用于檢測多階段事件的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于從觀測數(shù)據(jù)確定系統(tǒng)行為的方法和裝置,具體地用于檢測多階段事件����。更具體地說����,本發(fā)明涉及用于基于對網(wǎng)絡(luò)或子網(wǎng)絡(luò)的設(shè)備的行為的觀測�、或在網(wǎng)絡(luò)或子網(wǎng)絡(luò)上流動的業(yè)務(wù)流的觀測�����、或諸如第三方社交媒體網(wǎng)站等的第三方設(shè)備的行為的觀測����,來檢測諸如在連接到互聯(lián)網(wǎng)的計算設(shè)備的計算機(jī)網(wǎng)絡(luò)或子網(wǎng)絡(luò)上的惡意網(wǎng)絡(luò)攻擊的行為的方法和裝置。
【背景技術(shù)】
[0002]隨著所謂“網(wǎng)絡(luò)攻擊”(此處被用作通用術(shù)語來涵蓋如包括分布式拒絕服務(wù)(DDOS)的拒絕服務(wù)(D0S)�、利用惡意軟件(例如,作為DOS攻擊的一部分或者簡單地為了竊取信息(例如�,客戶的信用卡詳細(xì)信息)等)攻擊和試圖感染目標(biāo)計算機(jī)設(shè)備的活動)復(fù)雜性的增加,它們變得既更難于利用單一檢測器進(jìn)行檢測�,同時它們又趨于越來越像多階段攻擊地發(fā)生,其經(jīng)過可以由有經(jīng)驗的安全技術(shù)專家辨識(為不同的階段)的若干不同的階段��。
[0003]因此����,盡管存在已知的用于檢測與多階段網(wǎng)絡(luò)攻擊的各種不同的典型階段相關(guān)聯(lián)的各種不同的檢測器處的惡意業(yè)務(wù)流和/或活動的已知特征(signature)的監(jiān)測器,但是通常難以僅使用單一監(jiān)測器(或甚至孤立工作的多個不同的監(jiān)測器)檢測復(fù)雜的多階段攻擊。相反�����,這種復(fù)雜的多階段攻擊通常僅可以通過將各種不同的活動(一般由不同的檢測器檢測)聯(lián)系在一起并作為單個多階段攻擊的多個方面一起對它們進(jìn)行檢查而被成功檢測到����。
[0004]例如,DDOS攻擊通常以特定目標(biāo)組織的一些不好的公共關(guān)系(PR)被在新聞或者社交媒體網(wǎng)站上觀察到開始�,或以目標(biāo)組織的某些新的弱點被公開開始。隨后潛在攻擊者會開始談?wù)撛撃繕?biāo)并開始交流針對攻擊的想法�,并且招募其它攻擊者或與其它攻擊者聯(lián)合力量。在此后的某時�,對攜帶特定的DOS有效負(fù)荷的蠕蟲的檢測可以被觀測到。然后����,可以在與目標(biāo)組織相關(guān)聯(lián)的目標(biāo)網(wǎng)絡(luò)上觀測到掃描活動,和/或特定的HTTP請求量可能增加并且可以檢測到裝載有DOS惡意軟件的受牽連的/感染的機(jī)器���。最終�����,從在特定協(xié)調(diào)時間從目標(biāo)組織網(wǎng)絡(luò)的內(nèi)部和外部兩者的多個機(jī)器啟動攻擊��,以擊垮與目標(biāo)組織相關(guān)聯(lián)的至關(guān)重要的服務(wù)�����。
[0005]如上所述�,這樣的多階段攻擊經(jīng)常可以擊敗個別點檢查��,并僅可以通過將攻擊的各種不同的階段聯(lián)系到一起并且一起檢查而被檢測到��。例如���,登錄失敗是相當(dāng)普遍的,并且不太可能導(dǎo)致重大安全事故���。然而���,登錄失敗,隨后成功登陸�,并獲取管理權(quán)限(由惡意的未經(jīng)授權(quán)的用戶),并且然后安裝(惡意)軟件��,并且隨后觀測到在網(wǎng)絡(luò)上流動的異常業(yè)務(wù)流非常有可能合計為攻擊成功的表示�����。
[0006]用于通過尋找攻擊的這些不同的多個階段來自動或者半自動地識別攻擊的各種方法已被提出,并且這種方案的選擇被闡述如下:
[0007]Do-hyeon Lee���、Doo-young Kim�����、Jae-1l Jung 的“Mult1-stage Intrus1nDetect1n System Using Hidden Markov Model (HMM) Algorithm�,���,(2008Internat1nalConference on Informat1n Science and Security)提出了使用 HMM 算法的多階段入侵檢測系統(tǒng)(IDS)構(gòu)架�����,并提出了一種用于通過對在入侵的各個階段發(fā)生的特征的評估來確定入侵/攻擊的方法��。使用“特征入侵信號”(即����,規(guī)則集)來檢測在各個階段使用的入侵技術(shù)(例如���,進(jìn)行網(wǎng)絡(luò)探測)���。各個攻擊階段具有執(zhí)行獨立檢測功能的檢測代理����。其對從網(wǎng)絡(luò)線路收集到的數(shù)據(jù)進(jìn)行分析����,以(使用規(guī)則集)識別那些已知是入侵的信號。由檢測代理檢測到的信號序列隨后被合成��,并且使用HMM算法確定所合成的檢測到的序列是否對應(yīng)于入侵序列��。這篇論文中所描述的方法和系統(tǒng)旨在產(chǎn)生更好的IDS����,其能夠?qū)⒃诓煌臅r間點的“本地”警報(即����,入侵信號)關(guān)聯(lián),以識別最終的入侵/攻擊對象���。各個檢測代理(針對各個階段)似乎是與每個其它檢測代理相互獨立��,因此其不具有任何來自關(guān)于某一攻擊目標(biāo)的先前階段的信息��。相反����,僅當(dāng)代理的檢測信號被合成時,才執(zhí)行關(guān)聯(lián)(例如��,使用相同的目的地IP地址)��。系統(tǒng)不考慮(例如)諸如社交媒體中的討論�����、或被宣布的新的弱點這樣的外部因素����。
[0008]Ourston 等的“Applicat1ns of Hidden Markov Models to DetectingMult1-stage Network Attacks,��,(Proceedings of the 36th Hawaii Internat1nalConference on System Sciences-2003)描述了一種用于使用隱馬爾可夫模型(HMM)檢測多階段攻擊的方法并將HMM方法的有效性與其它機(jī)器學(xué)習(xí)技術(shù)進(jìn)行比較��。該論文相當(dāng)掩蓋確定可見狀態(tài)值的精確方式����,大概是因為無論使用什么方法來實現(xiàn)對于被比較的機(jī)器學(xué)習(xí)技術(shù)都是相同的,使得無論選擇什么方法該對比都應(yīng)仍是有效的���。然而���,他們建議使用多個檢測器并預(yù)處理這些檢測器的輸出�,并且他們建議由人工專家來執(zhí)行警報類型(例如����,端口探測)和入侵類別(例如,初始偵察)之間的一些映射���。但是該映射似乎在可觀測值和隱性狀態(tài)之間�,因此未使提供給HMM模型的可觀測值的性質(zhì)清楚����。在任何事件中,這篇論文的主要結(jié)論是HMM非常適合于檢測多階段網(wǎng)絡(luò)攻擊的任務(wù)�����。
[0009]US 2012/0329426描述了用于檢測攻擊是否當(dāng)前正被施加到蜂窩設(shè)備上的攻擊檢測系統(tǒng)��。所描述的實施方式包括三種不同類型的檢測器一基于規(guī)則的檢測器��、基于支持向量機(jī)的檢測器和隱馬爾可夫模型檢測器�����。這些操作中的每個都彼此獨立�,并且然后不同設(shè)備的結(jié)果被組合以基于關(guān)于是否發(fā)生攻擊的不同類型的檢測器的評估而給出一致決策,但是不存在將不同類型的檢測器的結(jié)果組合以評估正發(fā)生什么種類的攻擊或評估(在多階段攻擊中)攻擊當(dāng)前已經(jīng)達(dá)到什么階段�。
[0010]Xianfeng Song等的“A Weak Hidden Markov Model based intrus1n detect1nmethod for wireless sensor networks,�, (Proceedings of the interneat1nalConference on Intelligent Computing and Integrated Systems (ICISS)2010,pages887-889)描述了用于使用弱隱馬爾可夫模型(W-HMM)檢測無線傳感器網(wǎng)絡(luò)中的入侵的方法�。W_HMM是常規(guī)HMM的非參數(shù)版本,其中狀態(tài)過渡概率被縮減為可達(dá)性的規(guī)則���。該系統(tǒng)定義了觀測結(jié)果的任意給定組與預(yù)定義的觀測結(jié)果的常規(guī)序列的偏差距離�����,并且如果觀測結(jié)果的任意給定組的偏差距離超出閥值偏差距離��,則視為正在發(fā)生攻擊�。
[0011]所有試圖在相對復(fù)雜的系統(tǒng)(其中在交疊的時間段內(nèi)超過一個多階段事件可能正在發(fā)生)中檢測多階段事件發(fā)生的系統(tǒng)所面臨的困難是�,如何有效地保持對單獨的多階段事件發(fā)生的跟蹤并且不被交疊的多階段事件的檢測所混淆��,以及另外如何有效地處理以下的可能性�,即在多階段事件的早期階段多階段事件可能不能與具有相似或相同的初始行為的其它事件辨別(或難以區(qū)分)。
【發(fā)明內(nèi)容】
[0012]根據(jù)本發(fā)明的第一方面�����,提供了一種對系統(tǒng)進(jìn)行監(jiān)測以檢測在所監(jiān)測的系統(tǒng)中的多階段事件的發(fā)生的多階段事件檢測器���,該多階段事件檢測器包括:一個或更多個事件檢測檢測器單元��,該一個或更多個多階段事件檢測器用于檢測在所監(jiān)測的系統(tǒng)上的可觀測的事件的發(fā)生�����;一個或更多個參數(shù)生成檢測器單元���,該一個或更多個參數(shù)生成檢測器單元用于生成根據(jù)所監(jiān)測的系統(tǒng)的行為而隨時間改變的參數(shù)值(其中,各個參數(shù)生成檢測器單元可與事件檢測檢測器單元相一致)����;隱性狀態(tài)確定器,該隱性狀態(tài)確定器用于基于一個或更多個事件檢測檢測器單元的輸出確定系統(tǒng)的關(guān)注狀態(tài)的可能序列��;以及過渡確定器�����,該過渡確定器用于基于將由一個或更多個參數(shù)生成檢測器單元中的一個或更多個參數(shù)生成檢測器單元所生成的參數(shù)或一組參數(shù)的一組值和與不同的過渡的發(fā)生相關(guān)聯(lián)的相應(yīng)參數(shù)或一組參數(shù)的多組值或多個預(yù)先指定的函數(shù)進(jìn)行比較來確定可能的過渡的發(fā)生���。
[0013]優(yōu)選地�,隱性狀態(tài)確定器包括系統(tǒng)的模型��,該系統(tǒng)的模型指定系統(tǒng)能夠占用(即���,處于)的多個不同的隱性狀態(tài)(或關(guān)注狀態(tài))�����、可以由事件檢測檢測器單元(直接或間接)確定的多個可見狀態(tài)����、以及一組概率�����,該一組概率至少包括表示系統(tǒng)從一個隱性狀態(tài)過渡到另一隱性狀態(tài)的概率的多個過渡概率以及表示特定可見狀態(tài)由事件檢測檢測器單元確定(或檢測到)的概率的多個產(chǎn)生概率����。優(yōu)選地,該模型(實際上)是隱馬爾可夫模型(HM