基于模塊化本體的入侵檢測研究

摘要：建立了一種基于模塊化本體的入侵檢測模型，該模型能共享和重用知識并進(jìn)行分析，具有檢測分布式復(fù)雜攻擊的能力。通過本體的模塊化降低對存儲空間的要求、提高推理的速度、增強(qiáng)系統(tǒng)的健壯性。用OWL對入侵檢測中的模塊化本體進(jìn)行了規(guī)格說明并進(jìn)行了應(yīng)用舉例。

關(guān)鍵詞：入侵檢測；本體；模塊化

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)36-2756-04

A Study of IDS Based on Modular Ontology

JIANG Zong-hua

(Information Engineering School，Anhui University of Finance Economics，Bengbu 233041，China)

Abstract: The author presents a model of IDS based on modular ontology，the model is capable of sharing and reusing knowledge and analyzing it， detecting distributed and complicated attacks. In IDS， the modularization of ontology can decrease the demand for storage capacity， speed the reasoning process， and enhance the robustness of the IDS.The author specifies the modular ontology of IDS in OWL and presents a use case scenario.

Key words: IDS; ontology; modular

1 引言

1.1 本體表示和推理

本體論（Ontology）的內(nèi)涵是對世界上任何領(lǐng)域內(nèi)的真實(shí)存在所做出的客觀描述，不依賴任何特定的語言。從知識表示的角度來講，本體不是僅被某個應(yīng)用主體所接受，而應(yīng)得到領(lǐng)域內(nèi)各應(yīng)用主體的認(rèn)可；從共享的角度來說，本體作為一種概念化的說明，采用框架系統(tǒng)對客觀存在的概念和關(guān)系進(jìn)行描述，是在各種應(yīng)用主體之間交換意見時所用到的共同語言。這樣本體最根本的優(yōu)勢——共享和重用得以實(shí)現(xiàn)。

Berners-Lee 在XML2000 的會議上提出了語義Web[1]，為未來Web發(fā)展提出了基于語義的體系結(jié)構(gòu)，該體系結(jié)構(gòu)分為七層。XML是通用的語法基礎(chǔ)，在其上一層定義更強(qiáng)大的語言RDF+rdfs。RDF定義了一個簡單的三元組模型為通用框架，與被描述資源無關(guān)。RDF層的上一層是Ontology vocabulary。在這一層，用戶不僅可以定義概念而且可以定義概念之間豐富的關(guān)系。在Ontology vocabulary層上的本體描述語言有很多種，代表性的有OWL和DAML + OIL等，其中OWL 是W3C 推薦的本體描述語言，也是本研究所采用的本體描述語言，它的最大特點(diǎn)是關(guān)聯(lián)描述邏輯，通過對概念、概念屬性及其相互間關(guān)系的描述，構(gòu)成概念的復(fù)雜關(guān)系網(wǎng)絡(luò)，這就意味著描述邏輯推理機(jī)可以推理OWL本體。

Jess是基于Java語言的推理機(jī)，可以用于本體的推理。在推理之初，把領(lǐng)域本體解析并轉(zhuǎn)換為三元組系列，作為斷言放入知識庫中形成規(guī)則。一旦斷言被加入知識庫中，推理機(jī)產(chǎn)生附加的規(guī)則，這些規(guī)則包括從本體中獲得的一系列蘊(yùn)涵著的規(guī)則。

知識庫可以接受本體的實(shí)例并可以進(jìn)行查詢，查詢語言的形式為((predicate) (subject) (object))，其中三個元素至少有一個包含一個值，其它元素可以未被說明（通過在它們前面加“?”來標(biāo)識）。如果在知識庫中有一些三元組和查詢相匹配，這些三元組的值將被返回。

1.2 基于本體的入侵檢測

在分布式入侵檢測中，對知識的處理方式是在協(xié)作的環(huán)境下進(jìn)行的，由于各檢測主體處理域的不同和檢測域的不同，在協(xié)作過程中容易導(dǎo)致對同一事物在描述上的語義不一致，阻礙了主體間的知識共享和協(xié)同工作。

入侵檢測安全部件之間缺乏互動己得到業(yè)界的承認(rèn)，目前有兩個致力于入侵檢測系統(tǒng)間通信規(guī)范的組織：CIDF 和 IDWG 。CIDF定義的是一個專用的語言，缺乏通用性。IDWG提出的一個重要文檔是IDMEF，利用XML來實(shí)現(xiàn)的。XML具有一定的通用性，但XML只能用來表示數(shù)據(jù)模型的語法特性，這就需要每個入侵檢測系統(tǒng)通過編程來理解和實(shí)現(xiàn)數(shù)據(jù)模型。而本體表示語言例如OWL可以同時表示信息和規(guī)則，可以根據(jù)已有信息產(chǎn)生新的信息。OWL相對于XML語言具有很多優(yōu)點(diǎn)，比如允許使用unionOf、disjointOf、intersectionOf等來定義一個類，完全支持通過subClassof 和subPropertyof等進(jìn)行集成。

1.3 本體的模塊化

現(xiàn)在本體的規(guī)模越來越大，使得難以用推理系統(tǒng)進(jìn)行推理且本體復(fù)用率低。對大型本體來說，模塊化是必然的方向。

在本體的模塊化語言方面，主要有分布式描述邏輯DDL[2]、基于多重鏈接的描述邏輯ε-connections[3]、基于包的描述邏輯P-DL[4]等。DDL主要通過橋規(guī)則定義兩個本體模塊中的類的子集關(guān)系，ε-connections定義的對象屬性可以關(guān)聯(lián)兩個不同本體中類。這兩種語言都嚴(yán)格要求各本體之間不相交。基于包的描述邏輯P-DL允許兩個模塊之間概念相交，但現(xiàn)有推理工具的支持程度低。

2 基于模塊化本體的入侵檢測模型

Undercoffer將本體論應(yīng)用到入侵檢測中[5]，進(jìn)行了開創(chuàng)性的工作，在他的模型中，主機(jī)是攻擊的受害者，攻擊是對主機(jī)一定的信息資產(chǎn)進(jìn)行的，攻擊可以產(chǎn)生拒絕服務(wù)、非法訪問等后果。信息資產(chǎn)類有網(wǎng)絡(luò)、系統(tǒng)、進(jìn)程等子類。

在Undercoffer所提出的入侵檢測模型中，所有檢測器中有一份相同的檢測規(guī)則本體描述，這主要有這樣幾個問題：

1) 檢測規(guī)則越來越多，對應(yīng)的本體描述也越來越大，存儲本體的空間增加，進(jìn)行推理所消耗的時間變長，甚至超過了一般機(jī)器的存儲能力和運(yùn)算能力。

2) 如果入侵者成功入侵了一臺機(jī)器，并取得了管理員權(quán)限，或某一臺機(jī)器的管理想入侵其它機(jī)器，則他們有可能獲得入侵檢測的全部本體描述，也就知道了所有檢測規(guī)則，他們可以有針對性的設(shè)計(jì)新的攻擊方法，避免被檢測系統(tǒng)檢測到。

3) 如果有些檢測規(guī)則要更新，則要重寫整個本體，所有檢測器中的本體描述都要更新，不利于領(lǐng)域?qū)＜业姆止ず献鳌?/p>

而在入侵檢測本體描述時采用模塊化的方式，則相應(yīng)有以下幾個優(yōu)點(diǎn)：

1) 每個檢測器中不是包含所有的領(lǐng)域本體，而是僅包含所需要的一個或多個模塊，要求的存儲空間較小，推理過程也變得更快，有可能快速采取入防御措施。

2) 即使入侵者或內(nèi)部人員獲得了一個或幾個模塊，他所設(shè)計(jì)的入侵方法也有可能被部署在其它機(jī)器上的本體模塊中的檢測規(guī)則檢測到。

3) 如果有檢測規(guī)則要更新或要添加新的檢測規(guī)則，只需更新相應(yīng)的模塊或添加新的模塊，而不需要改變所有的模塊。

本研究在Undercoffer等工作的基礎(chǔ)上，提出了一個新的入侵檢測本體模型，即基于模塊化本體的入侵檢測模型。在本模型中，每個IDS上部署有一個或多個本體模塊。對于那些主要用于本地檢測的底層檢測器，為了能夠快速檢測從而有可能及時采取入侵防御措施（比如斷開部分連接），在它們上面部署的本體模塊，可以不包括用于分布式復(fù)雜攻擊的領(lǐng)域知識。另外，對于簡單本地檢測規(guī)則，每個底層檢測器也只選取一部分進(jìn)行部署，這主要根據(jù)檢測器的功能分工，以及當(dāng)前本區(qū)域流行攻擊方法等環(huán)境因素。對于那些負(fù)責(zé)全局分析的高層檢測器，在其上主要部署分布式復(fù)雜攻擊的領(lǐng)域本體知識，另外也部署一些基本的模塊，比如各種攻擊類型之間的子集關(guān)系。

在本體模塊部署完成后，本體模塊中的類和屬性等被轉(zhuǎn)換成三元組系列放入知識庫，稱為“規(guī)則”。在檢測過程中，某檢測器檢測到攻擊事件后，將向高層檢測器發(fā)消息，從本體論的角度，該消息的內(nèi)容是該攻擊類的個體描述。該個體描述被接收后，被轉(zhuǎn)換為三元組系列存儲在知識庫中，稱為“事實(shí)”。推理工具可以根據(jù)規(guī)則和事實(shí)進(jìn)行推理。推理的結(jié)果有兩類，一類是根據(jù)從多個檢測器中收到的消息推理出發(fā)生了某種復(fù)雜攻擊；另一類是根據(jù)一個或多個消息，對復(fù)雜攻擊蘊(yùn)含式的前提進(jìn)行約簡，如果前提被約簡為簡單命題，則可得到一個簡單的本地檢測規(guī)則，該規(guī)則被發(fā)送到區(qū)域內(nèi)的各底層IDS并加入到它們的知識庫中，可以預(yù)防或快速檢測到分布式攻擊。

在推理模式上，無需將所有的本體模塊聚集在一起進(jìn)行集中式推理，而主要以分布式的形式進(jìn)行推理。每個檢測器上的推理工具根據(jù)本地知識庫進(jìn)行推理，各檢測器之間通過類的外部引用以及通過發(fā)送消息來更新知識庫，完成復(fù)雜攻擊的檢測。

本節(jié)最后給出本模型中一部分類的OWL表示，它們和下一節(jié)應(yīng)用示例相關(guān)聯(lián)。網(wǎng)絡(luò)類是信息資產(chǎn)類的子類，網(wǎng)絡(luò)類有IP、TCP、UDP等子類，TCP有多個屬性，如TCP_MAX代表TCP的最大連接數(shù)，WAIT_STATE代表尚未完成三次握手的TCP連接數(shù)，EXCEED_T代表未完成三次握手的TCP連接數(shù)占最大連接數(shù)的比例是否已超出界線值。下述代碼是TCP類和它的EXCEED_T屬性的OWL表示。

＜o(jì)wl:Class rdf:ID=“Tcp”＞

＜rdfs:label=“Tcp”/＞

＜rdfs:subClassOf rdf:resource=“#Network”/＞

＜/owl:Class＞

＜o(jì)wl:DatatypeProperty rdf:ID=“exceed_T”＞

＜rdfs:label=“exceed_T”/＞

＜rdfs:domain rdf:resource=“#TCP”/＞

＜rdfs:range rdf:resource=“xsd;boolean”/＞

＜/owl: DatatypeProperty＞

Tcp是面向連接的，它有Connection等子類，Connection類有連接時間、源IP地址等數(shù)據(jù)類型屬性。下述OWL代碼定義了拒絕服務(wù)攻擊DOS和DOS的一個子類Syn_Flood。如果未完成三次握手的TCP連接數(shù)占最大連接數(shù)比例已超出界線值，則判定為Syn_Flood攻擊。

＜o(jì)wl:Class rdf:ID=“DOS”＞

＜rdfs:label=“DOS”/＞

＜rdfs:subClassOf rdf:resource=“#Consequece”/＞

＜/owl:Class＞

＜o(jì)wl:Class rdf:ID=“Syn_Flood”＞

＜rdfs:label=“Syn_Flood”/＞

＜rdfs:subClassOf rdf:resource=“#DOS”/＞

＜rdfs:subClassOf rdf:resource=“#TCP”/＞

＜rdfs:subclassof＞

＜o(jì)wl:Restriction＞

＜o(jì)wl:onProperty rdf:resource=“#exceed_T”/＞

＜o(jì)wl:hasValue rdf:datatype=“xsd;boolean”＞

true＜/owl:hasValue＞

＜/owl:Restriction＞

＜/owl:subClassOf＞

＜/owl:Class＞

3應(yīng)用

下面以Mitnick 攻擊為例，介紹入侵檢測過程。假設(shè)在主機(jī)A上部署了IDS1，在包含主機(jī)B的網(wǎng)段上部署了IDS2，在主機(jī)B上部署了IDS3。IDS1和IDS3中包含相同的本體模塊M1，主要是負(fù)責(zé)本地檢測。IDS2中包含的本體模塊M2主要負(fù)責(zé)檢測分布式攻擊。

Mitnick是一種多階段攻擊方法，涉及拒絕服務(wù)攻擊，TCP序號偵測，IP欺騙。在拒絕服務(wù)攻擊階段可以利用Syn Flood等方式來產(chǎn)生拒絕服務(wù)，主要采取的步驟有：

1) 攻擊者發(fā)動對主機(jī)A的 Syn Flood等攻擊，造成主機(jī)A拒絕服務(wù)，杜絕主機(jī) A 對主機(jī) B 的響應(yīng)。

2) 攻擊者發(fā)送多個 TCP 數(shù)據(jù)包給主機(jī)B，借以了解主機(jī) B 產(chǎn)生的 TCP 序列號的規(guī)律。這是因?yàn)槿绻l(fā)給主機(jī)B的數(shù)據(jù)包中TCP 序列號不正確則會被丟棄。

3) 攻擊者假冒成主機(jī)A ，主要是用主機(jī)A 的IP地址替代自己真正的IP地址作為數(shù)據(jù)包的源地址。發(fā)送 SYN包給主機(jī)B以建立和主機(jī)B的TCP連接。

4) 主機(jī)B發(fā)送 SYN/ACK包給主機(jī) A ，這個包是根據(jù)第一次握手SYN包的源IP地址發(fā)送的，所以攻擊者看不到這個數(shù)據(jù)包，主機(jī)A 被攻擊后，同樣也看不到這個數(shù)據(jù)包。

5) 攻擊者雖然看不到這個數(shù)據(jù)包，但他可以使用預(yù)測的TCP序列號發(fā)送ACK包。

6) 這樣連接的三次握手完成，主機(jī)B認(rèn)為連接己經(jīng)建立，并且認(rèn)為該連接是與信賴主機(jī)A建立的，授權(quán)關(guān)系也相應(yīng)的建立起來了。這樣攻擊者就可以向目標(biāo)發(fā)送命令了，后續(xù)的數(shù)據(jù)包可以繼續(xù)使用預(yù)測的序列號。

部署在單一主機(jī)上的入侵檢測系統(tǒng)無法檢測這一多階段和分布的攻擊。主機(jī)A上的入侵檢測系統(tǒng)只能觀測到Syn Flood 攻擊；主機(jī)B上的入侵檢測系統(tǒng)可能觀測到了試圖預(yù)測TCP序列號的企圖，而這種企圖和其它非惡意的殘缺TCP 連接很難分開。要檢測這種類型的攻擊，必須要多個入侵檢測器進(jìn)行協(xié)同檢測。

本檢測系統(tǒng)中，本體模塊M1中有關(guān)于Syn_Flood的類定義，本體模塊M2中有關(guān)于 Mitnick 攻擊的類定義，關(guān)于 Mitnick 攻擊的類定義對應(yīng)的OWL代碼如下：

＜o(jì)wl:Class rdf:ID=“Mitnick”＞

＜rdfs:subClassOf＞

＜o(jì)wl:Class rdf:about=“M1;#Dos”＞

＜/rdfs:subClassOf＞

＜rdfs:subClassOf＞

＜o(jì)wl:Class rdf:about=“M1;#Connection”＞

＜/rdfs:subClassOf＞

＜/owl:Class＞

由于OWL DL表達(dá)能力的限制，一些限制條件不能在領(lǐng)域本體中表表達(dá)，比如和本機(jī)建立連接的主機(jī)地址應(yīng)等于發(fā)生拒絕服務(wù)主機(jī)的地址、連接的時間應(yīng)大于發(fā)生拒絕服務(wù)的時間，這可以在關(guān)于Mitnick的查詢語句中進(jìn)行限制，相應(yīng)的查詢語句為：

(defrule isMitnick

(PropertyValue

(p M2;#P_Mitnick )

(s ?eventNumber) (o \"true\"))

(PropertyValue

(p M1;# victim)

(s ?eventNumber) (o ?Victim))

(PropertyValue

(p M1;#conIP)

(s ?eventNumber) (o ?ConIP))

(PropertyValue

(p M1;# int_time)

(s ?eventNumber) (o ?Int_Time))

(PropertyValue

(p M1;#conn_time)

(s ?eventNumber) (o ?Conn_Time))

=＞

(if (== ?Victim ?ConIP) and (＞= ?Conn_Time ?Int_Time) then

(printout ‘‘event number: ” ?eventnumber is a Mitnick Attack: crlf)))

假設(shè)主機(jī)A的IP地址是192.168.66.253，主機(jī)A上的IDS1檢測到Syn Flood 攻擊，向IDS2發(fā)送如下攻擊事件：

＜Syn_Flood rdf:ID=“00066”＞

＜ int_time rdf:resource=“xsd:dateTime”＞2008-09-16 16:36:22＜/int_time＞

＜victim rdf:resource=“xsd:string”＞ “192.168.66.253”＜/ victim ＞

＜/Syn_Flood ＞

IDS2接收到上述事件后，結(jié)合關(guān)于 Mitnick攻擊的領(lǐng)域本體和查詢規(guī)則，推理得出關(guān)于Mitnick攻擊簡化的查詢語句如下：

(defrule isTemMitnick

(PropertyValue

(p M1;#Connection )

(s ?eventNumber) (o \"true\"))

(p M1;#conIP)

(s ?eventNumber) (o ?ConIP))

(p M1;#conn_time)

(s ?eventNumber) (o ?Conn_Time))

=＞

(if (== ?ConIP “192.168.66.253”) and (＞= ?Conn_Time ? “20080916 163622”) then

(printout “event number: ” ?eventnumber is a Mitnick Attack: crlf)))

IDS2將關(guān)于Mitnick攻擊簡化的查詢規(guī)則發(fā)給被保護(hù)區(qū)域的所有IDS，該規(guī)則的內(nèi)容是只要TCP連接的源IP地址是192.168.66.253，并且連接時間大于2008-09-16 16:36:22，則判斷為Mitnick攻擊。IDS3收到后，對來自主機(jī)A的連接進(jìn)行監(jiān)控，假如發(fā)現(xiàn)下述連接記錄，則報告發(fā)現(xiàn)了Mitnick攻擊。

＜Connection rdf:about=“00516”＞

＜ ConIP rdf:resource=“xsd:string”＞192.168.66.253”＜/ ConIP ＞

＜ conn_time rdf:resource=“xsd:dateTime”＞2008-09-16 16:39:26＜/ conn_time ＞

＜/Connection＞

當(dāng)主機(jī)A的拒絕服務(wù)狀態(tài)取消后，IDS1將該狀態(tài)改變通知IDS2，IDS2撤消各IDS的Mitnick簡化查詢規(guī)則。

4 結(jié)束語

基于本體的入侵檢測將入侵檢測知識庫和入侵檢測操作知識獨(dú)立開來，能共享和重用知識并進(jìn)行分析，有利于檢測復(fù)雜的分布式攻擊。但是，如果將整個入侵檢測本體在一個本體文件中表達(dá)則有一些缺點(diǎn)，比如對存儲空間要求很高、知識庫龐大造成推理速度慢、不便于本體知識庫的更新和擴(kuò)充等。本體的模塊化是解決這些問題的有效途徑之一，通過本體的模塊化，將單一本體分成多個模塊，單個IDS檢測器上部署一個或多個模塊，可降低對存儲空間的要求、提高推理的速度、增強(qiáng)系統(tǒng)的健壯性。本研究提出了基于模塊化本體的入侵檢測模型，用OWL進(jìn)行了規(guī)格說明并進(jìn)行了應(yīng)用舉例。下一步研究主要是對入侵檢測中本體的分布式推理進(jìn)行進(jìn)一步研究，探索端到端的分布式推理機(jī)制。

參考文獻(xiàn)：

[1] Berners-Lee T，Hendler J，Lassila O. The semantic Web[J].Scientific American，2001，284(5):34-43.

[2] Borgida A，Serafini L.Distributed description logics: Assimilating information from peer sources[J].Journal of Data Semantics， 2003，1(1):153-184.

[3] Grau B C，Parsia B，Sirin E.Combining owl ontologies using e-connections[J]. Journal Of Web Semantics， 2005， 4(1):40-59.

[4] Bao J， Caragea D， Honavar V. Modular ontologies-a formal investigation of semantics and expressivity.In Asian Semantic Web Conference 2006， LNCS 4185，616-631.

[5] Undercoffer J，Joshi A，Pinkston J.Modeling Computer Attacks:An Ontology for Intrusion Detection[A].In:RAID 2003，LNCS 2820，113-135.