[發(fā)明專利]一種基于場景的混合入侵檢測方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 201210008703.X | 申請日: | 2012-01-12 |
| 公開(公告)號: | CN102546638A | 公開(公告)日: | 2012-07-04 |
| 發(fā)明(設計)人: | 張云貴;趙永麗;王麗娜;于立業(yè);趙華;張偉 | 申請(專利權)人: | 冶金自動化研究設計院 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京聯(lián)創(chuàng)佳為專利事務所(普通合伙) 11362 | 代理人: | 郭防 |
| 地址: | 100071 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 場景 混合 入侵 檢測 方法 系統(tǒng) | ||
技術領域
本發(fā)明涉及一種基于場景的混合入侵檢測方法及系統(tǒng),屬于工業(yè)控制安全技術領域。
背景技術
近來,信息攻擊已經(jīng)嚴重威脅到網(wǎng)絡的穩(wěn)定性。這些攻擊利用網(wǎng)絡的互聯(lián)、交互特性,傳播的速度非常快,而且攻擊技術越來越高明,攻擊手段越來越復雜。傳統(tǒng)的信息安全系統(tǒng)例如防火墻、入侵檢測系統(tǒng)(IDS)等,在網(wǎng)絡攻擊預報方面存在著嚴重不足,通常在這些攻擊造成了嚴重破壞之后才響應。
大多數(shù)傳統(tǒng)的入侵檢測系統(tǒng)采用基于網(wǎng)絡或基于主機的方法識別和響應攻擊。這些系統(tǒng)常常采用兩類入侵檢測手段,即異常入侵檢測和特征入侵檢測,如圖5所示。異常檢測是通過檢測與可接受行為的偏差,即當用戶活動與正常行為有重大偏差時被認為是入侵;特征檢測,收集非正常操作的行為特征,建立相關的特征庫,當檢測到用戶或系統(tǒng)行為與特征相匹配時,系統(tǒng)就認為這種行為是入侵。基于主機的入侵檢測系統(tǒng)通過分析主機事件日志、系統(tǒng)調用及安全審計記錄等,來發(fā)現(xiàn)、提取攻擊特征和異常行為;而基于網(wǎng)絡的入侵檢測系統(tǒng)是基于網(wǎng)絡上的數(shù)據(jù)流量來發(fā)現(xiàn)、提取攻擊模式和異常行為的。而大多數(shù)情況下,入侵者利用應用系統(tǒng)的漏洞及不安全的配置來入侵系統(tǒng),應用層攻擊能夠利用合法用戶的邊界防御后門來入侵系統(tǒng),因此,上述兩種IDS系統(tǒng)很難檢測這類攻擊。
?當前,基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)通常與應用系統(tǒng)的訪問控制相分離,這些安全設備之間缺乏協(xié)調和內部交互,不利于檢測復雜的攻擊,尤其對于實時持續(xù)攻擊,造成破壞之前,不能有效響應。當前普遍應用的IDS系統(tǒng)的另一個不足在于,經(jīng)常會有很高的誤警概率,可能造成的后果是導致合法用戶服務的中斷。因此,成功的入侵檢測系統(tǒng)要求應用準確、有效的模型分析大量的應用、系統(tǒng)和網(wǎng)絡審計數(shù)據(jù),并對識別的攻擊進行實時響應。
目前計算機病毒、各種網(wǎng)絡攻擊等新特點層出不窮,工業(yè)控制系統(tǒng)面臨著安全新挑戰(zhàn)。對工業(yè)控制系統(tǒng)來說,更嚴重的安全威脅常常來自內部,因為內部攻擊者了解控制網(wǎng)絡結構,包括目標文件、系統(tǒng)漏洞、程序漏洞等,攻擊手段更復雜、隱蔽。而國內大部分工業(yè)自動化系統(tǒng)的網(wǎng)絡層采取了一些傳統(tǒng)安全防護措施,大多數(shù)針對工業(yè)控制領域的安全設備主要集中在網(wǎng)絡層次上,用于保護企業(yè)級網(wǎng)絡來自Internet的外部攻擊,但物理層安全防護還沒有成熟的產(chǎn)品和解決方案,無法應對越來越嚴重的內部攻擊。
對于工業(yè)控制領域來說,不同的工業(yè)應用場合,其控制網(wǎng)絡有各自不同的特點和要求,通常需要特點的應用層知識來構建安全策略,來識別可疑行為及應用合適的響應策略。因此,傳統(tǒng)的基于應用的IDS系統(tǒng),很難管理及部署。
當前一些商用的IDS系統(tǒng)的缺點就是缺少安全策略。這些系統(tǒng)主要依賴內建的靜態(tài)算法,不能靈活適應這種改變了系統(tǒng)安全行為的系統(tǒng)。對于采用異常檢測的系統(tǒng)來說,任何與正常行為輪廓的偏差都被認為是可疑行為,這大大增加了系統(tǒng)的虛警概率。
發(fā)明內容
本發(fā)明的目的在于,提供一種基于場景的混合入侵檢測方法及系統(tǒng),它能提高入侵檢測的準確率,對系統(tǒng)物理層進行安全防護,防止系統(tǒng)內部攻擊。
為解決上述技術問題,本發(fā)明采用如下的技術方案:一種基于場景的混合入侵檢測方法,包括以下步驟:
S1,入侵檢測系統(tǒng)根據(jù)訪問控制策略及相關應用場景信息,提取采集的審計數(shù)據(jù)的特征;
S2,根據(jù)審計數(shù)據(jù)的特征,應用組合的預報方法預報可疑入侵事件,其中預報方法可以采用時間序列分析法、概率模型法、數(shù)據(jù)挖掘法等方法組合使用;
S3,結合可疑入侵事件和告警關聯(lián)信息,根據(jù)統(tǒng)計規(guī)律、學習機制或專家判別方法來確定入侵事件;
S4,如果有入侵事件發(fā)生,入侵檢測系統(tǒng)生成報警信息,并發(fā)送給安全管理平臺進行可視化顯示。
前述的一種基于場景的混合入侵檢測方法中,所述相關應用場景信息是對系統(tǒng)當前狀態(tài)和功能的所有信息的描述;所述相關應用場景信息包括:
預定義場景,用于描述賦予訪問請求的操作所要滿足的條件;
請求結果場景,用于激活訪問請求的是接受或拒絕的行為;
中間場景,用于定義訪問請求的操作在執(zhí)行過程中必須滿足的條件;
事后場景,用于定義訪問請求的操作執(zhí)行后所要滿足的條件,并激活事后要執(zhí)行的動作。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于冶金自動化研究設計院,未經(jīng)冶金自動化研究設計院許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210008703.X/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
