CN1477811A - 一种网络入侵行为和正常行为的形式化描述方法 - Google Patents
一种网络入侵行为和正常行为的形式化描述方法 Download PDFInfo
- Publication number
- CN1477811A CN1477811A CNA031463800A CN03146380A CN1477811A CN 1477811 A CN1477811 A CN 1477811A CN A031463800 A CNA031463800 A CN A031463800A CN 03146380 A CN03146380 A CN 03146380A CN 1477811 A CN1477811 A CN 1477811A
- Authority
- CN
- China
- Prior art keywords
- transition
- state
- behaviour
- network
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明为一种网络入侵行为和正常行为的形式化描述方法。本发明对于网络中存在的入侵和攻击行为,特别是分布式入侵行为,进行了细致分析,在此基础上,提出了一种对于网络行为和正常行为的形式化描述方法。本方法以ASSQ四元组为理论基础,在已有Petri网模型的基础上,进行了重新定义和修改,可以应用在各种入侵检测和相关的系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。
Description
技术领域
本发明属于网络与信息安全领域,具体涉及一种网络正常行为和入侵行为的形式化描述方法,为分布式入侵检测系统提供理论上的帮助。
背景技术
随着计算机网络技术的飞速发展,社会的信息化程度不断提高,网络在给人们带来巨大的经济效益和社会效益的同时,也面临着日益严重的安全问题。网络安全的一个主要威胁就是对网络的攻击、破坏以及通过网络对信息系统的入侵。网络入侵定义为:试图破坏信息系统的完整性、机密性或可信性的任何网络活动的集合。相对于传统的对信息系统的破坏手段,网络入侵具有以下特点:
(1)没有地域和时间的限制,跨越国界的攻击就同在现场一样方便
(2)通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强
(3)入侵手段更加隐蔽和复杂
由于网络入侵有上述特点,如何通过计算机对其进行智能检测,就成为目前众多网络安全手段中的核心技术。网络入侵可分为以下几种类型:
(1)利用网络协议的不完善进行的攻击,如利用超小分片(Tiny fragment)、重叠分片偏移(Over-lapped fragment offset)、半开TCP连接进行攻击;
(2)利用操作系统协议栈实现的缺陷进行的攻击,如OOB对NT的攻击;
(3)通过对信息系统进行试探和扫描,试图发现帐户口令或系统的缺陷,然后入侵系统;
(4)恶意使用正常的网络操作,如采用非正常的频率等,造成信息系统崩溃和不能正常提供服务的拒绝服务攻击(Denial of Service,DoS)
(5)利用特殊的命令序列进行攻击,如正常远程登录到主机系统之后,设法得到超级用户的权限;
(6)利用正常的网络操作,向目的系统传达恶意的信息,攻击系统。如特洛伊木马、Java Applet、ActiveX等。
如何建立一个安全而又稳定的系统,保证重要信息的安全,对于未来Internet的可持续发展具有战略意义。入侵检测系统为我们提供了一种有效手段,可以尽量减轻或避免损失,是网络安全系统中重要的组成部分。目前,以提高系统和网络的安全度,对于黑客试图入侵的系统和网络提供检测服务为目标的研究领域极具活力。入侵检测系统的核心问题是如何建立入侵检测模型,即怎样识别来自黑客的网络入侵。
目前入侵检测模型主要有两种类型:误用检测和异常检测。误用检测包括基于规则(Rule-Based Intrusion Detection)、基于模型(Model-BasedIntrusion Detection)等建模方式,主要用于检测利用已知系统缺陷的入侵。异常检测包括基于统计(Statistic-Based Intrusion Detection)、完整性分析等建模方式,通过建立目标系统,受监控系统及其用户的正常活动模型来检测系统和用户的实际活动是否符合正常模型,从而判断系统是否遭受到攻击。
一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取包含关键行为特征的数据;二是如何高效并准确地判定入侵行为。随着Internet的飞速发展,对网络,尤其是大型网络的安全保护需求也更加迫切。入侵检测系统应能检测大范围网络攻击,特别是大规模分布式入侵,这就要求对入侵行为进行很好的形式化描述。以往的描述多是简单的入侵特征描述,对复杂的入侵行为特别是分布式入侵行为无能为力。发明目的
由于网络入侵行为越来越复杂,以往简单的入侵特征描述已经不能胜任识别入侵行为的需要,这就造成了入侵检测系统和防火墙等安全部件不能够有效地检测复杂的入侵行为。我们发明了一种入侵行为形式化描述方法,就是为入侵检测服务,采用一种简洁统一高效的形式化描述理论来精确描述系统行为或入侵行为的特征。
发明内容
本发明对于网络中存在的入侵和攻击行为,特别是分布式入侵行为,进行了细致分析,在此基础上,提出了一种对于网络行为和正常行为的形式化描述方法。本方法以ASSQ四元组为理论基础,在已有Petri网模型的基础上,进行了重新定义和修改,可以应用在各种入侵检测和相关的系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。
我们发明了用以下四元组对入侵行为给予总体上的描述:
<动作特征,协议或系统状态,逻辑顺序,数量>称之为ASSQ四元组。其中:1.动作特征(Action Signature)——指攻击者的行动在网络中的具体表现,这包括正常的或异常的表现。如SYN与FIN标准位同时置1的TCP包,SYN标志位置1的TCP连接发起包等。2.协议或系统状态(State)——指攻击发生时协议或系统的状态和状态转换。这里的协议状态就是网络协议有限状态机中定义的状态,而此处的协议状态转换却不完全属于协议有限状态机中定义的状态转换,因为有些攻击会造成网络协议的异常状态转换。这里的系统状态可以用已有的,也可以根据需要 进行自定义设计。3.顺序(Sequence)——包括动作和状态发生的逻辑上的各种关系。4.数量(Quantity)——指一切与动作、状态相关的数量。数量关系集合就是一个整数集合,如TCP协议允许出于SYN——RCVD状态的最多连接数量(即系统允许的半开放连接数目),收到SYN连接请求的端口个数等。
在这种描述中,各元素均是可观的,ASSQ四元组存在如下关系:动作独立于其它3个元素;状态独立于顺序和数量关系,这里的状态与动作之间可能不存在直接的因果关系;并不是对每种网络协议攻击的描述都需要有特定的逻辑顺序和数量关系存在。
如SYN/FIN攻击对于TCP头中的SYN与FIN标准位同时置1,会造成TCP协议产生未定义的异常转换状态。SYN/FIN网络协议攻击的ASSQ四元组描述如下:<SYN与FIN同时置1的TCP包,SYN-RCVD→CLOSE-wAIT,空,空>对于TCP
协议来说,可以有如下协议状态:
{CLOSED(关闭状态)、CLOSING(同时关闭)、CLOSE_wAIT(关闭等待)、LAST_ACK(被动关闭)、LISTEN(监听)、TIME_WIT(超时)、ESTABLISHED(连接已建立)、FIN_WAIT(关闭等待)、SYN_SENT(连接请求发送)、SYN_TECEIVED(接受连接请求)……}
下表是我们对动作特征的分类:
| 动作特征类型 | 说 明 | 备注 |
| Source_data | 从源主机传到目的主机的数据段 | 大部分攻击的数据流中包含一些特殊字符串。这类特征中,有一大部分是属于http服务的攻击,即在发送的URL字段包含一些特殊字符串,例如“scripts/root.exe?”,“/cgi-bin/phf” |
| Dest_data | 从目的主机传到源主机的数据段 | 从目的主机(即受保护的服务器)传到源主机(客户端)的数据中包含一些特殊字符串可以体现这次访问的状态,如成功还是失败。例如“Bad command or filename” |
| Protocol_sig | 和连接(或无连接)协议(如tcp、udp、icmp等)相关联的动作特征 | 连接的协议是一个重要特征,因为攻击者主要针对不同的协议类型,使用不同的攻击手段。三种常用的协议类型为tcp、udp、icmp |
| Service_sig | 和连接(或无连接)服务(如http、ftp、smtp等)相关联的动作特征 | 服务的协议类型是一个重要特征,因为攻击者主要针对不同的服务,使用不同的攻击手段,例如http服务的攻击使用phf、apache缺陷等,而smtp服务攻击使用rcpt,expn缺陷等 |
| Else | 其他动作特征 | 例如ip包头的特殊设置等 |
本发明利用了petri网模型的一些思想,在其基础上进行了重新定义和修改,来实现ASSQ四元组的描述,下面具体介绍其具体实现。首先我们给出必要的定义:定义1:三元式N=(P,T;F)称作网当且仅当:(1)P∪T≠;(2)F(P×T)∪(T×P);(3)dom(F)∪cod(F)=P∪T
在这个定义中,P表示位置结点集合,T表示变迁结点集合,F为位置结点与变迁结点间的有向弧集合。定义2:对x∈P∪T,
令·x={y|(y∈P∪T)∧((y,x)∈F}和x·={y|(y∈P∪T)∧((x,y)∈F)},
则称·x和x·分别为x的前置集和后置集。定义3:针对我们的描述,定义一个4元组PN=(P,T;F,M0)(1)P={pi,i=1~m},m>0是有限位置集合,位置pi用圆圈表示,代表系统或协议的某个状态;(2)T={ti,i=1~n},n>0是有限变迁集合,变迁ti用黑线条表示,代表一个入侵动作。(3)F(P×T)∪(T×P)是变迁和位置的关系集合,用位置和变迁之间的有向弧线来表示(4)M0∶P→N是PN的标识,M0={M0(pi),i=1~m},M0(pi)为位置pi中的数字,在圆圈中有标注,代表某一状态实现的当前次数。M0代表初始状态。PN初始M0随着系统事件的发生将变化。PN的当前的标识记为M,表示系统当前的状态。
基本PN的变迁可实施规则为:给定t,若对于所有p∈·t-t·,M(p)≥1,则称t是可实施的,记作M[t>。即:若变迁t的所有输入位置中的数字都具有至少为1,则该变迁可实施变迁的实施意味着:在当前的系统状态下,变迁所代表的事件发生的前提条件得到满足。(5)在M下是使能的变迁t可以引发,引发后得到后继标识M′,则记作M[t>M′。其中M′(p0)=M(p0)=1,即初始状态永远保持激发态。
在图1中,初始标识M0=[100],由于p∈·t1:M0(p)≥1,则M0[t1>,记M0[t1>M1,其中M1=[110]。以此类推,可以有:
定义4:PETRI网PN的可达表示集合R(M0)是满足下列条件的最小集合:1,M0∈R(M0),2,若有M∈R(M0),t∈T,使得M[t>M′,则M′∈R(M0)。定义5:设PN=(P,T;F,M0)为一个Petri网,GfR(M0),为终态集合,令L(PN,Gf)={σ∈T*∧M0[σ>M∧M∈Gf},则称L(PN,Gf)为PN的网语言发明与现有技术相比具有的优点和积极效果
本发明主要是针对网络入侵行为和正常行为提出的一种形式化描述方法。该方法。随着网络技术的发展,目前网络入侵行为体现出以下几种特点:
(1)没有地域和时间的限制,跨越国界的攻击就同在现场一样方便
(2)通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强
(3)入侵手段更加隐蔽和复杂
本发明就是在研究和分析了网络入侵行为和正常行为之后,提出了ASSQ四元组的概念,系统、全面的对各种行为给予归类和描述,并在已有petri网的基础上,进行重新定义和修改,从而形成了一种针对网络入侵行为和系统正常行为系统、高效的形式化描述方法。
具体实施方式:
在入侵petri网中,四元组中的动作特征(Action)和状态(State)分别用T和P集合来表示,有很好的对应关系。四元组中的数量关系(Quantity)用P中标识数字给予很好的表达。
对于四元组中的顺序(Sequence)关系,用入侵petri网也有很好的对应描述,a,b,c∈A(A是入侵动作集合),有如下几种顺序关系:
顺序关系如图2
偏序关系如图3
选择关系如图4
并发关系如图5
使用这种形式化描述方法,可以用已有的协议规则和状态,也可以根据需要自己设计相应的P、T集合。例如可以对TCP协议攻击实施描述,如图6所示。
| 状态标记 | 状态说明 | 动作标记 | 动作说明 |
| p0 | 初始监听状态 | t1 | 服务器收到syn请求 |
| p1 | 收到syn请求 | t2 | 服务器发送syn/ack |
| p2 | 等待syn状态 | t3 | 服务器收到syn |
| p3 | 建立正常连接 | t4 | 收到异常数据 |
| p4 | 收到垃圾数据 | t5 | 连接超时 |
| p5 | 连接超时状态 | t6 | 服务器发送RST |
由于入侵行为往往和正常行为混杂在一起,所以不容易分辨。在这个例子中,当M矩阵中表示p4、p5状态的数量超过阈值时,就意味着发生了入侵行为。对应于p5状态的入侵行为就是著名的syn攻击。
我们将目前已知的1300多种网络入侵事件划分成了5大类:拒绝服务攻击,非授权访问尝试,预攻击探测,可疑活动和其它。每一大类又分为若干子类,用我们的方法都能够给予很好的描述。
Claims (4)
1、一种对网络入侵行为和正常行为进行形式化描述的方法,以ASSQ四元组为理论基础,在已有的petri网模型基础上根据描述的需要进行了重新定义和修改,可以应用在各种入侵检测和相关的系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。
2、如权利要求1所述的ASSQ四元组,定义<动作特征,协议或系统状态,逻辑顺序,数量>四类元素对入侵行为和正常行为实施准确、高效的形式化描述,其中动作特征(Action)指攻击者的行动在网络中的具体表现,这包括正常的或异常的表现;协议或系统状态(State)指攻击发生时协议或系统的状态和状态转换,可以采用原有的协议状态,也可以根据具体需要自定义出新的状态;逻辑顺序(Sequence)包括动作和状态发生的逻辑上的各种关系;数量(Quantity)指一切与动作、状态相关的数量,其数量关系集合就是一个整数集合,将这四种元素有机地结合起来,就完成了对入侵行为和正常行为的有效描述。
3、如权利要求1所述的ASSQ四元组,按照实际情况,将动作特征元素分成五类:Source_data、Dest_data、Protocol_sig、Service_sig、else。此种分类涵盖了所有的动作特征。
4、如权利要求1所述的描述方法的具体实现部分,是在已经存在的petri网(PN)模型的基础上,结合ASSQ四元组理论,进行了重新定义和修改,在原来petri网中P表示位置结点集合,T表示变迁结点集合,F为位置结点与变迁结点间的有向弧集合,我们重新定义如下:
(1)P={pi,i=1~m},m>0是有限位置集合,位置pi用圆圈表示,代表系统或协议的某个状态;
(2)T={ti,i=1~n},n>0是有限变迁集合,变迁ti用黑线条表示,代表一个入侵动作;
(3)F(P×T)∪(T×P)是变迁和位置的关系集合,用位置和变迁之间的有向弧线来表示;
(4)M0:P→N是PN的标识,M0={M0(pi),i=1~m},M0(pi)为位置pi中的数字,在圆圈中有标注,代表某一状态实现的当前次数,M0代表初始状态,PN初始M0随着系统事件的发生将变化,PN的当前的标识记为M,表示系统当前的状态,基本PN的变迁可实施规则为:给定t,若对于所有p∈·t-t·,M(p)≥1,则称t是可实施的,记作M[t>,即:若变迁t的所有输入位置的数字都具有至少为1,则该变迁可实施变迁的实施意味着:在当前的系统状态下,变迁所代表的事件发生的前提条件得到满足;
(5)在M下是使能的变迁t可以引发,引发后得到后继标识M′,则
记作M[t>M′,其中M′(p0)=M(p0)=1,即初始状态永远保持激发态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031463800A CN1477811A (zh) | 2003-07-11 | 2003-07-11 | 一种网络入侵行为和正常行为的形式化描述方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA031463800A CN1477811A (zh) | 2003-07-11 | 2003-07-11 | 一种网络入侵行为和正常行为的形式化描述方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1477811A true CN1477811A (zh) | 2004-02-25 |
Family
ID=34156051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA031463800A Pending CN1477811A (zh) | 2003-07-11 | 2003-07-11 | 一种网络入侵行为和正常行为的形式化描述方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1477811A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1328876C (zh) * | 2004-06-24 | 2007-07-25 | 西安交通大学 | 异常文件访问自适应检测方法 |
| CN103748983B (zh) * | 2009-06-23 | 2011-04-27 | 北京理工大学 | 一种基于模糊eca规则的网络攻击知识表达与推理方法 |
| CN101335752B (zh) * | 2008-06-03 | 2011-07-27 | 电子科技大学 | 一种基于频繁片段规则的网络入侵检测方法 |
| CN102413460A (zh) * | 2011-11-10 | 2012-04-11 | 西安电子科技大学 | 无线传感器网络协议安全性测试系统 |
| CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
| CN101715002B (zh) * | 2009-10-20 | 2012-09-05 | 清华大学 | 语义Web服务组合的语义一致性验证方法 |
| CN101808109B (zh) * | 2009-10-20 | 2012-12-26 | 清华大学 | 语义Web服务组合的模型转换及形式化验证方法 |
| CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
-
2003
- 2003-07-11 CN CNA031463800A patent/CN1477811A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1328876C (zh) * | 2004-06-24 | 2007-07-25 | 西安交通大学 | 异常文件访问自适应检测方法 |
| CN101335752B (zh) * | 2008-06-03 | 2011-07-27 | 电子科技大学 | 一种基于频繁片段规则的网络入侵检测方法 |
| CN103748982B (zh) * | 2009-05-31 | 2011-04-27 | 北京理工大学 | 基于Petri网模型的误用检测系统攻击知识库的校验方法 |
| CN103748983B (zh) * | 2009-06-23 | 2011-04-27 | 北京理工大学 | 一种基于模糊eca规则的网络攻击知识表达与推理方法 |
| CN101715002B (zh) * | 2009-10-20 | 2012-09-05 | 清华大学 | 语义Web服务组合的语义一致性验证方法 |
| CN101808109B (zh) * | 2009-10-20 | 2012-12-26 | 清华大学 | 语义Web服务组合的模型转换及形式化验证方法 |
| CN102413460A (zh) * | 2011-11-10 | 2012-04-11 | 西安电子科技大学 | 无线传感器网络协议安全性测试系统 |
| CN102413460B (zh) * | 2011-11-10 | 2014-04-16 | 西安电子科技大学 | 无线传感器网络协议安全性测试系统 |
| CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
| CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
| CN104935600B (zh) * | 2015-06-19 | 2019-03-22 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ning et al. | Constructing attack scenarios through correlation of intrusion alerts | |
| Dickerson et al. | Fuzzy intrusion detection | |
| Lee et al. | Effective value of decision tree with KDD 99 intrusion detection datasets for intrusion detection system | |
| Düssel et al. | Cyber-critical infrastructure protection using real-time payload-based anomaly detection | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| Ning et al. | Correlating alerts using prerequisites of intrusions | |
| Krishnan et al. | An adaptive distributed intrusion detection system for cloud computing framework | |
| CN111709034A (zh) | 基于机器学习的工控环境智能安全检测系统与方法 | |
| Meng et al. | Adaptive non-critical alarm reduction using hash-based contextual signatures in intrusion detection | |
| Labib et al. | Detecting and visualizing denialof-service and network probe attacks using principal component analysis | |
| CN1477811A (zh) | 一种网络入侵行为和正常行为的形式化描述方法 | |
| Song et al. | Correlation analysis between honeypot data and IDS alerts using one-class SVM | |
| Qin et al. | Frequent episode rules for intrusive anomaly detection with internet datamining | |
| Li-Juan | Honeypot-based defense system research and design | |
| Dadkhah et al. | Alert correlation through a multi components architecture | |
| Neelakantan et al. | A threat-aware signature based intrusion-detection approach for obtaining network-specific useful alarms | |
| Wei et al. | Combining cross-correlation and fuzzy classification to detect distributed denial-of-service attacks | |
| Zhuang et al. | Applying data fusion in collaborative alerts correlation | |
| Nalavade et al. | Intrusion prevention systems: data mining approach | |
| Zhang et al. | Analysis of payload based application level network anomaly detection | |
| Hooper | An intelligent intrusion detection and response system using hybrid ward hierarchical clustering analysis | |
| Tangi et al. | A novel mechanism for development of intrusion detection system with BPNN | |
| Yang et al. | Research of intrusion detection system based on vulnerability scanner |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |