濫用入侵檢測(cè)系統(tǒng)中入侵表示的研究.pdf

1、由于誤報(bào)率低并且報(bào)警結(jié)論明確，濫用檢測(cè)一直是實(shí)踐中入侵檢測(cè)系統(tǒng)(IDS)主要采取的技術(shù)。同時(shí)，面對(duì)現(xiàn)實(shí)中越來越多的多階段入侵，人們的共識(shí)是將多階段入侵視為由多個(gè)行為組成、持續(xù)一段時(shí)間且分布在一定空間范圍的過程，提煉入侵作用在系統(tǒng)各階段、各層面上的特征細(xì)節(jié)，然后在濫用檢測(cè)的框架下進(jìn)行檢測(cè)。因此在入侵的新形勢(shì)下，濫用檢測(cè)必將發(fā)揮更加重要的作用。描述是檢測(cè)的前提，濫用檢測(cè)的效果嚴(yán)重依賴于規(guī)則庫的質(zhì)量。只要規(guī)則庫不完備，IDS就一定會(huì)漏報(bào)；只要

2、規(guī)則不精確，IDS就一定會(huì)誤報(bào)。然而，目前規(guī)則庫的建立主要依賴人類專家的經(jīng)驗(yàn)，從入侵特征的抽取、編碼到實(shí)現(xiàn)的每一步都可能引入有效性的缺失，存在正確性和完備性難以保證、以及維護(hù)成本高的缺點(diǎn)。隨著新攻擊的不斷涌現(xiàn)，而且新攻擊多數(shù)表現(xiàn)為多階段復(fù)雜攻擊，完全依賴人工保證規(guī)則庫的有效性將變得越來越困難，從而對(duì)其進(jìn)行系統(tǒng)研究并開發(fā)有助于提高它的質(zhì)量的方法和工具成為非?，F(xiàn)實(shí)而迫切的需求。 本文對(duì)濫用IDS中入侵表示問題進(jìn)行研究，全面分析了引起

3、規(guī)則庫有效性缺失的原因，探索了限制這種缺失的可能方法和工具，目標(biāo)是提高規(guī)則庫的質(zhì)量，并以此來提高濫用IDS的檢測(cè)精度。本論文從四個(gè)方面展開了研究：入侵表示的分類和比較、檢測(cè)語言模型、入侵檢測(cè)規(guī)則的沖突檢查以及濫用IDS的評(píng)估方法。首先對(duì)入侵表示的一般性質(zhì)和需求進(jìn)行研究，通過對(duì)現(xiàn)有的入侵表示技術(shù)進(jìn)行分類和比較，目的是回答“對(duì)特定的應(yīng)用需求，什么樣的入侵表示技術(shù)更合適?進(jìn)一步地說，如果現(xiàn)有的入侵表示技術(shù)都不理想，那么存在的問題以及可能的優(yōu)化

4、方向是什么?”這樣的問題。本文從兩個(gè)層次進(jìn)行分類和比較，首先按照本體約束(這是入侵表示最本質(zhì)的屬性，與觀察入侵的角度和方式有關(guān))將入侵表示技術(shù)分成行為規(guī)則、行為的因果關(guān)系、行為的擴(kuò)散性、行為的無目的性和系統(tǒng)狀態(tài)模式6個(gè)大類。通過對(duì)本體約束的比較，揭示了行為規(guī)則本體約束的普適性以及在面臨網(wǎng)絡(luò)環(huán)境和多階段入侵時(shí)使用不便的缺點(diǎn)，指明了入侵表示技術(shù)的研究方向。 本文進(jìn)一步對(duì)行為規(guī)則類的對(duì)象(統(tǒng)稱檢測(cè)語言，是入侵表示領(lǐng)域的主要成果，并且數(shù)

5、量上具有了一定規(guī)模)進(jìn)一步細(xì)分和比較，提出了由表達(dá)能力、表示簡(jiǎn)潔性和檢測(cè)強(qiáng)度3個(gè)測(cè)度組成的評(píng)估方法，使得至少在這3個(gè)方面可對(duì)檢測(cè)語言進(jìn)行準(zhǔn)確的定量的比較。理想的檢測(cè)語言是在每個(gè)方面最優(yōu)，但實(shí)際上很難做到，設(shè)計(jì)者通常要針對(duì)應(yīng)用有所取舍，但本文沒有考慮這個(gè)問題。基于傳統(tǒng)檢測(cè)語言在面臨網(wǎng)絡(luò)環(huán)境和多階段入侵時(shí)表現(xiàn)出的缺點(diǎn)，本文將面向?qū)ο蟮南到y(tǒng)分析和設(shè)計(jì)方法引入檢測(cè)語言，提出一種基于對(duì)象的檢測(cè)語言模型OBDL。利用OBDL，人類專家在抽取和描述入

6、侵特征的過程中，能夠充分地、自由地運(yùn)用抽象，因此入侵特征可以以最符合人類思維模式的形態(tài)存在，不僅容易理解而且能夠提高入侵特征的通用性，使濫用IDS具備一定的檢測(cè)入侵變型的能力。本文詳細(xì)介紹了OBDL的基本原理，給出了OBDL的抽象語法，最后給出了OBDL的實(shí)現(xiàn)模型——一種擴(kuò)展的不確定性有窮自動(dòng)機(jī)ENFA，以及將陳述性的0BDL特征變換成ENFA的算法。 由于入侵特征的抽取和表示主要由人類專家手工進(jìn)行，無論專家們?nèi)绾涡⌒闹?jǐn)慎、檢測(cè)

7、語言的設(shè)計(jì)如何巧妙，錯(cuò)誤總是在所難免。為此，提出一種面向單事件特征的沖突檢查方法，它能夠發(fā)現(xiàn)同一事件同時(shí)匹配兩條或多條入侵檢測(cè)規(guī)則的沖突現(xiàn)象。沖突導(dǎo)致檢測(cè)結(jié)果的不確定性。對(duì)Snort規(guī)則庫的實(shí)驗(yàn)表明：沖突在規(guī)則庫中是實(shí)際存在的，而且以交叉沖突為主，這與人類思維的局限性有關(guān)。雖然僅從規(guī)則之間的形式?jīng)_突，無法直接推斷入侵檢測(cè)規(guī)則的完備性和精確性，但它至少為安全專家有目的地檢查規(guī)則質(zhì)量提供有價(jià)值的參考。 由于入侵表示與實(shí)現(xiàn)它的IDS是

8、緊耦合的，使得即使在檢測(cè)語言、安全專家和形式檢查的多方努力下入侵檢測(cè)規(guī)則正確無誤，仍不代表IDS就得到期望的檢測(cè)結(jié)果，這與濫用IDS的實(shí)現(xiàn)質(zhì)量有關(guān)，因此最后研究評(píng)估濫用IDS實(shí)現(xiàn)質(zhì)量的方法。從濫用IDS的原理出發(fā)，本文分析了目前評(píng)估方法在應(yīng)用于濫用IDS時(shí)存在的問題，提出對(duì)規(guī)則庫和IDS實(shí)現(xiàn)分別評(píng)估的原則，重點(diǎn)研究了IDS實(shí)現(xiàn)的測(cè)度選取，并分類討論了測(cè)度計(jì)算的總體思路。在此基礎(chǔ)上，本文給出了面向?yàn)E用。IDS實(shí)現(xiàn)的評(píng)估系統(tǒng)的實(shí)現(xiàn)模型，并實(shí)