專利名稱:基于場景的關聯(lián)引擎系統(tǒng)及其數(shù)據處理方法
技術領域:
本發(fā)明屬于計算機安全防護技術領域��,特別是一種基于場景的關聯(lián)引擎系 統(tǒng)��,用于對包括路由器�、交換機、防火墻�、入侵檢測系統(tǒng)和服務器在內的網絡設 備產生的安全數(shù)據進行處理。
背景技術:
近年來��,計算機網絡已經從原先僅僅作為一種通信方式����,發(fā)展為被普遍使用 的計算機環(huán)境基礎設施,尤其是Internet,已經成為政府��、企業(yè)�����、金融機構和成 千上萬的用戶所依賴的一個重要的基礎設施��。
與此同時��,對于這個計算機網絡的安全監(jiān)控和管理也成為一個重要的問題�。 很長一段時間�,人們采用入侵檢測系統(tǒng)IDS產品來解決這個問題���,IDS監(jiān)控主機 系統(tǒng)或者網絡上的信息����,通過對網絡數(shù)據包�����、操作系統(tǒng)調用�、審計記錄以及應用 程序產生的日志文件進行査詢,査找惡意行為的特征�����,以期發(fā)現(xiàn)攻擊行為的發(fā)生���。
IDS使用基于統(tǒng)計的攻擊檢測和基于模式的攻擊檢測兩種方式處理事件隊 列在基于統(tǒng)計的攻擊檢測系統(tǒng)中�����,系統(tǒng)活動狀態(tài)的歷史數(shù)據、進程和用戶的預 期行為都用于構造一個正常系統(tǒng)操作的描述�����,然后,入侵檢測系統(tǒng)試圖去發(fā)現(xiàn)偏 離正常狀態(tài)描述的攻擊行為��,該系統(tǒng)的優(yōu)點在于它能識別事先未知的攻擊�����,但也 隨之付出了較高誤報率的代價�,此外,當一個系統(tǒng)應用在一個動態(tài)復雜的環(huán)境時����, 很難描述它的正常狀態(tài);基于模式的檢測系統(tǒng)提供一種相反的方法�,模式檢測系 統(tǒng)預先設置了一系列的攻擊模式描述,這些攻擊模式描述用來會匹配相關的審計 數(shù)據����,并識別攻擊行為,該系統(tǒng)關注于分析審計數(shù)據�����,通常這類產品有著較低的 誤報率�����,但同時,它也只能識別有限的���、模型化的攻擊行為�����。
目前����,隨著人們安全意識不斷增強��,安全設備部署越來越廣泛��,安全事件越 來越多��,面對海量安全數(shù)據的管理和安全事件的高誤報率�,迫切需要安全信息的 集中統(tǒng)一管理和監(jiān)控,應用于安全管理中心SOC的關聯(lián)引擎分析技術通過綜合 運用某種或多種關聯(lián)模式和關聯(lián)算法��,找出來自不同區(qū)域的不同安全設備上報的 經過規(guī)范化為統(tǒng)一格式的安全事件之間的安全相關性及其相關程度�,對潛在威脅預警發(fā)現(xiàn)。
當前關聯(lián)引擎分析技術包括規(guī)則關聯(lián)、統(tǒng)計關聯(lián)���、漏洞關聯(lián)和行為關聯(lián)。
該規(guī)則關聯(lián)通過關聯(lián)規(guī)則描述不同安全事件之間的安全相關性����,但對不斷涌現(xiàn)出
來的新的、未被發(fā)現(xiàn)過的入侵攻擊卻無能為力��;該統(tǒng)計關聯(lián)術的關鍵是如何建立
安全數(shù)據基線和安全閾值以及如何修正安全數(shù)據基線和安全閾值����,如果閾值設置
得過小,導致誤報問題�;反之,導致漏報問題����;該漏洞關聯(lián)中,如果安全事件涉
及的目標系統(tǒng)存在安全漏洞��,并且安全事件涉及的服務基于該安全漏洞���,那么��, 安全事件涉及的行為就可能是利用該系統(tǒng)漏洞的攻擊�����;該行為關聯(lián)通過定義不符
合正常行為規(guī)則庫中的行為模式�����,判斷用戶行為是否異常�,但正常和異常之間的 差別不大,容易產生誤報和漏報����。關聯(lián)引擎的技術水平在很大程度上決定了安全 管理中心抵御威脅的能力。
安全管理中心是一種基于事件關聯(lián)的安全管理系統(tǒng)�����,它使用大量分布的事件 采集器�,這些事件采集器配置了大量的攻擊模型,用于分析所采集的安全事件�。 目前,安全廠商的安全管理產品繁多�����,它們應用于不同應用領域,或者不同的操 作系統(tǒng)���,但都不同程度的具有存在以下問題
1. 固定的事件來源���,缺乏可擴充性���;
2. 靜態(tài)的攻擊行為檢測模式�,無法動態(tài)加載和擴充�����;
3. 靜態(tài)的響應方式�����,無法有效的滿足用戶網絡環(huán)境不斷變化的需求��; 現(xiàn)有的各類網絡安全管理產品都為了特定的應用領域或者環(huán)境開發(fā)的����,其中
事件采集器,行為檢測模式和響應方式都是針對已經存在的���、具體的安全技術來 實現(xiàn)其監(jiān)視���、控制與管理���, 一旦有新的安全技術興起或是網絡環(huán)境中有非主流的 安全需求時,只有得到網絡安全管理產品生產廠商的認可并經過產品升級后����,這 些新技術才能得到應用,很難配置���、擴展和遠程控制��。
發(fā)明內容
本發(fā)明的目的在于克服上述已有技術的不足��,提供一種模塊化的基于場景的 關聯(lián)引擎技術系統(tǒng)及其數(shù)據處理方法�,把對計算機系統(tǒng)的攻擊滲透認為是一系列 分解的安全事件疊加而導致的結果�,并將整個攻擊過程描述為一個不斷進行狀態(tài) 變換的攻擊場景,以此對各入侵檢測傳感器如入侵檢測系統(tǒng)��、防火墻���、操作系統(tǒng)���、 應用系統(tǒng)和防病毒系統(tǒng)上報的告警消息進行統(tǒng)一的關聯(lián)分析和處理,最終形成入 侵行為判定��,并做出相應的響應�����,從而實現(xiàn)各入侵檢測傳感器的協(xié)同工作��,提高系統(tǒng)的檢測性能����,增強系統(tǒng)的靈活性和可擴展性�。
為實現(xiàn)上述目的�,本發(fā)明的基于場景的關聯(lián)引擎系統(tǒng),包括 核心模塊��,用來實現(xiàn)關聯(lián)引擎描述語言的邏輯功能��,并根據插件模塊采集來 的安全事件對場景狀態(tài)進行變遷操作�;
插件模塊,用于為核心模塊加載不同的功能插件��,使關聯(lián)引擎從一個與應用 無關的核心模塊擴展成為擁有特定功能����、檢測特定攻擊的關聯(lián)引擎����,并通過安裝 或升級核心模塊中的不同插件實現(xiàn)對關聯(lián)引擎功能的升級和擴充���;該插件模塊通 過關聯(lián)引擎描述語言把具體攻擊的檢測�����、識別�����、響應處理過程轉化為一種統(tǒng)一的 格式��,然后由核心模塊利用場景狀態(tài)的變遷進行邏輯分析�,實現(xiàn)對安全事件的處 理�����。
所述的插件模塊包括-
事件格式擴展插件�����,用于定義關聯(lián)引擎中涉及的安全狀態(tài)、安全事件���、轉移 條件的名稱和數(shù)量���,并為其賦予特定的表示意義,用于連接其他各類插件�,使之 在統(tǒng)一的定義下協(xié)同工作;
事件采集插件��,作為關聯(lián)引擎的輸入����,用于監(jiān)視被保護的系統(tǒng)及各個入侵檢 測傳感器的告警信息����,從中采集安全事件,并將其轉化成統(tǒng)一的格式�,傳送到安 裝在核心模塊中的場景分析插件,所述的入侵檢測傳感器包括入侵檢測系統(tǒng)���、防 火墻�����、操作系統(tǒng)�����、應用系統(tǒng)和防病毒系統(tǒng)���;
場景分析插件���,用于構造一個隨安全事件發(fā)生而進行狀態(tài)變化的場景,它根 據關聯(lián)引擎需要實現(xiàn)的功能����,將獨立的安全狀態(tài)、安全事件和轉移條件元素聯(lián)系 起來���,以檢測攻擊或滲透過程����,模擬出被保護系統(tǒng)的安全狀態(tài)隨安全事件發(fā)生而 變化的場景�����,該場景分析插件插入到核心模塊對事件采集插件提供的安全事件進 行處理�,并將處理結果返回給響應輸出插件�;
響應輸出插件�,用于關聯(lián)引擎的結果輸出,它依據關聯(lián)引擎要實現(xiàn)的具體功 能�����,在當前安全轉移到某些特定的狀態(tài)時�,根據場景分析插件的處理結果,判定 檢測到相應的攻擊或滲透行為���,從而做出響應����,輸出統(tǒng)一格式的報警信息��。
所述的核心模塊包括
事件隊列�����,用于存儲事件采集插件發(fā)送來的安全事件數(shù)據��;
管理中心���,用于記錄當前狀態(tài)��,通過調度安全事件�、判斷并觸發(fā)轉移條件來驅動當前狀態(tài)的變遷�����,給出該事件的處理結果����; 信息隊列,用于存儲管理中心的處理結果�;
該事件隊列獲取到數(shù)據之后交給管理中心,管理中心通過場景分析插件對該 事件進行分析����,并發(fā)送分析結果給信息隊列。
所述的關聯(lián)引擎描述語言���,用于提供一套特定的語法描述對計算機系統(tǒng)的攻
擊過程���,并將攻擊過程轉換成基于狀態(tài)/變遷的場景模型,它采用一組預定義的
安全狀態(tài)來表示計算機系統(tǒng)在某一時刻的資源狀況和安全相關狀態(tài)����,把某種特定
的計算機滲透過程描述為一系列的安全事件�����,當安全事件滿足預定義的轉移條件
時���,系統(tǒng)當前的安全狀態(tài)發(fā)生變遷,所有與該滲透過程有關的安全狀態(tài)��、安全事
件��、轉移條件以及它們之間的關系構成攻擊場景�����。
關聯(lián)引擎語言作為一種擴展語言�,能夠被快速方便的應用在不同的應用環(huán)
境,描述各種滲透與攻擊過程����,并能在不改變其它插件和核心模塊的前提下進行
系統(tǒng)擴展,該擴展方式包括
當現(xiàn)有的入侵檢測傳感器保持不變�����,但有新的關聯(lián)分析方式提供時��,只需編 寫的場景分析插件即可�;
當現(xiàn)有的入侵檢測傳感器和關聯(lián)分析方式保持不變,但有新的響應策略需要 部署時���,只需編寫的響應輸出插件即可�����;
當有新的入侵檢測傳感器加入時�,只需編寫與其匹配的事件采集插件����,并修 改格式擴展插件即可。
為實現(xiàn)上述目的��,本發(fā)明的基于場景的關聯(lián)引擎數(shù)據處理方法���,包括 A.初始化步驟
(Al)運行核心模塊�����,并為其加載事件格式擴展插件���,使其它各插件協(xié)同工
作��;
(A2)為核心模塊加載事件采集插件�,并初始化事件隊列��,使核心模塊接收 事件采集插件發(fā)送的安全事件���;
(A3)為核心模塊加載并激活場景分插件����,定義場景���,指明對各種安全事件 處理和分析的規(guī)則�����,并使之生效�;
(A4)為核心模塊加載并激活響應輸出插件�,定義響應策略,并使之生效��;
(A5)激活事件采集插件����,事件采集插件開始工作�����,安全事件將會陸續(xù)產生, 關聯(lián)引擎進入對安全事件的關聯(lián)分析階段�;B.關聯(lián)處理步驟
(Bl)事件采集插件從被保護的系統(tǒng)和入侵檢測探測器的告警信息中采集到 安全事件,提交給核心模塊���;
(B2)核心模塊對各個事件采集插件發(fā)來的安全事件進行調度����,依次傳送給 場景分析插件���;
(B3)場景分析插件在安全事件的驅動下工作�����,當安全事件和相關的信息滿 足場景中設定的轉移條件時����,則將當前的安全狀態(tài)變換到該轉移條件的終點狀 態(tài)��,當安全狀態(tài)轉移到特定的位置時,通知核心檢測到攻擊�����,并將場景內的信息 傳送給核心模塊��;
(B4)核心模塊調度場景分析插件發(fā)來的通知以及信息�����,將其發(fā)給特定的響 應輸出插件����;
(B5)響應輸出插件接收核心模塊發(fā)來的信息,按照響應策略做出響應����。
圖1為本發(fā)明的系統(tǒng)結構圖2為本發(fā)明實施例設定的系統(tǒng)結構圖3為本發(fā)明實施例設定的場景狀態(tài)示意圖4為本發(fā)明實施例設定的數(shù)據處理流程圖。
具體實施例方式
參照圖l����,本發(fā)明的基于場景的關聯(lián)引擎系統(tǒng)包括
核心模塊,用于實現(xiàn)關聯(lián)引擎描述語言的邏輯分析功能��,根據輸入的數(shù)據信 息��,記錄當前安全狀態(tài)、收集和調度安全事件���、判斷并觸發(fā)轉移條件���、驅動當前 狀態(tài)的變遷��,并根據最終變遷的狀態(tài)給出處理結果����,是關聯(lián)引擎的底層實現(xiàn)基礎, 與具體應用無關���;
插件模塊���,用于為核心模塊加載不同的插件,使關聯(lián)引擎從一個與應用無關 的核心模塊擴展成為擁有特定功能���、檢測特定攻擊的關聯(lián)引擎����,并通過安裝或升 級核心模塊中的插件實現(xiàn)對關聯(lián)引擎功能的升級和擴充�,具有安全事件定義����、安 全數(shù)據檢測�、安全事件處理和處理響應的功能;該插件模塊通過關聯(lián)引擎描述語 言把具體攻擊的檢測�����、識別�����、響應處理過程轉化為一種統(tǒng)一的格式�,然后把獲取 信息數(shù)據格式化后交給核心模塊進行處理,核心模塊利用場景狀態(tài)的變遷進行邏 輯分析�,實現(xiàn)對安全事件的處理,并把處理結構反饋給插件模塊�����。所述的插件模塊�����,包括事件格式擴展插件�����、事件采集插件、場景分析插件和 響應輸出插件四類插件�。該事件格式擴展插件是所有插件協(xié)同工作的基礎,連接 其他各插件�,并定義了核心模塊中涉及的安全狀態(tài)、安全事件���、轉移條件等元素 的名稱���、數(shù)量�����,并為其賦予了特定的表示意義��;該事件采集插件用于關聯(lián)引擎系 統(tǒng)的輸入���,用來監(jiān)視被保護的系統(tǒng)及接收各個入侵檢測傳感器發(fā)送的告警信息��, 從中采集安全事件�����,通過關聯(lián)引擎描述語言將其轉化成統(tǒng)一的格式�,并傳送到核 心模塊中的事件隊列;該場景分析插件依據關聯(lián)引擎要實現(xiàn)的具體功能�,將獨立 的安全狀態(tài)、安全事件��、轉移條件等元素聯(lián)系起來����,構成一個攻擊場景,模擬出 被保護系統(tǒng)的安全狀態(tài)隨安全事件的發(fā)生而變化的場景����,然后根據事件隊列輸入 的安全事件對場景狀態(tài)進行驅動,來檢測特定的攻擊或滲透過程�����;該響應輸出插 件用于關聯(lián)引擎的輸出�,它依據關聯(lián)引擎要實現(xiàn)的具體功能,在當前安全狀態(tài)轉 移到某些特定的狀態(tài)時��,判定為檢測到相應的攻擊或滲透行為�����,依據管理中心發(fā) 出的處理信息做出響應,輸出統(tǒng)一格式的報警信息���。
所述的核心模塊包括事件隊列�����、管理中心和信息隊列�。該事件隊列用于存儲 事件采集插件發(fā)送來的安全事件數(shù)據���,并轉交給管理中心����;該管理中心利用事件 隊列輸入的安全事件對安裝的場景分析插件進行驅動�����,并根據最終變遷的狀態(tài)���, 檢測特定的攻擊或滲透過程,最終的給出該事件的處理結果�,并發(fā)送給事件隊列; 事件隊列收到處理結果后,存儲并發(fā)送給事件響應模塊��。
所述的關聯(lián)引擎描述語言是一套應用無關的特定語法�,用于描述對計算機系 統(tǒng)的攻擊,將攻擊過程轉換成基于狀態(tài)/變遷的場景模型���;該語言用一組預定義 的安全狀態(tài)來表示計算機系統(tǒng)在某一時刻的資源狀況和與安全相關的狀態(tài)���,把某 種特定的計算機滲透過程描述為一系列有順序的攻擊行為,并且把所有與該滲透 過程有關的安全狀態(tài)����、安全事件、轉移條件以及它們之間的關系構成攻擊場景��, 當安全事件滿足預定義的轉移條件時��,系統(tǒng)當前的安全狀態(tài)發(fā)生變遷��,該語言作 為一種擴展語言����,能夠被快速方便的應用在不同的應用環(huán)境,描述各種滲透與攻 擊過程����,并能在不改變其它插件和核心模塊的前提下進行系統(tǒng)擴展該擴展方式包 括當現(xiàn)有的入侵檢測傳感器保持不變�,但有新的關聯(lián)分析方式提供時��,只需編 寫的場景分析插件即可����;當現(xiàn)有的入侵檢測傳感器和關聯(lián)分析方式保持不變,但 有新的響應策略需要部署時���,只需編寫的響應輸出插件即可���;當有新的入侵檢測 傳感器加入時,只需編寫與其匹配的事件采集插件���,并修改格式擴展插件即可����。下面以實現(xiàn)對SSH 口令猜測攻擊的檢測與響應為例��,具體說明基于場景的關 聯(lián)引擎系統(tǒng)的數(shù)據處理方法����。
常用的檢測SSH 口令猜測攻擊的方式是監(jiān)視系統(tǒng)中關于SSH登陸失敗的日 志,并設定一個門限�����, 一旦發(fā)現(xiàn)某IP登陸失敗的次數(shù)超過門限��,就判定為一次 SSH 口令猜測攻擊��,該方式難以平衡誤報率和漏報率���;而本發(fā)明的處理方法通過 對SSH攻擊的行為特征進行分析����,將檢測網絡掃描的基于網絡的入侵檢測探測 器和檢測登陸失敗的基于主機的入侵檢測探測器的告警消息結合起來進行關聯(lián) 分析���,就能準確的識別SSH 口令猜測攻擊��。
參照圖2��,用本發(fā)明組建的檢測SSH 口令猜測攻擊實施例的關聯(lián)引擎系統(tǒng)����, 其配置關系為
A. 安裝一臺運行SSH服務的計算機C到計算機網絡N中���,并在該計算機 中安裝用于監(jiān)視計算機系統(tǒng)日志的入侵檢測探測器S1�����,同時在網絡中安裝用于檢 測網絡掃描的入侵檢測探測器S2;
B. 通過對SSH攻擊的行為特征進行分析����,在關聯(lián)引擎的格式擴展插件E中 設定關聯(lián)引擎內部存放信息的格式及"安全"、"敏感"���、"受攻擊"三個安全狀態(tài)和 "發(fā)現(xiàn)掃描"���、"認證失敗"、"超時"三個轉移條件����。該"安全"狀態(tài)表示系統(tǒng)處于安全 狀態(tài),"敏感"表示系統(tǒng)處于可能被攻擊的狀態(tài)�,"受攻擊"狀態(tài)表示系統(tǒng)處于被攻 擊狀態(tài),"發(fā)現(xiàn)掃描"表示計算機網絡N被掃描�����,"認證失敗"表示計算機C在登 陸時身份認證失敗���,"超時"表示在設定時間內沒有新的事件發(fā)生��。
C. 在關聯(lián)引擎中�,按照格式擴展插件E所定義的格式���,生成與入侵檢測器 Sl���、 S2相匹配的事件采集插件P1和P2,分別用于接收S1和S2發(fā)送的信息���,并 對接收來的信息進行格式化���,生成對應的安全事件;
D. 在安全引擎中配置基于格式擴展插件E的場景分析插件���,并參照圖3生 成一個檢測SSH 口令猜測攻擊的場景����,該場景由"安全"����、"敏感"�、"受攻擊"三個 安全狀態(tài)和"發(fā)現(xiàn)掃描"���、"認證失敗"��、"超時"三個轉移條件組成����,系統(tǒng)初始處于"安 全"狀態(tài)�,當觸發(fā)轉移條件"發(fā)現(xiàn)掃描"時,系統(tǒng)狀態(tài)變遷到"敏感"狀態(tài)��;在"敏 感"狀態(tài)時����,當觸發(fā)轉移條件"超時",系統(tǒng)狀態(tài)變遷到"安全"狀態(tài)����,當觸發(fā)轉移 條件"認證失敗",系統(tǒng)狀態(tài)變遷到"受攻擊"狀態(tài)�����;
E. 在關聯(lián)引擎中配置基于格式擴展插件E的響應輸出插件,當場景分析插 件的安全狀態(tài)處于"受攻擊"時�����,向管理員報警���,并對計算機C進行操作控制。參照圖4����,對本發(fā)明組建的實施例的數(shù)據處理方法,包括
1. 將場景分析插件S的初始安全狀態(tài)為置為"安全"����,表示系統(tǒng)當前沒有遭 受攻擊;
2. 當入侵檢測探測器S1檢測到計算機C中SSH登陸失敗日志時���,發(fā)送告 警信息及發(fā)起登陸請求的遠程主機的地址給Ph當入侵檢測探測器S2發(fā)現(xiàn)網絡 掃描攻擊時����,發(fā)送告警信息及發(fā)起掃描的遠程主機的地址給P2;
3. 當P1收到S2發(fā)送的告警信息后��,生成"認證失敗"安全事件�����,并提取 發(fā)起掃描的遠程主機的地址A,發(fā)送到關聯(lián)分析引擎S;
4. 當場景分析插件收到當收到P2發(fā)送的遠程地址A的"發(fā)現(xiàn)掃描"安全事 件時���,就將當前的安全狀態(tài)從"安全"轉移到"敏感"����,同時啟動一個計時器�;
5. 如果在計時器結束之前,沒有收到P1發(fā)送的對應遠程地址A的"認證 失敗"安全事件���,則將當前安全狀態(tài)轉移回"安全"��;如果在計時器結束之前��,收 到Pl發(fā)送的對應遠程地址A的"認證失敗"安全事件���,則將當前的安全狀態(tài) 從"敏感"轉移到"受攻擊",此時判定發(fā)現(xiàn)了一次從地址A發(fā)起的SSH 口令猜測 攻擊��,并發(fā)送分析結果給響應輸出插件�;
6. 響應輸出插件在發(fā)現(xiàn)SSH口令猜測攻擊時,向管理者發(fā)送報警信息�,同 時切斷計算機C同攻擊者所在地址A的通信。
權利要求
1.一種基于場景的關聯(lián)引擎系統(tǒng),包括核心模塊�����,用于實現(xiàn)關聯(lián)引擎描述語言的邏輯功能�����,并根據插件模塊采集來的安全事件對場景狀態(tài)進行變遷操作�����;插件模塊����,用于為核心模塊加載不同的功能插件����,使關聯(lián)引擎從一個與應用無關的核心模塊擴展成為擁有特定功能、檢測特定攻擊的關聯(lián)引擎���,并通過安裝或升級核心模塊中的不同插件實現(xiàn)對關聯(lián)引擎功能的升級和擴充��;所述的插件模塊通過關聯(lián)引擎描述語言把具體攻擊的檢測���、識別��、響應處理過程轉化為一種統(tǒng)一的格式����,然后由核心模塊利用場景狀態(tài)的變遷進行邏輯分析����,實現(xiàn)對安全事件的處理。
2. 根據權利要求1所述的關聯(lián)引擎系統(tǒng)���,其中所述的插件模塊包括事件格式擴展插件����,用于定義關聯(lián)引擎中涉及的安全狀態(tài)����、安全事件、轉移 條件的名稱和數(shù)量�����,并為其賦予特定的表示意義�����,用于連接其他各類插件,使之在統(tǒng)一的定義下協(xié)同工作���;事件采集插件����,作為關聯(lián)引擎的輸入�����,用于監(jiān)視被保護的系統(tǒng)及各個入侵檢 測傳感器的告警信息�����,從中采集安全事件�����,并將其轉化成統(tǒng)一的格式����,傳送到安 裝在核心模塊中的場景分析插件�;場景分析插件���,用于構造一個隨安全事件發(fā)生而進行狀態(tài)變化的場景,它根 據關聯(lián)引擎需要實現(xiàn)的功能����,將獨立的安全狀態(tài)、安全事件和轉移條件元素聯(lián)系 起來��,以檢測攻擊或滲透過程�,模擬出被保護系統(tǒng)的安全狀態(tài)隨安全事件發(fā)生而 變化的場景,該場景分析插件插入到核心模塊對事件采集插件提供的安全事件進 行處理�,并將處理結果返回給響應輸出插件;響應輸出插件�����,用于關聯(lián)引擎的結果輸出�����,它依據關聯(lián)引擎要實現(xiàn)的具體功 能����,在當前安全轉移到某些特定的狀態(tài)時,根據場景分析插件的處理結果����,判定 檢測到相應的攻擊或滲透行為�,從而做出響應���,輸出統(tǒng)一格式的報警信息��。
3. 根據權利要求l所述的關聯(lián)引擎系統(tǒng)�,其中所述的核心模塊包括 事件隊列�,用于存儲事件采集插件發(fā)送來的安全事件數(shù)據;管理中心�,用于記錄當前狀態(tài),通過調度安全事件��、判斷并觸發(fā)轉移條件來驅動當前狀態(tài)的變遷�����,給出該事件的處理結果���; 信息隊列,用于存儲管理中心的處理結果���;該事件隊列獲取到數(shù)據之后交給管理中心���,管理中心通過場景分析插件對該 事件進行分析�����,并發(fā)送分析結果給信息隊列�。
4. 根據權利要求1所述的關聯(lián)引擎系統(tǒng)�,其中所述的關聯(lián)引擎描述語言, 用于提供一套特定的語法描述對計算機系統(tǒng)的攻擊過程�����,并將攻擊過程轉換成基 于狀態(tài)/變遷的場景模型�,它采用一組預定義的安全狀態(tài)來表示計算機系統(tǒng)在某 一時刻的資源狀況和安全相關狀態(tài),把某種特定的計算機滲透過程描述為一系列 的安全事件��,當安全事件滿足預定義的轉移條件時�,系統(tǒng)當前的安全狀態(tài)發(fā)生變 遷,所有與該滲透過程有關的安全狀態(tài)����、安全事件、轉移條件以及它們之間的關 系構成攻擊場景��。
5. 根據權利要求2所述的關聯(lián)引擎系統(tǒng)���,其中所述的入侵檢測傳感器包括入侵檢測系統(tǒng)��、防火墻��、操作系統(tǒng)��、應用系統(tǒng)和防病毒系統(tǒng)���。
6. 根據權利要求4所述的關聯(lián)引擎系統(tǒng)���,其中所述的關聯(lián)引擎語言作為一種擴展語言,能夠被快速方便的應用在不同的應用環(huán)境���,描述各種滲透與攻擊過 程��,并能在不改變其它插件和核心模塊的前提下進行系統(tǒng)擴展���,該擴展方式包括當現(xiàn)有的入侵檢測傳感器保持不變,但有新的關聯(lián)分析方式提供時�����,只需編 寫的場景分析插件即可���;當現(xiàn)有的入侵檢測傳感器和關聯(lián)分析方式保持不變�,但有新的響應策略需要 部署時��,只需編寫的響應輸出插件即可�;當有新的入侵檢測傳感器加入時,只需編寫與其匹配的事件采集插件���,并修 改格式擴展插件即可���。
7. —種基于場景的關聯(lián)引擎數(shù)據處理方法,包括 A.初始化步驟(Al)運行核心模塊�,并為其加載事件格式擴展插件,使其它各插件協(xié)同工作����;(A2)為核心模塊加載事件采集插件,并初始化事件隊列��,使核心模塊接收 事件采集插件發(fā)送的安全事件���;(A3)為核心模塊加載并激活場景分插件�����,定義場景�����,指明對各種安全事件 處理和分析的規(guī)則�,并使之生效;(A4)為核心模塊加載并激活響應輸出插件���,定義響應策略���,并使之生效; (A5)激活事件采集插件��,事件采集插件開始工作�,安全事件將會陸續(xù)產生, 關聯(lián)引擎進入對安全事件的關聯(lián)分析階段�����; B.關聯(lián)處理步驟(Bl )事件采集插件從被保護的系統(tǒng)和入侵檢測探測器的告警信息中采集到 安全事件����,提交給核心模塊;(B2)核心模塊對各個事件采集插件發(fā)來的安全事件進行調度,依次傳送給 場景分析插件�����;(B3)場景分析插件在安全事件的驅動下工作��,當安全事件和相關的信息滿 足場景中設定的轉移條件時����,則將當前的安全狀態(tài)變換到該轉移條件的終點狀 態(tài)����,當安全狀態(tài)轉移到特定的位置時,通知核心檢測到攻擊�����,并將場景內的信息 傳送給核心模塊����;(B4)核心模塊調度場景分析插件發(fā)來的通知以及信息,將其發(fā)給特定的響 應輸出插件��;(B5)響應輸出插件接收核心模塊發(fā)來的信息�,按照響應策略做出響應。
全文摘要
本發(fā)明公開了一種基于場景的關聯(lián)引擎系統(tǒng)及其數(shù)據處理方法,主要解決現(xiàn)有安全管理中心存在的擴展性和靈活性差的缺點�����。該系統(tǒng)主要由插件模塊和核心模塊組成�����,插件模塊通過配置和安裝事件格式擴展插件��、事件采集插件���、場景分析插件和響應輸出插件來實現(xiàn)關聯(lián)引擎系統(tǒng)的不同功能�����;核心模塊通過管理中心將整個攻擊過程描述為一個不斷進行狀態(tài)變換的攻擊場景�,對各檢測傳感器上報的告警消息進行關聯(lián)分析和處理�,實現(xiàn)了各檢測傳感器的協(xié)同工作和統(tǒng)一管理����。本發(fā)明具有配置靈活����、易于擴展和檢測率高的優(yōu)點,適用于各種安全管理中心和入侵檢測系統(tǒng)的數(shù)據處理和分析����。
文檔編號H04L29/06GK101599958SQ200910023168
公開日2009年12月9日 申請日期2009年7月2日 優(yōu)先權日2009年7月2日
發(fā)明者鈺 尹, 張衛(wèi)東, 輝 朱, 暉 李 申請人:西安電子科技大學