CN101262373A - 一种计算机网络入侵定位系统和方法 - Google Patents

Abstract

本发明涉及一种计算机网络入侵定位系统和方法。该方法包括：获取现有的网络节点的安全依赖关系网络，该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率；获取监控节点信息；依据网络节点的安全依赖关系建立以监控节点为根节点的安全依赖树，并确定安全依赖树的叶节点；依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率以及叶节点发生入侵的先验概率计算安全依赖树中叶节点的入侵因子，从而确定入侵起始节点的信息。本发明可以快速地定位入侵地点。

Description

一种计算机网络入侵定位系统和方法

技术领域

本发明涉及信息安全领域，尤其涉及一种计算机网络入侵定位系统和方法。

背景技术

随着网络技术的普及和发展，计算机系统所面临的安全威胁也日益严重，黑客攻击的方法也无所不用，从发送单个报文就可以导致系统崩溃，到网络上广泛提供的、下载运行即可发起分布式拒绝服务攻击的攻击脚本。在对远程计算机或网络进行攻击时，攻击者为了不暴露自己的真实地址，常常使用伪造的IP地址，或使用Internet中存在安全漏洞和提供代理服务的计算机作为“跳板”，对目标主机或网络发动攻击。从被攻击的机器上，只能看到中间主机的地址，而无法获得攻击者发起攻击的源主机的地址，从而使攻击源难以定位，更不能有效地追踪。因而攻击源定位在网络主动防御体系中占有重要的角色，是攻击反击、网络取证的关键环节，也为事后的法律仲裁提供重要的证据。

所谓攻击定位(或攻击源的定位)就是当攻击行为正在进行或结束之后，根据现有的所能获得的信息来确定攻击者的位置。按照准确度的逐渐提高，可分为定位到发起攻击的网络、主机、进程、用户。

现有的攻击定位方法，不是要涉及对现有协议的修改，就是要求网络路径上的所有路由器进行协同工作；不仅这些要求难于完全实现，而且要消耗大量的资源，效率低下。所有这些不足，都限制了对攻击定位的实施。本发明将提出一种攻击定位的辅助性方法，将该方法与其它方法结合使用时，将极大地提高对网络攻击行为进行定位的效率。

本发明从全局视点出发，根据网络的结构特点，提出了一个基于安全依赖关系的攻击定位和追踪方法，以克服网络攻击定位困难，取证复杂，证据易失等难题，为攻击行为的调查取证提供辅助工具。

为说明本发明的内容，先介绍与本发明有关的背景知识。

定义1：网络节点的安全依赖关系。如果一个攻击者在成功入侵网络节点A之后，利用节点A对节点B的某种关系(如远程登录等)，从而继续攻击节点B，那么，我们就称节点B对节点A具有安全依赖关系，用EA，B来表示。

定义2：网络节点的安全依赖网络。由网络节点及其发生入侵的先验概率、节点间的安全依赖关系以及该安全依赖关系可被黑客利用成功进行攻击的概率组成的网络，我们称之为网络节点的安全依赖网络。

如图1所示的安全依赖网络。其中：B₁，B₂以及X₁-X₆是网络节点，它们之间的箭头表示它们之间存在的安全依赖关系，箭头的方向由被依赖节点指向依赖节点(亦即攻击方向)。图中的孤立点(如X₄)，则表示该节点的安全性不依赖于其它节点(为简明起见，略去节点的先验概率和安全依赖关系可以被黑客利用成功进行攻击的概率)。网络节点的安全依赖网络可以用手工预先建立。

定义3：攻击路径。当一个发生攻击时，从攻击者最先发起攻击的节点到检测节点之间按安全依赖安全所连接的一条路径称为一个“攻击路径”。

在图1所示的安全依赖网络中，如果节点X₅是检测节点，则B₁→X₁→X₅即构成一条攻击路径。从一个节点到检测节点的攻击可能不唯一，攻击者可以根据情况选择使用。

为了能利用节点之间的安全依赖关系进行攻击定位，我们需要将安全依赖关系网络转化成安全依赖树，然后再设法确定攻击路径和攻击源。

定义4：安全依赖树。一棵安全依赖树是满足下列条件的有向树：

1、树的根节点是检测节点。

2、每一个节点的直接子节点是安全依赖网络中该节点所直接依赖的节点。

图2是图1所示的安全依赖网中节点X₅的安全依赖树。对于安全依赖树的叶节点，我们也称其为边界节点。在图2的安全依赖树中，边界节点有两个：B₁和B₂。从图中可以看出，每个叶节点到根节点的路径，都是一个攻击路径。

为了保证网络安全，通常会在主要的节点(如大型网络的路由节点)上布置入侵检测系统，这些节点称为是监控节点。一般情况下，黑客攻击并不首先发生在这些监控节点上，而是先在某些叶结点上发生，通过一段时间的传播，才会在监控节点上产生异常，本发明主要解决在当一个监控节点发现异常(有攻击发生)时，如何定位攻击发生的最初位置的问题。

发明内容

为了解决上述的技术问题，提供了一种计算机网络入侵定位系统和方法，其目的在于，解决在当一个监控节点发现异常(有攻击发生)时，如何定位攻击发生的最初位置的问题。

本发明提供了一种计算机网络入侵定位方法，包括：

步骤1，获取现有的网络节点的安全依赖关系网络，该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率；

步骤2，获取监控节点信息；

步骤3，依据网络节点的安全依赖关系网络建立以监控节点为根节点的安全依赖树，并确定安全依赖树的叶节点；

步骤4，依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率以及叶节点发生入侵的先验概率计算安全依赖树中叶节点的入侵因子，从而确定入侵起始节点的信息。

步骤3中还包括确定安全依赖树的子节点。

步骤4中，根据公式 $F_Y^R\left(X_1\right)=P\left(X_1\right)\underset{i=1}{\overset{n-21}{\mathrm{\Π}}}P\left(E_{X_i,X_{i+1}}\right)P\left(E_{X_n,Y}\right)$ 计算一个叶节点X₁相应于一个攻击路径R的入侵因子；

其中X₁到监控节点Y的攻击路径是R：X₁→X₂→…→X_n→Y，n为自然数；X_i与X_i+1的安全依赖关系为

i＝1，2，…，n-1；

为X_n与Y的安全依赖关系

可被黑客利用成功进行攻击的概率；

是安全依赖关系

可被黑客利用成功进行攻击的概率；P(X₁)为叶节点X₁发生入侵的先验概率；F_Y ^R(X₁)为叶节点X₁相应于攻击路径R的入侵因子。

步骤4中，依据一个节点相应于不同攻击路径的入侵因子的最大者，确定该节点的入侵因子，并依据入侵因子最大的叶节点确定入侵起始节点的信息。

还包括步骤5，输出入侵起始节点的信息。

入侵起始节点的信息包括入侵起始节点识别号和入侵路径，监控节点信息包括监控节点识别号。

本发明提供了一种计算机网络入侵定位方法的计算机网络入侵定位系统，包括：

网络节点的安全依赖关系网络获取装置，用于获取现有的网络节点间的安全依赖关系网络，该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率；

监控节点获取装置，用于获取监控节点信息；

入侵定位装置，分别与网络节点的安全依赖关系网络获取装置和监控节点获取装置连接，用于建立以监控节点为根的安全依赖树，确定安全依赖树的叶节点，依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率及各叶节点发生入侵的先验概率计算各叶节点的入侵因子，确定入侵起始节点的信息。

入侵定位装置包括：

安全依赖树解析装置，用于构造以监控节点为根节点的安全依赖树；

入侵起始定位装置，用于根据相邻节点安全依赖关系可被黑客利用成功进行攻击的概率及各叶节点发生入侵的先验概率计算安全依赖树各叶节点的入侵因子，并确定入侵起始节点的信息。

本发明将网络节点之间的关联机制引入到入侵定位过程中，建立监控点与入侵点的之间的联系，从而可以快速地定位入侵地点，能够克服网络攻击定位困难、取证复杂、证据易失等问题，为入侵行为的调查取证提供辅助工具。

附图说明

图1是实际安全依赖关系络状示意图；

图2是X₅节点安全依赖树示意图；

图3是本发明提供的计算机网络入侵定位系统示意图；

图4是入侵定位装置结构示意图；

图5是本发明提供的计算机网络入侵定位方法流程图；

图6是建立安全依赖树流程图；

图7是本发明提供的另一计算机网络入侵定位方法实施例。

具体实施方式

本发明提供了一种计算机网络入侵定位系统300，可以离线布署，也可以放置监控节点，如图3所示，该系统300包括以下装置：

网络节点的安全依赖关系网络获取装置301，获取现有的网络节点的安全依赖关系网络；

监控节点获取装置302，获取由现有的异常检测系统提供的发现异常现象的节点ID；

和监控节点获取装置302连接的入侵定位装置303，获取网络节点的安全依赖关系网络中的节点之间的安全依赖关系，各叶节点入侵发生的先验概率，各安全依赖关系可被黑客利用成功进行攻击的概率，以及发生异常现象的节点ID，定位一次入侵的起始节点和攻击路径。

与入侵定位装置303连接的输出装置304，输出入侵的起始节点的ID号，以及入侵路径。

入侵定位装置303结构如图4所示，包括以下部件：

安全依赖树解析装置401，用于构造以监控节点为根的安全依赖树，构造方法如图6所示；

与安全依赖树解析装置401连接的入侵起始定位装置402，该装置用于根据生成的安全依赖树，计算各个叶节点的入侵因子，并以此确定入侵起始节点ID和入侵路径。

本发明提供的入侵定位系统实现定位入侵的起始点和入侵路径的过程为：

设叶节点X₁到节点Y的一条攻击路径是R：X₁→X₂→…→X_n→Y，相邻节点X_i与X_i+1的安全依赖关系为

(i＝1，2，…，n-1)，安全依赖关系

可被黑客利用成功进行攻击的概率用

表示；X_n与Y的安全依赖关系为

其概率用

表示。设叶节点X₁发生入侵的先验概率为P(X₁)。则当节点Y的发生入侵时，叶节点X₁相应于攻击路径R的入侵因子F_Y ^R(X₁)的计算方法为：

$F_Y^R\left(X_1\right)=P\left(X_1\right)\underset{i=1}{\overset{n-1}{\mathrm{\Π}}}P\left(E_{X_i,X_{i+1}}\right)P\left(E_{X_n,Y}\right)---\left(1\right)$

如果一个叶节点有两条以上的通向检测节点的攻击路径，则分别计算其在各个路径的上入侵因子，取不同路径上的入侵因子的最大者作为该叶节点的入侵因子。在所有可疑的叶节点中，入侵因子最大者即为入侵的起始节点，其相应的攻击路径即为入侵路径。

基于图3所示的入侵定位系统，本发明提供的计算机网络入侵定位方法如图5所示，包括以下步骤：

步骤501：获取现有的网络节点的安全依赖关系网络；

步骤502：对于某个检测到入侵的节点，即监控节点，建立以该节点为根的一棵安全依赖树。建立安全依赖树的方法如图6所示，参见发明专利申请“一种基于安全依赖关系的风险评估方法和系统”(申请号：200810101526.3)：

步骤601，以监控节点为安全依赖树的起始根节点，添加到安全依赖树中；

步骤602，对于安全依赖树的每一个新增节点，将其所有直接依赖的节点作为其直接子节点添加到安全依赖树中；

步骤603，判断步骤602中的新增节点已经是否包含该节点的某一子树的根节点(即与子树的根节点的ID号相同，导致环路出现)，如果是，则将该新增节点删除604，否则执行步骤602。

重复以上的步骤602和步骤603，直到依赖树不再生长为止，最后形成一个没有环路的安全依赖树。

步骤503：按公式(1)的方法计算各叶节点的入侵因子，在各叶节点中，选取入侵因子最大的叶节点。

步骤504：输出其对应的攻击路径。

本发明提供的另一实施例如图7所示，包括：

步骤701：获取现有的网络节点的安全依赖关系网络；

步骤702：对于某个检测到入侵的节点，即监控节点，建立以该节点为根的一棵安全依赖树，建立安全依赖树的方法如图6所示；

步骤703，获取所建立的安全依赖树中各安全依赖关系可被黑客利用成功进行攻击的概率及叶节点发生入侵的先验概率；

步骤704：按公式(1)的方法计算各叶节点的入侵因子，在各叶节点中，选取入侵因子最大的叶节点。

步骤705：输出其对应的攻击路径。

入侵起始定位装置402的实施步骤如下：

假设一个网络中具有图1所示的安全依赖关系，包含节点B₁、B₂、X₁-X₆。节点B₁和B₂是两个可能被直接攻击的叶节点。如果黑客在这两个节点发起攻击，则将按图所示的方向对其它节点的安全状态施加影响。如果在节点X₅处检测了到攻击，则按以节点X₅为根的安全依赖树如图2所示。以下面的步骤确定攻击发生的位置和路径：

如果在节点B₁和B₂发起入侵的先验概率(可以根据经验或长期监测来设定)分别是P(B₁)＝0.01，P(B₂)＝0.5。假如各节点之间的安全依赖关系可被黑客利用成功进行攻击的概率(可以由人工根据经验设定)如下：

$P\left(E_{B_1,X_1}\right)=0.01,$ $P\left(E_{B_2,X_2}\right)=0.05;$

$P\left(E_{B_2,X_3}\right)=0.45,$ $P\left(E_{X_1,X_5}\right)=0.06;$

$P\left(E_{X_2,X_5}\right)=0.06,$ $P\left(E_{X_5,X_4}\right)=0.1;$

$P\left(E_{X_6,X_5}\right)=0.4,$ $P\left(E_{X_3,X_6}\right)=0.4;$

则根据公式(1)依次计算节点B₁和B₂的入侵因子：

$F_{X_5}\left(B_1\right)=P\left(B_1\right)P\left(E_{B_1,X_1}\right)P\left(E_{X_1,X_5}\right)=0.01\×0.01\×0.06=6\×{10}^{-6}$

${F_{X_5}}^1\left(B_2\right)=P\left(B_2\right)P\left(E_{B_2,X_2}\right)P\left(E_{X_2,X_5}\right)=0.5\×0.05\×0.06=1.5\×{10}^{-3}$

${F_{X_5}}^2\left(B_2\right)=P\left(B_2\right)P\left(E_{X_2,X_3}\right)P\left(E_{X_3,X_6}\right)P\left(E_{X_6,X_5}\right)=0.5\×0.45\×0.4\×0.4=3.6$

$\×{10}^{-2}$

根据以上计算可以确定入侵因子的最大值为3.6×10^-2，所以入侵的起始节点为B₂，入侵路径是B₂→X₃→X₆→X₅。

本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下，还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明，而是由权利要求书的范围来确定的。

Claims (8)

1.一种计算机网络入侵定位方法，其特征在于，包括：

步骤1，获取现有的网络节点的安全依赖关系网络，该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率；

步骤2，获取监控节点信息；

步骤3，依据网络节点的安全依赖关系网络建立以监控节点为根节点的安全依赖树，并确定安全依赖树的叶节点；

步骤4，依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率以及叶节点发生入侵的先验概率计算安全依赖树中叶节点的入侵因子，从而确定入侵起始节点的信息。

2.如权利要求1所述的计算机网络入侵定位方法，其特征在于，步骤3中还包括确定安全依赖树的子节点。

3.如权利要求1所述的计算机网络入侵定位方法，其特征在于，步骤4中，根据公式 $F_Y^R\left(X_1\right)=P\left(X_1\right)\underset{i=1}{\overset{n-1}{\mathrm{\Π}}}P\left(E_{X_i,X_{i+1}}\right)P\left(E_{X_n,Y}\right)$ 计算一个叶节点X₁相应于一个攻击路径R的入侵因子；

其中X₁到监控节点Y的攻击路径是R：X₁→X₂→…→X_n→Y，n为自然数；X_i与X_i+1的安全依赖关系为i＝1，2，…，n-1；

为X_n与Y的安全依赖关系

可被黑客利用成功进行攻击的概率；

是安全依赖关系可被黑客利用成功进行攻击的概率；P(X₁)为叶节点X₁发生入侵的先验概率；F_Y ^R(X₁)为叶节点X₁相应于攻击路径R的入侵因子。

4.如权利要求3所述的计算机网络入侵定位方法，其特征在于，步骤4中，依据一个节点相应于不同攻击路径的入侵因子的最大者，确定该节点的入侵因子，并依据入侵因子最大的叶节点确定入侵起始节点的信息。

5.如权利要求1、2、3或4所述的计算机网络入侵定位方法，其特征在于，还包括步骤5，输出入侵起始节点的信息。

6.如权利要求5所述的计算机网络入侵定位方法，其特征在于，入侵起始节点的信息包括入侵起始节点识别号和入侵路径，监控节点信息包括监控节点识别号。

7.一种用于如权利要求1、2、3或4所述的计算机网络入侵定位方法的计算机网络入侵定位系统，其特征在于，包括：

网络节点的安全依赖关系网络获取装置，用于获取现有的网络节点间的安全依赖关系网络，该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率；

监控节点获取装置，用于获取监控节点信息；

入侵定位装置，分别与网络节点的安全依赖关系网络获取装置和监控节点获取装置连接，用于建立以监控节点为根的安全依赖树，确定安全依赖树的叶节点，依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率及各叶节点发生入侵的先验概率计算各叶节点的入侵因子，确定入侵起始节点的信息。

8.如权利要求7所述的计算机网络入侵定位系统，其特征在于，入侵定位装置包括：

安全依赖树解析装置，用于构造以监控节点为根节点的安全依赖树；

入侵起始定位装置，用于根据相邻节点安全依赖关系可被黑客利用成功进行攻击的概率及各叶节点发生入侵的先验概率计算安全依赖树各叶节点的入侵因子，并确定入侵起始节点的信息。

Images