理论计算机科学电子笔记121(2005)87-99www.elsevier.com/locate/entcs混合工作流和贝叶斯网络关联信息在大型关键结构约翰·比格姆1金宣2大卫·加梅斯3克里斯·菲利普斯4伦敦大学玛丽皇后学院电子工程系英国摘要Safeguard是一个旨在通过使用分布式自治代理来监视和保护大型复杂关键基础设施的系统,旨在提高其可靠性和生存性。本文介绍了一个工作流程管理系统内的Safeguard代理之一,以支持实时相关的异常检测器,入侵检测系统和其他系统监视器的信息嵌入。工作流管理系统解释工作流模型,这些模型由对攻击或故障的一般形式进行建模的增强Petri网表示。工作流程管理系统还根据与工作流程中的转换相关联的贝叶斯网络的推理结果自动触发适当的响应。一个案例研究的例子,从配电网络的管理。保留字:工作流,贝叶斯网络,异常检测1介绍大型复杂关键基础设施(LCCI)在现代生活中发挥着关键作用,在国家内部和国家之间提供电信,电力,天然气和水等服务近年来,影响深远的变化1电邮地址:邮箱:john. elec.qmul.ac.uk2电子邮件:xuan. elec.qmul.ac.uk3电子邮件:david. elec.qmul.ac.uk4电子邮件:chris. elec.qmul.ac.uk1571-0661 © 2005 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2004.10.00988J. Bigham等人理论计算机科学电子笔记121(2005)87在这些基础设施上产生的影响,如对知识产权网络的依赖增加、电力进出口增加以及可再生能源供应的使用增加这些基础设施现在高度相互关联和相互依赖。这使它们更容易受到攻击、故障和事故的影响。这些基础设施的任何故障都可能造成严重的国际连锁故障。例如,2003年8月,Blaster蠕虫感染了大约40万个系统,6天后,Welchia(或Nachi)蠕虫甚至感染了加拿大航空就在第二天,迅速传播的Sobig.F蠕虫据报道在最初的24小时内产生了超过10万个副本。后来,这种蠕虫在其高峰期占每17封电子邮件中的一封[1]。蠕虫的高速传播消耗了大量的带宽,造成网络拥塞和不稳定。另一个例子是2003年9月发生的连锁电力故障,当时风暴抛出的树枝击中了瑞士的输电线路,导致另一条输电线路过载,并中断了法国向意大利的能源传输。检测和防御LCCI中的攻击和故障是一个没有银弹的研究领域。这是由于攻击和故障类型的绝对规模和多样性。关联是一种有效的解决方案,它将分布式检测和响应与来自多个源的关键信息的集成相结合。保障是一种旨在增强LCCI的可靠性和生存能力的系统 [2]。目前,关键基础设施的可用性和完整性入侵检测软件已经部署在许多LCCI中,以帮助操作人员监控系统。然而,目前这些软件生成太多的假阳性和假阴性警报。当突发警报到达或被错误的警报报告误导时,人类操作员经常不知所措。更严重的是,当操作员无法做出决定并迅速采取行动时,级联警报和故障可能会加剧。Safeguard使用代理来监控和保护LCCI,提高自动控制功能的能力,并帮助操作人员做出正确的决定和正确的时间。在SafeGuard中,其关联代理的目标是理解不同的信息并执行及时的操作。它将来自多个异构检测系统的警报实时关联起来。本文介绍了使用Petri网建模的工作流程,以支持相关的相关性和相关行动的监测。首先对保障措施体系中的主要主体进行了回顾,然后对保障措施体系中的相关主体进行了详细的描述。然后给出了使用相关代理的案例研究。J. Bigham等人理论计算机科学电子笔记121(2005)87892保障代理制度2.1概述Safeguard代理系统实现为一个分层的代理系统。它将分布式检测和分布式响应与来自许多源的关键信息的集成相结合。Safeguard代理系统具有混合检测器代理,用于监控基础设施内的操作员、系统组件和系统故障检测器,以评估系统的状态,以及系统是否包含错误数据或受到攻击。系统内的问题,如异常数据或文件完整性违规,将被识别。该信息可以传递给操作员或自动采取行动,以防止或限制不当行为。现在将更详细地介绍最重要的代理。2.2混合检测剂混合检测器代理(HDA)是用于收集系统各个方面信息的有效传感器。通常,它们的角色不会超过被动监视,尽管有些可能会在托管系统上执行某些操作,但只有在操作代理明确允许的情况下。HDAs将已知信息与系统正常行为的动态模型相结合大量不同类型的专用代理被放置在系统中以监视系统活动的许多方面HDA的例子有:(i) 异常检测器代理,其检查不同操作者的异常。操作员键盘模式的显著异常(ii) 电力数据异常检测器,其检查来自远程终端单元的数据并检查先前建立的关系是否在当前数据中成立;(iii) 另一个电力异常检测器,其查看响应于来自控制中心的公知命令时调用的函数中的时间偏差由于Safeguard中的许多HDA都是基于构建不同的正态模型或定义系统中的不变量或近似不变量,因此它们能够检测到以前未发生过的异常90J. Bigham等人理论计算机科学电子笔记121(2005)872.3包装代理Wrapper Agent连接到现有的入侵检测系统,收集有关系统和系统可能受到的攻击的信息。包装器代理只允许来自现有诊断和IDS组件的信息可以集成到Safeguard系统中。来自包装代理的信息被发送到相关代理。一个例子是文件完整性检查器包装代理,它监视关键系统文件的完整性违规。2.4工作流关联代理和动作代理工作流程关联代理(WCA)包含嵌入式工作流程管理系统。用于被管理网络的预定义工作流程模型被加载到工作流程管理系统。这些工作流程模型的转换工作流相关代理负责整合来自不同HDA或包装代理的信息,并对网络状态和运营商行为进行推理。其中一些转换用于对动作建模或与单独的动作代理进行通信。通过这种方式,关联代理和动作代理一起工作,以提供快速响应,在出现问题时纠正问题。可用响应的一个示例包括当WCA报告蠕虫时更改防火墙策略以阻止蠕虫在网络中传播。2.5人机接口代理人机接口(MMI)代理用于管理代理并定义其合法活动的范围。然而,MMI代理不是操作员用来控制系统的接口2.6代理人制度的运作代理系统和被监控系统的体系结构如图所示。1不同的混合检测器代理根据它们正在监视的活动类型定位在系统中来自这些的信息被传递到关联代理,关联代理对参与者和来自系统组件的数据的可信度进行评估。基于此,操作员的权限或系统的拓扑结构随着时间的推移由动作代理在通过人机接口代理操作的管理员的授权下进行修改。J. Bigham等人理论计算机科学电子笔记121(2005)8791行动代理修改操作员GUIMMI剂密码登录检索操作员的权限终端管理软件阻止操作员:‘safe’访问控制HDA监控操作员报告良好/不良行为关联代理系统管理HDA监控系统Fig. 1. 通过代理交互进行3混合工作流与贝叶斯网络相关性3.1工作流程概述工作流程管理联盟将工作流程定义为:它们已经在商业中使用多年,用于模拟组织内的信息流以及对该信息进行的操作。这些应用程序面向管理一系列复杂的活动。3.2Petri网建模工作流W.M.P. van der Aalst [4]将Petri网描述为工作流建模的工具5本文还描述了触发工作流程中转换的标准方式:自动、用户、消息和时间。在我们的研究中,我们遵循范德阿尔斯特的术语和符号5显式OR分割和隐式OR分割的完整解释见第20页,[4]HDA92J. Bigham等人理论计算机科学电子笔记121(2005)873.3工作流程管理系统工作流程管理系统用于使用软件定义、管理和执行工作流程,软件的执行顺序由工作流程逻辑的计算机表示驱动[5]。有许多商业和非商业的工作流管理工具,如Cosa [6]和Open-WFE [7]。每个应用程序都提供不同的功能,并为不同的用户提供服务。在我们的研究中,我们选择Bossa工作流程系统[8]作为我们的工作流程管理系统,因为它具有以下优点:(i) Bossa使用增强Petri网提供了一种直观的工作流程建模方法和一种验证工作流程正确性的方法扩展的Petri网甚至允许用户对时间进行建模,并包括工作流模型的层次结构(ii) Bossa被设计为嵌入式,在Bossa中很容易定义和(iii) Bossa是用Java编写的,可以独立于平台。此外,将Bossa与链接到工作流函数的其他Java代码集成也相对容易(iv) 博萨是轻量级和快速。一个原因是因为跟踪工作流程中的位置是在不对每个工作流程使用单独线程的情况下实现的。这允许代理处理与被监控系统中的不同事件序列相关的大量不同工作流。3.4构建工作流Bossa工作流管理系统的基本Petri网建模工作流具有以下元素:库所、变迁和加权弧。我们系统中的工作流只能在一个点启动。这一点应通过在该点放置单个标记来标记。四种不同类型的过渡可用于构建工作流。过渡类型使用其名称的前几个字母设置。贝叶斯控制变迁当贝叶斯网络中被识别为对应于转换的节点的概率超过规定的阈值时,这些转换被触发消息发送转换当工作流到达消息发送转换时,消息被发送到另一个代理。例如,消息发送转换可以发送消息J. Bigham等人理论计算机科学电子笔记121(2005)8793P0a>0.5T2P3T1P2a =0.5T3P1图二. 典型Petri网建模工作流程发送给MMI代理,主题为“工作已启动”。工作流的属性也将在转换启动时发送给接收代理。代理也可以向自己发送消息。此功能可用于启动工作流程或在另一个工作流程中设置可观察对象定时器转换定时器转换设置定时器或检查定时器是否已过期。定时器转换可用于执行周期性任务。普通跃迁普通的转换用于基于静态或动态属性路由工作流程。当工作流到达这些转换时,它们总是可触发的。一个简单的Petri网建模的工作流使用我们的接口到Bossa工作流引擎如图2所示。过渡T1有一个显式的OR分裂。变量a对于特定的工作流是全局的,但是对于其他工作流是不可见的当转换T1被触发时,根据T1的后条件的评估结果,位置P0的令牌将被转移到P1或P2。3.5构建贝叶斯网络贝叶斯网络是使用JavaBayes软件的图形功能以XML格式构建的[9]。EBayes软件[16]嵌入在相关代理中,在更新信念时使用贝叶斯网络中与工作流程中的转换相关联的节点。贝叶斯网络在来自异常检测器的传入消息与工作流程中的转换之间提供了联系。每个贝叶斯网络包含一个或多个可观测节点,对应于传入的消息。可观测量通过贝叶斯网络链接到相关节点94J. Bigham等人理论计算机科学电子笔记121(2005)87图三. 典型贝叶斯网络结构工作流程转换。查询与此相关的Petri网转换节点链接的贝叶斯网络节点中的信念,以查看转换是否应该在运行时触发。可观测量和跃迁之间的确定性关系被处理为退化的情况,其中概率为0,1.可观测节点不依赖于任何其他贝叶斯网络节点,因为它们直接由Safeguard系统的其他代理设置。图3示出了结构。不需要树结构;网络可以是非循环图。3.6混合工作流与贝叶斯网络相关性在我们的研究中,我们正在应用工作流来模拟和监控组织(如发电厂或电信运营商)内的正常和异常活动流据了解,许多工作流程尚未到位。来自不同异常检测器的消息被“推”到关联代理。它们中的每一个都有一个值true或false,这将用于在适当的工作流中设置贝叶斯网络中的可观察节点。(This可以推广,以便概率可以传递,但在当前实现中并非如此。)当重复的消息被发送时,最新的传入消息将更新相应的可观察节点到它的新值。这些消息由关联代理存储,以便在转换触发时检索消息的属性。通过这样做,我们能够在不同的时间和攻击的演变阶段将来自不同入侵检测代理的不同报告和警报关联起来一个简单而抽象的贝叶斯网络控制的工作流如图4所示(在第4节中,将说明工作流相关性的具体案例研究)。转换T1有一个显式的OR分割,它与J. Bigham等人理论计算机科学电子笔记121(2005)8795贝叶斯网络B1.来自不同异常检测器的传入消息更新B1中的可观察节点贝叶斯网络将计算出命题BTransition1的概率如果概率超过某个阈值,则转换T1将触发。然后place Place0中的token将根据属性a的值转移到相应的place。属性a是由工作流程引擎维护的内部变量。它的值可以通过来自其他代理的消息进行更改。此工艺路线将一直持续到工作流程结束。见图4。 工作流的贝叶斯网络在单个关联代理中可能存在数百个预定义的工作流类型,并且对于每个工作流类型,可能存在该工作流的多个实例同时运行。Bossa工作流管理系统处理并发和并行执行。4相关案例研究在这种情况下,蠕虫病毒进入电力控制中心Safeguard混合检测器代理和包装器代理检测一些后果,例如网络拥塞,扫描和文件修改。该信息被传递给关联代理。为 了 测 试 的 目 的 , 我 们 模 拟 了 两 个 蠕 虫 家 族 , 即 Code Red 和Slammer。这里只报告了后者。Slammer使用UDP进行传播,并将单个感染数据包发送到随机选择的IP地址。要控制传播速率,可以使用命令行参数设置选择此随机IP地址的范围。蠕虫仿真对电网的影响及防护对策96J. Bigham等人理论计算机科学电子笔记121(2005)87通过使用Network Probe来监测总的网络流量。蠕虫模拟最初在没有Safeguard的情况下运行,然后运行Safeguard,以便可以评估Safeguard响应的有效性。在Safeguard测试中,蠕虫中包含了一个字符串,并为Prelude IDS编写了一个签名,以测试Safeguard响应已知蠕虫的能力。Safeguard也在没有Prelude的情况下进行了测试,以评估检测和响应网络上未知蠕虫的能力。所有测试都是在一台机器上运行一个易受攻击的进程,在另一台机器上运行一个恶意进程。构造了一套与未知蠕虫检测机制相对应的工作流程图5所示的工作流程就是其中之一。圈出的节点是由未示出的关联网络触发的节点的示例。当有某种迹象表明(虽然不是确定的)蠕虫攻击时,此节点会被触发。其他活动用于等待和向MMI代理发送消息。链接的工作流程涉及监视可疑攻击主机的行为模式,以及针对每个可疑受害者机器初始化的另一个行为模式这些都是初始化的第一个迹象,然后他们建立攻击者或受害者的证据。所有的工作流都在关联代理中,并且同时运行。在图6中,示出了网络探测器的输出。电力网络上的正常传输大约为1 Mbit/sec。Slammer traffic导致traffic的增加和蠕虫的快速检测,但在这种情况下,来自Safeguard系统的杀死消息需要一段时间才能通过,以便消除最近的蠕虫进程。5结论和今后的工作目前正在建造一个原型系统,以提高大型基础设施的生存能力和可靠性,构建了系统各主体的模型。目前的工作是实施电力和电信领域的试验台,并对开发的技术进行评估。本文集中在我们的相关性的方法的一个方面。相关性是指综合各种异常检测器和IDS的信息并理解这些信息。信息被合成为可以在一段时间内延伸的攻击模式。事件发生的时间可能很重要。例如,扫描本身可能不被J. Bigham等人理论计算机科学电子笔记121(2005)8797图五. 蠕虫检测和消除工作流程98J. Bigham等人理论计算机科学电子笔记121(2005)87见图6。 网络蠕虫攻击及其对传输的影响这是非常重要的,但在一种可疑的攻击的背景下,它可以提供支持或矛盾的证据。已经指出了一个成功使用工作流程的例子这里没有描述的一个重要方面是创建各种各样的异常检测器,检测偏离正常。系统在正常操作下进行训练,然后检测与正常状态的偏差。这就是系统最初检测新类型攻击的方式。使用工作流是为了更进一步。对于已经分析的攻击模式,工作流程提供了一个确认和行动的框架。行动和信息的综合可以交织在一起。确认这项工作作为保障项目的一部分,得到了中央选举委员会的部分资助。非 常感谢我们的 合 作 伙 伴 AplicacionesenInformic'aticaAvanzada ( 西 班牙)、ENEA(意大利)、林口平 大学(瑞典)、S w is scom(CorporateTechnology)(瑞士)。弗兰克J。Wesslowski在电子工程系攻读硕士学位时开发了工作流软件的图形界面引用[1] Thomas M.Chen,http://engr.smu.edu/jietchen/papers/iec2004.pdf[2] Safeguard网站,URL:http://www.ist-safeguard.org[3] Layna Fischer(编辑),[4] 吴文辉,应用Petri网于工作流程管理,电路、系统与计算机学报,1998年,第21-66页。[5] 工作流程管理联盟网站,URL:http://www.wfmc.orgJ. Bigham等人理论计算机科学电子笔记121(2005)8799[6] Cosa 网站, 网址:http://www.transflow.com/english[7] OpenWFE网站,URL:http://www.openwfe.org[8] Bossa网站,URL:http://www.bigbross.com/bossa。[9] JavaBayes 网站, 网址:http://www-2.cs.cmu.edu/cnjavabayes/Home/index.html[10] 埃巴耶斯 网站, 网址:http://www-2.cs.cmu.edu/EBayes/index.html
我的内容管理
展开
