基于MIB 变量因果关联的入侵征兆研究
时间:2013-09-10 14:39 文章来源:http://www.lunwenbuluo.com 作者:罗俊丽 点击次数:
入侵检测系统(Intrusiondetectionsystem,IDS)能够对网络、主机起到监控作用,并对这些入侵行为进行响应,采取防护措施。IDS和防火墙配合使用,能够大大提升网络和主机的防御能力。2003年8月《TheISSAJournal》上的一篇文章《TheTimetoStopIntrusionsisBeforeTheyHappen》揭示了阻止入侵行为应该在其发生之前进行[1],人们意识到IDS应该能在入侵发生之前就有所察觉,从而更加主动的采用防御措施,也就是IDS应该具有预警能力,在入侵之前发现入侵征兆。要使IDS能够发现入侵征兆,最重要的工作是建立相应的入侵检测规则,由于黑客在实施入侵并不是一蹴而就的,通常是分若干步骤的,这就给入侵征兆的发现提供了可能性。把发生入侵相关的事件称之为后件,那么入侵征兆相对应的事件就是前件。该文的主要内容就是研究如何从管理信息库(ManagementInformationBase,MIB)变量的历史数据集合中提取入侵征兆规则,其中包括MIB关键变量的选择,入侵征兆提取、入侵征兆与入侵事件之间的时态关系检验等问题。
1相关定义
1)MIB变量
简单网络管理协议(SimpleNetworkManagementProtocol,SNMP)的管理信息库MIB是所有SNMP支持的变量的集合,各种的网络管理实体可以通过读取MIB中的变量值来监视网络资源,这里选择有代表意义的接口组变量接口输入字节数(ifInOctets)和接口输出字节数(ifOutOctets),IP组变量接收包数(iplnReceives),转发包数(ipInDelivers)和请求包数(ipOutRequests)等五个变量表述目标子网和网络层流量状况,用于检测网络出现的异常行为。
2)时间序列
取相同时间间隔收集到的MIB变量按照时间的次序排列起来,这里用[{x(k)}]表示,k是这个序列中的第k个元素。
3)事件和事件序列
这里用[(E,k)]表示同一类型的事件,[k=0,1,2,…,K-1]是该事件发生的时间,[E∈ε],[E]为事件类型,[ε]为事件序列。这里定义的事件类型为时间序列MIB变量[{x(k)}]映射为事件空间提供了一个框架,我们感兴趣的是符合条件[{x(k)>δ}]的事件,这里面[δ]为阈值。下面定义的时态关系可以通过因果关系规则和征兆关系规则表示出来。
4)时态关系定义
①因果关系规则[2][EA]和[EB]是定义3中事件序列中的两个事件,如果事件[EA]发生,事件[EB]总是发生在此后时间T之内,则可认为事件[EA]和事件[EB]存在因果关联关系,用符号[EA→TEB]表示。
②征兆关系规则[EA]和[EB]是定义3中事件序列中的两个事件,如果事件[EB]发生,事件[EA]总是发生在事件[EB]前的时间T之内,则可认为事件[EA]和事件[EB]存在征兆关系,用符号[EA←TEB]表示,[EB]事件是[EA]事件的后继事件,[EA]事件是[EB]事件的征兆事件,置信度[c(EA←TEB)]事件[EB]发生之前的时间T内事件[EA]发生的概率。
3入侵征兆规则提取方法
3.1入侵征兆规则
检测数据集的建立在离线状态下,采集相关的MIB变量中的输入变量,将其映射为事件序列,然后从这些时间序列集合中挖掘的入侵征兆,这里入侵征兆事件其实就是异常事件序列。这里的MIB变量不仅包括入侵状态下的数据,还包括系统在无攻击和正常运行状态下检测到的数据。
入侵征兆规则提取的过程中,也就是寻找入侵事件与征兆事件直接的关系。[EA]事件与[EB]事件是源于从不同的事件序列,利用征兆规则[EA←TEB]确定入侵事件[EB],若[c(EA←TEB)=1],就表示[EA]事件总是发生在[EB]事情发生时间之前的T时间内发生,那么事件[EA]可以看作是[EB]发生的征兆。总是然后寻找征兆事件[EA],也就是先挖掘入侵征兆关系,然后再利用与其相对应的因果关系规则[EA→TEB]就是主动入侵征兆规则。
3.2入侵征兆规则提取
4实验与结果
DDoS是典型的网络复杂攻击,DDoS攻击可对单个或多个目标发起大规模的协同攻击[5],实验使用DDoS攻击验证入侵征兆检测方法[6]。实施环境的拓扑和IDS的设置如图1所示,SNMP-Agent监控局域网1和局域2的MIB变量,并及时将MIB变量数据传递给IDS。当来自外部的主控机Master控制Slave1和Slave2对目标系统发起攻击时,IDS根据入侵征兆规则中的变化,判断是否攻击出现。
实验利用DDos工具TFN2000对目标系统发起PingFlood攻击,使用入侵征兆检测方法,可以使得IDS通过MIB变量提前检测出即将到来的攻击流。通过观察攻击征兆,能有效检测即将到来的DDoS攻击。在两次的PingFlood攻击中,在攻击流尚未到达目标主机之前,IDS已经发现了攻击,从而使系统有更多的时间作出响应。
5结束语
攻击预警是入侵检测技术的一个重要研究内容,文中提出了一种基于时态关联的入侵征兆检测方法,并详细论述了入侵征兆规则提取的相关理论和实现步骤,从而达到在攻击到来之前能够发现攻击,提前做出响应。基于时间序列分析技术,分别提取输入时间序列中的异常事件和输出时间序列的入侵行为,利用因果关系检验,建立主动入侵检测规则,然后通过DDoS攻击实验证实于主动入侵检测规则的检测方法能够有效检测DDoS攻击的征兆,使DDoS攻击在早期阶段被检测到,从而使系统有更多的响应时间进行防范。
参考文献:
[1]TomDonahue.TheTimetoStopIntrusionsisBeforeTheyHappen[J].JouralofISSA.2003.15(3):152-163.
[2]J.B.CabreraandR.K.Mehra.ExtractingPrecursorRulesfromTimeSeries–AClassicalStatisticalViewpoint[C].ProceedingsoftheSecondSIAMInternationalConferenceonDataMining,Arlington,VA,USA,2002,213–228.
[3]吴庆涛.基于时间序列数据挖掘的主动入侵检测研究[D].华东理工大学博士学位论文,2006,(4):71-83.
[4]汪生,孙乐昌,阎飞.多阶段网络攻击模式挖掘研究[J].2006.28(10).16-19.
[5]李连民,曹锋,吴庆涛,等.基于时序因果关联的网络取证研究[J].电脑知识与技术,2010,6(22).6172-6173.
[6]路凯,于红彬,罗俊丽.网络复杂攻击的报警关联性研究[J].软件导刊,2012,11(2):130-132.
- 论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
- 论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
-
- 论文投稿客服QQ:
2863358778、
2316118108
-
- 论文投稿电话:15380085870
-
- 论文投稿邮箱:lunwenbuluo@126.com