基于可拓學的網絡安全報警分析技術研究
2008-12-31 00:00:00徐慧肖德寶肖敏
計算機應用研究 2008年9期
摘 要:用戶的網絡管理需要建立一種新型的綜合網絡安全管理解決方案,即統一網絡安全管理。特別關注于其中的一個關鍵功能——報警分析。其思路是以IDS報警為中心,將報警分析過程分解為包含報警評估與報警相關的兩級關聯分析模式。為了有效克服現今IDS報警分析技術中存在的問題和局限,順應網絡安全管理的統一化趨勢,引入在解決矛盾問題方面極具優勢的可拓學,以保證網絡安全報警分析各種功能在技術上的實現。
關鍵詞:網絡安全; 報警分析; 報警評估; 報警相關; 可拓學
中圖分類號:TP393.08 文獻標志碼:A
文章編號:10013695(2008)09282504
Research on extenicsbased alert analysis techniques for network security
XU Hui, XIAO Debao, XIAO Min
(Institute of Computer Network Communication, Huazhong Normal University, Wuhan 430079, China)
Abstract: Network users need a new integrated solution for network security management, or in other words, unified network security management. This paper discussed alert analysis, which was one of its key functionalities. The proposal had IDS alerts as the center, and realized alert analysis by means of twostep correlation including alert evaluation and alert correlation. In order to effectively overcame the problems and limitations existing in analysis technologies of current IDSs and follow in the trend of unification for network security management, introduced an extenicsbased method as technical support for implementing all the proposed functions for network security alert analysis, since extenics has a great advantage in dealing with contradiction problems.
Key words:network security; alert analysis; alert evaluation; alert correlation; extenics
作為網絡安全監控的重要工具,入侵檢測系統(intrusion detection system,IDS)根據檢測機制被分為兩類,即異常檢測系統和誤用檢測系統。它們存在三點明顯的不足:a)報警率非常高,短時間內的大量報警使得管理員根本不能充分地進行報警分析,弄清楚報警的實際意義并采取合適的響應行動;b)誤報率很高,傳統的IDS產品傾向于避免漏報,所以容忍一定程度的誤報;c)檢測混合攻擊的能力有限。產生這三點不足的根本原因在于IDS檢測機制具有弱的環境意識且主要集中檢測低層次的單個行動并獨立地報警,缺乏與其他網絡安全機制和網絡管理工具之間的協同,忽略這些單個行動之間空間與時間上的邏輯聯系,以及行動與具體環境之間的聯系。換而言之,傳統IDS的檢測機制具有細粒度、孤立性和弱的環境意識等缺點。
為了克服現今IDS報警分析技術中存在的問題和局限,順應網絡安全管理的統一化趨勢,筆者提出以IDS報警為中心,采用兩級關聯分析機制的網絡安全報警分析流程。首先通過一級關聯分析(報警評估)將環境信息和其他安全事件作為背景知識對IDS報警進行評估,用于增強IDS的環境意識;然后在報警評估有效減少誤報的基礎上,通過二級關聯分析(報警相關)利用多種相關性分析技術實現IDS報警的多個方向和層次的相關,進而實現網絡安全全面和綜合的管理。特別地,通過應用基于可拓學的方法可以有效地保證所提出方案各種功能在技術上的實現。
將可拓學引入到網絡安全管理領域,可以利用可拓學解決矛盾問題的優勢,從理論上研究解決網絡安全管理中矛盾問題的方案,為網絡安全管理的實踐發展提供理論支持和方法創新。另外,可拓學在計算機與人工智能領域的發展也使得利用可拓學最終實現統一網絡安全管理的智能化成為可能。可以說,本項研究的意義是雙重的,一方面開辟可拓學應用的新領域,促進可拓學在理論和應用上的發展;另一方面開創網絡安全管理領域的新方法,為網絡安全管理朝著統一化、智能化方向的發展打下基礎。
1 背景知識
1.1 相關工作
在國外,已經對網絡安全報警分析的相關技術展開了深入的研究。
文獻[1,2]設計出一個協同入侵檢測模型——CRIM,通過定義報警各屬性的相似度函數實現來自于多個IDS報警的聚類和融合,并建立了一種攻擊描述語言LAMBDA,在此基礎上實現報警之間的序列關聯分析。但是由于沒有包含具體背景知識的表達,沒有很好地實現報警評估。
文獻[3]利用一個表達攻擊發生的前提和攻擊成功的結果的三元組hyperalert type(超報警類型)抽象地描述攻擊,并利用此描述實現報警的分類、融合和時間序列關聯。
文獻[4,5] 將攻擊看做是引起系統狀態轉移的行動,建立一種基于狀態轉移分析的面向檢測的攻擊描述語言STATL,將這種語言用于序列報警相關中,并呈現多種報警分析技術,包括報警融合、評估、多種聚集和應用時間序列關聯構建多階段攻擊情景,進而根據分析結果和風險資產庫進行影響評估,但是在報警評估中僅僅利用了漏洞掃描的信息。
需要特別說明的是,就網絡安全而言,報警評估和報警相關兩級關聯技術應緊密結合。這是因為報警評估有效減少了誤報,而誤報的減少則是達到良好報警關聯效果的重要前提。而事實是對這兩類關聯技術的研究一般是孤立地進行,當然也有少數研究將兩者結合起來。文獻[6]呈現了一種實現多IDS協同的入侵檢測和報警評估的體系結構。該結構利用智能代理去收集報警及網絡和主機的信息,并結合漏洞掃描的信息進行報警評估。在該模型中,收集IDS報警的智能代理將各種格式的IDS報警信息轉換為IDMEF標準格式,但沒有提供背景知識的表達方式,因此對背景知識的利用非常有限。
文獻[7]針對關聯分析提出了數據模型M2D2。該模型利用函數和關系建模在報警評估和報警相關中所需的四種類型信息,即被監控系統的信息、漏洞信息、安全監控工具的報警信息和觀察到的事件信息。相比于其他攻擊語言模型,M2D2是惟一考慮到背景知識建模的語言,但是這種模型中復雜的函數和關系的抽象表達使得模型難以理解,非常不直觀。
在國內,網絡安全報警分析技術已引起相關研究機構的重視,同時迅速展開了研究工作。突出代表有南京大學軟件新技術國家重點實驗室等。
文獻[8]針對IDS、防火墻等異構安全設備的廣泛應用而產生的海量不可靠的安全事件難以有效管理的現狀,提出了一個統一網絡安全管理平臺的框架。該框架利用風險評估和事件關聯技術來實時地分析網絡的風險狀況,用于降低誤報率和漏報率。
總而言之,報警相關技術已趨于成熟且逐步得以實踐應用,而報警評估技術發展則過于緩慢。這不僅影響報警相關技術的實際應用,更不利于網絡安全協同與關聯技術的綜合實施。所以,未來網絡安全報警分析技術應加大對報警評估技術的研究,使之不局限于IDS報警與漏洞信息的關聯,應考慮與網絡管理技術相結合,加強IDS的環境意識。
1.2 存在的問題
歸結起來,關于網絡管理報警分析相關技術的研究目前主要存在以下一些問題:
a)對異構的網絡設備和其他網絡安全機制信息和知識的表達缺乏統一的簡單易實現的表達方法,不利于各種報警分析技術的綜合實現;
b)對背景知識的利用非常有限,特別是其他網絡管理工具提供的被監控網絡及異構設備的信息與IDS報警之間的關聯極少被考慮進去,報警評估功能普遍較弱;
c)大多數研究只限于一種或少數幾種相關技術的實現,缺乏一個統一的環境實現對攻擊的多方面、多層次的關聯;
d)僅僅提供針對特定技術的攻擊描述,擴展性差;
e)缺乏對報警分析結果的定量描述。
實際上,要準確、全面地確定一個攻擊行為的發生,背景知識的利用非常重要。這是因為背景知識是關于被監控環境系統的信息,是驗證攻擊發生以及影響程度的重要證據。將來自于其他安全機制的安全事件也作為一種背景知識用于報警評估中就是實現統一網絡安全管理的一種有效途徑。同時,還需要各個方面和各種層次的關聯技術的靈活應用。一個完整的攻擊方案往往涉及到多個具體的攻擊行為,這些具體攻擊行為之間的關聯是多方面和多層次的,因此要全面地呈現一個攻擊必須靈活地選擇和利用各個方面和各種層次的相關性分析技術。
在此基礎上,充分利用各類背景知識來實現各種報警分析技術,這樣一來,信息和知識的統一表達成為關鍵基礎。信息和知識的表達對關聯分析技術的實現性能具有關鍵作用。現有的針對特定技術的表達方式一般很難擴展到面向所有的分析技術,或者是擴展后實現的效率并不高。
2 可拓學概述
可拓學選題于1976年。1983年,蔡文教授在中國《科學探索學報》上發表了一篇開創性論文“可拓集合和不相容問題”,標志著這門新學科的誕生,也得到了美國諾貝爾獎獲得者Simen教授的重視和支持。隨后,可拓學的系統研究漸漸形成,引起國內外的廣泛關注。
可拓學經歷了一個從理論到應用的發展階段,在基本理論系統發展階段,有大量的專著和論文發表[9~11]。近年來,學科的發展進入應用研究與普及推廣的階段并逐步朝著軟件化、硬件化和智能化的方向前進,開始了可拓學在管理與決策、計算機與人工智能、控制、檢測、信息、數據挖掘等領域的應用研究[12~14]。
可拓學用形式化的模型研究事物拓展的可能性和開拓創新的規律與方法,并用于從定性和定量兩個角度去解決現實中的矛盾問題[14]。目前,可拓學的理論形成了以基元理論、可拓集合理論和可拓邏輯為支柱的理論框架和特有的可拓方法。
為了用形式化方法處理客觀世界中的各種矛盾問題,可拓論建立了物元R=(N,c,v)、事元I=(d,c,v)和關系元Q=(a,c,v)(統稱為基元。其中:N表示事物;d表示動作;a表示關系名;c表示特征名;v表示量值),作為描述事物和關系的基本元,它們是可拓學的邏輯細胞。基元的可拓性和物元的共軛性是基元理論的核心,而用形式化符號表示這些性質則是可拓論的重要特點[13]。
為了描述在某些變換下事物的量變和質變,從集合的角度去探討事物的動態分類和事物開拓的過程,引入可拓集合理論作為化矛盾問題為不矛盾問題的集合論基礎。可拓邏輯使可拓學成為未來計算機進行創造性思維,生成解決矛盾問題策略的基礎,而為了讓計算機能處理矛盾問題,可拓邏輯必須具有兩個特點,即用形式化模型和要考慮事物的內涵[13]。
可拓方法以可拓推理為基礎,以變換為核心,并建立描述量變和質變的定量化工具,將定量計算與定性分析結合起來處理矛盾問題。可拓推理將事物看成可以拓展的,根據事物的可拓性,提出種種可以開拓的可能途徑,找到解決問題的方法,從傳統的等量思維轉向拓展思維。可拓方法中解決問題的核心是變換,解決矛盾問題的策略通過對與問題的目標或條件相關事物的變換產生。這樣,可拓方法就從以匹配和蘊涵為核心的傳統方法擴展為以變換與推理相結合的方法。可拓方法建立描述距離的新概念“距”,以突破經典數學中區間內的點與區間之距離均為零的規定,描述“類內也有異”的客觀現實,從而定量地描述量變和質變的過程。
3 可拓學的應用
為了有效地克服現今IDS報警分析技術中存在的問題和局限,解決目前信息和知識的表達很難擴展或擴展后實現效率不高的問題,以順應網絡安全管理的統一化趨勢,引入在解決矛盾問題方面極具優勢的可拓學,通過應用可拓學的方法保證了網絡安全報警分析各種功能在技術上的實現。本文采取的研究方案是:a)利用基元表達分析模型中所有的信息和知識,并在需要時利用基元的可拓性拓展出新的信息和知識;b)利用可拓方法實現各種報警分析技術,輸出定性和定量的分析結果。下面分別對以上方案作具體說明。
3.1 利用基元表達報警分析模型中各種信息和知識
理論上,用基元描述信息、知識、智能和各種問題的形式化模型稱為可拓模型,有了可拓模型,就可以根據基元的可拓性,利用可拓論和可拓方法,提出解決各種矛盾問題的策略[12]。網絡安全報警分析模型中主要的信息和知識包括報警的描述信息、報警的確認信息、攻擊的描述信息、背景知識等,它們均可以通過基元(包括物元、事元和關系元)的方式進行形式化表達。
使用物元表達報警信息,以符號R1表示,計算方法為
開始時間V5 結束時間V6 攻擊V7…(1)
使用事元表達攻擊的描述信息和報警的確認信息(需要的背景知識如網絡流量、主機上運行的系統、服務、用戶、進程等的支持,可以通過網絡管理工具動態獲取),分別以符號I
使用關系元進一步表達網絡拓撲信息這類背景知識,以符號Q4表示,計算方法如式(4)所示。
Q4=拓撲 前項主機A 后項子網N…(4)
信息和知識的表達是為了方便各種報警分析技術的實現,特別是對于報警信息和攻擊知識的表達要適合所有的分析技術。但在不同的分析技術中可能需要不同方面的特征信息,如聚集中只用到與聚集軸對應的特征信息。為了保證信息與知識表達的通用性,可先建立它們的全征基元模型,在具體分析技術的應用過程中利用基元的刪減變換選取需要的特征項。
由此可見,利用基元能實現網絡安全報警分析模型中各類信息和知識、相互關系和行動的簡潔且靈活的表達,滿足報警分析模型的需要。
歸納起來,利用基元表達網絡安全報警分析模型中的各種信息和知識有如下優勢:
a) 利用基元的廣泛、靈活和豐富的表達能力,解決報警分析中各種異構知識統一表達的難題,為多種分析技術的同時實現和整個系統性能的提高打下良好的基礎;
b) 利用基元的可拓性,從已有的信息和知識開拓出新的信息和知識,解決報警分析過程中出現的信息和知識不全的矛盾,如在報警評估中背景知識不全或在序列關聯中對相鄰攻擊行動報警的缺乏等。
3.2 可拓方法實現各種報警分析
對于一級關聯分析,可拓報警評估利用如式(5)所示的I21類型的事元表示攻擊,并確定各特征項(特別是確認項中各子項的經典域和節域),建立攻擊發生的可拓集合和關聯函數。當對一個攻擊的報警發生時,通過背景知識庫獲取相應確認項的值,得到報警確認事元,然后計算其關聯函數值以確定攻擊的發生(這里關聯函數值作為攻擊發生或對應該攻擊的報警的置信度)。
值得注意的是,可拓方法在報警評估中的一個重要優勢就是,當出現評估所需要的背景知識缺乏和不全的情況時,可以利用基元的可拓性盡可能地開拓出新的或潛在的知識或信息,化不可確認問題為可確認問題。事實上,這種將不可知變為可知,將不可行變為可行,正是可拓學解決矛盾的重要手段和最終目的。
對于二級關聯分析,通過利用發散樹、相關網、分和鏈、蘊涵系等方法可以實現不同方面、不同層次的報警相關,并得到加權攻擊圖(圖中的權數為由關聯函數計算的相關度)。報警相關中構建的攻擊圖往往呈現出多條攻擊路徑實現的可能性,如果沒有對可能性的定量描述,很難作出準確的判斷和攻擊預測。基于可拓方法的報警相關卻能利用相關度很容易地作出判斷和預測。
歸納起來,利用可拓方法可以實現各種報警分析技術,而可拓集合和關聯函數理論的應用則幫助解決了報警分析技術結果的定量表達這一難題。
4 結束語
本文關注于統一網絡安全管理的一個關鍵功能——報警分析,在充分分析現有相關研究工作的基礎上,引入在解決矛盾問題方面極具優勢的可拓學,以保證網絡安全報警分析各種功能在技術上的實現,即研究協同式入侵檢測環境下基于可拓學的各種報警分析技術,以實現協同安全中異構信息與知識的表示。與前面的研究工作相比,本項研究的優勢在于將可拓學應用于網絡安全管理領域。最終目標則是實現可拓學在網絡安全報警分析系統中的全面應用,建立各種可拓報警分析技術模型,并實現安全管理策略的自動生成。
目前存在的主要問題在于背景信息與攻擊知識的獲取本身是非常困難的,這是因為網絡流量等基準數據的缺乏與差異性。所以下一步工作應集中研究基于可拓學的方法在表達背景知識與攻擊知識方面的具體應用。
參考文獻:
[1]CUPPENS F, ORTALO R. LAMBDA: a language to model a database for detection of attacks[C]//Proc of the 3rd International Workshop on the Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2000:197216.
[2]CUPPENS F, MIEGE A. Alert correlation in a cooperative intrusion detection framework[C]//Proc of IEEE Symposium on Security and Privacy. Washington DC: IEEE Computer Society, 2002:202215.
[3]NING P, CUI Y, REEVES S,et al. Techniques and tools for analyzing intrusion alerts[J]. ACM Trans on Information and System Security, 2004,7(2):274318.
[4]ECKMANN S, VIGNA G, KEMMERER R. STATL: an attack language for statebased intrusion detection[J].Journal of Computer Security,2002,10(1/2):71104.
[5]VALEUR F, VIGNA G, KRUEGEL C,et al. A comprehensive approach to intrusion detection alert correlation[J]. IEEE Trans on Dependable and Secure Computing,2004,1(3):146169.
[6]YU Jinqiao, REDDY Y V R, SELLIAH S,et al. TRINETR: an architecture for collaborative intrusion detection and knowledgebased alert evaluation[J].Advanced Engineering Informatics,2005,19(2):93101.
[7]MORIN B, LUDOVIC′E M, DEBAR H, et al. M2D2: a formal data model for IDS alert correlation[C]//Proc of the 5th International Workshop on the Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002:115137.
[8]史簡,郭山清,謝立. 統一網絡安全管理平臺的研究與實現[J]. 計算機應用研究,2006,23(9):9294,97.
[9]蔡文. 物元分析[M]. 廣州:廣東省高等教育出版社,1987.
[10]蔡文,孫弘安,楊益民, 等. 從物元分析到可拓學[M]. 北京:科學技術文獻出版社,1995.
[11]蔡文,楊春燕,林偉初. 可拓工程方法[M]. 北京:科學出版社,1997.
[12]蔡文. 可拓論及其應用[J]. 科學通報,1999,44(7):673682.
[13]蔡文,楊春燕,王光華. 一門新的交叉學科——可拓學[J]. 中國科學基金,2004,17(5):268272.
[14]蔡文,石勇. 可拓學的科學意義與未來發展[J]. 哈爾濱工業大學學報,2006,38(7):10791086.
