审计系统中基于状态机的实时关联分析子系统研究与实现

1、审计系统中基于状态机的实时关联分析子系统研究与实现计算机与现代化2006年第6期JISIIANYUXIANDAIHUA总第130期文章编号:11116-N75(2006)06-0(N-g3审计系统中基于状态机的实时关联分析子系统研究与实现陈世强.(湖北民族学院,湖北恩施445oo0)摘要:网络集中平安审计系统的研究与应用已经成为国内外研究的热点.在海量的网络事件中,准确实时地检测分析入联分析予系统的实现技术,其中详细分析了攻击场景描述,场景库和分析引擎的实现方法.关键词:审计系统;关联分析;状态机;场景库;实时中图分类号:TP393.08文献标识码:AResearchandImplementa

2、tionofReal-timeAssociationAnalyzingSubsystemBasedonStateMachineinAuditSystemCHENShiqiang(HubeiInstituteforNationalities,Enshi44.5000,China)dieuhtoaccurately8lldtinmlydetectthecategories0fintlonevents.Thisplpermainlyresearchestlle&signandlealonofre8ltimea吕80cinaIla】suhsysnbasedon8tptemach,ana

3、lysestlledf髫谢onofauaeksceneandn1erealizationof8Celrl也l乜bBseandaI'engiIiIIdetail.1【ewords:audittem;assocmfionaImbl1g;statemaehme;scer出Ilabase;zeal-tlmeO引言网络的复杂化及攻击手段的多样化导致了单一平安设备难以准确地判断入侵行为及入侵行为造成的影响,目前ms(IntrusionDetectionsystem,入侵检测系统)的高误报率已成为平安管理面对的难题络集中平安审计系统2作为比IDS,防病毒网关,防火墙等平安设备更高层次的平安系统,可以

4、通过有效的关联全网的平安事件从而给出更加精确的判断及有效地分析攻击的有效性,提高IDS之类设备的信噪比,减少平安管理员的分析工作量.网络平安审计系统中的入侵检测分析主要包括是数据挖掘技术,通过对数据源进行关联分析来发现不同事件间的相关性,通过序列分析开掘不同数据项Apriori及其改良算法,序列分析通常采用ApriofiAll时的平安事件关联分析技术正是目前研究与应用的热点,本文主要基于状态机技术研究实现网络平安审计系统中的实时关联分析子系统.1基于状态机的实时关联检测技术实时关联分析技术L3J通过对事件的关联,可以有效地帮助过滤事件,在大量事件(甚至是误报事件)中提取有用的信息.实时关联来自

5、不同设备的事件,可以大大地降低IDS的误报率,发现引发事件的真正原因和隐藏的威胁.例如:如果接收到以下事件:交换机或路由器记录了某主机大量访问其它主机的收稿日期:2005-06-22作者简介:陈世强(1974-),男,湖北宜昌人,湖北民族学院讲师,硕士研究生,研究方向:计算机软件,计算机网络与平安.2O06年第6期陈世强:审计系统中基于状态机的实时关联分析子系统研究与实现95TCP139,445端口;SNORT记录某主机产生了大量对其它效劳器的断为s攻击,然而关联分析两事件后会发现可能是该主机感染了蠕虫病毒.要在海量的网络事件中进行人为的关联是不可能的,在实现中借助状态机技术来实现实时的机器关

6、联,使用状态来维持根本的关联条件,通过事件来触发状态迁移,每个攻击场景都由数个状态构成,当通过状态迁移与状态机完成规约后,便说明攻击场景发生.图l描述了可能的蠕虫攻击的状态机.E2E0:网络设备发现大量对TCP139,445端口的访问E1:SNORT发现大量KS攻击,且源地址与E0相同E2:状态超时图1描述蠕虫攻击的状态机在如图2所示的典型网络环境中,当网络遭受到来自外部的DoS攻击时IDS和网络设备会产生事件日志,此时可能发生以下一些场景:攻击事件被防火墙阻断,可以收到来自IDS1的事件(也可能包括路由器流量异常).攻击事件穿越了防火墙,但攻击对Sexvexl无效(Serl上可能根本就不存在

7、此效劳),可以收到来自IDS1,IDS2及其它网络设备的事件.攻击事件穿越了防火墙,且对Served攻击有效,可以收到来自IDS1,II)S2及其它网络设备的事件,同时也会收到来自Serverl上安装的A8eIlt发送的资源利用率超出阈值事件.图2典型的平安网络环境示意图在各种情况中,场景最具有意义(来自外网的成功的DoS攻击),通过使用状态机关联各种设备发送的事件E3So:起始状态s1:外部发现DoS攻击:攻击穿越了lrtrewall进入内网S3:攻击目标主机成功E0:IDS1发现DoS攻击E1:II)S2发现DoS攻击,且源,目的地址与E0相同:Served资源利用率超标E3:状态超时图3

8、一次有效的DoS攻击场景的状态图描述(以事件作为状态的切换条件)便可以有效地实时检测出场景的发生情况,进而可以发现和复原攻击路径,帮助降低报警事件的信噪比,如图3所示.基于状态机的实时关联技术具有以下优点:可以实时地关联来自不同设备的事件,在大量的事件中发现攻击行为,防止管理员被大量的误报事件所淹没.由于与通常无状态的规那么引擎不同,可以有效地发现那些在长时间内产生少量事件的慢速攻击.实现了对不同事件的关联,便可以利用这些有序的事件来对攻击的场景和过程进行复原,这种复原可以是可视化的.2描述攻击场景为了有效地描述各种攻击场景及各状态间的关系,需要设计一种场景描述语言,由于XML是目前数据交换的

9、标准,因此,采用XML来定义对场景的描述方式,由于有大量可复用的XML解析类库,可以简化词法分析程序的开发.场景描述文件通常由以下八.个局部组成,见图4.周4场景描述语言间各对象的关系<scenes><s(neImme=""priority.><state><condition/><state></scene></scenes>元素:<scenes>:包

10、含所有的描述场景,每个<8cel'le>元素节表示一个场景.<scene>:表示一个攻击场景,其中包含多个<state>,的名称,priority是场景优先级.<state>:表示攻击场景的一个状态,其中含有多个迁移关属性r嵋me表示状态的名称,timeout是状态超时事件(单位秒),超时后状态时机回到初始状态.?<coMition>元素:表示状态的迁移条件.其相关属性如下:type:整型值,事件类型(如:RY3,防火墙);subtype:整型值,

11、事件的子类型(如:SNORT,ClkPoint);detail:字符型,事件描述中包含的字串(事件描述中包含此串即满足条件);sip:字符型,事件的源,可以为点分或描述语言中定义的保存字(详细描述见后);dip:字符型,事件的目的lI',可以为点分1I'或描述语言中计算机与现代化2006年第6期定义的保存字;ecfip:字符型.表示产生事件的系统II'.可以为点分II'或描述语言中定义的保存字;ecfid:整型.事件的II).值为产生事件的系统所定义;定次数后才发生迁移;different:字符型.值为描述语言定义的保存字,表示在多描的描述:<co

12、nditiontype=1subtype=1t=5if'sip=1:SRC'却=ANY"sp='dp='different=DP'/>(DP:保存字表示端口)<conditiontype=1subtype=1"times=5if'sip=1:SRC'dlp=sp=Atcfdp='different=DIP'/>(DIP:保留字表示目的II')保存字:ANY:表示可为任何值;n:C:表示使用该场景中的第n个状态中的源地址或源端口(由赋予的属性来定);n:D

13、ST:表示使用该场景中的第n个状态中的目的地址或目的端口(由赋予的属性来定);n:E,SRC:表示使用该场景中的第n个状态中的产生事件的设备II'(如IDS,防火墙等);DIP:表示目的IP;S:表示源II'.:表示源端口;DP:表示目的端口;EIP:表示产生事件的系统II'.场景描述举例:以下是可能的蠕虫攻击场景描述.<scelleIlame=Possiblewormattack"priority><stateIlame=raretcpconnection"timeout=lff'>&

14、amp;lt;conditiontype=)type=1血les=1sip=dip='sp='dp=139.445"/></state><statelaeout=3><conditiontype="3.,subtype"1"血les="10"sip"1:SRC'dip='5p='dp="139.445"/></state><st

15、ater岫me=IISattack"><conditiontype=subtype=1=lff'sip=1:SRC'dip:sp=dp=evfid=100T/></state></scene>其中.=表示KIS,子类蛳=惭;type=嘛交换机.子类曩|hype:l标Qs0o类型的交换机.3系统的设计与实现存场景库,如图5所示,为了实现快速的状态匹配场景的属性值.而这些属性值来自于事件的相关属性.o,占,占.场景状态r-t迁移条件图5内存中场景库的结构分析引擎5主要由场景库

16、和状态机池两局部组成,如图6所示.图6分析引擎组成的UML类图创立一个状态机.这些状态机分布在不同线程中(多线程技术可以有效提高系统的响应速度,尤其是在多事件的相关属性保存至该状态机的状态特征变量链件,载入状态条件的同时会对条件中的属性关键字(如:表示的II)或端口等)进行替换,值来自于每个状后,状态机将产生相关的报警事件,同时将状态特征所示.图7实时关联分析引擎工作流程由于随着场景的增加系统中的状态数可能会很多,为每个状态创立状态类,不仅消耗资源而且影响系统的运行效率,所以系统的设计上可以采用Flyweight模式6】,可以防止大量拥有相同内容(下转第1092006年第6期胡小生:校园网的组

17、播应用研究109态的超时,每个状态机都有一个自己的计时器,由于计计为通过线程池来实现.4结束语在实际应用中,各种攻击行为都会在不同的网络生,单一的设备事件难以有效地分析攻击行为及网络中实时威胁,基于状态机的实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景(状态机间的状态转换的条件由不同平安事件触发).有助于发定的应用价值.参考文献:1王伟钊,李承,等.网络平安审计系统的实现方法J.计算机应用与软件,2OO2,19(11):2426.实现J.计算机工程,2OO2,28(12):195197.用J.鞍山师范学院,2OO2,4(1):7981.匹配算法J.软件,2OO4,15(7):107

18、4,1080.统研究与实现J.计算机工程,2OO2,28(6):1719.京:机械工业出版社,2OO2.(上接第100页)提升得再高,它也总归是依靠数据链样也能带来平安上的威胁,比方交换机上的播送包,要把网络连接设计成"完全平安"还是"比现行网络更平安"仍在讨论之中.构造某一个层次上绝对的平安是没有必要也是不再像从前那样靠一些专家先在理论上研究通过后再付诸实施,而是由某些对网络某方面性能依赖很大们不断地挖空心思构思出一个看似"完美"的平安体系,不如让那些生产商之间来协商到底哪些平安是必是非常方便的.在这一点上,IPv6确实比IPv4有很大的改善,其可链接的扩展包头非常好地提供了扩展潜力.参考文献:1Hagen.IPv6精髓M.O'Reilly,2OO4.概念,标准和实施M.北京:人民邮电出版社,2001.3RFC3971,SEcureNeighborDiscovery(SEND)S.4SzabolcsDr,PeterFiszfics.WillIPv6bringbe扎ersecurity?A.,ceedofthe3oEuromicroConferenceC.