專利名稱:一種基于場(chǎng)景的混合入侵檢測(cè)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于場(chǎng)景的混合入侵檢測(cè)方法及系統(tǒng),屬于工業(yè)控制安全技術(shù)領(lǐng)域。
背景技術(shù):
近來,信息攻擊已經(jīng)嚴(yán)重威脅到網(wǎng)絡(luò)的穩(wěn)定性。這些攻擊利用網(wǎng)絡(luò)的互聯(lián)、交互特性,傳播的速度非常快,而且攻擊技術(shù)越來越高明,攻擊手段越來越復(fù)雜。傳統(tǒng)的信息安全系統(tǒng)例如防火墻、入侵檢測(cè)系統(tǒng)(IDS)等,在網(wǎng)絡(luò)攻擊預(yù)報(bào)方面存在著嚴(yán)重不足,通常在這些攻擊造成了嚴(yán)重破壞之后才響應(yīng)。大多數(shù)傳統(tǒng)的入侵檢測(cè)系統(tǒng)采用基于網(wǎng)絡(luò)或基于主機(jī)的方法識(shí)別和響應(yīng)攻擊。這些系統(tǒng)常常采用兩類入侵檢測(cè)手段,即異常入侵檢測(cè)和特征入侵檢測(cè),如圖5所示。異常檢測(cè)是通過檢測(cè)與可接受行為的偏差,即當(dāng)用戶活動(dòng)與正常行為有重大偏差時(shí)被認(rèn)為是入侵;特征檢測(cè),收集非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)檢測(cè)到用戶或系統(tǒng)行為與特征相匹配時(shí),系統(tǒng)就認(rèn)為這種行為是入侵。基于主機(jī)的入侵檢測(cè)系統(tǒng)通過分析主機(jī)事件日志、系統(tǒng)調(diào)用及安全審計(jì)記錄等,來發(fā)現(xiàn)、提取攻擊特征和異常行為;而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是基于網(wǎng)絡(luò)上的數(shù)據(jù)流量來發(fā)現(xiàn)、提取攻擊模式和異常行為的。而大多數(shù)情況下,入侵者利用應(yīng)用系統(tǒng)的漏洞及不安全的配置來入侵系統(tǒng),應(yīng)用層攻擊能夠利用合法用戶的邊界防御后門來入侵系統(tǒng),因此,上述兩種IDS系統(tǒng)很難檢測(cè)這類攻擊。當(dāng)前,基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)通常與應(yīng)用系統(tǒng)的訪問控制相分離, 這些安全設(shè)備之間缺乏協(xié)調(diào)和內(nèi)部交互,不利于檢測(cè)復(fù)雜的攻擊,尤其對(duì)于實(shí)時(shí)持續(xù)攻擊, 造成破壞之前,不能有效響應(yīng)。當(dāng)前普遍應(yīng)用的IDS系統(tǒng)的另一個(gè)不足在于,經(jīng)常會(huì)有很高的誤警概率,可能造成的后果是導(dǎo)致合法用戶服務(wù)的中斷。因此,成功的入侵檢測(cè)系統(tǒng)要求應(yīng)用準(zhǔn)確、有效的模型分析大量的應(yīng)用、系統(tǒng)和網(wǎng)絡(luò)審計(jì)數(shù)據(jù),并對(duì)識(shí)別的攻擊進(jìn)行實(shí)時(shí)響應(yīng)。目前計(jì)算機(jī)病毒、各種網(wǎng)絡(luò)攻擊等新特點(diǎn)層出不窮,工業(yè)控制系統(tǒng)面臨著安全新挑戰(zhàn)。對(duì)工業(yè)控制系統(tǒng)來說,更嚴(yán)重的安全威脅常常來自內(nèi)部,因?yàn)閮?nèi)部攻擊者了解控制網(wǎng)絡(luò)結(jié)構(gòu),包括目標(biāo)文件、系統(tǒng)漏洞、程序漏洞等,攻擊手段更復(fù)雜、隱蔽。而國內(nèi)大部分工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)層采取了一些傳統(tǒng)安全防護(hù)措施,大多數(shù)針對(duì)工業(yè)控制領(lǐng)域的安全設(shè)備主要集中在網(wǎng)絡(luò)層次上,用于保護(hù)企業(yè)級(jí)網(wǎng)絡(luò)來自hternet的外部攻擊,但物理層安全防護(hù)還沒有成熟的產(chǎn)品和解決方案,無法應(yīng)對(duì)越來越嚴(yán)重的內(nèi)部攻擊。對(duì)于工業(yè)控制領(lǐng)域來說,不同的工業(yè)應(yīng)用場(chǎng)合,其控制網(wǎng)絡(luò)有各自不同的特點(diǎn)和要求,通常需要特點(diǎn)的應(yīng)用層知識(shí)來構(gòu)建安全策略,來識(shí)別可疑行為及應(yīng)用合適的響應(yīng)策略。因此,傳統(tǒng)的基于應(yīng)用的IDS系統(tǒng),很難管理及部署。當(dāng)前一些商用的IDS系統(tǒng)的缺點(diǎn)就是缺少安全策略。這些系統(tǒng)主要依賴內(nèi)建的靜態(tài)算法,不能靈活適應(yīng)這種改變了系統(tǒng)安全行為的系統(tǒng)。對(duì)于采用異常檢測(cè)的系統(tǒng)來說,任何與正常行為輪廓的偏差都被認(rèn)為是可疑行為,這大大增加了系統(tǒng)的虛警概率。
發(fā)明內(nèi)容
本發(fā)明的目的在于,提供一種基于場(chǎng)景的混合入侵檢測(cè)方法及系統(tǒng),它能提高入侵檢測(cè)的準(zhǔn)確率,對(duì)系統(tǒng)物理層進(jìn)行安全防護(hù),防止系統(tǒng)內(nèi)部攻擊。為解決上述技術(shù)問題,本發(fā)明采用如下的技術(shù)方案一種基于場(chǎng)景的混合入侵檢測(cè)方法,包括以下步驟
Si,入侵檢測(cè)系統(tǒng)根據(jù)訪問控制策略及相關(guān)應(yīng)用場(chǎng)景信息,提取采集的審計(jì)數(shù)據(jù)的特
征;
S2,根據(jù)審計(jì)數(shù)據(jù)的特征,應(yīng)用組合的預(yù)報(bào)方法預(yù)報(bào)可疑入侵事件,其中預(yù)報(bào)方法可以采用時(shí)間序列分析法、概率模型法、數(shù)據(jù)挖掘法等方法組合使用;
S3,結(jié)合可疑入侵事件和告警關(guān)聯(lián)信息,根據(jù)統(tǒng)計(jì)規(guī)律、學(xué)習(xí)機(jī)制或?qū)<遗袆e方法來確定入侵事件;
S4,如果有入侵事件發(fā)生,入侵檢測(cè)系統(tǒng)生成報(bào)警信息,并發(fā)送給安全管理平臺(tái)進(jìn)行可視化顯示。前述的一種基于場(chǎng)景的混合入侵檢測(cè)方法中,所述相關(guān)應(yīng)用場(chǎng)景信息是對(duì)系統(tǒng)當(dāng)前狀態(tài)和功能的所有信息的描述;所述相關(guān)應(yīng)用場(chǎng)景信息包括
預(yù)定義場(chǎng)景,用于描述賦予訪問請(qǐng)求的操作所要滿足的條件;
請(qǐng)求結(jié)果場(chǎng)景,用于激活訪問請(qǐng)求的是接受或拒絕的行為;
中間場(chǎng)景,用于定義訪問請(qǐng)求的操作在執(zhí)行過程中必須滿足的條件;
事后場(chǎng)景,用于定義訪問請(qǐng)求的操作執(zhí)行后所要滿足的條件,并激活事后要執(zhí)行的動(dòng)作。前述的一種基于場(chǎng)景的混合入侵檢測(cè)方法中,所述訪問控制策略是對(duì)受保護(hù)目標(biāo)的某種特殊類型的訪問請(qǐng)求的管理,該策略執(zhí)行過程分為4個(gè)連續(xù)階段,每一個(gè)階段僅定義策略庫中特定的子集,每一個(gè)階段都有一個(gè)標(biāo)示結(jié)果的狀態(tài)標(biāo)志(即授權(quán)狀態(tài)),該標(biāo)志包括授權(quán)(T:True)、未授權(quán)(F:False)和不確定(U:Uncertain)。前述的一種基于場(chǎng)景的混合入侵檢測(cè)方法中,所述策略執(zhí)行過程包括
訪問控制階段,開始于一個(gè)三元組的訪問請(qǐng)求命令,即訪問目標(biāo)、訪問請(qǐng)求的操作和場(chǎng)景信息,執(zhí)行系統(tǒng)通過系統(tǒng)調(diào)用來獲得與目標(biāo)相聯(lián)系的安全策略,如果沒有發(fā)現(xiàn)相應(yīng)的安全策略,則授權(quán)狀態(tài)被設(shè)置為F,訪問請(qǐng)求被拒絕;
授權(quán)核對(duì)階段,通過函數(shù)調(diào)用評(píng)估預(yù)定義場(chǎng)景和請(qǐng)求結(jié)果場(chǎng)景,得到相應(yīng)的授權(quán)狀態(tài); 如果沒有發(fā)現(xiàn)預(yù)定義場(chǎng)景或中間場(chǎng)景,則授權(quán)狀態(tài)設(shè)為T ;
執(zhí)行控制階段,包括訪問請(qǐng)求操作的執(zhí)行過程及執(zhí)行控制過程狀態(tài)的判定,產(chǎn)生的結(jié)果存儲(chǔ)在執(zhí)行狀態(tài)變量中;
事后響應(yīng)階段,執(zhí)行狀態(tài)被傳遞給事后響應(yīng)函數(shù),評(píng)估事后場(chǎng)景信息,評(píng)估結(jié)果存儲(chǔ)在相應(yīng)的狀態(tài)變量中,如果未發(fā)現(xiàn)事后場(chǎng)景信息,其狀態(tài)變量直接被設(shè)置為T。前述的一種基于場(chǎng)景的混合入侵檢測(cè)方法中,審計(jì)數(shù)據(jù)即入侵檢測(cè)系統(tǒng)的輸入數(shù)據(jù),其格式由入侵檢測(cè)系統(tǒng)所處網(wǎng)絡(luò)中的位置決定,包括RTU控制器、DCS/SCADA軟件、歷史數(shù)據(jù)庫、應(yīng)用日志和IP數(shù)據(jù)包的輸出數(shù)據(jù)。前述的一種基于場(chǎng)景的混合入侵檢測(cè)方法中,如果步驟S3不能完全確定可疑入侵事件為入侵事件,就將可疑入侵事件作為輔助度量請(qǐng)求,來激活動(dòng)態(tài)可信度量模塊,驗(yàn)證是否有入侵事件發(fā)生;所述動(dòng)態(tài)可信度量模塊通過TPM (安全芯片)和傳統(tǒng)硬件重新設(shè)計(jì)可信BIOS,使得TPM能在入侵檢測(cè)系統(tǒng)啟動(dòng)過程中對(duì)系統(tǒng)各模塊進(jìn)行信任度量,將可信鏈擴(kuò)展到進(jìn)程及模塊,包括對(duì)內(nèi)核的進(jìn)程、模塊的代碼、參數(shù)、堆棧分別進(jìn)行動(dòng)態(tài)度量,并利用 TPM進(jìn)行硬件級(jí)別的保護(hù)。前述的一種基于場(chǎng)景的混合入侵檢測(cè)方法中,安全管理平臺(tái)接收到報(bào)警信息后, 確定報(bào)警級(jí)別,識(shí)別安全設(shè)備水平,對(duì)攻擊源進(jìn)行跟蹤,將報(bào)警和審計(jì)記錄保存到日志文件中,并根據(jù)安全事件結(jié)果對(duì)安全數(shù)據(jù)庫、安全規(guī)則/策略進(jìn)行更新。實(shí)現(xiàn)前述方法的一種基于場(chǎng)景的混合入侵檢測(cè)系統(tǒng),包括入侵檢測(cè)系統(tǒng)和安全管理平臺(tái);入侵檢測(cè)系統(tǒng)包括
數(shù)據(jù)采集模塊,用于訪問請(qǐng)求操作開始時(shí),采集審計(jì)數(shù)據(jù); 入侵檢測(cè)模塊,用于分析采集的審計(jì)數(shù)據(jù),檢測(cè)其是否是入侵事件; 通訊接口,用于入侵檢測(cè)模塊與數(shù)據(jù)采集模塊進(jìn)行雙向通訊; 報(bào)警響應(yīng)模塊,用于入侵事件發(fā)生時(shí),入侵檢測(cè)系統(tǒng)生成報(bào)警信息,并發(fā)送給安全管理平臺(tái)進(jìn)行可視化顯示;
和安全管理模塊,用于對(duì)預(yù)報(bào)方法進(jìn)行組合調(diào)度,將訪問控制策略、預(yù)報(bào)方法、告警關(guān)聯(lián)信息發(fā)送給入侵檢測(cè)模塊,并將響應(yīng)策略發(fā)送給報(bào)警響應(yīng)模塊,接收?qǐng)?bào)警相應(yīng)模塊發(fā)送的安全更新信息;
安全管理平臺(tái)包括安全數(shù)據(jù)庫、通訊接口、數(shù)據(jù)調(diào)度及分析引擎和人機(jī)界面。其中,安全數(shù)據(jù)庫是包含各種類型的數(shù)據(jù)源信息,例如,正常的用戶行為,主要用在異常檢測(cè)中;入侵特征和入侵場(chǎng)景,它們描述了攻擊者使用的滲透目標(biāo)系統(tǒng)的已知技術(shù);用于監(jiān)視和記錄用戶行為的應(yīng)用審計(jì)記錄;其他安全設(shè)備所產(chǎn)生的攻擊報(bào)告,單一的安全設(shè)備通常無法檢測(cè)到特洛伊木馬或其他篡改軟件的攻擊,通過各安全設(shè)備的信息共享及入侵報(bào)告的相關(guān)融合,有助于檢測(cè)和防御網(wǎng)絡(luò)和域邊界的復(fù)雜入侵;定制的各種策略,包括訪問控制策略、預(yù)報(bào)方法策略、報(bào)警響應(yīng)策略、應(yīng)用行為的調(diào)整策略、正常行為模式的調(diào)整策略等。前述的一種基于場(chǎng)景的混合入侵檢測(cè)系統(tǒng)中,入侵檢測(cè)模塊包括 標(biāo)準(zhǔn)化模塊,用于將審計(jì)數(shù)據(jù)轉(zhuǎn)換為系統(tǒng)可識(shí)別的標(biāo)準(zhǔn)格式;
數(shù)據(jù)預(yù)處理模塊,用于根據(jù)訪問控制策略及相關(guān)應(yīng)用場(chǎng)景信息,提取審計(jì)數(shù)據(jù)的特
征;
預(yù)報(bào)模塊,用于根據(jù)審計(jì)數(shù)據(jù)的特征,應(yīng)用組合的預(yù)報(bào)方法預(yù)報(bào)可疑入侵事件; 和決策模塊,用于結(jié)合可疑入侵事件和告警關(guān)聯(lián)信息,計(jì)算,確定入侵事件。前述的一種基于場(chǎng)景的混合入侵檢測(cè)系統(tǒng)中,入侵檢測(cè)系統(tǒng)還包括基于TPM的動(dòng)態(tài)可信度量模塊;當(dāng)決策模塊不能完全確定可疑入侵事件為入侵事件時(shí),決策模塊將可疑入侵事件作為輔助度量請(qǐng)求,來激活動(dòng)態(tài)可信度量模塊,對(duì)入侵檢測(cè)系統(tǒng)各模塊進(jìn)行可信度量,驗(yàn)證是否有入侵事件發(fā)生。所述動(dòng)態(tài)可信度量模塊通過TPM (安全芯片)和傳統(tǒng)硬件重新設(shè)計(jì)可信BIOS,使得TPM能在入侵檢測(cè)系統(tǒng)啟動(dòng)過程中對(duì)系統(tǒng)各模塊進(jìn)行信任度量, 將可信鏈擴(kuò)展到進(jìn)程及模塊,包括對(duì)內(nèi)核的進(jìn)程、模塊的代碼、參數(shù)、堆棧分別進(jìn)行動(dòng)態(tài)度量,并利用TPM進(jìn)行硬件級(jí)別的保護(hù)。與現(xiàn)有技術(shù)相比,本發(fā)明采用特定應(yīng)用場(chǎng)景作為數(shù)據(jù)源來檢測(cè)用戶的動(dòng)機(jī),不但可以用來檢測(cè)入侵和異常行為,還能夠處理內(nèi)部攻擊、系統(tǒng)故障、硬件退化、異常環(huán)境條件及意外誤用操作等,非常適用于工業(yè)控制領(lǐng)域的安全防御。本發(fā)明采用基于訪問控制機(jī)制及混合入侵預(yù)報(bào)的靈活架構(gòu),采用動(dòng)態(tài)的入侵檢測(cè)策略,而不是不變的內(nèi)建算法,大大增加了系統(tǒng)的魯棒性,使得細(xì)粒度的入侵行為檢測(cè)成為可能,能夠檢測(cè)復(fù)雜的攻擊,提高了入侵檢測(cè)的準(zhǔn)確率。目前有多種攻擊預(yù)報(bào)方法,如時(shí)間序列分析法、概率模型法、數(shù)據(jù)挖掘法等,它們各有優(yōu)劣。時(shí)間序列分析法能夠跟蹤觀測(cè)流量的穩(wěn)定變化趨勢(shì),但在流量發(fā)生突變的情況下,預(yù)報(bào)就不準(zhǔn)確;同時(shí)使用這種方法預(yù)測(cè)入侵,需要確定一個(gè)閾值,當(dāng)觀測(cè)流量大于指定的閾值時(shí),可認(rèn)為是入侵,但閾值的確定非常困難。概率模型法通過計(jì)算網(wǎng)絡(luò)中特定事件的概率分布來預(yù)測(cè)入侵發(fā)生的可能性,比較常用的如馬爾可夫鏈模型和貝葉斯方法,它們的缺點(diǎn)是很難獲取或計(jì)算先驗(yàn)網(wǎng)絡(luò)狀態(tài)分布及各狀態(tài)之間的轉(zhuǎn)換概率。數(shù)據(jù)挖掘方法能夠提取隱含在大型數(shù)據(jù)庫或數(shù)據(jù)集中未知的潛在的信息,挖掘出網(wǎng)絡(luò)狀態(tài)變化中各種變量的相關(guān)性,來發(fā)現(xiàn)入侵,但是大多數(shù)數(shù)據(jù)挖掘方法計(jì)算量比較大、算法比較復(fù)雜,如神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)等,而且其結(jié)果往往不能形象化描述當(dāng)時(shí)的網(wǎng)絡(luò)狀況。由于攻擊變得越來越復(fù)雜和多樣化,而且現(xiàn)有的各種預(yù)報(bào)技術(shù)各有利弊,采用單一的預(yù)報(bào)方法很難檢測(cè),會(huì)增加唉虛警概率,因此采用組合后的預(yù)報(bào)方法,能夠?qū)崿F(xiàn)在危害發(fā)生之前的快速入侵報(bào)警,提高預(yù)警能力,降低了誤警、虛警率。采用基于應(yīng)用場(chǎng)景自適應(yīng)調(diào)整預(yù)報(bào)策略,根據(jù)網(wǎng)絡(luò)攻擊或攻擊的可能性來動(dòng)態(tài)調(diào)整防御策略,該策略就是選取合適的信息,作為評(píng)估場(chǎng)景來激活或關(guān)閉特定的策略項(xiàng),用于調(diào)整對(duì)應(yīng)用目標(biāo)的訪問,該安全策略可以完成對(duì)一些實(shí)時(shí)攻擊方法的檢測(cè),提高了入侵檢測(cè)的準(zhǔn)確率。動(dòng)態(tài)可信度量模塊通過TPM和傳統(tǒng)硬件重新設(shè)計(jì)可信BIOS,使得安全芯片能在系統(tǒng)啟動(dòng)過程中對(duì)各模塊進(jìn)行信任度量;將可信度量從BIOS啟動(dòng)靜態(tài)度量擴(kuò)展到進(jìn)程及模塊的度量,并利用TPM進(jìn)行硬件級(jí)別的保護(hù),屬于系統(tǒng)物理層安全防護(hù),可以防止內(nèi)部攻
擊ο
圖1是本發(fā)明實(shí)施例的結(jié)構(gòu)示意圖2是本發(fā)明實(shí)施例的訪問控制策略過程示意圖; 圖3是本發(fā)明實(shí)施例的審計(jì)數(shù)據(jù)構(gòu)成示意圖; 圖4是本發(fā)明實(shí)施例的入侵檢測(cè)模塊的行為結(jié)構(gòu)圖; 圖5是混合入侵檢測(cè)的基本原理圖。下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步的說明。
具體實(shí)施例方式
具體實(shí)施例方式一種基于場(chǎng)景的混合入侵檢測(cè)方法,包括以下步驟
Si,入侵檢測(cè)系統(tǒng)根據(jù)訪問控制策略及相關(guān)應(yīng)用場(chǎng)景信息,提取采集的審計(jì)數(shù)據(jù)的特
征;
S2,根據(jù)審計(jì)數(shù)據(jù)的特征,應(yīng)用組合的預(yù)報(bào)方法預(yù)報(bào)可疑入侵事件,其中預(yù)報(bào)方法可以采用時(shí)間序列分析法、概率模型法、數(shù)據(jù)挖掘法等方法組合使用;
S3,結(jié)合可疑入侵事件和告警關(guān)聯(lián)信息,根據(jù)統(tǒng)計(jì)規(guī)律、學(xué)習(xí)機(jī)制或?qū)<遗袆e方法來確定入侵事件;
S4,如果有入侵事件發(fā)生,入侵檢測(cè)系統(tǒng)生成報(bào)警信息,并發(fā)送給安全管理平臺(tái)進(jìn)行可視化顯示。 相比于IT系統(tǒng)來說,控制系統(tǒng)具有相對(duì)簡(jiǎn)單的拓?fù)洹⒎€(wěn)定的用戶群、常規(guī)的通訊模式及有限的通訊協(xié)議,因此實(shí)現(xiàn)基于網(wǎng)絡(luò)的入侵檢測(cè)、異常檢測(cè)及白名單系統(tǒng)比信息系統(tǒng)相對(duì)較容易,但是它與信息系統(tǒng)最大的不同是控制系統(tǒng)與物理世界的交互。一般IT系統(tǒng)的安全研究主要集中在信息保護(hù),但是它并沒有考慮攻擊對(duì)計(jì)算及控制算法的影響,進(jìn)而對(duì)物理系統(tǒng)的影響。對(duì)于工業(yè)控制系統(tǒng)來說,除了傳統(tǒng)的基于特征的入侵檢測(cè),基于異常的入侵檢測(cè)應(yīng)用一個(gè)物理系統(tǒng)的模型來代替?zhèn)鹘y(tǒng)的網(wǎng)絡(luò)流量或軟件行為。工業(yè)控制網(wǎng)絡(luò)中普遍使用的SCADA系統(tǒng)中,主要的攻擊類型如表1所示。 表1 針對(duì)SCADA系統(tǒng)主要的攻擊類型
權(quán)利要求
1.一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于,包括以下步驟Si,入侵檢測(cè)系統(tǒng)根據(jù)訪問控制策略及相關(guān)應(yīng)用場(chǎng)景信息,提取采集的審計(jì)數(shù)據(jù)的特征;S2,根據(jù)審計(jì)數(shù)據(jù)的特征,應(yīng)用組合的預(yù)報(bào)方法預(yù)報(bào)可疑入侵事件; S3,結(jié)合可疑入侵事件和告警關(guān)聯(lián)信息,確定入侵事件;S4,如果有入侵事件發(fā)生,入侵檢測(cè)系統(tǒng)生成報(bào)警信息,并發(fā)送給安全管理平臺(tái)進(jìn)行可視化顯示。
2.根據(jù)權(quán)利要求1所述的一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于,所述相關(guān)應(yīng)用場(chǎng)景信息是對(duì)系統(tǒng)當(dāng)前狀態(tài)和功能的所有信息的描述;所述相關(guān)應(yīng)用場(chǎng)景信息包括預(yù)定義場(chǎng)景,用于描述賦予訪問請(qǐng)求的操作所要滿足的條件;請(qǐng)求結(jié)果場(chǎng)景,用于激活訪問請(qǐng)求的是接受或拒絕的行為;中間場(chǎng)景,用于定義訪問請(qǐng)求的操作在執(zhí)行過程中必須滿足的條件;事后場(chǎng)景,用于定義訪問請(qǐng)求的操作執(zhí)行后所要滿足的條件,并激活事后要執(zhí)行的動(dòng)作。
3.根據(jù)權(quán)利要求1所述的一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于所述訪問控制策略是對(duì)受保護(hù)目標(biāo)的訪問請(qǐng)求的管理,該策略執(zhí)行過程分為4個(gè)連續(xù)階段,每一個(gè)階段僅定義策略庫中特定的子集,每一個(gè)階段都有一個(gè)標(biāo)示結(jié)果的狀態(tài)標(biāo)志(即授權(quán)狀態(tài)),該標(biāo)志包括授權(quán)(T:True)、未授權(quán)(F:False)和不確定(U:Uncertain)。
4.根據(jù)權(quán)利要求2或3所述的一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于,所述策略執(zhí)行過程包括訪問控制階段,開始于一個(gè)三元組的訪問請(qǐng)求命令,即訪問目標(biāo)、訪問請(qǐng)求的操作和場(chǎng)景信息,執(zhí)行系統(tǒng)通過系統(tǒng)調(diào)用來獲得與目標(biāo)相聯(lián)系的安全策略,如果沒有發(fā)現(xiàn)相應(yīng)的安全策略,則授權(quán)狀態(tài)被設(shè)置為F,訪問請(qǐng)求被拒絕;授權(quán)核對(duì)階段,通過函數(shù)調(diào)用評(píng)估預(yù)定義場(chǎng)景和請(qǐng)求結(jié)果場(chǎng)景,得到相應(yīng)的授權(quán)狀態(tài); 如果沒有發(fā)現(xiàn)預(yù)定義場(chǎng)景或中間場(chǎng)景,則授權(quán)狀態(tài)設(shè)為T ;執(zhí)行控制階段,包括訪問請(qǐng)求操作的執(zhí)行過程及執(zhí)行控制過程狀態(tài)的判定,產(chǎn)生的結(jié)果存儲(chǔ)在執(zhí)行狀態(tài)變量中;事后響應(yīng)階段,執(zhí)行狀態(tài)被傳遞給事后響應(yīng)函數(shù),評(píng)估事后場(chǎng)景信息,評(píng)估結(jié)果存儲(chǔ)在相應(yīng)的狀態(tài)變量中,如果未發(fā)現(xiàn)事后場(chǎng)景信息,其狀態(tài)變量直接被設(shè)置為T。
5.根據(jù)權(quán)利要求1所述的一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于審計(jì)數(shù)據(jù)即入侵檢測(cè)系統(tǒng)的輸入數(shù)據(jù),其格式由入侵檢測(cè)系統(tǒng)所處網(wǎng)絡(luò)中的位置決定,包括RTU控制器、DCS/SCADA軟件、歷史數(shù)據(jù)庫、應(yīng)用日志和IP數(shù)據(jù)包輸出數(shù)據(jù)。
6.根據(jù)權(quán)利要求1所述的一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于如果步驟 S3不能完全確定可疑入侵事件為入侵事件,就將可疑入侵事件作為輔助度量請(qǐng)求,來激活動(dòng)態(tài)可信度量模塊,驗(yàn)證是否有入侵事件發(fā)生。
7.根據(jù)權(quán)利要求1所述的一種基于場(chǎng)景的混合入侵檢測(cè)方法,其特征在于安全管理平臺(tái)接收到報(bào)警信息后,確定報(bào)警級(jí)別,識(shí)別安全設(shè)備水平,對(duì)攻擊源進(jìn)行跟蹤,將報(bào)警和審計(jì)記錄保存到日志文件中,并根據(jù)安全事件結(jié)果對(duì)安全數(shù)據(jù)庫、安全規(guī)則/策略進(jìn)行更新。
8.實(shí)現(xiàn)權(quán)利要求1 7所述方法的一種基于場(chǎng)景的混合入侵檢測(cè)系統(tǒng),其特征在于, 包括入侵檢測(cè)系統(tǒng)和安全管理平臺(tái);入侵檢測(cè)系統(tǒng)包括數(shù)據(jù)采集模塊,用于訪問請(qǐng)求操作開始時(shí),采集審計(jì)數(shù)據(jù); 入侵檢測(cè)模塊,用于分析采集的審計(jì)數(shù)據(jù),檢測(cè)其是否是入侵事件; 通訊接口,用于入侵檢測(cè)模塊與數(shù)據(jù)采集模塊進(jìn)行雙向通訊; 報(bào)警響應(yīng)模塊,用于入侵事件發(fā)生時(shí),入侵檢測(cè)系統(tǒng)生成報(bào)警信息,并發(fā)送給安全管理平臺(tái)進(jìn)行可視化顯示;和安全管理模塊,用于對(duì)預(yù)報(bào)方法進(jìn)行組合調(diào)度,將訪問控制策略、預(yù)報(bào)方法、告警關(guān)聯(lián)信息發(fā)送給入侵檢測(cè)模塊,并將響應(yīng)策略發(fā)送給報(bào)警響應(yīng)模塊,接收?qǐng)?bào)警相應(yīng)模塊發(fā)送的安全更新信息;安全管理平臺(tái)包括安全數(shù)據(jù)庫、通訊接口、數(shù)據(jù)調(diào)度及分析引擎和人機(jī)界面。
9.根據(jù)權(quán)利要求8所述的一種基于場(chǎng)景的混合入侵檢測(cè)系統(tǒng),其特征在于,入侵檢測(cè)模塊包括標(biāo)準(zhǔn)化模塊,用于將審計(jì)數(shù)據(jù)轉(zhuǎn)換為系統(tǒng)可識(shí)別的標(biāo)準(zhǔn)格式;數(shù)據(jù)預(yù)處理模塊,用于根據(jù)訪問控制策略及相關(guān)應(yīng)用場(chǎng)景信息,提取審計(jì)數(shù)據(jù)的特征;預(yù)報(bào)模塊,用于根據(jù)審計(jì)數(shù)據(jù)的特征,應(yīng)用組合的預(yù)報(bào)方法預(yù)報(bào)可疑入侵事件; 和決策模塊,用于結(jié)合可疑入侵事件和告警關(guān)聯(lián)信息,確定入侵事件。
10.根據(jù)權(quán)利要求9所述的一種基于場(chǎng)景的混合入侵檢測(cè)系統(tǒng),其特征在于入侵檢測(cè)系統(tǒng)還包括基于TPM的動(dòng)態(tài)可信度量模塊,它通過TPM (安全芯片)和傳統(tǒng)硬件重新設(shè)計(jì)可信BIOS,使得TPM能在入侵檢測(cè)系統(tǒng)啟動(dòng)過程中對(duì)系統(tǒng)各模塊進(jìn)行信任度量,將可信鏈擴(kuò)展到進(jìn)程及模塊,包括對(duì)內(nèi)核的進(jìn)程、模塊的代碼、參數(shù)、堆棧分別進(jìn)行動(dòng)態(tài)度量,并利用 TPM進(jìn)行硬件級(jí)別的保護(hù),當(dāng)決策模塊不能完全確定可疑入侵事件為入侵事件時(shí),決策模塊將可疑入侵事件作為輔助度量請(qǐng)求,來激活動(dòng)態(tài)可信度量模塊,驗(yàn)證是否有入侵事件發(fā)生。
全文摘要
本發(fā)明公開了一種基于場(chǎng)景的混合入侵檢測(cè)方法及系統(tǒng),所述方法包括以下步驟S1,入侵檢測(cè)系統(tǒng)根據(jù)訪問控制策略及相關(guān)應(yīng)用場(chǎng)景信息,提取采集的審計(jì)數(shù)據(jù)的特征;S2,根據(jù)審計(jì)數(shù)據(jù)的特征,應(yīng)用組合的預(yù)報(bào)方法預(yù)報(bào)可疑入侵事件;S3,結(jié)合可疑入侵事件和告警關(guān)聯(lián)信息,確定入侵事件;S4,如果有入侵事件發(fā)生,入侵檢測(cè)系統(tǒng)生成報(bào)警信息,并發(fā)送給安全管理平臺(tái)進(jìn)行可視化顯示。本發(fā)明能提高入侵檢測(cè)的準(zhǔn)確率,對(duì)系統(tǒng)物理層進(jìn)行安全防護(hù),防止系統(tǒng)內(nèi)部攻擊。
文檔編號(hào)H04L29/06GK102546638SQ20121000870
公開日2012年7月4日 申請(qǐng)日期2012年1月12日 優(yōu)先權(quán)日2012年1月12日
發(fā)明者于立業(yè), 張?jiān)瀑F, 張偉, 王麗娜, 趙華, 趙永麗 申請(qǐng)人:冶金自動(dòng)化研究設(shè)計(jì)院