[发明专利]一种基于场景的混合入侵检测方法及系统

说明书

技术领域

本发明涉及一种基于场景的混合入侵检测方法及系统，属于工业控制安全技术领域。

背景技术

近来，信息攻击已经严重威胁到网络的稳定性。这些攻击利用网络的互联、交互特性，传播的速度非常快，而且攻击技术越来越高明，攻击手段越来越复杂。传统的信息安全系统例如防火墙、入侵检测系统（IDS）等，在网络攻击预报方面存在着严重不足，通常在这些攻击造成了严重破坏之后才响应。

大多数传统的入侵检测系统采用基于网络或基于主机的方法识别和响应攻击。这些系统常常采用两类入侵检测手段，即异常入侵检测和特征入侵检测，如图5所示。异常检测是通过检测与可接受行为的偏差，即当用户活动与正常行为有重大偏差时被认为是入侵；特征检测，收集非正常操作的行为特征，建立相关的特征库，当检测到用户或系统行为与特征相匹配时，系统就认为这种行为是入侵。基于主机的入侵检测系统通过分析主机事件日志、系统调用及安全审计记录等，来发现、提取攻击特征和异常行为；而基于网络的入侵检测系统是基于网络上的数据流量来发现、提取攻击模式和异常行为的。而大多数情况下，入侵者利用应用系统的漏洞及不安全的配置来入侵系统，应用层攻击能够利用合法用户的边界防御后门来入侵系统，因此，上述两种IDS系统很难检测这类攻击。

 当前，基于网络和基于主机的入侵检测系统通常与应用系统的访问控制相分离，这些安全设备之间缺乏协调和内部交互，不利于检测复杂的攻击，尤其对于实时持续攻击，造成破坏之前，不能有效响应。当前普遍应用的IDS系统的另一个不足在于，经常会有很高的误警概率，可能造成的后果是导致合法用户服务的中断。因此，成功的入侵检测系统要求应用准确、有效的模型分析大量的应用、系统和网络审计数据，并对识别的攻击进行实时响应。

目前计算机病毒、各种网络攻击等新特点层出不穷，工业控制系统面临着安全新挑战。对工业控制系统来说，更严重的安全威胁常常来自内部，因为内部攻击者了解控制网络结构，包括目标文件、系统漏洞、程序漏洞等，攻击手段更复杂、隐蔽。而国内大部分工业自动化系统的网络层采取了一些传统安全防护措施，大多数针对工业控制领域的安全设备主要集中在网络层次上，用于保护企业级网络来自Internet的外部攻击，但物理层安全防护还没有成熟的产品和解决方案，无法应对越来越严重的内部攻击。

对于工业控制领域来说，不同的工业应用场合，其控制网络有各自不同的特点和要求，通常需要特点的应用层知识来构建安全策略，来识别可疑行为及应用合适的响应策略。因此，传统的基于应用的IDS系统，很难管理及部署。

当前一些商用的IDS系统的缺点就是缺少安全策略。这些系统主要依赖内建的静态算法，不能灵活适应这种改变了系统安全行为的系统。对于采用异常检测的系统来说，任何与正常行为轮廓的偏差都被认为是可疑行为，这大大增加了系统的虚警概率。

发明内容

本发明的目的在于，提供一种基于场景的混合入侵检测方法及系统，它能提高入侵检测的准确率，对系统物理层进行安全防护，防止系统内部攻击。

为解决上述技术问题，本发明采用如下的技术方案：一种基于场景的混合入侵检测方法，包括以下步骤：

S1，入侵检测系统根据访问控制策略及相关应用场景信息，提取采集的审计数据的特征；

S2，根据审计数据的特征，应用组合的预报方法预报可疑入侵事件，其中预报方法可以采用时间序列分析法、概率模型法、数据挖掘法等方法组合使用；

S3，结合可疑入侵事件和告警关联信息，根据统计规律、学习机制或专家判别方法来确定入侵事件；

S4，如果有入侵事件发生，入侵检测系统生成报警信息，并发送给安全管理平台进行可视化显示。

前述的一种基于场景的混合入侵检测方法中，所述相关应用场景信息是对系统当前状态和功能的所有信息的描述；所述相关应用场景信息包括：

预定义场景，用于描述赋予访问请求的操作所要满足的条件；

请求结果场景，用于激活访问请求的是接受或拒绝的行为；

中间场景，用于定义访问请求的操作在执行过程中必须满足的条件；

事后场景，用于定义访问请求的操作执行后所要满足的条件，并激活事后要执行的动作。