基于MIB 变量因果关联入侵征兆研究.doc

基于MIB 变量因果关联入侵征兆研究 　　摘要：提出了一种基于时态因果关联的入侵征兆提取方法，该方法利用网络管理系统中的MIB数据源，建立多源时间序列数据集，利用时序分析技术和因果关系检验，提取主动入侵征兆规则。使用入侵征兆可以实现攻击发生前的预警，实验结果表明了该方法的有效性。 　　关键词：入侵征兆；时态因果关联；时间序列；管理信息库 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）23-5246-03 　　入侵检测系统（Intrusion detection system，IDS）能够对网络、主机起到监控作用，并对这些入侵行为进行响应，采取防护措施。IDS和防火墙配合使用，能够大大提升网络和主机的防御能力。2003年8月《The ISSA Journal》上的一篇文章《The Time to Stop Intrusions is Before They Happen》揭示了阻止入侵行为应该在其发生之前进行[1]，人们意识到IDS应该能在入侵发生之前就有所察觉，从而更加主动的???用防御措施，也就是IDS应该具有预警能力，在入侵之前发现入侵征兆。要使IDS能够发现入侵征兆，最重要的工作是建立相应的入侵检测规则，由于黑客在实施入侵并不是一蹴而就的，通常是分若干步骤的，这就给入侵征兆的发现提供了可能性。把发生入侵相关的事件称之为后件，那么入侵征兆相对应的事件就是前件。该文的主要内容就是研究如何从管理信息库（Management Information Base，MIB）变量的历史数据集合中提取入侵征兆规则，其中包括MIB关键变量的选择，入侵征兆提取、入侵征兆与入侵事件之间的时态关系检验等问题。 　　1 相关定义 　　1）MIB变量 　　简单网络管理协议（Simple Network Management Protocol，SNMP）的管理信息库MIB是所有SNMP支持的变量的集合，各种的网络管理实体可以通过读取MIB中的变量值来监视网络资源，这里选择有代表意义的接口组变量接口输入字节数（ifInOctets） 和接口输出字节数（ifOutOctets），IP组变量接收包数（iplnReceives），转发包数（ipInDelivers）和请求包数（ipOutRequests）等五个变量表述目标子网和网络层流量状况，用于检测网络出现的异常行为。 　　2） 时间序列 　　取相同时间间隔收集到的MIB变量按照时间的次序排列起来，这里用[{x（k）}]表示，k是??个序列中的第k个元素。 　　3）事件和事件序列 　　这里用[（E，k）]表示同一类型的事件，[k=0，1，2，…，K-1]是该事件发生的时间，[E∈ε]，[E]为事件类型，[ε]为事件序列。这里定义的事件类型为时间序列MIB变量[{x（k）}]映射为事件空间提供了一个框架，我们感兴趣的是符合条件[{x（k）δ}]的事件，这里面[δ]为阈值。下面定义的时态关系可以通过因果关系规则和征兆关系规则表示出来。 　　4） 时态关系定义 　　①因果关系规则[2] [EA]和[EB]是定义3中事件序列中的两个事件，如果事件[EA]发生，事件[EB]总是发生在此后时间T之内，则可认为事件[EA]和事件[EB]存在因果关联关系，用符号[EA→TEB] 表示。 　　② 征兆关系规则 [EA]和[EB]是定义3中事件序列中的两个事件，如果事件[EB]发生，事件[EA]总是发生在事件[EB]前的时间T之内，则可认为事件[EA]和事件[EB]存在征兆关系，用符号[EA←TEB]表示，[EB]事件是[EA]事件的后继事件，[EA]事件是[EB]事件的征兆事件，置信度[c（EA←TEB）]事件[EB]发生之前的时间T内事件[EA]发生的概率。 　　3 入侵征兆规则提取方法 　　3.1 入侵征兆规则 　　检测数据集的建立在离线状态下，采集相关的MIB变量中的输入变量，将其映射为事件序列，然后从这些时??序列集合中挖掘的入侵征兆，这里入侵征兆事件其实就是异常事件序列。这里的MIB变量不仅包括入侵状态下的数据，还包括系统在无攻击和正常运行状态下检测到的数据。 　　入侵征兆规则提取的过程中，也就是寻找入侵事件与征兆事件直接的关系。[EA]事件与[EB]事件是源于从不同的事件序列，利用征兆规则[EA←TEB]确定入侵事件[EB]，若[c（EA←TEB）=1]，就表示[EA]事件总是发生在[EB]事情发生时间之前的T时间内发生，那么事件[EA]可以看作是[EB]发生的征兆。总是然后寻找征兆事件[EA]，也就是先挖掘入侵征兆关系，然后再利用与其相对应的因果关系规则[EA→TEB]就是主动入侵征兆规则。 　　3.2 入侵征兆规则提取 　　4 实