CN102546638A - 一种基于场景的混合入侵检测方法及系统 - Google Patents
一种基于场景的混合入侵检测方法及系统 Download PDFInfo
- Publication number
- CN102546638A CN102546638A CN201210008703XA CN201210008703A CN102546638A CN 102546638 A CN102546638 A CN 102546638A CN 201210008703X A CN201210008703X A CN 201210008703XA CN 201210008703 A CN201210008703 A CN 201210008703A CN 102546638 A CN102546638 A CN 102546638A
- Authority
- CN
- China
- Prior art keywords
- scene
- module
- intrusion
- detection system
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于场景的混合入侵检测方法及系统,所述方法包括以下步骤:S1,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特征;S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件;S3,结合可疑入侵事件和告警关联信息,确定入侵事件;S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。本发明能提高入侵检测的准确率,对系统物理层进行安全防护,防止系统内部攻击。
Description
技术领域
本发明涉及一种基于场景的混合入侵检测方法及系统,属于工业控制安全技术领域。
背景技术
近来,信息攻击已经严重威胁到网络的稳定性。这些攻击利用网络的互联、交互特性,传播的速度非常快,而且攻击技术越来越高明,攻击手段越来越复杂。传统的信息安全系统例如防火墙、入侵检测系统(IDS)等,在网络攻击预报方面存在着严重不足,通常在这些攻击造成了严重破坏之后才响应。
大多数传统的入侵检测系统采用基于网络或基于主机的方法识别和响应攻击。这些系统常常采用两类入侵检测手段,即异常入侵检测和特征入侵检测,如图5所示。异常检测是通过检测与可接受行为的偏差,即当用户活动与正常行为有重大偏差时被认为是入侵;特征检测,收集非正常操作的行为特征,建立相关的特征库,当检测到用户或系统行为与特征相匹配时,系统就认为这种行为是入侵。基于主机的入侵检测系统通过分析主机事件日志、系统调用及安全审计记录等,来发现、提取攻击特征和异常行为;而基于网络的入侵检测系统是基于网络上的数据流量来发现、提取攻击模式和异常行为的。而大多数情况下,入侵者利用应用系统的漏洞及不安全的配置来入侵系统,应用层攻击能够利用合法用户的边界防御后门来入侵系统,因此,上述两种IDS系统很难检测这类攻击。
当前,基于网络和基于主机的入侵检测系统通常与应用系统的访问控制相分离,这些安全设备之间缺乏协调和内部交互,不利于检测复杂的攻击,尤其对于实时持续攻击,造成破坏之前,不能有效响应。当前普遍应用的IDS系统的另一个不足在于,经常会有很高的误警概率,可能造成的后果是导致合法用户服务的中断。因此,成功的入侵检测系统要求应用准确、有效的模型分析大量的应用、系统和网络审计数据,并对识别的攻击进行实时响应。
目前计算机病毒、各种网络攻击等新特点层出不穷,工业控制系统面临着安全新挑战。对工业控制系统来说,更严重的安全威胁常常来自内部,因为内部攻击者了解控制网络结构,包括目标文件、系统漏洞、程序漏洞等,攻击手段更复杂、隐蔽。而国内大部分工业自动化系统的网络层采取了一些传统安全防护措施,大多数针对工业控制领域的安全设备主要集中在网络层次上,用于保护企业级网络来自Internet的外部攻击,但物理层安全防护还没有成熟的产品和解决方案,无法应对越来越严重的内部攻击。
对于工业控制领域来说,不同的工业应用场合,其控制网络有各自不同的特点和要求,通常需要特点的应用层知识来构建安全策略,来识别可疑行为及应用合适的响应策略。因此,传统的基于应用的IDS系统,很难管理及部署。
当前一些商用的IDS系统的缺点就是缺少安全策略。这些系统主要依赖内建的静态算法,不能灵活适应这种改变了系统安全行为的系统。对于采用异常检测的系统来说,任何与正常行为轮廓的偏差都被认为是可疑行为,这大大增加了系统的虚警概率。
发明内容
本发明的目的在于,提供一种基于场景的混合入侵检测方法及系统,它能提高入侵检测的准确率,对系统物理层进行安全防护,防止系统内部攻击。
为解决上述技术问题,本发明采用如下的技术方案:一种基于场景的混合入侵检测方法,包括以下步骤:
S1,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特征;
S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件,其中预报方法可以采用时间序列分析法、概率模型法、数据挖掘法等方法组合使用;
S3,结合可疑入侵事件和告警关联信息,根据统计规律、学习机制或专家判别方法来确定入侵事件;
S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。
前述的一种基于场景的混合入侵检测方法中,所述相关应用场景信息是对系统当前状态和功能的所有信息的描述;所述相关应用场景信息包括:
预定义场景,用于描述赋予访问请求的操作所要满足的条件;
请求结果场景,用于激活访问请求的是接受或拒绝的行为;
中间场景,用于定义访问请求的操作在执行过程中必须满足的条件;
事后场景,用于定义访问请求的操作执行后所要满足的条件,并激活事后要执行的动作。
前述的一种基于场景的混合入侵检测方法中,所述访问控制策略是对受保护目标的某种特殊类型的访问请求的管理,该策略执行过程分为4个连续阶段,每一个阶段仅定义策略库中特定的子集,每一个阶段都有一个标示结果的状态标志(即授权状态),该标志包括授权(T:True)、未授权(F:False)和不确定(U:Uncertain)。
前述的一种基于场景的混合入侵检测方法中,所述策略执行过程包括:
访问控制阶段,开始于一个三元组的访问请求命令,即访问目标、访问请求的操作和场景信息,执行系统通过系统调用来获得与目标相联系的安全策略,如果没有发现相应的安全策略,则授权状态被设置为F,访问请求被拒绝;
授权核对阶段,通过函数调用评估预定义场景和请求结果场景,得到相应的授权状态;如果没有发现预定义场景或中间场景,则授权状态设为T;
执行控制阶段,包括访问请求操作的执行过程及执行控制过程状态的判定,产生的结果存储在执行状态变量中;
事后响应阶段,执行状态被传递给事后响应函数,评估事后场景信息,评估结果存储在相应的状态变量中,如果未发现事后场景信息,其状态变量直接被设置为T。
前述的一种基于场景的混合入侵检测方法中,审计数据即入侵检测系统的输入数据,其格式由入侵检测系统所处网络中的位置决定,包括RTU控制器、DCS/SCADA软件、历史数据库、应用日志和IP数据包的输出数据。
前述的一种基于场景的混合入侵检测方法中,如果步骤S3不能完全确定可疑入侵事件为入侵事件,就将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生;所述动态可信度量模块通过TPM(安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量,将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用TPM进行硬件级别的保护。
前述的一种基于场景的混合入侵检测方法中,安全管理平台接收到报警信息后,确定报警级别,识别安全设备水平,对攻击源进行跟踪,将报警和审计记录保存到日志文件中,并根据安全事件结果对安全数据库、安全规则/策略进行更新。
实现前述方法的一种基于场景的混合入侵检测系统,包括入侵检测系统和安全管理平台;入侵检测系统包括:
数据采集模块,用于访问请求操作开始时,采集审计数据;
入侵检测模块,用于分析采集的审计数据,检测其是否是入侵事件;
通讯接口,用于入侵检测模块与数据采集模块进行双向通讯;
报警响应模块,用于入侵事件发生时,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示;
和安全管理模块,用于对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警相应模块发送的安全更新信息;
安全管理平台包括安全数据库、通讯接口、数据调度及分析引擎和人机界面。其中,安全数据库是包含各种类型的数据源信息,例如,正常的用户行为,主要用在异常检测中;入侵特征和入侵场景,它们描述了攻击者使用的渗透目标系统的已知技术;用于监视和记录用户行为的应用审计记录;其他安全设备所产生的攻击报告,单一的安全设备通常无法检测到特洛伊木马或其他篡改软件的攻击,通过各安全设备的信息共享及入侵报告的相关融合,有助于检测和防御网络和域边界的复杂入侵;定制的各种策略,包括访问控制策略、预报方法策略、报警响应策略、应用行为的调整策略、正常行为模式的调整策略等。
前述的一种基于场景的混合入侵检测系统中,入侵检测模块包括:
标准化模块,用于将审计数据转换为系统可识别的标准格式;
数据预处理模块,用于根据访问控制策略及相关应用场景信息,提取审计数据的特征;
预报模块,用于根据审计数据的特征,应用组合的预报方法预报可疑入侵事件;
和决策模块,用于结合可疑入侵事件和告警关联信息,计算,确定入侵事件。
前述的一种基于场景的混合入侵检测系统中,入侵检测系统还包括基于TPM的动态可信度量模块;当决策模块不能完全确定可疑入侵事件为入侵事件时,决策模块将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,对入侵检测系统各模块进行可信度量,验证是否有入侵事件发生。所述动态可信度量模块通过TPM(安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量,将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用TPM进行硬件级别的保护。
与现有技术相比,本发明采用特定应用场景作为数据源来检测用户的动机,不但可以用来检测入侵和异常行为,还能够处理内部攻击、系统故障、硬件退化、异常环境条件及意外误用操作等,非常适用于工业控制领域的安全防御。
本发明采用基于访问控制机制及混合入侵预报的灵活架构,采用动态的入侵检测策略,而不是不变的内建算法,大大增加了系统的鲁棒性,使得细粒度的入侵行为检测成为可能,能够检测复杂的攻击,提高了入侵检测的准确率。
目前有多种攻击预报方法,如时间序列分析法、概率模型法、数据挖掘法等,它们各有优劣。时间序列分析法能够跟踪观测流量的稳定变化趋势,但在流量发生突变的情况下,预报就不准确;同时使用这种方法预测入侵,需要确定一个阈值,当观测流量大于指定的阈值时,可认为是入侵,但阈值的确定非常困难。概率模型法通过计算网络中特定事件的概率分布来预测入侵发生的可能性,比较常用的如马尔可夫链模型和贝叶斯方法,它们的缺点是很难获取或计算先验网络状态分布及各状态之间的转换概率。数据挖掘方法能够提取隐含在大型数据库或数据集中未知的潜在的信息,挖掘出网络状态变化中各种变量的相关性,来发现入侵,但是大多数数据挖掘方法计算量比较大、算法比较复杂,如神经网络、支持向量机等,而且其结果往往不能形象化描述当时的网络状况。由于攻击变得越来越复杂和多样化,而且现有的各种预报技术各有利弊,采用单一的预报方法很难检测,会增加唉虛警概率,因此采用组合后的预报方法,能够实现在危害发生之前的快速入侵报警,提高预警能力,降低了误警、虛警率。
采用基于应用场景自适应调整预报策略,根据网络攻击或攻击的可能性来动态调整防御策略,该策略就是选取合适的信息,作为评估场景来激活或关闭特定的策略项,用于调整对应用目标的访问,该安全策略可以完成对一些实时攻击方法的检测,提高了入侵检测的准确率。
动态可信度量模块通过TPM和传统硬件重新设计可信BIOS,使得安全芯片能在系统启动过程中对各模块进行信任度量;将可信度量从BIOS启动静态度量扩展到进程及模块的度量,并利用TPM进行硬件级别的保护,属于系统物理层安全防护,可以防止内部攻击。
附图说明
图1是本发明实施例的结构示意图;
图2是本发明实施例的访问控制策略过程示意图;
图3是本发明实施例的审计数据构成示意图;
图4是本发明实施例的入侵检测模块的行为结构图;
图5是混合入侵检测的基本原理图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
本发明的实施例:一种基于场景的混合入侵检测方法,包括以下步骤:
S1,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特征;
S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件,其中预报方法可以采用时间序列分析法、概率模型法、数据挖掘法等方法组合使用;
S3,结合可疑入侵事件和告警关联信息,根据统计规律、学习机制或专家判别方法来确定入侵事件;
S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。
相比于IT系统来说,控制系统具有相对简单的拓扑、稳定的用户群、常规的通讯模式及有限的通讯协议,因此实现基于网络的入侵检测、异常检测及白名单系统比信息系统相对较容易,但是它与信息系统最大的不同是控制系统与物理世界的交互。一般IT系统的安全研究主要集中在信息保护,但是它并没有考虑攻击对计算及控制算法的影响,进而对物理系统的影响。对于工业控制系统来说,除了传统的基于特征的入侵检测,基于异常的入侵检测应用一个物理系统的模型来代替传统的网络流量或软件行为。工业控制网络中普遍使用的SCADA 系统中,主要的攻击类型如表1所示。
表1 针对SCADA系统主要的攻击类型
| 序号 | 中央控制器 | 现场设备单元 | 通信网络 |
| 1 | 物理攻击 | 物理攻击 | 数据盗窃 |
| 2 | 现场设备的恶意设置 | 发送给中央控制器的恶意报警 | 欺骗伪装 |
| 3 | 发送给现场设备的错误指令 | 发送给现场设备的错误指令 | / |
| 4 | 中央控制器实时运行参数的恶意更改 | 中央控制器实时运行参数的恶意更改 | / |
| 5 | 拒绝服务攻击 | 拒绝服务攻击 | 拒绝服务攻击 |
场景可以认为是用来表征系统当前状态和功能的任何信息,基于场景的检测技术用场景作为数据源来检测用户的动机。对于控制系统来说,物理系统的输出序列,作为输入序列的响应,那么任何对传感器数据的攻击,可以通过比较期望输出与实际输出得到,因此可以通过构建物理模型来映射网络数据流量。场景信息又分为两个部分,静态场景信息(如系统配置、设备参数等信息),和动态场景信息(实时数据、物理模型输出等)。
为了对控制系统进行异常检测,需要对物理系统的行为进行建模,然后选择一个合适的异常检测算法来识别攻击。在当前的系统结构中,预报模块中所使用的预报方法即为所要选择的异常检测算法。目前随着攻击手段的复杂及多样化,应用单一的预报方法很难检测攻击特征;另外,各种预报技术各有优劣,因此通常采用预报方法组合使用来提高预报能力。
对于物理模型建模,根据不同的应用场景和物理系统的特点及过程工艺,可以采用构建基于场景的物理模型,作为异常检测的正常行为轮廓,如可以采用专家系统来构建基于不同场景的物理模型,针对不同场景基于安全策略调用相关模型即可;基于物理模型的攻击预报方法可以作为基于网络和主机的入侵检测方法的补充。实时探测异常,目前普遍应用的理论主要有序列检测(时间序列分析)和变化检测(快速检测)两种,具体的检测算法有多种,可以根据不同控制场景特点优选其中的一种或几种方法的组合进行入侵检测。
所述相关应用场景信息是对系统当前状态和功能的所有信息的描述;所述相关应用场景信息包括:
预定义场景,用于描述赋予访问请求的操作所要满足的条件;
请求结果场景,用于激活访问请求的是接受或拒绝的行为;
中间场景,用于定义访问请求的操作在执行过程中必须满足的条件;
事后场景,用于定义访问请求的操作执行后所要满足的条件,并激活事后要执行的动作。
所述访问控制策略是对受保护目标的某种特殊类型的访问请求的管理,该策略执行过程分为4个连续阶段,每一个阶段仅定义策略库中特定的子集,每一个阶段都有一个标示结果的状态标志(即授权状态),该标志包括授权(T:True)、未授权(F:False)和不确定(U:Uncertain)。
所述策略执行过程包括:
访问控制阶段,开始于一个三元组的访问请求命令,即访问目标、访问请求的操作和场景信息,执行系统通过系统调用来获得与目标相联系的安全策略,如果没有发现相应的安全策略,则授权状态被设置为F,访问请求被拒绝;
授权核对阶段,通过函数调用评估预定义场景和请求结果场景,得到相应的授权状态;如果没有发现预定义场景或中间场景,则授权状态设为T;
执行控制阶段,包括访问请求操作的执行过程及执行控制过程状态的判定,产生的结果存储在执行状态变量中;
事后响应阶段,执行状态被传递给事后响应函数,评估事后场景信息,评估结果存储在相应的状态变量中,如果未发现事后场景信息,其状态变量直接被设置为T。
如图3所示,审计数据即入侵检测系统的输入数据,其格式由入侵检测系统所处网络中的位置决定,包括RTU控制器、DCS/SCADA软件、历史数据库、应用日志和IP数据包的输出数据。
如果步骤S3不能完全确定可疑入侵事件为入侵事件,就将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生。举例来说,在短时间内多次(>3)失败的登录很有可能是口令尝试攻击;计算参数方差sigma,设定参数置信区间(-3sigma,3sigma),如果测量值超过置信区间的范围时表明可能有异常,其为入侵事件的概率小于80%左右,还不能完全确定为入侵事件,需要动态度量模块进一步确认。所述动态可信度量模块通过TPM(安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量,将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用TPM进行硬件级别的保护。
安全管理平台接收到报警信息后,确定报警级别,识别安全设备水平,对攻击源进行跟踪,将报警和审计记录保存到日志文件中,并根据安全事件结果对安全数据库、安全规则/策略进行更新。
实现前述方法的一种基于场景的混合入侵检测系统,其结构如图1所示,包括入侵检测系统和安全管理平台;入侵检测系统包括:
(1)数据采集模块,用于访问请求操作开始时,采集审计数据,并对数据进行简单处理,使其满足系统接口要求。为了进行有效及准确的入侵分析,需要制定有效的数据采集策略来减少非典型数据、降低数据数量,增强系统分析的实时性。数据采集主要是为了描述不同应用场合典型用户行为轮廓特征的,可以采用如下的一些特征进行自适应数据选择:时间特征,不同的应用场合在不同的时间点有不同的行为特征,可以通过分析系统时间特性,利用更利于收集可疑行为的时间来进行数据收集;系统负载,根据系统负载情况,采取不同的数据收集策略;访问身份,特殊用户的行为更有可能是入侵行为,如新用户、未信任用户、来宾用户等;访问权限的类型,特定操作的类型也要重点关注,如系统关机等。可以将每一个审计数据都被赋予一个特殊的标签,该标签用于将审计数据与特定的分类器或预报方法联系起来,系统的安全策略可以通过标签对数据进行动态控制。
(2)入侵检测模块包括:
标准化模块。由于数据采集模块收集的数据是未结构化的数据集,不适合分类器的处理,因此需要标准化模块对采集的审计数据进行标准化处理,转换为数据分析方法能够识别的数据格式。
数据预处理模块。数据预处理模块根据访问控制策略及相关应用场景信息,在可利用的数据集中提取审计数据的少数重要特征;系统根据每个审计数据存储的标签来产生不同的输出,这样就可以进行特征的自适应选择,数据预处理过程可以周期性的离线进行。
预报模块,用于根据数据预处理模块提取的特征及编码的策略,应用组合的预报方法对事件行为进行预报,判断是否为可疑入侵事件。
和决策模块,用于结合可疑攻击事件和告警关联信息,确定该事件是否是入侵事件。
(3)通讯接口,用于入侵检测模块与数据采集模块进行双向通讯。
(4)基于TPM的动态可信度量模块,用于对入侵检测系统各模块进行信任度量,验证是否有攻击事件发生;建立基于TPM的可信根及可信链,采用动态可信度量技术及可信存储、物理隔离技术,防止针对操作系统漏洞的入侵及针对操作系统内核和BIOS等底层的攻击,增强装置自身抗攻击能力。通过TPM和传统硬件重新设计可信BIOS,使得安全芯片能在系统启动过程中对各模块进行信任度量;将可信度量从静态度量扩展到进程及模块的度量,并利用TPM进行硬件级别的保护。该安全策略可以完成对一些实时攻击方法的检测,可以防止内部攻击。该模块与报警响应模块进行交互,将度量结果及时通知报警响应模块,若有未能完全确认的可疑行为,可以参考动态度量结果,进行关联分析,增强入侵检测的准确性和实时性。可信度量请求的周期可以采用固定周期或者根据远端程序的访问及本地安全需求来定制;为了增强系统安全性,可以辅助采用决策模块生成的可疑入侵事件来激活,通过检验系统进程、模块的完整性,来验证是否有入侵事件发生。通过两个模块结果的关联分析,进一步确认入侵事件判别的准确性。
(5)报警响应模块,用于如果有攻击事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。
(6)安全管理模块,用于对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警相应模块发送的安全更新信息。
(7)更新模块,主要用于对入侵特征数据库和正常行为轮廓数据库进行更新和维护,可以采用在线更新的方式,也可以采用离线更新的方式。离线更新主要是通过安全专家及控制系统的专家通过人机接口对入侵特征数据库和正常行为轮廓数据库进行修改、扩充及完善。在线更新主要是通过推理机和学习引擎的方式进行更新及扩充。
安全管理平台包括安全数据库、通讯接口、数据调度及分析引擎和人机界面,其中,安全数据库是包含各种类型的数据源信息,例如,正常的用户行为,主要用在异常检测中;入侵特征和入侵场景,它们描述了攻击者使用的渗透目标系统的已知技术;用于监视和记录用户行为的应用审计记录;其他安全设备所产生的攻击报告,单一的安全设备通常无法检测到特洛伊木马或其他篡改软件的攻击,通过各安全设备的信息共享及入侵报告的相关融合,有助于检测和防御网络和域边界的复杂入侵;定制的各种策略,包括访问控制策略、预报方法策略、报警响应策略、应用行为的调整策略、正常行为模式的调整策略等。
工作原理:如图4所示,数据源发出访问请求,数据采集模块采集审计数据,并对数据进行简单处理,使其满足系统接口要求。数据预处理模块通过标准化模块将采集的审计数据转换为数据分析方法能够识别的数据格式,并根据策略库中的访问控制策略及相关应用场景信息,在可利用的数据集中提取审计数据的少数重要特征。预报模块根据数据预处理模块提取的特征及编码策略,应用组合的预报方法对事件行为进行检测,。决策模块结合可疑入侵事件和告警关联信息,确定该事件是否是可疑入侵事件。决策模块生成的可疑入侵事件激活动态可信度量模块,通过检验系统进程、模块的完整性,得出结果。决策模块再根据预报模块的结果和动态可信度量模块的结果,结合策略库的安全策略,决定该事件是否是入侵事件;决策模块将结果生成报警或报告上报给用户,或将结果发给策略库进行策略库的动态更新,同时将结果发送给更新模块,更新入侵特征数据库和调整正常行为轮廓数据库。安全管理模块对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警相应模块发送的安全更新信息。安全管理平台接收到报警信息后,确定报警级别,识别安全设备水平,对攻击源进行跟踪,将报警和审计记录保存到日志文件中,并根据安全事件结果对安全数据库、安全规则/策略进行更新。
以上对本发明实施方式提供的技术方案进行了详细的介绍,本文中应用了具体实施例对本发明所实施的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明实施的原理;同时,对于本领域的一般技术人员,本发明实施例,在具体实施方式以及应用范围上均有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1. 一种基于场景的混合入侵检测方法,其特征在于,包括以下步骤:
S1,入侵检测系统根据访问控制策略及相关应用场景信息,提取采集的审计数据的特征;
S2,根据审计数据的特征,应用组合的预报方法预报可疑入侵事件;
S3,结合可疑入侵事件和告警关联信息,确定入侵事件;
S4,如果有入侵事件发生,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示。
2. 根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于,所述相关应用场景信息是对系统当前状态和功能的所有信息的描述;所述相关应用场景信息包括:
预定义场景,用于描述赋予访问请求的操作所要满足的条件;
请求结果场景,用于激活访问请求的是接受或拒绝的行为;
中间场景,用于定义访问请求的操作在执行过程中必须满足的条件;
事后场景,用于定义访问请求的操作执行后所要满足的条件,并激活事后要执行的动作。
3. 根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于:所述访问控制策略是对受保护目标的访问请求的管理,该策略执行过程分为4个连续阶段,每一个阶段仅定义策略库中特定的子集,每一个阶段都有一个标示结果的状态标志(即授权状态),该标志包括授权(T:True)、未授权(F:False)和不确定(U:Uncertain)。
4. 根据权利要求2或3所述的一种基于场景的混合入侵检测方法,其特征在于,所述策略执行过程包括:
访问控制阶段,开始于一个三元组的访问请求命令,即访问目标、访问请求的操作和场景信息,执行系统通过系统调用来获得与目标相联系的安全策略,如果没有发现相应的安全策略,则授权状态被设置为F,访问请求被拒绝;
授权核对阶段,通过函数调用评估预定义场景和请求结果场景,得到相应的授权状态;如果没有发现预定义场景或中间场景,则授权状态设为T;
执行控制阶段,包括访问请求操作的执行过程及执行控制过程状态的判定,产生的结果存储在执行状态变量中;
事后响应阶段,执行状态被传递给事后响应函数,评估事后场景信息,评估结果存储在相应的状态变量中,如果未发现事后场景信息,其状态变量直接被设置为T。
5. 根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于:审计数据即入侵检测系统的输入数据,其格式由入侵检测系统所处网络中的位置决定,包括RTU控制器、DCS/SCADA软件、历史数据库、应用日志和IP数据包输出数据。
6. 根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于:如果步骤S3不能完全确定可疑入侵事件为入侵事件,就将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生。
7. 根据权利要求1所述的一种基于场景的混合入侵检测方法,其特征在于:安全管理平台接收到报警信息后,确定报警级别,识别安全设备水平,对攻击源进行跟踪,将报警和审计记录保存到日志文件中,并根据安全事件结果对安全数据库、安全规则/策略进行更新。
8. 实现权利要求 1~7所述方法的一种基于场景的混合入侵检测系统,其特征在于,包括入侵检测系统和安全管理平台;入侵检测系统包括:
数据采集模块,用于访问请求操作开始时,采集审计数据;
入侵检测模块,用于分析采集的审计数据,检测其是否是入侵事件;
通讯接口,用于入侵检测模块与数据采集模块进行双向通讯;
报警响应模块,用于入侵事件发生时,入侵检测系统生成报警信息,并发送给安全管理平台进行可视化显示;
和安全管理模块,用于对预报方法进行组合调度,将访问控制策略、预报方法、告警关联信息发送给入侵检测模块,并将响应策略发送给报警响应模块,接收报警相应模块发送的安全更新信息;
安全管理平台包括安全数据库、通讯接口、数据调度及分析引擎和人机界面。
9. 根据权利要求8所述的一种基于场景的混合入侵检测系统,其特征在于,入侵检测模块包括:
标准化模块,用于将审计数据转换为系统可识别的标准格式;
数据预处理模块,用于根据访问控制策略及相关应用场景信息,提取审计数据的特征;
预报模块,用于根据审计数据的特征,应用组合的预报方法预报可疑入侵事件;
和决策模块,用于结合可疑入侵事件和告警关联信息,确定入侵事件。
10. 根据权利要求9所述的一种基于场景的混合入侵检测系统,其特征在于:入侵检测系统还包括基于TPM的动态可信度量模块,它通过TPM(安全芯片)和传统硬件重新设计可信BIOS,使得TPM能在入侵检测系统启动过程中对系统各模块进行信任度量,将可信链扩展到进程及模块,包括对内核的进程、模块的代码、参数、堆栈分别进行动态度量,并利用TPM进行硬件级别的保护,当决策模块不能完全确定可疑入侵事件为入侵事件时,决策模块将可疑入侵事件作为辅助度量请求,来激活动态可信度量模块,验证是否有入侵事件发生。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210008703.XA CN102546638B (zh) | 2012-01-12 | 2012-01-12 | 一种基于场景的混合入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210008703.XA CN102546638B (zh) | 2012-01-12 | 2012-01-12 | 一种基于场景的混合入侵检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102546638A true CN102546638A (zh) | 2012-07-04 |
| CN102546638B CN102546638B (zh) | 2014-07-09 |
Family
ID=46352596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210008703.XA Expired - Fee Related CN102546638B (zh) | 2012-01-12 | 2012-01-12 | 一种基于场景的混合入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102546638B (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152558A (zh) * | 2013-03-29 | 2013-06-12 | 西南交通大学 | 基于场景识别的入侵检测方法 |
| CN103577905A (zh) * | 2012-07-23 | 2014-02-12 | 深圳中兴网信科技有限公司 | 一种信息安全的审计方法及系统 |
| CN103716203A (zh) * | 2013-12-21 | 2014-04-09 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN103916376A (zh) * | 2013-01-09 | 2014-07-09 | 台达电子工业股份有限公司 | 具攻击防护机制的云端系统及其防护方法 |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN104636494A (zh) * | 2015-03-04 | 2015-05-20 | 浪潮电子信息产业股份有限公司 | 一种基于Spark大数据平台的日志审计倒查系统 |
| CN104753952A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于虚拟机业务数据流的入侵检测分析系统 |
| CN105653930A (zh) * | 2014-10-21 | 2016-06-08 | 广西大学 | 数据库粗粒度安全审计方法 |
| CN103746992B (zh) * | 2014-01-06 | 2016-07-13 | 武汉虹旭信息技术有限责任公司 | 基于逆向的入侵检测系统及其方法 |
| CN106131017A (zh) * | 2016-07-14 | 2016-11-16 | 何钟柱 | 基于可信计算的云计算信息安全可视化系统 |
| CN106330975A (zh) * | 2016-11-03 | 2017-01-11 | 上海三零卫士信息安全有限公司 | 一种基于scada系统的周期性异常检测的方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN107277070A (zh) * | 2017-08-15 | 2017-10-20 | 山东华诺网络科技有限公司 | 一种计算机网络入侵防御系统及入侵防御方法 |
| CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN109143876A (zh) * | 2018-07-13 | 2019-01-04 | 华东师范大学 | 一种复杂工业控制系统 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN109547504A (zh) * | 2019-01-25 | 2019-03-29 | 黑龙江大学 | 一种移动传感器网络入侵检测与自适应响应方法 |
| CN109739203A (zh) * | 2019-02-25 | 2019-05-10 | 南京世界村云数据产业集团有限公司 | 一种工业网络边界防护系统 |
| CN109962886A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 网络终端威胁的检测方法及装置 |
| CN112136132A (zh) * | 2018-05-22 | 2020-12-25 | 三菱电机株式会社 | 设置场所选定支援装置、设置场所选定支援方法及设置场所选定支援程序 |
| CN112433518A (zh) * | 2020-10-20 | 2021-03-02 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于循环神经网络的工业控制系统入侵检测方法 |
| CN112866203A (zh) * | 2020-12-31 | 2021-05-28 | 北京天地和兴科技有限公司 | 一种新的防护网络爬虫攻击的方法 |
| CN113009817A (zh) * | 2021-02-08 | 2021-06-22 | 浙江大学 | 一种基于控制器输出状态安全熵的工控系统入侵检测方法 |
| CN114430335A (zh) * | 2021-12-16 | 2022-05-03 | 奇安信科技集团股份有限公司 | web指纹匹配方法及装置 |
| CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
| CN115859277A (zh) * | 2023-02-07 | 2023-03-28 | 四川大学 | 一种基于系统调用序列的主机入侵检测方法 |
| CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109187584A (zh) * | 2018-08-08 | 2019-01-11 | 华南理工大学 | 一种混合场景下的柔性印制电路缺陷检测系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
| CN101854340A (zh) * | 2009-04-03 | 2010-10-06 | 丛林网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
-
2012
- 2012-01-12 CN CN201210008703.XA patent/CN102546638B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN101854340A (zh) * | 2009-04-03 | 2010-10-06 | 丛林网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
| CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 滕少华等: "基于场景和状态转换分析的入侵检测模型的构建", 《计算机工程》, no. 19, 5 July 2006 (2006-07-05) * |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577905A (zh) * | 2012-07-23 | 2014-02-12 | 深圳中兴网信科技有限公司 | 一种信息安全的审计方法及系统 |
| CN103577905B (zh) * | 2012-07-23 | 2018-06-19 | 深圳中兴网信科技有限公司 | 一种信息安全的审计方法及系统 |
| CN103916376A (zh) * | 2013-01-09 | 2014-07-09 | 台达电子工业股份有限公司 | 具攻击防护机制的云端系统及其防护方法 |
| CN103152558B (zh) * | 2013-03-29 | 2015-10-07 | 西南交通大学 | 基于场景识别的入侵检测方法 |
| CN103152558A (zh) * | 2013-03-29 | 2013-06-12 | 西南交通大学 | 基于场景识别的入侵检测方法 |
| CN103716203A (zh) * | 2013-12-21 | 2014-04-09 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN103716203B (zh) * | 2013-12-21 | 2017-02-08 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN103746992B (zh) * | 2014-01-06 | 2016-07-13 | 武汉虹旭信息技术有限责任公司 | 基于逆向的入侵检测系统及其方法 |
| CN105653930A (zh) * | 2014-10-21 | 2016-06-08 | 广西大学 | 数据库粗粒度安全审计方法 |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN104636494A (zh) * | 2015-03-04 | 2015-05-20 | 浪潮电子信息产业股份有限公司 | 一种基于Spark大数据平台的日志审计倒查系统 |
| CN104753952A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于虚拟机业务数据流的入侵检测分析系统 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN106131017A (zh) * | 2016-07-14 | 2016-11-16 | 何钟柱 | 基于可信计算的云计算信息安全可视化系统 |
| CN106330975A (zh) * | 2016-11-03 | 2017-01-11 | 上海三零卫士信息安全有限公司 | 一种基于scada系统的周期性异常检测的方法 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN107277070A (zh) * | 2017-08-15 | 2017-10-20 | 山东华诺网络科技有限公司 | 一种计算机网络入侵防御系统及入侵防御方法 |
| CN109962886A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 网络终端威胁的检测方法及装置 |
| CN109962886B (zh) * | 2017-12-22 | 2021-10-29 | 北京安天网络安全技术有限公司 | 网络终端威胁的检测方法及装置 |
| CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN108183916B (zh) * | 2018-01-15 | 2020-08-14 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN112136132A (zh) * | 2018-05-22 | 2020-12-25 | 三菱电机株式会社 | 设置场所选定支援装置、设置场所选定支援方法及设置场所选定支援程序 |
| CN109143876A (zh) * | 2018-07-13 | 2019-01-04 | 华东师范大学 | 一种复杂工业控制系统 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN109167796B (zh) * | 2018-09-30 | 2020-05-19 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN109547504A (zh) * | 2019-01-25 | 2019-03-29 | 黑龙江大学 | 一种移动传感器网络入侵检测与自适应响应方法 |
| CN109547504B (zh) * | 2019-01-25 | 2021-05-25 | 黑龙江大学 | 一种移动传感器网络入侵检测与自适应响应方法 |
| CN109739203A (zh) * | 2019-02-25 | 2019-05-10 | 南京世界村云数据产业集团有限公司 | 一种工业网络边界防护系统 |
| CN109739203B (zh) * | 2019-02-25 | 2021-09-21 | 南京世界村云数据产业集团有限公司 | 一种工业网络边界防护系统 |
| CN112433518A (zh) * | 2020-10-20 | 2021-03-02 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于循环神经网络的工业控制系统入侵检测方法 |
| CN112866203A (zh) * | 2020-12-31 | 2021-05-28 | 北京天地和兴科技有限公司 | 一种新的防护网络爬虫攻击的方法 |
| CN113009817A (zh) * | 2021-02-08 | 2021-06-22 | 浙江大学 | 一种基于控制器输出状态安全熵的工控系统入侵检测方法 |
| CN114430335A (zh) * | 2021-12-16 | 2022-05-03 | 奇安信科技集团股份有限公司 | web指纹匹配方法及装置 |
| CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
| CN115859277A (zh) * | 2023-02-07 | 2023-03-28 | 四川大学 | 一种基于系统调用序列的主机入侵检测方法 |
| CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102546638B (zh) | 2014-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102546638B (zh) | 一种基于场景的混合入侵检测方法及系统 | |
| Wang et al. | Review of the false data injection attack against the cyber‐physical power system | |
| Li et al. | DDOA: A Dirichlet-based detection scheme for opportunistic attacks in smart grid cyber-physical system | |
| Gumaei et al. | A robust cyberattack detection approach using optimal features of SCADA power systems in smart grids | |
| CN104011731B (zh) | 用于用户行为风险评估的方法和系统 | |
| US9369484B1 (en) | Dynamic security hardening of security critical functions | |
| Chen et al. | A novel online detection method of data injection attack against dynamic state estimation in smart grid | |
| Kriaa et al. | Safety and security interactions modeling using the BDMP formalism: case study of a pipeline | |
| CN105191257A (zh) | 用于检测多阶段事件的方法和装置 | |
| CN105516177B (zh) | 基于sdn和nfv的5g网络多级攻击缓解方法 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN102724199A (zh) | 基于贝叶斯网络推理的攻击意图识别方法 | |
| Wang et al. | Method for extracting patterns of coordinated network attacks on electric power CPS based on temporal–topological correlation | |
| CN106534212A (zh) | 基于用户行为和数据状态的自适应安全防护方法及系统 | |
| CN110276200A (zh) | 一种电力信息系统状态转移概率的确定方法 | |
| CN102768638A (zh) | 基于状态转移图的软件行为可信性检测方法 | |
| CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
| CN104753952A (zh) | 基于虚拟机业务数据流的入侵检测分析系统 | |
| Wang et al. | Semantic analysis framework for protecting the power grid against monitoring‐control attacks | |
| CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
| TianYu et al. | Research on security threat assessment for power iot terminal based on knowledge graph | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| Cerotti et al. | A Bayesian network approach for the interpretation of cyber attacks to power systems | |
| Czekster et al. | Cybersecurity Roadmap for active buildings | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140709 Termination date: 20210112 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |