毛为民,陆宏治
(广州供电局有限公司,广东 广州510620)
传统的入侵检测系统(IDS)是指依据一定的安全策略,通过软硬件等相关措施对网络或系统的运行状况进行实时监控,尽可能发现违反安全策略的行为和被攻击的对象,以保证网络或系统资源的机密性、完整性以及可用性。
IDS依据不同的侧重点可以分为不同的入侵检测类型与方式:依据数据检测类型可划分为异常检测、数据完整性检测以及滥用检测等;依据检测收集到的数据来源可分为网络型、主机型以及应用型入侵检测系统等。这些入侵检测技术各有优劣势,单一使用这些检测技术达不到理想要求,不能满足电力系统的安全需求,并且面对日益复杂的电力系统网络构造体系、电力系统分布式环境以及来自各方面的恶意攻击等,使得集中式IDS不能满足电力系统网络安全的需求。因此分布式网络IDS已被应用于电力系统中。
现有的分布式网络IDS大同小异,通过分布式审计相关信息,统一传送到一个设备区域中进行审计分析。尽管可以通过一定条件的数据信息过滤机制,但是由于采取的审计分析机制较为封闭,其扩展性能受到压制。为了解决相关IDS拓展性问题,各国学者都展开了大量研究,同时提出了不少入侵检测模型,如:AAFID[1]、EMERALD[2]等。另外,除了IDS拓展性需要改善之外,为了使不同IDS之间的交互性与共享性有所提高,又提出了相关入侵检测框架结构(CIDF)[3]。
对于电力系统,由于以上大模型不能实现分布式入侵检测功能,而且采取的检测方式与手段较为单一,不能完全检测到各种恶意行为与攻击源,因此,通过将多种检测技术统一融合,采取多重检测方式以应对电力系统综合防范的安全问题。本文在基于“云安全”[4]的理论基础之上,提出了专门应用于电力系统的分布式入侵检测云安全模型(C-DIDS)。
在电力系统云安全检测辅助管理信息平台的基础之上,分布式入侵检测云安全系统模型(C-DIDS)功能是:检测电力系统分布式环境下的各种恶意攻击与行为;检测电力系统分布式协同作用下的各种恶意攻击与行为。为了达到这两个目标,该入侵检测模型对各种入侵检测方式与手段进行了一定的改进与提升。模型的体系结构如图1所示。
图1 C-DIDS模型体系结构
即入侵检测信息安全策略辅助支撑平台[5]。在整个电力系统分布式入侵检测过程中,需要有一个公共的数据信息辅助管理信息平台,用于入侵检测数据信息的统一管理与处理,并对整个电力系统检测其入侵与攻击行为提供安全依据与策略。
该接口使用户可以实时观察入侵检测系统中的输出数据与信号,并且对其进行相应监测与处理。为了便于统一管理与可操作性,应选择可视化效果较好的用户交互界面进行控制。
从分析设备中提取到相关入侵攻击与行为的分析数据信息,经过综合过滤后将相关结果信息发送给安全管理员。通过安全管理员来监控分析设备,并对其警告事件作出实时响应。为了能够与其他区域保持相互交互通信能力,在监控设备中添加了通信交互模块。
主要用于感应搜索相关的初始数据信息(如网络、系统等用户活动的行为与状态信息),通过一定条件的过滤与整合之后发送给分析设备。其工作重心是将各感应设备搜集到的初始数据信息按照相应模型体系结构下的规格类型分类,然后依据不同类型(如入侵事件攻击与行为类型、时间段、源 IP、目的 IP等),对入侵检测报告信息进行关联,这样就能够发现同攻击源下的多目标行为与攻击。在这个环节中,初始数据信息经过一定预处理与过滤操作,使得在分析设备中的数据信息已经得到了最大化的精简以及分析设备在工作量上得到一定的减少。在C-DIDS模型中,有以下3种感应设备:①网络型感应器,主要是基于网络检测的,从网络范围内的数据信息流量中获得相关数据信息;②主机型感应器,用于主机检测,其获取相关数据信息主要是通过系统日志等;③应用型感应器,用于应用程序检测,通过应用程序与软件操作获取相关数据信息。如何具备这3个感应器的技术与能力是该模型结构实现的难点。前两种感应技术目前相对比较成熟,第三种由于应用程序的多样性,单独针对每一种应用程序开发相对应的入侵检测机制几乎是不可能实现的。但可以通过应用程序执行过程中保存下来的系统日志文件获取相关数据信息,解决一定量的针对应用软件的攻击与行为。因此,通过综合分析,可以对系统网络阶段中几个重要的应用程序设置相关感应设备,不仅可以降低一定工作量,也能具备一定的入侵检测能力。
对从感应设备中发送过来的数据信息进行相关抽象分析与处理,判断是否有入侵攻击活动与行为。其输出为入侵检测警告信息。此环节是整个C-DIDS模型的重点与关键部分,其重要性直接影响入侵检测系统的性能。与感应设备相对应,C-DIDS模型共有3种分析设备:①网络型分析器,数据信息流量主要是通过在系统网络之间相互通信的数据信息包来获取相关网络的行为与状态信息;②主机型分析器,从主机型感应设备中接收相关数据信息,从而获取主机上的相关攻击行为与状态信息;③应用型分析器,从应用型感应设备中获取相关数据信息,并对其进行分析与处理。不管是哪一种分析检测引擎,一般都采用以下3种分析检测技术:异常检测、数据完整性检测与滥用检测。对于不同的分析检测技术,使用场合与优缺点各不相同。如异常检测技术可以检测到未知、复杂的入侵攻击与行为,但错误率较高,可信度较低;滥用检测正好相反,精确性和可信度都较高,但不能检测到较为复杂或未知的入侵攻击与行为;数据完整性检测使用以Hash算法为理论基础的信息标记算法作为判断入侵检测攻击与行为的检测算法,其关注的是系统文件或数据信息是否被篡改、替换等,只要是对其发生改变的入侵攻击与行为都能够被发现,但数据完整性检测进行的是事后检测分析,不能实时响应操作。由于这3种分析检测技术都有不同的适用场合,因此对其综合使用,得到一种分析检测引擎结构,如图2所示。
在上述分析检测引擎结构模型中,由于部分入侵攻击和行为与历史内容或数据信息响应有关,因此分析引擎包括三级检测,保证检测引擎不遗漏任何一种入侵攻击与行为。
一级检测:其主要功能是搜集一个或多个感应设备传送过来的可疑攻击或行为信息,通过多重检测技术提高精准性。
图2 分析检测引擎结构
二级检测:主要是针对数据信息响应有关的攻击与行为。由于在一级检测之后,系统对有关数据信息产生响应,在二级检测中,综合相关库信息,发现不同类型的入侵检测攻击与行为。
三级检测:其主要作用是为了检测到与历史内容数据信息有关的攻击与行为。经过一、二级检测之后,生成了相关历史内容信息库,因此在三级检测中,综合多个信息库,通过处理与分析,可以发现时间上较为分散的多步骤复杂行为攻击等。如:系统发现分布式DOS攻击,分析检测引擎判断其是否是一次简单的入侵攻击行为,需要在时间段上与相关数据信息关联,才能获取精准的分析结果。
在一个需要监控的云安全管理区中存储一个监控设备,可以使用一台主机或客户端设备作为一个监控设备,此外,也可以将其嵌入到一台主机中。在这些云安全区域中,设置多个不同类型的感应设备,用于该区域中初始数据信息的搜集,然后对其重组、整合、过滤之后传送给相对应的分析检测引擎。
在每一种不同的分析检测引擎中,为了提升电力系统入侵检测系统的性能,都采用了3种分析检测技术(即数据完整性检测技术、异常检测技术以及误用检测技术)。对于一些在电力系统云安全检测辅助管理信息平台中存储的已知攻击与行为,可在历史内容信息库中查寻到相关入侵攻击方式与行为状态相对应的匹配数据信息。利用此类手段可以事先检测出一些入侵检测攻击与行为。如一个request请求到一台server上的“/gitbin/word”,很可能断定这是一个入侵攻击者正在寻求系统的GIT漏洞风险。为了可以检测到一些未知的、时刻都在变化的入侵攻击与行为,可以在IDS中融合异常检测技术,查寻其行为状态是否保持在正常规定区域指标内,用此手段检测电力系统云安全检测辅助管理信息平台中未存在的入侵攻击与行为,然后通过分布式批处理手段定时定量地对其对象进行数据完整性分析。如果入侵攻击者在Unix系统中增加一个用户角色,/ipc/etect/password文件中的数据信息标记就会相应得到改变,安全管理人员就能发现这个文件被修改了,若入侵攻击者本人未增加新的授权角色,就会出现一定问题。针对不同的入侵攻击与行为,采用以上3种分析检测技术,其系统入侵检测能力都得到了提升。与此同时,采用多重检测技术,不仅能够检测到与历史内容、上下文相关的攻击行为,也能够与数据信息响应库相呼应。
在多重检测技术的统筹规划应用方面,可依据融合理论基础划分适用于不同攻击与行为类型的检测技术,如 Nai′ve-Bayes“trainable”fusion rule,将多重 检测 技 术获取的相关结果整合之后发送给监控设备。
对于每一个监控设备所搜集的分析检测引擎的数据信息,若是本区域的直接攻击或行为,监控设备可以直接向安全管理人员报警并作出响应与反馈;若是其他区域的间接攻击或行为,监控设备不能确定该对象是否具有攻击行为或状态时,就可以通过相关通信模块与其他区域中的内部监控设备进行沟通,协同操作,通过统一整合分析与处理,获取最终结果。
由于在电力系统分布式环境下,C-DIDS模型采用多重检测技术,结合基于不同类型的监控设备、感应设备以及分析检测引擎等,因此该模型使得入侵检测功能大大提高,主要包含以下优点:(1)各监控设备之间采用开放式分析方式进行交互通信,避免了集中式分析方式的不足;(2)采用数据完整性检测技术,使电力系统入侵检测功能更加完善、精准;(3)能够实时检测电力系统分布式协同作用下的入侵攻击行为与状态;(4)感应设备输出的数据信息都经过一定条件过滤,降低了分析设备的工作量;(5)为了保证能够检测到更多入侵攻击与行为,专门设置了针对于应用程序的分析设备,从而为电力系统中一些关键的应用程序与软件提供了安全保护;(6)能够对数据信息响应与历史内容上下文相关的攻击与行为作出精准的入侵分析;(7)提供了一个公共支撑系统,即云安全检测辅助管理信息平台,提高了电力系统入侵检测系统的完善性、高效性以及可靠性等。
本文提出了一种专门应用于电力系统分布式环境下的入侵检测云安全模型,即C-DIDS模型。该入侵检测模型以电力系统云安全检测辅助管理信息平台为公共支撑系统,采用了多重检测技术,在分析设备引擎中使用了三级检测方法,并且在分析设备中添加了信息完整性分析策略,通过不同云安全管理区中的监视设备进行交互通信,在理论上能够获得很好的安全检测效果。然而该模型在入侵检测精准性与电力系统整体性能平衡度方面未设置相关标准,还有待于继续探索与研究。
[1]PORRAS P P,NEUMANN P G.EMERALD:event monitoring enabling response to anomalous live disturbances[C].The 20thNational Information System Security Conference,US,1997:353-363.
[2]SPAFFORD E H,ZAMBONI D.Intrusion detection using automomous agents[J].Computer Networks,2000,34(3):547-570.
[3]赵丽,孙敏.一种融合多检测技术的分布式入侵检测模型[J].计算机工程,2005,31(9):203-209.
[4]许蓉,吴灏,张航.“云安全”检测技术安全性分析[J].计算机工程与设计,2012,33(9):112-120.
[5]李志永,黄玉划,毕媛媛.基于云安全的入侵检测模型[C].南京:第六届中国信息和通信安全学术会议(CCICS),2009.