專利名稱：一種基于場景的混合入侵檢測方法及系統的制作方法
技術領域：
本發明涉及一種基于場景的混合入侵檢測方法及系統，屬于工業控制安全技術領域。
背景技術：
近來，信息攻擊已經嚴重威脅到網絡的穩定性。這些攻擊利用網絡的互聯、交互特性，傳播的速度非常快，而且攻擊技術越來越高明，攻擊手段越來越復雜。傳統的信息安全系統例如防火墻、入侵檢測系統(IDS)等，在網絡攻擊預報方面存在著嚴重不足，通常在這些攻擊造成了嚴重破壞之后才響應。大多數傳統的入侵檢測系統采用基于網絡或基于主機的方法識別和響應攻擊。這些系統常常采用兩類入侵檢測手段，即異常入侵檢測和特征入侵檢測，如圖5所示。異常檢測是通過檢測與可接受行為的偏差，即當用戶活動與正常行為有重大偏差時被認為是入侵；特征檢測，收集非正常操作的行為特征，建立相關的特征庫，當檢測到用戶或系統行為與特征相匹配時，系統就認為這種行為是入侵。基于主機的入侵檢測系統通過分析主機事件日志、系統調用及安全審計記錄等，來發現、提取攻擊特征和異常行為；而基于網絡的入侵檢測系統是基于網絡上的數據流量來發現、提取攻擊模式和異常行為的。而大多數情況下，入侵者利用應用系統的漏洞及不安全的配置來入侵系統，應用層攻擊能夠利用合法用戶的邊界防御后門來入侵系統，因此，上述兩種IDS系統很難檢測這類攻擊。當前，基于網絡和基于主機的入侵檢測系統通常與應用系統的訪問控制相分離， 這些安全設備之間缺乏協調和內部交互，不利于檢測復雜的攻擊，尤其對于實時持續攻擊， 造成破壞之前，不能有效響應。當前普遍應用的IDS系統的另一個不足在于，經常會有很高的誤警概率，可能造成的后果是導致合法用戶服務的中斷。因此，成功的入侵檢測系統要求應用準確、有效的模型分析大量的應用、系統和網絡審計數據，并對識別的攻擊進行實時響應。目前計算機病毒、各種網絡攻擊等新特點層出不窮，工業控制系統面臨著安全新挑戰。對工業控制系統來說，更嚴重的安全威脅常常來自內部，因為內部攻擊者了解控制網絡結構，包括目標文件、系統漏洞、程序漏洞等，攻擊手段更復雜、隱蔽。而國內大部分工業自動化系統的網絡層采取了一些傳統安全防護措施，大多數針對工業控制領域的安全設備主要集中在網絡層次上，用于保護企業級網絡來自hternet的外部攻擊，但物理層安全防護還沒有成熟的產品和解決方案，無法應對越來越嚴重的內部攻擊。對于工業控制領域來說，不同的工業應用場合，其控制網絡有各自不同的特點和要求，通常需要特點的應用層知識來構建安全策略，來識別可疑行為及應用合適的響應策略。因此，傳統的基于應用的IDS系統，很難管理及部署。當前一些商用的IDS系統的缺點就是缺少安全策略。這些系統主要依賴內建的靜態算法，不能靈活適應這種改變了系統安全行為的系統。對于采用異常檢測的系統來說，任何與正常行為輪廓的偏差都被認為是可疑行為，這大大增加了系統的虛警概率。

發明內容
本發明的目的在于，提供一種基于場景的混合入侵檢測方法及系統，它能提高入侵檢測的準確率，對系統物理層進行安全防護，防止系統內部攻擊。為解決上述技術問題，本發明采用如下的技術方案一種基于場景的混合入侵檢測方法，包括以下步驟
Si，入侵檢測系統根據訪問控制策略及相關應用場景信息，提取采集的審計數據的特
征；
S2，根據審計數據的特征，應用組合的預報方法預報可疑入侵事件，其中預報方法可以采用時間序列分析法、概率模型法、數據挖掘法等方法組合使用；
S3，結合可疑入侵事件和告警關聯信息，根據統計規律、學習機制或專家判別方法來確定入侵事件；
S4,如果有入侵事件發生，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示。前述的一種基于場景的混合入侵檢測方法中，所述相關應用場景信息是對系統當前狀態和功能的所有信息的描述；所述相關應用場景信息包括
預定義場景，用于描述賦予訪問請求的操作所要滿足的條件；
請求結果場景，用于激活訪問請求的是接受或拒絕的行為；
中間場景，用于定義訪問請求的操作在執行過程中必須滿足的條件；
事后場景，用于定義訪問請求的操作執行后所要滿足的條件，并激活事后要執行的動作。前述的一種基于場景的混合入侵檢測方法中，所述訪問控制策略是對受保護目標的某種特殊類型的訪問請求的管理，該策略執行過程分為4個連續階段，每一個階段僅定義策略庫中特定的子集，每一個階段都有一個標示結果的狀態標志(即授權狀態)，該標志包括授權(T:True)、未授權(F:False)和不確定(U:Uncertain)。前述的一種基于場景的混合入侵檢測方法中，所述策略執行過程包括
訪問控制階段，開始于一個三元組的訪問請求命令，即訪問目標、訪問請求的操作和場景信息，執行系統通過系統調用來獲得與目標相聯系的安全策略，如果沒有發現相應的安全策略，則授權狀態被設置為F，訪問請求被拒絕；
授權核對階段，通過函數調用評估預定義場景和請求結果場景，得到相應的授權狀態; 如果沒有發現預定義場景或中間場景，則授權狀態設為T ；
執行控制階段，包括訪問請求操作的執行過程及執行控制過程狀態的判定，產生的結果存儲在執行狀態變量中；
事后響應階段，執行狀態被傳遞給事后響應函數，評估事后場景信息，評估結果存儲在相應的狀態變量中，如果未發現事后場景信息，其狀態變量直接被設置為T。前述的一種基于場景的混合入侵檢測方法中，審計數據即入侵檢測系統的輸入數據，其格式由入侵檢測系統所處網絡中的位置決定，包括RTU控制器、DCS/SCADA軟件、歷史數據庫、應用日志和IP數據包的輸出數據。前述的一種基于場景的混合入侵檢測方法中，如果步驟S3不能完全確定可疑入侵事件為入侵事件，就將可疑入侵事件作為輔助度量請求，來激活動態可信度量模塊，驗證是否有入侵事件發生；所述動態可信度量模塊通過TPM (安全芯片)和傳統硬件重新設計可信BIOS，使得TPM能在入侵檢測系統啟動過程中對系統各模塊進行信任度量，將可信鏈擴展到進程及模塊，包括對內核的進程、模塊的代碼、參數、堆棧分別進行動態度量，并利用 TPM進行硬件級別的保護。前述的一種基于場景的混合入侵檢測方法中，安全管理平臺接收到報警信息后， 確定報警級別，識別安全設備水平，對攻擊源進行跟蹤，將報警和審計記錄保存到日志文件中，并根據安全事件結果對安全數據庫、安全規則/策略進行更新。實現前述方法的一種基于場景的混合入侵檢測系統，包括入侵檢測系統和安全管理平臺；入侵檢測系統包括
數據采集模塊，用于訪問請求操作開始時，采集審計數據； 入侵檢測模塊，用于分析采集的審計數據，檢測其是否是入侵事件； 通訊接口，用于入侵檢測模塊與數據采集模塊進行雙向通訊； 報警響應模塊，用于入侵事件發生時，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示；
和安全管理模塊，用于對預報方法進行組合調度，將訪問控制策略、預報方法、告警關聯信息發送給入侵檢測模塊，并將響應策略發送給報警響應模塊，接收報警相應模塊發送的安全更新信息；
安全管理平臺包括安全數據庫、通訊接口、數據調度及分析引擎和人機界面。其中，安全數據庫是包含各種類型的數據源信息，例如，正常的用戶行為，主要用在異常檢測中；入侵特征和入侵場景，它們描述了攻擊者使用的滲透目標系統的已知技術；用于監視和記錄用戶行為的應用審計記錄；其他安全設備所產生的攻擊報告，單一的安全設備通常無法檢測到特洛伊木馬或其他篡改軟件的攻擊，通過各安全設備的信息共享及入侵報告的相關融合，有助于檢測和防御網絡和域邊界的復雜入侵；定制的各種策略，包括訪問控制策略、預報方法策略、報警響應策略、應用行為的調整策略、正常行為模式的調整策略等。前述的一種基于場景的混合入侵檢測系統中，入侵檢測模塊包括 標準化模塊，用于將審計數據轉換為系統可識別的標準格式；
數據預處理模塊，用于根據訪問控制策略及相關應用場景信息，提取審計數據的特
征；
預報模塊，用于根據審計數據的特征，應用組合的預報方法預報可疑入侵事件； 和決策模塊，用于結合可疑入侵事件和告警關聯信息，計算，確定入侵事件。前述的一種基于場景的混合入侵檢測系統中，入侵檢測系統還包括基于TPM的動態可信度量模塊；當決策模塊不能完全確定可疑入侵事件為入侵事件時，決策模塊將可疑入侵事件作為輔助度量請求，來激活動態可信度量模塊，對入侵檢測系統各模塊進行可信度量，驗證是否有入侵事件發生。所述動態可信度量模塊通過TPM (安全芯片)和傳統硬件重新設計可信BIOS，使得TPM能在入侵檢測系統啟動過程中對系統各模塊進行信任度量， 將可信鏈擴展到進程及模塊，包括對內核的進程、模塊的代碼、參數、堆棧分別進行動態度量，并利用TPM進行硬件級別的保護。與現有技術相比，本發明采用特定應用場景作為數據源來檢測用戶的動機，不但可以用來檢測入侵和異常行為，還能夠處理內部攻擊、系統故障、硬件退化、異常環境條件及意外誤用操作等，非常適用于工業控制領域的安全防御。本發明采用基于訪問控制機制及混合入侵預報的靈活架構，采用動態的入侵檢測策略，而不是不變的內建算法，大大增加了系統的魯棒性，使得細粒度的入侵行為檢測成為可能，能夠檢測復雜的攻擊，提高了入侵檢測的準確率。目前有多種攻擊預報方法，如時間序列分析法、概率模型法、數據挖掘法等，它們各有優劣。時間序列分析法能夠跟蹤觀測流量的穩定變化趨勢，但在流量發生突變的情況下，預報就不準確；同時使用這種方法預測入侵，需要確定一個閾值，當觀測流量大于指定的閾值時，可認為是入侵，但閾值的確定非常困難。概率模型法通過計算網絡中特定事件的概率分布來預測入侵發生的可能性，比較常用的如馬爾可夫鏈模型和貝葉斯方法，它們的缺點是很難獲取或計算先驗網絡狀態分布及各狀態之間的轉換概率。數據挖掘方法能夠提取隱含在大型數據庫或數據集中未知的潛在的信息，挖掘出網絡狀態變化中各種變量的相關性，來發現入侵，但是大多數數據挖掘方法計算量比較大、算法比較復雜，如神經網絡、支持向量機等，而且其結果往往不能形象化描述當時的網絡狀況。由于攻擊變得越來越復雜和多樣化，而且現有的各種預報技術各有利弊，采用單一的預報方法很難檢測，會增加唉虛警概率，因此采用組合后的預報方法，能夠實現在危害發生之前的快速入侵報警，提高預警能力，降低了誤警、虛警率。采用基于應用場景自適應調整預報策略，根據網絡攻擊或攻擊的可能性來動態調整防御策略，該策略就是選取合適的信息，作為評估場景來激活或關閉特定的策略項，用于調整對應用目標的訪問，該安全策略可以完成對一些實時攻擊方法的檢測，提高了入侵檢測的準確率。動態可信度量模塊通過TPM和傳統硬件重新設計可信BIOS，使得安全芯片能在系統啟動過程中對各模塊進行信任度量；將可信度量從BIOS啟動靜態度量擴展到進程及模塊的度量，并利用TPM進行硬件級別的保護，屬于系統物理層安全防護，可以防止內部攻
擊ο


圖1是本發明實施例的結構示意圖2是本發明實施例的訪問控制策略過程示意圖； 圖3是本發明實施例的審計數據構成示意圖； 圖4是本發明實施例的入侵檢測模塊的行為結構圖； 圖5是混合入侵檢測的基本原理圖。下面結合附圖和具體實施方式
對本發明作進一步的說明。
具體實施例方式
具體實施例方式一種基于場景的混合入侵檢測方法，包括以下步驟
Si，入侵檢測系統根據訪問控制策略及相關應用場景信息，提取采集的審計數據的特
征；
S2，根據審計數據的特征，應用組合的預報方法預報可疑入侵事件，其中預報方法可以采用時間序列分析法、概率模型法、數據挖掘法等方法組合使用；
S3，結合可疑入侵事件和告警關聯信息，根據統計規律、學習機制或專家判別方法來確定入侵事件；
S4,如果有入侵事件發生，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示。 相比于IT系統來說，控制系統具有相對簡單的拓撲、穩定的用戶群、常規的通訊模式及有限的通訊協議，因此實現基于網絡的入侵檢測、異常檢測及白名單系統比信息系統相對較容易，但是它與信息系統最大的不同是控制系統與物理世界的交互。一般IT系統的安全研究主要集中在信息保護，但是它并沒有考慮攻擊對計算及控制算法的影響，進而對物理系統的影響。對于工業控制系統來說，除了傳統的基于特征的入侵檢測，基于異常的入侵檢測應用一個物理系統的模型來代替傳統的網絡流量或軟件行為。工業控制網絡中普遍使用的SCADA系統中，主要的攻擊類型如表1所示。 表1 針對SCADA系統主要的攻擊類型
權利要求
1.一種基于場景的混合入侵檢測方法，其特征在于，包括以下步驟Si，入侵檢測系統根據訪問控制策略及相關應用場景信息，提取采集的審計數據的特征；S2，根據審計數據的特征，應用組合的預報方法預報可疑入侵事件； S3，結合可疑入侵事件和告警關聯信息，確定入侵事件；S4,如果有入侵事件發生，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示。
2.根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于，所述相關應用場景信息是對系統當前狀態和功能的所有信息的描述；所述相關應用場景信息包括預定義場景，用于描述賦予訪問請求的操作所要滿足的條件；請求結果場景，用于激活訪問請求的是接受或拒絕的行為；中間場景，用于定義訪問請求的操作在執行過程中必須滿足的條件；事后場景，用于定義訪問請求的操作執行后所要滿足的條件，并激活事后要執行的動作。
3.根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于所述訪問控制策略是對受保護目標的訪問請求的管理，該策略執行過程分為4個連續階段，每一個階段僅定義策略庫中特定的子集，每一個階段都有一個標示結果的狀態標志(即授權狀態)，該標志包括授權(T:True)、未授權(F:False)和不確定(U:Uncertain)。
4.根據權利要求2或3所述的一種基于場景的混合入侵檢測方法，其特征在于，所述策略執行過程包括訪問控制階段，開始于一個三元組的訪問請求命令，即訪問目標、訪問請求的操作和場景信息，執行系統通過系統調用來獲得與目標相聯系的安全策略，如果沒有發現相應的安全策略，則授權狀態被設置為F，訪問請求被拒絕；授權核對階段，通過函數調用評估預定義場景和請求結果場景，得到相應的授權狀態； 如果沒有發現預定義場景或中間場景，則授權狀態設為T ；執行控制階段，包括訪問請求操作的執行過程及執行控制過程狀態的判定，產生的結果存儲在執行狀態變量中；事后響應階段，執行狀態被傳遞給事后響應函數，評估事后場景信息，評估結果存儲在相應的狀態變量中，如果未發現事后場景信息，其狀態變量直接被設置為T。
5.根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于審計數據即入侵檢測系統的輸入數據，其格式由入侵檢測系統所處網絡中的位置決定，包括RTU控制器、DCS/SCADA軟件、歷史數據庫、應用日志和IP數據包輸出數據。
6.根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于如果步驟 S3不能完全確定可疑入侵事件為入侵事件，就將可疑入侵事件作為輔助度量請求，來激活動態可信度量模塊，驗證是否有入侵事件發生。
7.根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于安全管理平臺接收到報警信息后，確定報警級別，識別安全設備水平，對攻擊源進行跟蹤，將報警和審計記錄保存到日志文件中，并根據安全事件結果對安全數據庫、安全規則/策略進行更新。
8.實現權利要求1 7所述方法的一種基于場景的混合入侵檢測系統，其特征在于， 包括入侵檢測系統和安全管理平臺；入侵檢測系統包括數據采集模塊，用于訪問請求操作開始時，采集審計數據； 入侵檢測模塊，用于分析采集的審計數據，檢測其是否是入侵事件； 通訊接口，用于入侵檢測模塊與數據采集模塊進行雙向通訊； 報警響應模塊，用于入侵事件發生時，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示；和安全管理模塊，用于對預報方法進行組合調度，將訪問控制策略、預報方法、告警關聯信息發送給入侵檢測模塊，并將響應策略發送給報警響應模塊，接收報警相應模塊發送的安全更新信息；安全管理平臺包括安全數據庫、通訊接口、數據調度及分析引擎和人機界面。
9.根據權利要求8所述的一種基于場景的混合入侵檢測系統，其特征在于，入侵檢測模塊包括標準化模塊，用于將審計數據轉換為系統可識別的標準格式；數據預處理模塊，用于根據訪問控制策略及相關應用場景信息，提取審計數據的特征；預報模塊，用于根據審計數據的特征，應用組合的預報方法預報可疑入侵事件； 和決策模塊，用于結合可疑入侵事件和告警關聯信息，確定入侵事件。
10.根據權利要求9所述的一種基于場景的混合入侵檢測系統，其特征在于入侵檢測系統還包括基于TPM的動態可信度量模塊，它通過TPM (安全芯片)和傳統硬件重新設計可信BIOS，使得TPM能在入侵檢測系統啟動過程中對系統各模塊進行信任度量，將可信鏈擴展到進程及模塊，包括對內核的進程、模塊的代碼、參數、堆棧分別進行動態度量，并利用 TPM進行硬件級別的保護，當決策模塊不能完全確定可疑入侵事件為入侵事件時，決策模塊將可疑入侵事件作為輔助度量請求，來激活動態可信度量模塊，驗證是否有入侵事件發生。
全文摘要
本發明公開了一種基于場景的混合入侵檢測方法及系統，所述方法包括以下步驟S1，入侵檢測系統根據訪問控制策略及相關應用場景信息，提取采集的審計數據的特征；S2，根據審計數據的特征，應用組合的預報方法預報可疑入侵事件；S3，結合可疑入侵事件和告警關聯信息，確定入侵事件；S4，如果有入侵事件發生，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示。本發明能提高入侵檢測的準確率，對系統物理層進行安全防護，防止系統內部攻擊。
文檔編號H04L29/06GK102546638SQ20121000870
公開日2012年7月4日 申請日期2012年1月12日 優先權日2012年1月12日
發明者于立業, 張云貴, 張偉, 王麗娜, 趙華, 趙永麗 申請人:冶金自動化研究設計院