侵的蹤跡后發(fā)生。

發(fā)明內(nèi)容
鑒于傳統(tǒng)的系統(tǒng)和方法的上述和其它問(wèn)題，本發(fā)明的一個(gè)目的是提供一種用于在入侵檢測(cè)系統(tǒng)中過(guò)濾誤報(bào)警報(bào)的有效方法。在本發(fā)明的第一個(gè)方面，提供一種入侵檢測(cè)方法，用于檢測(cè)網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未 授權(quán)使用或異常活動(dòng)，該方法包括以下步驟對(duì)與目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建所定 義的前提(defined precondition)；創(chuàng)建與所述所定義的前提對(duì)應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn) (assurancereference)；捕獲與目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)，例如，網(wǎng)絡(luò)數(shù)據(jù)、類似日志的數(shù)據(jù)，有利地，該捕獲步 驟實(shí)時(shí)地進(jìn)行；將所捕獲的數(shù)據(jù)與攻擊簽名進(jìn)行比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊簽名匹 配時(shí)，生成至少一個(gè)安全警報(bào)；根據(jù)目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)，用于定義與所述所定義的前提對(duì)應(yīng)的保障基 準(zhǔn)；將根據(jù)目標(biāo)邊界的保障監(jiān)控發(fā)布的數(shù)據(jù)(例如，體系結(jié)構(gòu)單元的配置文件)與保 障基準(zhǔn)進(jìn)行比較，以在所述根據(jù)保障監(jiān)控發(fā)布的數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障 fn息；獲取所生成的安全警報(bào)的前提；檢查與所述前提對(duì)應(yīng)的保障信息是否已被獲取；當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配時(shí)，生成 驗(yàn)證后的安全警報(bào)；當(dāng)所述安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息之間沒(méi)有發(fā)現(xiàn)匹配 時(shí)，過(guò)濾所述安全警報(bào)；當(dāng)對(duì)該警報(bào)沒(méi)有獲取前提和/或與所述前提對(duì)應(yīng)的保障基準(zhǔn)沒(méi)有被定義時(shí)，發(fā)出未經(jīng)驗(yàn)證的安全警報(bào)。前提的定義可以使用諸如Lambda的攻擊語(yǔ)言描述進(jìn)行。使用Lambda語(yǔ)言的 攻擊描述的例子可以例如在Cuppens等所著的“Alert Correlation ina Cooperative Intrusion Detection Framework，， (Proceedings of the 2002IEEE Symposium on security and privacy)中找至Ij0“每個(gè)漏洞的前提”指出允許利用一個(gè)漏洞的目標(biāo)系統(tǒng)的未授權(quán)或異常使用的方 段。換句話說(shuō)，如果對(duì)于攻擊，系統(tǒng)缺點(diǎn)(例如，代碼錯(cuò)誤)可被利用，則這種缺點(diǎn)就是漏洞。“每個(gè)攻擊的前提”指出具有簽名并利用幾個(gè)漏洞的攻擊的前提。換句話說(shuō)，如果 各種系統(tǒng)形式缺陷(例如，代碼錯(cuò)誤)可被具有簽名的攻擊使用，則這些形式缺陷都是漏 洞。有利地，在檢測(cè)漏洞警報(bào)(例如，CERT警報(bào))后，進(jìn)行強(qiáng)化(enrichment)過(guò)程，所 述強(qiáng)化過(guò)程包括對(duì)所述新漏洞的每一個(gè)或利用一個(gè)或多個(gè)漏洞的攻擊定義將被監(jiān)控的保 障基準(zhǔn)；對(duì)所述新漏洞的每一個(gè)或利用一個(gè)或多個(gè)漏洞的攻擊定義安全事件；以及對(duì)所述 安全事件定義前提。“利用一個(gè)或多個(gè)漏洞的攻擊”包括至少一個(gè)新漏洞和已被處理的漏洞的組合。有利地，使用自動(dòng)算法以相關(guān)引擎可理解的語(yǔ)言轉(zhuǎn)換漏洞警報(bào)。在本發(fā)明的另一個(gè)方面，提供一種入侵檢測(cè)系統(tǒng)，用于檢測(cè)網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未 授權(quán)使用或異常活動(dòng)，該系統(tǒng)包括用于對(duì)與目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建 所定義的前提的裝置；用于創(chuàng)建與所述所定義的前提對(duì)應(yīng)并考慮所述目標(biāo)邊界的保障基準(zhǔn)的裝置；用于捕獲與目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的嗅探器；用于將所捕獲的數(shù)據(jù)與攻擊簽名進(jìn)行比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊簽 名匹配時(shí)，生成至少一個(gè)安全警報(bào)的裝置；用于根據(jù)目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的裝置；用于將根據(jù)目標(biāo)邊界的保障監(jiān)控發(fā)布的數(shù)據(jù)與保障基準(zhǔn)進(jìn)行比較，以在所述根據(jù) 保障監(jiān)控發(fā)布的數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障信息的裝置；用于獲取所生成的安全警報(bào)的前提的裝置；用于檢查與所述前提對(duì)應(yīng)的保障信息是否已被獲取的裝置；其中，當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配 時(shí)，所述系統(tǒng)生成驗(yàn)證后的安全警報(bào)；當(dāng)所述安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息之間沒(méi)有發(fā)現(xiàn)匹配 時(shí)，所述系統(tǒng)過(guò)濾所述安全警報(bào)；當(dāng)對(duì)該警報(bào)沒(méi)有獲取前提和/或與所述前提對(duì)應(yīng)的保障基準(zhǔn)沒(méi)有被定義時(shí)，所述 系統(tǒng)發(fā)出未經(jīng)驗(yàn)證的安全警報(bào)。在本發(fā)明的另一個(gè)方面中，提供一種包括計(jì)算機(jī)可用媒體的計(jì)算機(jī)程序產(chǎn)品，所 述媒體存儲(chǔ)有用于使計(jì)算機(jī)檢測(cè)網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動(dòng)的控制邏輯，所 述控制邏輯包括_用于對(duì)與所述目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建所定義的前提的第一計(jì)算機(jī)可讀程序代碼；-用于創(chuàng)建與所述所定義的前提對(duì)應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)的第二計(jì)算機(jī)可 讀程序代碼；-用于捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的第三計(jì)算機(jī)可讀程序代碼；-用于將所捕獲的數(shù)據(jù)與攻擊簽名比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊簽名匹配時(shí)，生成至少一個(gè)安全警報(bào)的第四計(jì)算機(jī)可讀程序代碼；-用于根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的第五計(jì)算機(jī)可讀程序代碼；-用于將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)出的保障數(shù)據(jù)與保障基準(zhǔn)比較，以在根 據(jù)保障監(jiān)控發(fā)出的所述數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障信息的第六計(jì)算機(jī)可讀 程序代碼；_用于獲取所生成的安全警報(bào)的前提的第七計(jì)算機(jī)可讀程序代碼；_用于檢查與所述前提對(duì)應(yīng)的保障信息是否已被獲取的第八計(jì)算機(jī)可讀程序代 碼；其中，所述計(jì)算機(jī)程序產(chǎn)品-當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配時(shí)，生 成驗(yàn)證后的安全警報(bào)；-當(dāng)所述安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息之間沒(méi)有發(fā)現(xiàn)匹配 時(shí)，過(guò)濾所述安全警報(bào)；-當(dāng)對(duì)該警報(bào)沒(méi)有獲取前提和/或與所述前提對(duì)應(yīng)的保障基準(zhǔn)沒(méi)有被定義時(shí)，發(fā) 出未經(jīng)驗(yàn)證的安全警報(bào)。通過(guò)結(jié)合附圖考慮優(yōu)選實(shí)施例的詳細(xì)說(shuō)明，本發(fā)明的上述和其它目的和優(yōu)點(diǎn)將變 得明顯。


圖1是根據(jù)本發(fā)明的入侵檢測(cè)系統(tǒng)的示意圖。
具體實(shí)施例方式信息流(漏洞的保障方面)從漏洞數(shù)據(jù)庫(kù)1開(kāi)始，漏洞數(shù)據(jù)庫(kù)1可由CERT(計(jì)算 機(jī)應(yīng)急響應(yīng)小組)建立或由專家根據(jù)其知識(shí)和CERT所發(fā)布的信息建立。轉(zhuǎn)換/強(qiáng)化模塊2能夠定義度量(metrics)的保障基準(zhǔn)3，度量是負(fù)責(zé)觀察目標(biāo)邊 界的監(jiān)控探測(cè)器，以便檢查安全策略是否已被應(yīng)用，并還驗(yàn)證安全機(jī)制根據(jù)所述策略被激 活并運(yùn)行。考慮用于安全保障的可測(cè)量數(shù)據(jù)4的范圍和CERT漏洞數(shù)據(jù)庫(kù)1，模塊2定義將被 度量為了安全保障目的而監(jiān)控的保障基準(zhǔn)3。安全保障，也稱為SCC (安全順應(yīng)性和一致性) 是實(shí)體滿足組織的AR(保障基準(zhǔn))的信心的基礎(chǔ)。漏洞一被公開(kāi)，該過(guò)程就能夠生成先驗(yàn)保障基準(zhǔn)。從CERT數(shù)據(jù)庫(kù)1開(kāi)始，另一個(gè)信息流(漏洞的安全方面)被轉(zhuǎn)發(fā)到強(qiáng)化模塊5，用 于安全關(guān)聯(lián)目的。模塊5使用IDS/IPS/探測(cè)器簽名數(shù)據(jù)庫(kù)6作為輸入以定義與每個(gè)CERT漏洞有關(guān)的前提和后置條件7。兩個(gè)基于CERT的轉(zhuǎn)換/強(qiáng)化過(guò)程2、5都能通過(guò)使用自動(dòng)算法來(lái)進(jìn)行，CERT警報(bào) 被轉(zhuǎn)換成關(guān)聯(lián)引擎可理解的語(yǔ)言，或通過(guò)人工轉(zhuǎn)換CERT警報(bào)。前提的定義可以使用諸如Lambda的攻擊語(yǔ)言描述進(jìn)行。使用Lambda語(yǔ)言的攻 擊描述的例子可以在例如Cuppens等人所著的“AlertCorrelation in a Cooperative Intrusion Detection Framework，，(Proceedings of the 2002 IEEE Symposium on security and privacy, http://41x. free, fr/articles/cm02. pdf)中找至丨J。該轉(zhuǎn)換/強(qiáng)化過(guò)程可以在IETF(互聯(lián)網(wǎng)工程任務(wù)組)被標(biāo)準(zhǔn)化，例如在入侵檢測(cè) 工作組。模塊8查找處理安全事件前提7的保障基準(zhǔn)3。如果某些安全事件前提7沒(méi)有被 保障基準(zhǔn)數(shù)據(jù)庫(kù)3覆蓋，則模塊9將其定義到數(shù)據(jù)庫(kù)10中。這有利于獲得將用于誤報(bào)降低 的一組完整的保障基準(zhǔn)。某些安全裝置11，如IDS或防火墻，監(jiān)督目標(biāo)邊界12。同時(shí)，安全保障度量13也 監(jiān)督同一目標(biāo)邊界12。安全軟件或裝置11基于已知的攻擊簽名生成安全警報(bào)14，而保障度量13基于保 障基準(zhǔn)數(shù)據(jù)庫(kù)3生成保障信息15。安全警報(bào)14和保障信息15被發(fā)送到驗(yàn)證模塊16。安全警報(bào)14 一生成，驗(yàn)證模塊16就獲取特定安全警報(bào)14的前提，并檢查對(duì)應(yīng)的 保障信息是否也已被獲取。如果安全警報(bào)及其前提與一個(gè)或多個(gè)保障信息匹配，則該警報(bào)被認(rèn)為是可信的， 并生成驗(yàn)證后的安全警報(bào)17。如果現(xiàn)有的監(jiān)控精確邊界的保障度量沒(méi)有提供保障信息，而安全警報(bào)對(duì)于該邊界 被發(fā)出，則該警報(bào)被認(rèn)為是不可信的，并被過(guò)濾18。最后，如果安全警報(bào)在安全警報(bào)數(shù)據(jù)庫(kù)中是未知的和/或?qū)υ摼瘓?bào)不存在保障度 量，那么發(fā)出未經(jīng)驗(yàn)證的安全警報(bào)19。可以通知將稍后安裝的SOC(安全操作中心，例如，阿 爾卡特_朗訊的危險(xiǎn)管理中心)將監(jiān)控并給出安全保障反饋的度量。由IDS和/或防火墻發(fā)出的安全警報(bào)在中間模塊(驗(yàn)證模塊16)被過(guò)濾，降低誤 報(bào)的數(shù)量。通過(guò)用新型的安全保障信息強(qiáng)化現(xiàn)有的警報(bào)驗(yàn)證，所提出的發(fā)明將降低誤報(bào)率。Mi目標(biāo)系統(tǒng)被配置為處理SSH(安全外殼)連接。登錄被缺省設(shè)置為使用基于證書 的SSH認(rèn)證，該信息被存儲(chǔ)在安全保障策略中。對(duì)應(yīng)的安全保障度量定期檢查SSH認(rèn)證是否仍在正確地工作。暴力攻擊由IDS檢測(cè)。該攻擊只有在前提被驗(yàn)證時(shí)才成功。前提是SSH連接必須 被設(shè)置為密碼認(rèn)證。當(dāng)該警報(bào)到達(dá)驗(yàn)證模塊時(shí)，該模塊檢查“SSH認(rèn)證配置已變化”保障信息(從證書 認(rèn)證到密碼認(rèn)證)是否已被發(fā)出。如果已發(fā)出，則該安全警報(bào)被認(rèn)為是關(guān)于保障上下文相 關(guān)，并發(fā)出驗(yàn)證后的安全警報(bào)。相反，如果沒(méi)有獲取對(duì)應(yīng)的保障信息，則安全警報(bào)被認(rèn)為是 不相關(guān)的，并被過(guò)濾。已知誤報(bào)警報(bào)降低關(guān)聯(lián)過(guò)程的性能、準(zhǔn)確性和相關(guān)性。已知誤報(bào)警報(bào)抑制入侵告警關(guān)聯(lián)引擎的整體性能，但是對(duì)于人工執(zhí)行安全事件的分析的安全專家，誤報(bào)警報(bào)也是重 要的問(wèn)題。本發(fā)明通過(guò)使用安全保障(即，配置一致性測(cè)量)以過(guò)濾(即，驗(yàn)證)(由商用現(xiàn) 貨COTS IDS/IPS生成的)入侵警報(bào)，能夠降低誤報(bào)入侵警報(bào)的出現(xiàn)。這將使安全專家和入侵關(guān)聯(lián)引擎集中在真實(shí)警報(bào)上，從而改善能力以更快并準(zhǔn)確 地理解攻擊的真正危險(xiǎn)。另外，保障基準(zhǔn)通過(guò)提取并強(qiáng)化CERT類警報(bào)的信息，相對(duì)可檢測(cè)的IDS/IPS事件 的前提進(jìn)行更新。該階段可在IETF入侵檢測(cè)工作組被標(biāo)準(zhǔn)化。本發(fā)明在被動(dòng)驗(yàn)證方法上的價(jià)值在于體系結(jié)構(gòu)的漏洞被連續(xù)地測(cè)量(主動(dòng)和先 驗(yàn)方法)。與后驗(yàn)方法相比，本發(fā)明通過(guò)在驗(yàn)證過(guò)程已收集了入侵成功的線索之前覆蓋攻擊 者的蹤跡，極大地降低了攻擊者欺騙驗(yàn)證系統(tǒng)的可能性。換句話說(shuō)，本發(fā)明產(chǎn)生了較少的漏 報(bào)。另外，在本發(fā)明的方案中，驗(yàn)證在攻擊已發(fā)生之前執(zhí)行。與入侵的線索在攻擊已發(fā) 生后收集的后驗(yàn)驗(yàn)證相比，真實(shí)警報(bào)更快地出現(xiàn)。事實(shí)上，收集過(guò)程是耗時(shí)的。
權(quán)利要求
一種入侵檢測(cè)方法，用于檢測(cè)網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動(dòng)，包括以下步驟-對(duì)與所述目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建所定義的前提；-創(chuàng)建與所述所定義的前提對(duì)應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)；-捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)；-將所捕獲的數(shù)據(jù)與攻擊簽名進(jìn)行比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊簽名匹配時(shí)，生成至少一個(gè)安全警報(bào)；-根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)；-將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進(jìn)行比較，以在根據(jù)保障監(jiān)控發(fā)布的所述數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障信息；-獲取所生成的安全警報(bào)的前提；-檢查與所述前提對(duì)應(yīng)的保障信息是否已被獲取；-當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配時(shí)，生成驗(yàn)證后的安全警報(bào)；-當(dāng)所述安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息之間沒(méi)有發(fā)現(xiàn)匹配時(shí)，過(guò)濾所述安全警報(bào)；-當(dāng)對(duì)該警報(bào)沒(méi)有獲取前提和/或與所述前提對(duì)應(yīng)的保障基準(zhǔn)沒(méi)有被定義時(shí)，發(fā)出未經(jīng)驗(yàn)證的安全警報(bào)。
2.根據(jù)權(quán)利要求1的入侵檢測(cè)方法，其中，在檢測(cè)漏洞警報(bào)之后，進(jìn)行強(qiáng)化過(guò)程，所述 強(qiáng)化過(guò)程包括對(duì)所述新漏洞的每一個(gè)或利用一個(gè)或多個(gè)漏洞的攻擊(即，至少一個(gè)新漏 洞和已被處理的漏洞的結(jié)合)定義將被監(jiān)控的保障基準(zhǔn)；對(duì)所述新漏洞的每一個(gè)或利用一 個(gè)或多個(gè)漏洞的攻擊定義安全事件；以及對(duì)所述安全事件定義前提。
3.根據(jù)權(quán)利要求2的入侵檢測(cè)方法，包括以關(guān)聯(lián)引擎可理解的語(yǔ)言轉(zhuǎn)換所述漏洞警報(bào)。
4.一種入侵檢測(cè)系統(tǒng)，用于檢測(cè)網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動(dòng)，包括_用于對(duì)與所述目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建 所定義的前提的裝置；-用于創(chuàng)建與所述所定義的前提對(duì)應(yīng)并考慮目標(biāo)邊界的基準(zhǔn)的裝置； -用于捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的嗅探器；_用于將所捕獲數(shù)據(jù)與攻擊簽名進(jìn)行比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊簽名匹 配時(shí)，生成至少一個(gè)安全警報(bào)的裝置；-用于根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的裝置；_用于將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進(jìn)行比較，以在根 據(jù)保障監(jiān)控發(fā)布的所述數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障信息的裝置； _用于獲取所生成的安全警報(bào)的前提的裝置； -用于檢查與所述前提對(duì)應(yīng)的保障信息是否已被獲取的裝置； 其中，當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配時(shí)，所 述系統(tǒng)生成驗(yàn)證后的安全警報(bào)；當(dāng)所述安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息之間沒(méi)有發(fā)現(xiàn)匹配時(shí)，所 述系統(tǒng)過(guò)濾所述安全警報(bào)；當(dāng)對(duì)該警報(bào)沒(méi)有獲取前提和/或與所述前提對(duì)應(yīng)的保障基準(zhǔn)沒(méi)有被定義時(shí)，所述系統(tǒng) 發(fā)出未經(jīng)驗(yàn)證的安全警報(bào)。
5. 一種包括計(jì)算機(jī)可用媒體的計(jì)算機(jī)程序產(chǎn)品，所述媒體存儲(chǔ)有用于使計(jì)算機(jī)檢測(cè)網(wǎng) 絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動(dòng)的控制邏輯，所述控制邏輯包括_用于對(duì)與所述目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建 所定義的前提的第一計(jì)算機(jī)可讀程序代碼；_用于創(chuàng)建與所述所定義的前提對(duì)應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)的第二計(jì)算機(jī)可讀程 序代碼；-用于捕獲與所述目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)的第三計(jì)算機(jī)可讀程序代碼； _用于將所捕獲的數(shù)據(jù)與攻擊簽名進(jìn)行比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊簽名 匹配時(shí)，生成至少一個(gè)安全警報(bào)的第四計(jì)算機(jī)可讀程序代碼；-用于根據(jù)所述目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)的第五計(jì)算機(jī)可讀程序代碼； _用于將根據(jù)所述目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進(jìn)行比較，以在根 據(jù)保障監(jiān)控發(fā)布的所述數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障信息的第六計(jì)算機(jī)可讀 程序代碼；-用于獲取所生成的安全警報(bào)的前提的第七計(jì)算機(jī)可讀程序代碼； -用于檢查與所述前提對(duì)應(yīng)的保障信息是否已被獲取的第八計(jì)算機(jī)可讀程序代碼； 其中，所述計(jì)算機(jī)程序產(chǎn)品-當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配時(shí)，生成驗(yàn) 證后的安全警報(bào)；_當(dāng)所述安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息之間沒(méi)有發(fā)現(xiàn)匹配時(shí)， 過(guò)濾所述安全警報(bào)；-當(dāng)對(duì)該警報(bào)沒(méi)有獲取前提和/或與所述前提對(duì)應(yīng)的保障基準(zhǔn)沒(méi)有被定義時(shí)，發(fā)出未 經(jīng)驗(yàn)證的安全警報(bào)。
全文摘要
用于檢測(cè)網(wǎng)絡(luò)的目標(biāo)系統(tǒng)的未授權(quán)使用或異常活動(dòng)的入侵檢測(cè)方法，包括對(duì)與目標(biāo)系統(tǒng)有關(guān)的每個(gè)漏洞和/或利用一個(gè)或多個(gè)漏洞的每個(gè)攻擊創(chuàng)建所定義的前提；創(chuàng)建與所定義的前提對(duì)應(yīng)并考慮目標(biāo)邊界的保障基準(zhǔn)；捕獲與目標(biāo)系統(tǒng)有關(guān)的數(shù)據(jù)；將所捕獲的數(shù)據(jù)與攻擊信號(hào)進(jìn)行比較，以在所捕獲的數(shù)據(jù)與至少一個(gè)攻擊信號(hào)匹配時(shí)，生成至少一個(gè)安全警報(bào)；根據(jù)目標(biāo)邊界的監(jiān)控捕獲保障數(shù)據(jù)；將根據(jù)目標(biāo)邊界的保障監(jiān)控發(fā)布的保障數(shù)據(jù)與保障基準(zhǔn)進(jìn)行比較，以在根據(jù)保障監(jiān)控發(fā)布的數(shù)據(jù)與至少一個(gè)保障基準(zhǔn)匹配時(shí)生成保障信息；獲取所生成的安全警報(bào)的前提；檢查與前提對(duì)應(yīng)的保障信息是否已被獲取；當(dāng)所生成的安全警報(bào)及其所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息匹配時(shí)，生成驗(yàn)證后的安全警報(bào)；當(dāng)安全警報(bào)的所獲取的前提與至少一個(gè)對(duì)應(yīng)的保障信息不匹配時(shí)，過(guò)濾安全警報(bào)；當(dāng)沒(méi)有獲取該警報(bào)的前提和/或沒(méi)有定義與前提對(duì)應(yīng)的保障基準(zhǔn)時(shí)，發(fā)出未經(jīng)驗(yàn)證的安全警報(bào)。
文檔編號(hào)H04L29/06GK101803337SQ200880107741
公開(kāi)日2010年8月11日 申請(qǐng)日期2008年9月19日 優(yōu)先權(quán)日2007年9月19日
發(fā)明者A·西納雅, A·馬丁, L·可勒維, S·迪比 申請(qǐng)人:阿爾卡特朗訊公司