CN111464546B - 一种基于系统事件的网络攻击防御方法 - Google Patents

Abstract

本发明公开了一种基于系统事件的网络攻击防御方法，目的是对远程漏洞利用攻击进行准确检测与快速防御。技术方案是先构建由系统事件产生模块、事件过滤模块和事件处理器组成的基于系统事件的网络攻击防御系统，系统事件产生模块监测操作系统发生的关键变化，产生系统事件，将系统事件发送给事件过滤模块；事件过滤模块根据过滤规则对系统事件进行过滤分析，得出对于事件的处理动作，向事件处理器发送以系统事件及其对应的处理动作为参数的事件处理请求；事件处理器根据事件处理请求进行针对远程漏洞利用攻击的防御。采用本发明能捕捉到所有的远程漏洞利用攻击，且避免了对正常系统事件的处理，具有高效性、良好兼容性、通用性。

Description

一种基于系统事件的网络攻击防御方法

技术领域

本发明涉及针对网络攻击的防御领域，尤其涉及到一种针对远程漏洞利用攻击的防御方法。

背景技术

远程漏洞利用攻击是指一种利用软件漏洞，导致产生意外结果的行为，这种行为通常包括获取计算机系统的控制、拒绝服务攻击、特权提升等。远程漏洞利用攻击是基于网络的，无需事先登入受攻击的系统，因此它的危害性巨大。目前最常见的软件漏洞有堆栈溢出漏洞、释放后重用漏洞、格式化字符串漏洞等。以堆栈溢出漏洞为例，其产生原因在于程序员编写程序的时候，没有充分考虑堆栈上缓冲区容量与实际数据大小的问题，导致数据被填充进缓冲区时，可能造成溢出。攻击者就可以利用这个漏洞，通过网络向易受攻击的服务器发送精心构造的数据，进而达到劫持服务器程序控制流，执行恶意代码的目的。

目前，针对远程漏洞利用攻击，研究人员提出了多种防御方法，主要可分为内存防御方法和系统防御方法。

内存防御方法指直接应用于程序二进制代码(包括内核)之中的防御方法，一般需要编译器、操作系统内核的支持。

内存防御方法最早起源于对堆栈溢出漏洞利用的防御，由于早期堆栈溢出漏洞利用可以直接在堆栈上执行恶意代码，研究人员开发出NX(no-execute)技术，该技术通过CPU的支持，在操作系统内核页表当中限制了内存页的可执行属性，阻止了堆栈上恶意代码的执行；ASLR(address space layout randomization)技术通过内核实现了内存页面的地址随机化，加大了漏洞利用的难度。随着黑客攻击水平的提高，众多内存防御方法如PIE(position independent executables)技术，ASAN(address sanitizer)技术等逐渐出现。这些方法有效的防御了众多漏洞利用攻击，然而随着攻击技术的发展，这些防御方法还是可以被攻破的，只不过大大提高了攻击的难度。此外，这些方法都是需要在程序编译时应用，对于旧的程序，除了重新编译几乎无法应用。

系统防御方法包括过滤方法、入侵检测方法等。过滤方法中典型的有防火墙，防火墙可以通过对网络流量的检测，及时发现流量中存在的恶意软件、远程攻击流量等，进而在流量还没有到达程序时将其阻止，然而这种方法存在一些问题：一方面检测海量的流量，会对性能(存储、计算)造成很大的负担；另一方面通过流量来检测攻击，很容易被攻击者使用编码、加密、混淆等手段绕过，导致防御不力。入侵检测方法则主要通过滥用检测和异常检测来发现攻击，滥用检测根据特定的攻击特征，通过对行为的匹配来检测攻击，只能检测已知的一些攻击，通常误报率低而漏报率高；异常检测则希望能够检测一些未知攻击，但攻击检测本身就是十分困难的，这种方法通常误报率高。同时入侵检测方法还存在检测速度慢、软件系统庞大等问题。

因此，如何解决目前内存防御方法与系统防御方法的局限性，实现一种快速有效、简单通用的网络攻击防御方法，是本领域技术人员极为关注的技术问题。

发明内容

本发明要解决的技术问题是提供一种基于系统事件的网络攻击防御方法，该方法基于操作系统中发生的指定关键变化，产生系统事件，针对远程漏洞利用攻击的一般特征，对其进行防御和检测，使得在进行网络攻击防御时既具有良好适用性，无需修改需要保护的程序，又能做到对远程漏洞利用攻击的准确检测与快速防御，误报率和漏报率优于系统防御方法，可在数毫秒内对大部分远程漏洞利用攻击进行检测和防御。

本发明的技术方案是：

第一步，构建基于系统事件的网络攻击防御系统。该系统由系统事件产生模块、事件过滤模块和事件处理器组成。系统事件产生模块与事件过滤模块、操作系统相连，系统事件产生模块监测操作系统发生的关键变化(包括指定文件的新增、删除、访问、修改；指定进程的新增、结束、网络动作、文件操作)，产生系统事件(一种记录上述系统变化的数据结构)，将系统事件发送给事件过滤模块；事件过滤模块与系统事件产生模块、事件处理器相连，事件过滤模块从系统事件产生模块中接收系统事件，根据过滤规则对系统事件进行过滤分析，得出对于事件的处理动作(包括进程终止、进程重启、文件删除、文件恢复、记录事件)，向事件处理器发送事件处理请求，请求参数为系统事件及其对应的处理动作；事件处理器与事件过滤模块相连，事件处理器从事件过滤模块接收事件处理请求，根据请求参数进行针对远程漏洞利用攻击的防御。

系统事件产生模块由事件产生器、监测表、状态表组成。监测表与事件产生器相连，是由N个监测表项构成的数组，监测表项是由监测类型及其描述构成的二元组，记第i个监测表项P_i＝[T_i,D_i]，其中T_i为事件类型，包括：“进程产生”、“进程结束”、“进程网络动作”、“进程文件操作”、“文件新增”、“文件删除”、“文件访问”、“文件修改”，若T_i与文件相关，则D_i为文件路径，若T_i与进程相关，则D_i为进程名字；1≤i≤N，N为正整数；状态表与事件产生器相连，为一个长度为N的数组，数组中第i个元素与监测表项第i项相对应，第i个元素S_i表示操作系统中被监测进程或文件的状态，若P_i中的T_i与文件相关，则S_i的内容为文件的属性(包含一个或多个如下信息：文件路径、文件读写属性、文件修改日期、文件访问日期、文件MD5哈希值)，若P_i中的T_i与进程相关，则S_i的内容为进程的状态信息(包含一个或多个如下信息：进程编号、进程路径、进程所使用的文件、进程所使用的网络接口)。事件产生器与监测表、状态表、事件过滤模块、操作系统相连，事件产生器通过从监测表读取监测表项(即待监测内容)，从状态表读取监测表项对应的状态，来监测操作系统发生的关键变化，产生系统事件，将系统事件发送给事件过滤模块，同时将最新状态记录到状态表。实验证明，绝大多数远程漏洞利用攻击都会引起进程或文件的变化，因此，如果发生了远程漏洞利用攻击，就会产生进程或文件的变化，即产生相应的系统事件，所以，只要捕捉到系统事件，就一定能捕捉到远程漏洞利用攻击。但是引起进程或文件发生变化的不仅仅有远程漏洞利用攻击(还有正常的用户操作)，因此还需要对系统事件进行过滤，筛选出系统事件中的远程漏洞利用攻击事件，才能有针对性地进行攻击防御。

事件过滤模块由事件过滤器、过滤规则表组成。过滤规则表与事件过滤器相连，是由M个过滤规则构成的数组，过滤规则是由过滤函数和跳转表组成的二元组，第m个过滤规则R_m＝[F_m,J_m]，1≤m≤M，F_m表示过滤函数，J_m表示跳转表。跳转表J_m为一个整数数组，J_m中每个元素表示一条过滤规则的下标，即J_m＝[j_m1,…，j_mq，…，j_mQ]，其中1≤j_mq≤M，1≤q≤Q，Q为J_m的元素个数，Q≥1。过滤函数F_m分为两类，第一类为判断函数，过滤函数F_m根据操作系统类型以及监测类型，判断系统事件E是否产生可能的异常，F_m返回一个整数跳转值r，1≤r≤Q，即j_mr的序号，该值表示下一个进入的过滤规则序号；第二类为终止函数，其跳转表为空，表示对系统事件E事件的处理动作，包括“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”以及“忽略”，F_m表示已完成对事件的过滤。过滤规则表实际构成一个以判断函数为结点，以各判断函数对应的跳转表的元素为边，以终止函数为终止结点的有向无环图G。

事件过滤器与事件产生器、过滤规则表、事件处理器相连。事件过滤器从事件产生器接收系统事件，使用过滤规则表对系统事件进行过滤分析，得出对于事件的处理动作，向事件处理器发送事件处理请求。第二步，初始化基于系统事件的网络攻击防御系统，方法是：

2.1根据所需要保护的网络服务，即通过网络对其他计算机提供服务的软件(该服务是用户预知的极可能成为远程漏洞利用攻击目标的软件)，初始化监测表，方法是：

2.1.1根据所需要保护的网络服务(令为S)，整理出服务S所需要使用到的文件清单、文件夹清单以及所需要启动的进程清单。

2.1.2为文件夹清单中每个文件夹生成2条监测表项，令任意一个文件夹为第u文件夹，为第u文件夹生成监测表项P_u1和P_u2，表示监控第u文件夹下的文件增删事件，P_u1＝[T_u1,D_u]，P_u2＝[T_u2,D_u]，T_u1为“文件新增”，T_u2为“文件删除”，D_u为第u文件夹的路径；若文件夹清单中共有U个文件夹，则共产生2U条监测表项。

2.1.3为文件清单中服务S所依赖的每个关键文件(包括服务配置参数和初始设置文件、机密数据文件、用于对外提供服务但不允许修改的文件)生成2条监测表项，令服务S所依赖的任意一个关键文件为第j关键文件，为第j关键文件生成监测表项P_j1和P_j2，表示监控第j关键文件的访问和修改，P_j1＝[T_j1,D_j]，P_j2＝[T_j2,D_j]，T_j1为“文件访问”，T_j2为“文件修改”，D_j为第j关键文件的路径；若文件清单中共有J个关键文件，则共产生2J条监测表项。

2.1.4为进程清单中每个进程生成3条监测表项，令任意一个进程为第k进程，为第k进程生成三条监测表项即P_k1、P_k2和P_k3，表示监控第k进程的结束、网络动作以及文件操作事件，P_k1＝[T_k1,D_k]，P_k2＝[T_k2,D_k]，P_k3＝[T_k3,D_k]，其中T_k1为“进程结束”，T_k2为“进程网络动作”，T_k3为“进程文件操作”，D_k为第k进程的进程名；若进程清单中共有K个进程，则共产生3K条监测表项。

2.1.5添加一条固定监测表项P＝[T,D]，其中T为“进程产生”，D为“*”(星号)，表示监控所用新进程产生事件。共计生成N条监测表项，N＝2U+2J+3K+1。

2.2初始化状态表为空。

2.3初始化过滤规则表，方法是：

2.3.1根据所需要保护的网络服务以及监测表内容，设计m_a个判断函数，以及m_b个终止函数，m_a≥1，m_b≥2，令M＝m_a+m_b，方法是：

2.3.1.1设计m_a个判断函数，方法是：判断函数的设计目标是要求能对所监测系统事件具有筛选功能，能够通过多个判断函数的组合，过滤出远程漏洞利用攻击引发的系统事件；判断函数分三种来设计：第一种是处理与进程相关系统事件的判断函数，这类函数对进程的程序名、进程内存、进程的其他状态信息(包括进程编号、父进程编号、进程启动时间、进程权限、进程网络活动、进程文件活动)进行检测判断，检测判断的方式包括字符串(或二进制码)比较与匹配、数值比较，每个函数仅针对某一项进行检测和判断；第二种是处理与文件相关系统事件的判断函数，这类函数对文件的MD5哈希值、文件内容、文件属性(包括读写属性、产生日期、修改日期、文件大小)进行检测判断，检测判断的方式包括字符串(或二进制码)比较与匹配、数值比较，同样的，每个函数仅针对某一项进行检测和判断；第三种是用于对系统事件进行分类的判断函数。所有判断函数的返回值为大于0的整数，用于表示不同的判断结果，该判断结果用于决定下一个进入的过滤函数。根据不同的使用环境提供，用户可以根据需求自行添加。这三种判断函数共m_a个。

2.3.1.2设计m_b个终止函数，方法是：终止函数要求至少有“忽略”、“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”中的两个，其中必须有“忽略”。终止函数中，“忽略”函数表示正常，不进行处理；“进程终止”函数表示发现恶意进程，需将进程终止；“进程重启”函数表示进程异常或终止，需进行进程重启；“文件删除”函数表示发现恶意文件，需将文件删除；“文件恢复”表示关键文件被篡改，需恢复该关键文件；“事件记录”函数表示无法判断是否是攻击事件，需记录后由管理员确认。

2.3.2制定过滤策略，过滤策略由一张有向无环图G表示，图G的终止结点为终止函数，其余结点为判断函数，边为判断函数的输出结果，该图的设计是防御远程漏洞利用攻击的关键。系统事件从第一个函数进入，必定在某个终止函数处结束，图G一方面需要保证正常的系统事件最终在“忽略”函数处结束，一方面要保证异常的系统事件(即可能发生的远程漏洞利用攻击)在除“忽略”之外的终止函数处结束，该终止函数与对该异常的处理方式相对应。此外，过滤策略的制定还需要满足，出现频率越高的系统事件，其过滤所经过的结点要越少，以保证效率。制定过滤策略图G的具体方法是：

2.3.2.1初始化图G为空，变量v＝0，用于表示已编号结点数；

2.3.2.2令分类函数为F₁，将F₁作为初始结点(即编号为1的结点)加入图G，设分类函数F₁将系统事件分成Y类，1≤Y≤8，即结点F₁有Y个后继结点(即Y个后继过滤函数)。对除F₁以外的后继过滤函数从2开始依次编号，保证编号的连续，此时结点编号到1，2，…，Y+1，令v＝Y+1。

2.3.2.3对于F₁的第y个后继结点，1≤y≤Y，若存在结点组合即判断函数组合F_y1，…，F_ya，…，F_yA，1≤A≤m_a，1≤a≤A，该组合可以过滤出远程漏洞利用攻击事件，则将该判断函数组合依次相连，然后将F₁与F_y1相连，F_yA与对应的终止函数(“进程终止”、“进程重启”、“文件删除”、“文件恢复”中的一个)相连。F_y1，…，F_ya，…，F_yA对应的结点编号分别为v+1，v+2，…，v+A，令v＝v+A；对于判断函数F_ya，若F_ya的判断结果之一为系统事件正常，则将F_ya与“忽略”函数结点相连；若F_ya的判断结果之一为系统事件需要记录，则将F_ya与“事件记录”函数结点相连；若不存在可以过滤出远程漏洞利用攻击事件的函数组合，则将F₁结点直接与对应的终止函数相连(“忽略”、“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”中的一个)。最后，将m_b个终止函数对应的结点依次编号为v+1，v+2，…，v+m₂。令M＝v+m₂，此时的M为图G的结点总数。

2.3.3根据图G填写过滤规则表，按结点编号顺序依次填写过滤规则，第m条过滤规则为R_m＝[F_m,J_m]，1≤m≤M，其中F_m即图G中结点编号为m的函数，J_m即图G中编号为m的结点的出射边所连后继结点编号组成的数组。

第三步，事件产生器按照步骤3.1监测操作系统，不断产生系统事件，将系统事件发送给事件过滤器；同时事件过滤器按照步骤3.2不断对收到的系统事件进行过滤，向事件处理器发送事件处理请求；同时事件处理器按照步骤3.3对收到的事件处理请求进行处理，对远程漏洞利用攻击进行防御。具体步骤为：

3.1事件产生器根据监测表，对监测表中N个表项所代表的监测目标，监测N个监测目标发生的变化，产生系统事件，具体步骤为：

3.1.1初始化变量i＝1；

3.1.2事件产生器根据监测表中第i项监测表项P_i＝[T_i,D_i]，从操作系统中获取P_i对应的状态S_i’，若P_i为“进程D_i产生”或“进程D_i结束”，则S_i’为以D_i为进程名的进程编号；若P_i为“进程D_i网络动作”，则S_i’为以D_i为进程名的进程的网络接口使用信息；若P_i为“进程D_i文件操作”，则S_i’为以D_i为进程名的进程的文件使用信息；若P_i为“文件D_i新增”或“文件D_i删除”，则S_i’表示该表示文件D_i是否存在；若P_i为“文件D_i访问”，则S_i’为文件D_i的文件访问日期；若P_i为“文件修改”，则S_i’为文件D_i的读写属性、修改日期以及MD5哈希值。

3.1.3将S_i’与状态表中的第i项S_i进行对比，若S_i’与S_i不相同，则产生系统事件E_i，E_i＝(P_i,S_i,S_i’)，是由P_i、S_i、S_i’组成的三元组，将E_i发送给事件过滤器，并令状态表中的S_i＝S_i’，转3.1.4；若Si’与Si相同，则不进行操作，直接转3.1.4。

3.1.4若i≤N，令i＝i+1，转3.1.2；若i>N，令i＝1，转3.1.2。

3.2事件过滤器监控是否从事件产生器接收到系统事件，对系统事件进行过滤，得出需要进行的操作，生成事件处理请求。具体步骤如下：

3.2.1事件过滤器监测是否从事件产生器接收到系统事件，若接收到一个系统事件，令该系统事件为E，转3.2.2；若未接收到系统事件，转3.2.1继续监控。

3.2.2初始化m＝1；

3.2.3根据过滤规则表中第m项R_m，令R_m＝[F_m，J_m]，采用函数F_m对E进行处理，若F_m是判断函数，则根据F_m的返回值r_m，获取J_m中第r_m项整数，令为z，令m＝z，重复步骤3.2.3，即表示根据返回值r_m进入下一项过滤规则；若F_m是终止函数，则该函数向事件处理器发送事件处理请求，事件处理请求的请求参数为E和req，E即步骤3.2.1中接收到的系统事件E，req为“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”的任意一种(由终止函数确定)，该请求表示为B[E,req]，转3.2.1继续监控是否从事件产生器接收到系统事件。此步将终止函数为“忽略”的系统事件过滤了，即正常事件不需要事件处理器进行远程漏洞利用攻击的防御。

3.3事件处理器监控是否从事件过滤器获取到事件处理请求，根据事件处理请求进行针对远程漏洞利用攻击的防御。具体步骤如下：

3.3.1事件处理器监控是否从事件过滤器接收到事件处理请求B[E,req]，若接收到，执行3.3.2；若未接收到，转3.3.1继续监控。

3.3.2若req为“进程终止”，则事件处理器从E中获取S’，即进程编号，将该进程编号对应进程终止；若req为“进程重启”，则事件处理器从E中获取P，再从P中获取D，即进程名，将该进程名对应进程重启；若req为“文件删除”，则事件处理器从E中获取P，再从P中获取D，即文件路径，将该文件路径中的文件删除；若req为“文件恢复”，则事件处理器从E中获取P，再从P中获取D，即文件路径，将该文件路径中的文件恢复；若req为“记录事件”，则事件处理器将事件E以文本形式记录在日志中。

3.3.3转步骤3.3.1继续监控是否从事件过滤器接收到事件处理请求。

由于本发明用于对操作系统进行网络攻击防御，只要操作系统在运行，事件产生器就一直在监控操作系统，事件过滤器就一直在监控事件产生器，事件处理器就一直在监控事件过滤器，因此是一个死循环。

本发明可以达到以下技术效果：

1.本发明提供一种基于系统事件的网络攻击防御方法，不需要对底层操作系统进行修改，也不需要对现有程序进行修改，可以运行在多种操作系统中，具有良好的兼容性、通用性。

2.本发明事件产生器通过监测操作系统的文件或进程的变化来产生系统事件，能捕捉到所有的远程漏洞利用攻击，不会遗漏掉远程漏洞利用攻击。

3.由于本发明事件过滤器利用过滤规则表对系统事件进行过滤，使得要求事件处理器处理的一定是远程漏洞利用攻击引起的系统事件，避免了对正常系统事件的处理，使得对网络攻击能快速防御，具有高效性。

4.本发明过滤规则表可根据不同的使用环境，灵活设置，因此可以针对多种形式的网络攻击，具有良好的可拓展性和灵活性。

附图说明

图1是本发明第一步构建的基于系统事件的网络攻击防御系统的逻辑结构图。

图2是本发明总体流程图。

图3是采用本发明2.3.2步制定的一个实施例的过滤策略所对应的图G。

具体实施方式

为了使本技术领域的人员更好地理解本发明的技术方案，以采用本发明保护Linux操作系统中FTP服务为例，该服务仅有一个名为“ftp”的进程且该服务仅由用户名为“ftpuser”的用户运行，仅使用路径为“/var/ftp/”的文件夹，且该文件夹下仅有名为“test”的文件，下面结合附图，对本发明作进一步的详细说明。

如图2所示，本发明包括如下步骤：

第一步，构建基于系统事件的网络攻击防御系统。该系统如图1所示，由系统事件产生模块、事件过滤模块和事件处理器组成。系统事件产生模块与事件过滤模块、操作系统相连，系统事件产生模块监测操作系统发生的关键变化(包括指定文件的新增、删除、访问、修改；指定进程的新增、结束、网络动作、文件操作)，产生系统事件，将系统事件发送给事件过滤模块；事件过滤模块与系统事件产生模块、事件处理器相连，事件过滤模块从系统事件产生模块中接收系统事件，使用若干个函数对系统事件进行过滤分析，得出对于事件的处理动作(包括进程终止、进程重启、文件删除、文件恢复、记录事件)，向事件处理器发送事件处理请求，请求参数为系统事件及其对应的处理动作；事件处理器与事件过滤模块相连，事件处理器从事件过滤模块接收事件处理请求，根据请求参数，对系统事件进行对应的操作。

系统事件产生模块由事件产生器、监测表、状态表组成。监测表与事件产生器相连，是由N个监测表项构成的数组，监测表项是由监测类型及其描述构成的二元组，记第i个监测表项P_i＝[T_i,D_i]，其中T_i为事件类型，包括：“进程产生”、“进程结束”、“进程网络动作”、“进程文件操作”、“文件新增”、“文件删除”、“文件访问”、“文件修改”，若T_i与文件相关，则D_i为文件路径，若T_i与进程相关，则D_i为进程名字；1≤i≤N，N为正整数；状态表与事件产生器相连，为一个长度为N的数组，数组中第i个元素与监测表项第i项相对应，第i个元素S_i表示操作系统中被监测进程或文件的状态，若P_i中的T_i与文件相关，则S_i的内容为文件的属性(包含一个或多个如下信息：文件路径、文件读写属性、文件修改日期、文件访问日期、文件MD5哈希值)，若P_i中的T_i与进程相关，则S_i的内容为进程的状态信息(包含一个或多个如下信息：进程编号、进程路径、进程所使用的文件、进程所使用的网络接口)。事件产生器与监测表、状态表、事件过滤模块、操作系统相连，事件产生器通过从监测表读取监测表项(即待监测内容)，从状态表读取监测表项对应的状态，来监测操作系统发生的关键变化，产生系统事件，将系统事件发送给事件过滤模块，同时将最新状态记录到状态表。

事件过滤模块由事件过滤器、过滤规则表组成。过滤规则表与事件过滤器相连，是由M个过滤规则构成的数组，过滤规则是由过滤函数和跳转表组成的二元组，第m个过滤规则R_m＝[F_m,J_m]，1≤m≤M，F_m表示过滤函数，J_m表示跳转表。跳转表J_m为一个整数数组，J_m中每个元素表示一条过滤规则的下标，即J_m＝[j_m1,…，j_mq，…，j_mQ]，其中1≤j_mq≤M，1≤q≤Q，Q为J_m的元素个数，Q≥1。过滤函数F_m分为两类，第一类为判断函数，过滤函数F_m根据操作系统类型以及监测类型，判断系统事件E是否产生可能的异常，F_m返回一个整数跳转值q，1≤q≤Q，即j_mq的序号，该值表示下一个进入的过滤规则序号；第二类为终止函数，其跳转表为空，表示对系统事件E事件的处理动作，对于Linux操作系统中FTP服务，仅包括“进程终止”、“文件删除”、“文件恢复”、以及“忽略”，F_m表示已完成对事件的过滤。

事件过滤器与事件产生器、过滤规则表、事件处理器相连。事件过滤器从事件产生器接收系统事件，使用过滤规则表对系统事件进行过滤分析，得出对于事件的处理动作，向事件处理器发送事件处理请求。第二步，初始化基于系统事件的网络攻击防御系统，方法是：

2.1根据所需要保护的Linux操作系统中的FTP服务，初始化监测表，方法是：

2.1.1根据所需要保护的Linux操作系统中的FTP服务(令为S)，整理出服务S所需要使用到的文件清单、文件夹清单以及所需要启动的进程清单。其中文件清单的内容仅为“/var/ftp/test”，文件夹清单的内容仅为“/var/ftp”，进程清单仅为“ftp”。

2.1.2为文件夹清单中每个文件夹生成2条监测表项，令P₁＝[T₁，D₁]，P₂＝[T₂，D₁]，其中T1为“文件新增”，T2为“文件删除”，D1为“/var/ftp”。

2.1.3为文件清单中服务S所依赖的每个关键文件生成2条监测表项，令P₃＝[T₃,D₂]，P₄＝[T₄,D₂]，其中T₃为“文件访问”，T₄为“文件修改”，D₂为“/var/ftp/test”。

2.1.4为进程清单中每个进程生成3条监测表项，令P₅＝[T₅,D₃]，P₆＝[T₆,D₃]，P₇＝[T₇,D₃]，其中T₅为“进程结束”，T₆为“进程网络动作”，T₇为“进程文件操作”，D₃为“ftp”。

2.1.5添加一条固定监测表项P₈＝[T₈,D₄]，其中T₈为“进程产生”，D为“*”。共计生成8条监测表项，令N＝8。

2.2初始化状态表为空。

2.3初始化过滤规则表，方法是：

2.3.1根据所需要保护的Linux操作系统中的FTP服务以及监测表内容，设计3个判断函数和4个终止函数，m_a＝3，m_b＝4，方法是：

2.3.1.1设计3个判断函数，分别为：进程名判断函数，该函数判断进程名是否为“ftp”，是则返回1，否则返回2；用户名判断函数，该函数判断用户名是否为“ftpuser”，是则返回1，否则返回2；分类函数，该函数将系统事件进行分类，若处理事件类型为“文件新增”，则返回1，若处理事件类型为“文件删除”或“文件修改”，则返回2，若处理事件类型为“文件访问”，则返回3，若处理事件类型为“进程产生”或“进程结束”或“进程网络动作”或“进程文件操作”，则返回4。

2.3.1.2设计4个终止函数，分别为：文件删除函数，该函数向事件处理器发出文件删除请求；文件恢复函数，该函数向事件处理器发出文件恢复请求；进程终止函数，该函数向事件处理器发出进程终止请求；“忽略”函数，该函数不做任何处理。

2.3.2制定过滤策略，该过滤策略由一张有向无环图G表示，图G如图3所示，首先分类函数编号为1，加入图G，然后其余函数所在结点如图3所示顺序编号。分类函数将系统事件分为了4类，第一类为“文件新增”事件，该事件可直接确定为发生远程漏洞利用攻击，需要删除对应文件，则将结点1与结点5相连；第二类为“文件删除、修改”事件，该事件可直接确定为发生远程漏洞利用攻击，需要恢复对应文件，则将结点1与结点6相连；第三类为“文件访问”事件，该事件可直接确定为正常事件，则将结点1与结点7相连；第四类为进程相关事件，结点2与结点3的一个组合判断结果(用户名为“ftpuser”，而进程名不为“ftp”)表示远程漏洞利用攻击事件(攻击者对“ftp”服务进程远程漏洞利用攻击后，需要通过产生新的恶意进程方式来开展进一步攻击，此时用户名仍然为“ftpuser”，而进程名却不是“ftp”)，需要终止恶意进程，则将结点2与结点3相连，然后将结点1与结点2相连，结点3与结点4相连，结点2的另一判断结果(用户名不为“ftpuser”)表示正常事件(“ftp”服务受到远程漏洞利用攻击仅与运行该服务的“ftpuser”用户有关，与其他用户无关)，将结点2与结点7相连，结点3的另一判断结果表示正常事件，将结点3与结点7相连。

2.3.3根据图G填写过滤规则表，填写过滤规则，R₁＝[F₁,J₁]对应结点1，其中F₁为分类函数，该结点后继结点按照F₁返回值排序依次为5、6、7、2，因此J₁为数组[5,6,7,2]。以此类推，R₂＝[F₂,J₂]，其中F₂为用户名判断函数，J₂为数组[3,7]；R₃＝[F₃,J₃]，其中F₃为进程名判断函数，J₃为数组[7,4]；R₄＝[F₄,J₄]，R₅＝[F₅,J₅]，R₆＝[F₆,J₆]，R₇＝[F₇,J₇]，其中F₄为进程终止函数，F₅为文件删除函数，F₆为文件恢复，F₇为“忽略”函数，J₄、J₅、J₆、J₇为空数组。共计7条过滤规则，此时M＝7。

第三步，事件产生器按照步骤3.1监测操作系统，不断产生系统事件，将系统事件发送给事件过滤器；同时事件过滤器按照步骤3.2不断对收到的系统事件进行过滤，向事件处理器发送事件处理请求；同时事件处理器按照步骤3.3对收到的事件处理请求进行处理，对远程漏洞利用攻击进行防御。具体步骤为：

3.1事件产生器根据监测表，对监测表中N个表项所代表的监测目标，监测N个监测目标发生的变化，产生系统事件，具体步骤为：

3.1.1初始化变量i＝1；

3.1.2事件产生器根据监测表中第i项监测表项P_i＝[T_i,D_i]，从操作系统中获取P_i对应的状态S_i’，若P_i为“进程D_i产生”或“进程D_i结束”，则S_i’为以D_i为进程名的进程编号；若P_i为“进程D_i网络动作”，则S_i’为以D_i为进程名的进程的网络接口使用信息；若P_i为“进程D_i文件操作”，则S_i’为以D_i为进程名的进程的文件使用信息；若P_i为“文件D_i新增”或“文件D_i删除”，则S_i’表示该表示文件D_i是否存在；若P_i为“文件D_i访问”，则S_i’为文件D_i的文件访问日期；若P_i为“文件修改”，则S_i’为文件D_i的读写属性、修改日期以及MD5哈希值。

3.1.3将S_i’与状态表中的第i项S_i进行对比，若S_i’与S_i不相同，则产生系统事件E_i，E_i＝(P_i,S_i,S_i’)，是由P_i、S_i、S_i’组成的三元组，将E_i发送给事件过滤器，并令状态表中的S_i＝S_i’，转3.1.4；若Si’与Si相同，则不进行操作，直接转3.1.4。

3.1.4若i≤N，令i＝i+1，转3.1.2；若i>N，令i＝1，转3.1.2。

3.2事件过滤器监控是否从事件产生器接收到系统事件，对系统事件进行过滤，得出需要进行的操作，生成事件处理请求。具体步骤如下：

3.2.1事件过滤器监测是否从事件产生器接收到系统事件，若接收到一个系统事件，令该系统事件为E，转3.2.2；若未接收到系统事件，转3.2.1继续监控。

3.2.2初始化m＝1；

3.2.3根据过滤规则表中第m项R_m，令R_m＝[F_m，J_m]，采用函数F_m对E进行处理，若F_m是判断函数，则根据F_m的返回值r_m，获取J_m中第r_m项整数，令为z，令m＝z，重复步骤3.2.3，即表示根据返回值r_m进入下一项过滤规则；若F_m是终止函数，则该函数向事件处理器发送事件处理请求，事件处理请求的请求参数为E和req，E即步骤3.2.1中接收到的系统事件E，req为“进程终止”、“文件删除”、“文件恢复”(由终止函数确定)，该请求表示为B[E,req]，转3.2.1继续监控是否从事件产生器接收到系统事件。

3.3事件处理器监控是否从事件过滤器获取到事件处理请求，根据事件处理请求进行针对远程漏洞利用攻击的防御。具体步骤如下：

3.3.1事件处理器监控是否从事件过滤器接收到事件处理请求B[E,req]，若接收到，执行3.3.2；若未接收到，转3.3.1继续监控。

3.3.2若req为“进程终止”，则事件处理器从E中获取S’，即进程编号，将该进程编号对应进程终止；若req为“文件删除”，则事件处理器从E中获取P，再从P中获取D，即文件路径，将该文件路径中的文件删除；若req为“文件恢复”，则事件处理器从E中获取P，再从P中获取D，即文件路径，将该文件路径中的文件恢复。

3.3.3转步骤3.3.1继续监控是否从事件过滤器接收到事件处理请求。

Claims (7)

1.一种基于系统事件的网络攻击防御方法，其特征在于包括以下步骤：

第一步，构建基于系统事件的网络攻击防御系统，基于系统事件的网络攻击防御系统由系统事件产生模块、事件过滤模块和事件处理器组成；系统事件产生模块与事件过滤模块、操作系统相连，系统事件产生模块监测操作系统发生的关键变化，产生系统事件，将系统事件发送给事件过滤模块；事件过滤模块与系统事件产生模块、事件处理器相连，事件过滤模块从系统事件产生模块中接收系统事件，根据过滤规则对系统事件进行过滤分析，得出对于事件的处理动作，向事件处理器发送事件处理请求，请求参数为系统事件及其对应的处理动作；事件处理器与事件过滤模块相连，事件处理器从事件过滤模块接收事件处理请求，根据请求参数进行针对远程漏洞利用攻击的防御；

系统事件产生模块由事件产生器、监测表、状态表组成；监测表与事件产生器相连，是由N个监测表项构成的数组，监测表项是由监测类型及其描述构成的二元组，记第i个监测表项P_i＝[T_i,D_i]，其中T_i为事件类型，若T_i与文件相关，则D_i为文件路径，若T_i与进程相关，则D_i为进程名字；1≤i≤N，N为正整数；状态表与事件产生器相连，为一个长度为N的数组，数组中第i个元素与监测表项第i项相对应，第i个元素S_i表示操作系统中被监测进程或文件的状态，若P_i中的T_i与文件相关，则S_i的内容为文件的属性，若P_i中的T_i与进程相关，则S_i的内容为进程的状态信息；事件产生器与监测表、状态表、事件过滤模块、操作系统相连，事件产生器通过从监测表读取监测表项即待监测内容，从状态表读取监测表项对应的状态，来监测操作系统发生的变化，产生系统事件，将系统事件发送给事件过滤模块，同时将最新状态记录到状态表；

事件过滤模块由事件过滤器、过滤规则表组成；过滤规则表与事件过滤器相连，是由M个过滤规则构成的数组，过滤规则是由过滤函数和跳转表组成的二元组，第m个过滤规则R_m＝[F_m,J_m]，1≤m≤M，F_m表示过滤函数，J_m表示跳转表；跳转表J_m为一个整数数组，J_m中每个元素表示一条过滤规则的下标，即J_m＝[j_m1,…，j_mq，…，j_mQ]，其中1≤j_mq≤M，1≤q≤Q，Q为J_m的元素个数，Q≥1；过滤函数F_m分为两类，第一类为判断函数，过滤函数F_m根据操作系统类型以及监测类型，判断系统事件E是否产生可能的异常，F_m返回一个整数跳转值r，1≤r≤Q，即j_mr的序号，该值表示下一个进入的过滤规则序号；第二类为终止函数，其跳转表为空，表示对系统事件E事件的处理动作，包括“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”以及“忽略”，F_m表示已完成对事件的过滤；过滤规则表构成一个以判断函数为结点，以各判断函数对应的跳转表的元素为边，以终止函数为终止结点的有向无环图G；

事件过滤器与事件产生器、过滤规则表、事件处理器相连；事件过滤器从事件产生器接收系统事件，使用过滤规则表对系统事件进行过滤分析，得出对于事件的处理动作，向事件处理器发送事件处理请求；第二步，初始化基于系统事件的网络攻击防御系统，方法是：

2.1根据所需要保护的网络服务初始化监测表，方法是：

2.1.1根据所需要保护的网络服务S，整理出服务S所需要使用到的文件清单、文件夹清单以及所需要启动的进程清单；

2.1.2为文件夹清单中每个文件夹生成2条监测表项，令任意一个文件夹为第u文件夹，为第u文件夹生成监测表项P_u1和P_u2，表示监控第u文件夹下的文件增删事件，P_u1＝[T_u1,D_u]，P_u2＝[T_u2,D_u]，T_u1为“文件新增”，T_u2为“文件删除”，D_u为第u文件夹的路径；若文件夹清单中共有U个文件夹，则共产生2U条监测表项；

2.1.3为文件清单中服务S所依赖的每个关键文件生成2条监测表项，令服务S所依赖的任意一个关键文件为第j关键文件，为第j关键文件生成监测表项P_j1和P_j2，表示监控第j关键文件的访问和修改，P_j1＝[T_j1,D_j]，P_j2＝[T_j2,D_j]，T_j1为“文件访问”，T_j2为“文件修改”，D_j为第j关键文件的路径；若文件清单中共有J个关键文件，则共产生2J条监测表项；

2.1.4为进程清单中每个进程生成3条监测表项，令任意一个进程为第k进程，为第k进程生成三条监测表项即P_k1、P_k2和P_k3，表示监控第k进程的结束、网络动作以及文件操作事件，P_k1＝[T_k1,D_k]，P_k2＝[T_k2,D_k]，P_k3＝[T_k3,D_k]，其中T_k1为“进程结束”，T_k2为“进程网络动作”，T_k3为“进程文件操作”，D_k为第k进程的进程名；若进程清单中共有K个进程，则共产生3K条监测表项；

2.1.5添加一条固定监测表项P＝[T,D]，其中T为“进程产生”，D为“*”，表示监控所用新进程产生事件；共计生成N条监测表项，N＝2U+2J+3K+1；

2.2初始化状态表为空；

2.3初始化过滤规则表，方法是：

2.3.1根据所需要保护的网络服务以及监测表内容，设计m_a个判断函数和m_b个终止函数，m_a≥1，m_b≥2，令M＝m_a+m_b，方法是：

2.3.1.1设计m_a个判断函数，方法是：判断函数要求能对所监测系统事件具有筛选功能，能够通过多个判断函数的组合，过滤出远程漏洞利用攻击引发的系统事件；判断函数分三种来设计：第一种是处理与进程相关系统事件的判断函数，这类函数对进程的程序名、进程内存、进程的其他状态信息即进程编号、父进程编号、进程启动时间、进程权限、进程网络活动、进程文件活动进行检测判断，检测判断的方式包括字符串或二进制码比较与匹配、数值比较，每个函数仅针对某一项进行检测和判断；第二种是处理与文件相关系统事件的判断函数，这类函数对文件的MD5哈希值、文件内容、文件属性即读写属性、产生日期、修改日期、文件大小进行检测判断，检测判断的方式包括字符串或二进制码比较与匹配、数值比较，同样的，每个函数仅针对某一项进行检测和判断；第三种是用于对系统事件进行分类的判断函数；所有判断函数的返回值为大于0的整数，用于表示不同的判断结果，该判断结果用于决定下一个进入的过滤函数；这三种判断函数共m_a个；

2.3.1.2设计m_b个终止函数，方法是：终止函数要求至少有“忽略”、“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”中的两个，其中必须有“忽略”；终止函数中，“忽略”函数表示正常，不进行处理；“进程终止”函数表示发现恶意进程，需将进程终止；“进程重启”函数表示进程异常或终止，需进行进程重启；“文件删除”函数表示发现恶意文件，需将文件删除；“文件恢复”表示关键文件被篡改，需恢复该关键文件；“事件记录”函数表示无法判断是否是攻击事件，需记录后由管理员确认；

2.3.2制定过滤策略，过滤策略由一张包含M个结点的有向无环图G表示，图G的终止结点为终止函数，其余结点为判断函数，边为判断函数的输出结果；系统事件从第一个函数进入，必定在某个终止函数处结束，图G一方面需要保证正常的系统事件最终在“忽略”函数处结束，一方面要保证异常的系统事件即可能发生的远程漏洞利用攻击在除“忽略”之外的终止函数处结束，该终止函数与对该异常的处理方式相对应；

2.3.3根据图G填写过滤规则表，按结点编号顺序依次填写过滤规则，第m条过滤规则为R_m＝[F_m,J_m]，1≤m≤M，其中F_m即图G中结点编号为m的函数，J_m即图G中编号为m的结点的出射边所连后继结点编号组成的数组；

第三步，事件产生器按照步骤3.1监测操作系统，不断产生系统事件，将系统事件发送给事件过滤器；同时事件过滤器按照步骤3.2不断对收到的系统事件进行过滤，向事件处理器发送事件处理请求；同时事件处理器按照步骤3.3对收到的事件处理请求进行处理，对远程漏洞利用攻击进行防御；具体方法为：

3.1事件产生器根据监测表，对监测表中N个表项所代表的监测目标，监测N个监测目标发生的变化，产生系统事件，具体步骤为：

3.1.1初始化变量i＝1；

3.1.2事件产生器根据监测表中第i项监测表项P_i＝[T_i,D_i]，从操作系统中获取P_i对应的状态S_i’，若P_i为“进程D_i产生”或“进程D_i结束”，则S_i’为以D_i为进程名的进程编号；若P_i为“进程D_i网络动作”，则S_i’为以D_i为进程名的进程的网络接口使用信息；若P_i为“进程D_i文件操作”，则S_i’为以D_i为进程名的进程的文件使用信息；若P_i为“文件D_i新增”或“文件D_i删除”，则S_i’表示该表示文件D_i是否存在；若P_i为“文件D_i访问”，则S_i’为文件D_i的文件访问日期；若P_i为“文件修改”，则S_i’为文件D_i的读写属性、修改日期以及MD5哈希值；

3.1.3将S_i’与状态表中的第i项S_i进行对比，若S_i’与S_i不相同，则产生系统事件E_i，E_i＝(P_i,S_i,S_i’)，是由P_i、S_i、S_i’组成的三元组，将E_i发送给事件过滤器，并令状态表中的S_i＝S_i’，转3.1.4；若Si’与Si相同，则不进行操作，直接转3.1.4；

3.1.4若i≤N，令i＝i+1，转3.1.2；若i>N，令i＝1，转3.1.2；

3.2事件过滤器监控是否从事件产生器接收到系统事件，对系统事件进行过滤，得出需要进行的操作，生成事件处理请求，方法为：

3.2.1事件过滤器监测是否从事件产生器接收到系统事件，若接收到一个系统事件，令该系统事件为E，转3.2.2；若未接收到系统事件，转3.2.1继续监控；

3.2.2初始化m＝1；

3.2.3根据过滤规则表中第m项R_m，令R_m＝[F_m，J_m]，采用函数F_m对E进行处理，若F_m是判断函数，则根据F_m的返回值r_m，获取J_m中第r_m项整数，令J_m中第r_m项整数为z，令m＝z，重复步骤3.2.3，即表示根据返回值r_m进入下一项过滤规则；若F_m是终止函数，则该函数向事件处理器发送事件处理请求，事件处理请求的请求参数为E和req，E即步骤3.2.1中接收到的系统事件E，req为“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”中的任意一种，该请求表示为B[E,req]，转3.2.1继续监控是否从事件产生器接收到系统事件；

3.3事件处理器监控是否从事件过滤器获取到事件处理请求，根据事件处理请求进行针对远程漏洞利用攻击的防御，方法为：

3.3.1事件处理器监控是否从事件过滤器接收到事件处理请求B[E,req]，若接收到，执行3.3.2；若未接收到，转3.3.1继续监控；

3.3.2若req为“进程终止”，则事件处理器从E中获取S’，即进程编号，将该进程编号对应进程终止；若req为“进程重启”，则事件处理器从E中获取P，再从P中获取D，即进程名，将该进程名对应进程重启；若req为“文件删除”，则事件处理器从E中获取P，再从P中获取D，即文件路径，将该文件路径中的文件删除；若req为“文件恢复”，则事件处理器从E中获取P，再从P中获取D，即文件路径，将该文件路径中的文件恢复；若req为“记录事件”，则事件处理器将事件E以文本形式记录在日志中；

3.3.3转步骤3.3.1继续监控是否从事件过滤器接收到事件处理请求。

2.如权利要求1所述的一种基于系统事件的网络攻击防御方法，其特征在于第一步所述操作系统发生的关键变化包括指定文件的新增、删除、访问、修改，指定进程的新增、结束、网络动作、文件操作。

3.如权利要求1所述的一种基于系统事件的网络攻击防御方法，其特征在于所述监测表项中的事件类型包括：“进程产生”、“进程结束”、“进程网络动作”、“进程文件操作”、“文件新增”、“文件删除”、“文件访问”、“文件修改”8种。

4.如权利要求1所述的一种基于系统事件的网络攻击防御方法，其特征在于所述状态表中第i个元素S_i中文件的属性包含一个或多个如下信息：文件路径、文件读写属性、文件修改日期、文件访问日期、文件MD5哈希值，所述进程的状态信息包含一个或多个如下信息：进程编号、进程路径、进程所使用的文件、进程所使用的网络接口。

5.如权利要求1所述的一种基于系统事件的网络攻击防御方法，其特征在于2.1.3步所述关键文件包括服务配置参数和初始设置文件、机密数据文件、用于对外提供服务但不允许修改的文件。

6.如权利要求1所述的一种基于系统事件的网络攻击防御方法，其特征在于2.3.2步所述过滤策略要求出现频率越高的系统事件过滤所经过的结点越少。

7.如权利要求1所述的一种基于系统事件的网络攻击防御方法，其特征在于2.3.2步所述制定过滤策略图G的方法是：

2.3.2.1初始化图G为空，变量v＝0，用于表示已编号结点数；

2.3.2.2令分类函数为F₁，将F₁作为初始结点即编号为1的结点加入图G，设分类函数F₁将系统事件分成Y类，1≤Y≤8，即结点F₁有Y个后继结点即Y个后继过滤函数；对除F₁以外的后继过滤函数从2开始依次编号，保证编号的连续，此时结点编号到1，2，…，Y+1，令v＝Y+1；

2.3.2.3对于F₁的第y个后继结点，1≤y≤Y，若存在结点组合即判断函数组合F_y1，…，F_ya，…，F_yA，1≤A≤m_a，1≤a≤A，该组合可以过滤出远程漏洞利用攻击事件，则将该判断函数组合依次相连，然后将F₁与F_y1相连，F_yA与对应的终止函数即“进程终止”、“进程重启”、“文件删除”、“文件恢复”中的一个相连；F_y1，…，F_ya，…，F_yA对应的结点编号分别为v+1，v+2，…，v+A，令v＝v+A；对于判断函数F_ya，若F_ya的判断结果之一为系统事件正常，则将F_ya与“忽略”函数结点相连；若F_ya的判断结果之一为系统事件需要记录，则将F_ya与“事件记录”函数结点相连；若不存在可以过滤出远程漏洞利用攻击事件的函数组合，则将F₁结点直接与“忽略”、“进程终止”、“进程重启”、“文件删除”、“文件恢复”、“记录事件”中的一个相连；最后，将m_b个终止函数对应的结点依次编号为v+1，v+2，…，v+m₂；令M＝v+m₂，此时的M为图G的结点总数。

Images