一种改进的攻击场景构建模型.docVIP

一种改进的攻击场景构建模型  摘 要 攻击场景是指入侵者为达到入侵目的所采取的一系列攻击步骤。目前的攻击场景重构方法只基于入侵检测系统的报警消息，漏报和误报严重影响了攻击场景的准确重构。提出了证据支持度的概念，将日志关联融合到攻击场景重构的过程中，提出了一种新的攻击场景重构模型，有效地提高了攻击场景重构的准确度。 关键词 网络安全；报警关联；攻击场景  0 引言 随着计算机技术，特别是网络技术的不断发展，人们的工作效率得到极大提高。同时，由于网络的开放性和系统的漏洞带来了安全方面的问题：病毒的传播能够造成系统的崩溃、信息的丢失甚至整个计算机网络的瘫痪；黑客对信息系统的攻击会造成机密信息、个人资料的泄漏和丢失，造成难以估计的损失。对于日益严重的安全问题，必须采取相应的措施，才能够保证计算机系统的安全，将可能的损失减到最小。 要能够及时准确地发现入侵企图，必须要知道入侵者的具体入侵步骤，单纯依靠入侵检测系统低级且数量众多的报警信息是不现实的。因此必须基于已有的入侵检测系统和众多的日志系统重构入侵者的入侵步骤，使管理员和响应系统能正确理解入侵目的，做出正确的反应。 本文采用了根据入侵检测报警的前提条件和可能后果进行攻击场景重构的方法[1]。然而，由于该方法在重构过程中只是基于入侵检测报警，入侵检测系统的误报和漏报会严重影响该方法的准确程度。根据特定入侵行为会在不同的日志中留有不同痕迹的事实，以及关联多种日志能提高入侵检测准确率的可能性，我们对该框架和方法进行了扩展，增加了日志事件、证据支持关系和证据支持度的概念，将特定入侵行为与特定的日志事件关联起来，采用证据支持度来评价重构后的攻击场景中攻击步骤的正确性，同时根据异常日志事件来推断可能漏报的入侵行为，合并被漏报分离的攻击场景。 1 总体结构 我们采用多台收集、集中分析的办法，将每台主机的入侵检测系统（网络入侵检测系统和主机入侵检测系统）的报警信息和系统日志（操作系统和应用程序日志）集中发送到取证机进行保存和分析。在取证机上进行单台主机的攻击场景重构和分布式攻击场景重构。为了保证通信的安全，各主机与取证机之间的通信必须基于安全通信协议。 不同的入侵检测系统的报警格式不同，要让它们协同工作，必须制定统一的报警信息格式。网络入侵检测系统和主机入侵检测系统都采用统一的入侵检测消息交换格式（IDMEF）。 2 基本原理 由于入侵检测系统的漏报和误报，单纯依靠入侵检测系统报警信息进行攻击场景重构的准确率不高。而入侵者会在不同的日志文件中留下异常痕迹，我们将报警信息与对应的不同日志关联起来。对于可能的误报，用日志异常证据来评价重构后的攻击场景，验证可能的误报。对于可能的漏报，根据异常日志所对应的可能报警在多个攻击场景之间进行匹配。 3 攻击的前提条件和后果 我们采用[1]中提到的关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果。 例如：攻击者在利用FTP的漏洞进行攻击前，连接到FTP服务器，使用SYST命令获取操作系统信息。这个动作被入侵检测系统发现后报警。那么这个攻击的前提条件可以用谓词ExistService(DestIP,DestPort)来表示,表明在地址为DestIP的主机上的DestPort端口存在服务。后果可以用谓词GainOSInfo(DestIP)来表示，表明攻击者获得了该主机的操作系统信息。 当攻击的前提条件需要同时满足多个条件时，采用多个谓词的合取式来表示这些条件。例如：攻击者利用wu-ftpd的漏洞进行缓冲区溢出攻击，这个攻击的前提条件可以表示为ExistService(DestIP,DestPort)∧VulnerableFTP(DestIP)。表明该主机存在FTP服务，同时存在有FTP缓冲区溢出的漏洞。 4 超报警类型（Hyper-alert Type） 由于同一种报警可能发生多次，我们使用超报警类型表示特定报警和其前提条件以及可能后果的关系类型，而使用超报警类型实例来表示具体的报警信息。 定义1：超报警类型T是一个三元集(f,p,c) f是一组属性的集合，每个属性有其域值； p是一组谓词的合取式，其中的自由变元都属于f； c是一组谓词的集合，其中的自由变元都属于f 超报警类型描述了攻击的类型。其中f是报警时的相关信息（时间、IP地址和端口号等），p是攻击要成功必须成立的条件，c是攻击发生后可能的后果。 定义2：超报警类型对应的超报警实例h是一组元组有限集合。它基于超报警类型的属性集合f，同时h中每一个元组t对应与特定的时间段[t.begin_time, t.end_time], t.begin_time和t.end_time为时间戳。所有的元组必须保证前提条件p的成立。 定义3：对超报警类型T = (f,p,c)来说