基于时序关联的网络入侵分析技术研究.docVIP

基于时序关联的网络入侵分析技术研究 刘宝旭1 韩正平1,2 许榕生1 中国科学院高能物理研究所计算中心，北京100049；2.中国科学院研究生院，北京100049）Email:liubx@ 摘要：针对当前网络入侵检测技术存在的报警信息量太大、误报警缺乏报警语义描述等问题，本文结合相应事例，采用时序关联方法对报警进行分析。文中设计时序识别语言，实现对端口扫描的报警精简，对FTP缓冲区溢出的误报警检测，以及对NetBios DCERPC攻击报警的语义改进。 关键词：入侵检测关联攻击场景 1 引言 长期以来，对网络攻击的检测都是通过网络入侵检测系统(Network Intrusion Detection System, NIDS)来完成。NIDS一般基于特征码检测，一旦发现网络数据包与特征码相匹配，便产生报警事件。由于特征码检测没有考虑到数据包所处的网络环境，当网络流量较大，网络数据格式比较多样的情况下，产生的报警信息量可能非常巨大，并存在大量的误报警。当网络攻击形式发生变化，以及新攻击的发生，也会导致对网络攻击的漏报警现象。另外，报警数据一般只给出当前匹配到的事件信息，不提供事件发生的上下文信息，可供安全管理员进行安全分析的信息太少，以至无法对报警信息的真伪和严重性进行有效评估[1]。 (NIDS产生的报警事件往往具有相关性，对这些数据进行关联分析[2]，有助于解决入侵检测技术面临的问题。报警事件的相关性在一定程度可以表现在时间关系上，本文将对报警事件进行基于时序(Chronicle)的关联分析，也称为时序关联。时序关联基于时间特征，对报警事件进行序列化组合分析，从而可以实现对报警事件的精简、误报警的检测和报警语义改进[3]。对报警事件的时序关联可以通过定义一系列的时序语义描述来进行，在这基础上实现时序语言，可以构成一个时序识别系统(Chronicle Recognition System, CRS) [4]，完成对报警事件的关联分析。 2 时序关联概述 时序关联用来为动态系统建立模型，为模型变化建立进行追踪的监控机制。时序关联建立在以时间为基础的形式语义描述上，这与传统的专家系统不同[5]。传统的专家系统根据规则来进行判别，而将时间作为背景信息。时序关联通过事件序列来进行判别，其主要依据是事件发生时间。 2.1 时序与时序模型 在人工智能领域中，时序指依靠时间参数对事件进行序列化，从而获得描述事物变化的具体化的逻辑语义[6]，如keep(is(meeting, on); T)表示“会议在时间T后召开。”在时序描述中，如果多个独立事件在同一时间点发生，只能采用一个事件。因此最小时间单位的确定非常重要，如果事件时间间隔非常小，可能会发生在同一个时间单位内，从而被认为是同时发生。时间间隔I可以用I=(t1,t2)来表示，其中t1和t2分别是两个时间点。 通过时序方法为动态系统建立的模型称为时序模型，时序模型由以下几部分组成：1) 时间点集合；2) 对时间进行约束的条件集合；3) 表示模型变化的时序模式集合；4) 表示事件发生上下文关系的声明集合；5) 时序被识别后，系统所执行的动作集合。 时序模型通过时序语言来表示。在实际系统对时序模式进行编译的过程中，将对时序约束条件的一致性进行测试，然后将时序模式编码为高效的数据结构用于识别过程，从而建立一个时序识别系统(chronicle recognition system, CRS)。 2.2 时序关联要素 时序关联主要依靠事件序列、环境属性和时序谓词三个要素对时序模型进行分析。 1事件序列 事件序列是一个事件集合，这些事件的发生依赖于上下文关系，通过时间约束条件相连接。事件序列是时序模型中的时间相关部分。 2环境属性 在具体的时序语义描述中，对环境的描述是通过环境属性来实现。环境属性是时序模型中的时间无关部分。 环境属性可以用P(a):v来表示，P为属性名，a为变量，v为属性值。例如，Load(server)可以用来衡量服务器负载大小，其可能值为{low, medium, high}。一些特殊的属性，例如用于传递消息的message，可以没有属性值。 3时序谓词 时序谓词用来对环境属性进行演算，其语法和语义如表1。 表1 时序谓词 语法 语义 keep(P:v,(t1,t2)) 环境属性P在时间[t1,t2]内保持值为v。 event(P:(v1,v2),t) 属性P的值在时间t由v1改变为v2。 event(P,t) 消息P发生在时间t。 noevent(P,(t1,t2)) 如果环境属性P的值在时间[t1,t2]内发生变化，则该时序模式不被识别。 occur((n1,n2),P,(t1,t2))(0≤n1≤n2) 如果在时间[t1,t2]内，环境属性P的发生次数为N