基于成本分析的自适应入侵响应系统.docVIP

基于成本分析的自适应入侵响应系统 　　[摘要] 自动入侵响应是一种有效的对付入侵的手段。本文介绍了成本分析理论，并将该理论应用于自动入侵响应中，设计了基于成本分析的自适应入侵响应系统，简述了该系统中各个功能模块，详细介绍了分析代理和成本分析代理的功能应用。 　　[关键词] 入侵响应 自适应 成本分析 　　 　　随着 计算 机 网络 的不断普及和 发展 ，网络入侵日益猖獗，作为一种对抗入侵的有效方法——入侵响应对保护系统安全性显得越来越重要。目前的入侵响应大都只是在入侵检测系统中实现，响应方式多为手动响应，因而响应能力受到一定限制。为了能够快速及时的响应各种入侵，人们研究了多种自动响应技术来响应入侵。 　　美国得克萨斯AM大学的Carver提出了一种基于代理的自适应入侵响应系统AAIRS，该系统能够快速及时的响应各种入侵攻击，并且考虑了各种环境因素并具有良好的自适应性，但不足之处在于AAIRS在做出响应决策的时候并没有考虑到成本代价问题，即入侵值不值得响应的问题，使系统为此付出很多不必要的代价。 　　本文首先对广泛应用的成本分析理论做了简要介绍，并结合自动入侵响应的方法特点，将成本分析理论应用于AAIRS中，构架了一个基于成本分析的自适应入侵响应系统CAIRS，重点研究该模型中的分析模块和成本分析模块，并对系统做了简要分析。 　　一、成本分析理论 　　所谓成本分析，简单地说，就是考虑付出与收获之间的代价平衡。对于入侵响应来说，也面临着同样的问题，这就是入侵响应的成本分析问题。 　　入侵响应过程中涉及的成本因素可以分为损失代价(Dcost)，即在响应系统不做响应，攻击对系统造成的损失；响应代价(RCost)，即系统对攻击做出响应所付出的代价。针对IDS检测到的具体入侵行为，如果其损失代价大于响应代价，即DCost≥RCost，则采取相应的响应措施；如果DCost　　二、CAIRS系统结构 　　基于AAIRS系统和成本分析原理，本文设计了一个基于成本分析的自适应入侵响应系统CAIRS,系统结构如图所示。 　　在该CAIRS中，多个IDS监视一个计算机网络系统并生成入侵事件报告。接口代理把事件表示成为统一格式，并依据对IDS以往误报或漏报的统计，赋予当前事件一个可信度值，将这个值与事件报告交给分析代理。为了生成一个比较合理的响应策略，分析代理会判定和分析该事件报告，并调用响应分类代理对攻击进行分类，同时调用策略规范以保证响应策略符合 法律 、道德、习俗以及资源等约束。成本分析代理接收分析代理传递的策略方案和响应分类代理传递的攻击分类，在此评估策略方案的响应代价和攻击造成的损失代价，比较代价大小，据此判定是对入侵不予响应，只传给记录器备份，还是将策略传给决策代理，调用响应工具库中的工具实施响应。在分析代理和决策代理中都引入了基于以往成功响应的自适应技术。 　　该系统结构中，分析代理和成本分析代理是最主要的两个部分，下面详细介绍这两个代理模块的结构及功能。 　　1.分析代理 　　分析代理的功能是调用策略规范和响应分类生成合理的响应方案，它包括一个判定部件和多个分析部件。 　　(1)判定部件 　　判定部件根据事件报告的时间和攻击类型，判断入侵事件是新的攻击还是原有攻击的延续。如果该事件是一次新的攻击，就创建一个新的分析部件，并将事件报告和相关的可信度传送给它。如果该事件是已有攻击的延续，则仅向原攻击对应的分析部件传送事件报告和可信度。 　　(2)分析部件 　　分析部件的主要功能是根据判定部件结果，通过调用策略规范和响应分类代理生成合理的响应方案。该方案包括一个或多个方案步骤(plan step)，支持每个方案步骤的策略(tactic)，以及支持每个策略的具体实施步骤(implementation)，简称PTI。对应于新攻击的新建分析部件，必须建立一个新的方案；对应于原有攻击的已存在的分析部件，检查其成功度和可行性改进方案。转贴于论文联盟 　　2.成本分析代理 　　成本分析代理主要功能是估算攻击带来的损失代价和响应攻击的响应代价，比较二者大小，采取不同措施。 　　(1)损失代价的估算 　　要对代价进行准确的估算，必须制定合适的代价规则，而攻击分类对于制定有意义的代价规则必不可少，将攻击分成不同的类别以便能把相似的攻击作为一类进行代价估算。Lindqvist使用入侵后果的严重性和被攻击目标的重要性来对攻击进行分类。SANS研究机构的主要负责人Northcutt便根据这种攻击分类，对一次入侵事件中的两个要素——攻击毁坏性和目标重要性，进行经验值赋值，然后将经验值相乘，从而得到入侵带来的损失代价。 　　本系统中入侵事件分类是采用的Carver的攻击分类方法，一次入侵事件由5个要素组成：攻击时间(Time)、攻击目标(Aim)、攻击类型