[摘要] 自動入侵響應(yīng)是一種有效的對付入侵的手段。本文介紹了成本分析理論，并將該理論應(yīng)用于自動入侵響應(yīng)中，設(shè)計(jì)了基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)，簡述了該系統(tǒng)中各個(gè)功能模塊，詳細(xì)介紹了分析代理和成本分析代理的功能應(yīng)用。

[關(guān)鍵詞] 入侵響應(yīng) 自適應(yīng) 成本分析

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷普及和發(fā)展，網(wǎng)絡(luò)入侵日益猖獗，作為一種對抗入侵的有效方法——入侵響應(yīng)對保護(hù)系統(tǒng)安全性顯得越來越重要。目前的入侵響應(yīng)大都只是在入侵檢測系統(tǒng)中實(shí)現(xiàn)，響應(yīng)方式多為手動響應(yīng)，因而響應(yīng)能力受到一定限制。為了能夠快速及時(shí)的響應(yīng)各種入侵，人們研究了多種自動響應(yīng)技術(shù)來響應(yīng)入侵。

美國得克薩斯AM大學(xué)的Carver提出了一種基于代理的自適應(yīng)入侵響應(yīng)系統(tǒng)AAIRS，該系統(tǒng)能夠快速及時(shí)的響應(yīng)各種入侵攻擊，并且考慮了各種環(huán)境因素并具有良好的自適應(yīng)性，但不足之處在于AAIRS在做出響應(yīng)決策的時(shí)候并沒有考慮到成本代價(jià)問題，即入侵值不值得響應(yīng)的問題，使系統(tǒng)為此付出很多不必要的代價(jià)。

本文首先對廣泛應(yīng)用的成本分析理論做了簡要介紹，并結(jié)合自動入侵響應(yīng)的方法特點(diǎn)，將成本分析理論應(yīng)用于AAIRS中，構(gòu)架了一個(gè)基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)CAIRS，重點(diǎn)研究該模型中的分析模塊和成本分析模塊，并對系統(tǒng)做了簡要分析。

一、成本分析理論

所謂成本分析，簡單地說，就是考慮付出與收獲之間的代價(jià)平衡。對于入侵響應(yīng)來說，也面臨著同樣的問題，這就是入侵響應(yīng)的成本分析問題。

入侵響應(yīng)過程中涉及的成本因素可以分為損失代價(jià)(Dcost)，即在響應(yīng)系統(tǒng)不做響應(yīng)，攻擊對系統(tǒng)造成的損失；響應(yīng)代價(jià)(RCost)，即系統(tǒng)對攻擊做出響應(yīng)所付出的代價(jià)。針對IDS檢測到的具體入侵行為，如果其損失代價(jià)大于響應(yīng)代價(jià)，即DCost≥RCost，則采取相應(yīng)的響應(yīng)措施；如果DCost

二、CAIRS系統(tǒng)結(jié)構(gòu)

基于AAIRS系統(tǒng)和成本分析原理，本文設(shè)計(jì)了一個(gè)基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)CAIRS，系統(tǒng)結(jié)構(gòu)如圖所示。

在該CAIRS中，多個(gè)IDS監(jiān)視一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)并生成入侵事件報(bào)告。接口代理把事件表示成為統(tǒng)一格式，并依據(jù)對IDS以往誤報(bào)或漏報(bào)的統(tǒng)計(jì)，賦予當(dāng)前事件一個(gè)可信度值，將這個(gè)值與事件報(bào)告交給分析代理。為了生成一個(gè)比較合理的響應(yīng)策略，分析代理會判定和分析該事件報(bào)告，并調(diào)用響應(yīng)分類代理對攻擊進(jìn)行分類，同時(shí)調(diào)用策略規(guī)范以保證響應(yīng)策略符合法律、道德、習(xí)俗以及資源等約束。成本分析代理接收分析代理傳遞的策略方案和響應(yīng)分類代理傳遞的攻擊分類，在此評估策略方案的響應(yīng)代價(jià)和攻擊造成的損失代價(jià)，比較代價(jià)大小，據(jù)此判定是對入侵不予響應(yīng)，只傳給記錄器備份，還是將策略傳給決策代理，調(diào)用響應(yīng)工具庫中的工具實(shí)施響應(yīng)。在分析代理和決策代理中都引入了基于以往成功響應(yīng)的自適應(yīng)技術(shù)。

該系統(tǒng)結(jié)構(gòu)中，分析代理和成本分析代理是最主要的兩個(gè)部分，下面詳細(xì)介紹這兩個(gè)代理模塊的結(jié)構(gòu)及功能。

1.分析代理

分析代理的功能是調(diào)用策略規(guī)范和響應(yīng)分類生成合理的響應(yīng)方案，它包括一個(gè)判定部件和多個(gè)分析部件。

(1)判定部件

判定部件根據(jù)事件報(bào)告的時(shí)間和攻擊類型，判斷入侵事件是新的攻擊還是原有攻擊的延續(xù)。如果該事件是一次新的攻擊，就創(chuàng)建一個(gè)新的分析部件，并將事件報(bào)告和相關(guān)的可信度傳送給它。如果該事件是已有攻擊的延續(xù)，則僅向原攻擊對應(yīng)的分析部件傳送事件報(bào)告和可信度。

(2)分析部件

分析部件的主要功能是根據(jù)判定部件結(jié)果，通過調(diào)用策略規(guī)范和響應(yīng)分類代理生成合理的響應(yīng)方案。該方案包括一個(gè)或多個(gè)方案步驟(plan step)，支持每個(gè)方案步驟的策略(tactic)，以及支持每個(gè)策略的具體實(shí)施步驟(implementation)，簡稱PTI。對應(yīng)于新攻擊的新建分析部件，必須建立一個(gè)新的方案；對應(yīng)于原有攻擊的已存在的分析部件，檢查其成功度和可行性改進(jìn)方案。

2.成本分析代理

成本分析代理主要功能是估算攻擊帶來的損失代價(jià)和響應(yīng)攻擊的響應(yīng)代價(jià)，比較二者大小，采取不同措施。

(1)損失代價(jià)的估算

要對代價(jià)進(jìn)行準(zhǔn)確的估算，必須制定合適的代價(jià)規(guī)則，而攻擊分類對于制定有意義的代價(jià)規(guī)則必不可少，將攻擊分成不同的類別以便能把相似的攻擊作為一類進(jìn)行代價(jià)估算。Lindqvist使用入侵后果的嚴(yán)重性和被攻擊目標(biāo)的重要性來對攻擊進(jìn)行分類。SANS研究機(jī)構(gòu)的主要負(fù)責(zé)人Northcutt便根據(jù)這種攻擊分類，對一次入侵事件中的兩個(gè)要素——攻擊毀壞性和目標(biāo)重要性，進(jìn)行經(jīng)驗(yàn)值賦值，然后將經(jīng)驗(yàn)值相乘，從而得到入侵帶來的損失代價(jià)。

本系統(tǒng)中入侵事件分類是采用的Carver的攻擊分類方法，一次入侵事件由5個(gè)要素組成：攻擊時(shí)間(Time)、攻擊目標(biāo)(Aim)、攻擊類型(AttackType)、攻擊者類型(AttackerType)和事件可信度(Reliability)。這樣的攻擊分類法比較詳細(xì)具體，更適合于本系統(tǒng)。借鑒Northcutt的代價(jià)估算方法，將Carver的事件分類中的5個(gè)要素分別賦以合適的經(jīng)驗(yàn)權(quán)值，如表1所示，使用公式(1)得到損失代價(jià)：

DCost＝Time×AttackType×AttackerType×Reliability×Aim (1)

(2)響應(yīng)代價(jià)的估算

本系統(tǒng)中響應(yīng)代價(jià)包括兩部分：響應(yīng)分析代價(jià)和響應(yīng)執(zhí)行代價(jià)，最終的響應(yīng)代價(jià)就是二者之和。

分析代價(jià)是生成一個(gè)PTI方案的代價(jià)，一個(gè)PTI中包含響應(yīng)計(jì)劃，響應(yīng)策略和具體實(shí)施響應(yīng)步驟，求PTI是一個(gè)計(jì)算機(jī)分析判斷的過程，付出的是計(jì)算機(jī)分析判斷消耗的資源代價(jià)。與前述損失代價(jià)估算方法類似，將每個(gè)Plane， Tactic和Implementation都分別賦以合適的經(jīng)驗(yàn)權(quán)值，代表為求解每步所付出的分析代價(jià)，如表2所示，然后使用公式(2)求得到一個(gè)生成PTI的代價(jià)：

PTI＝P[i]×T[j]×I[k]（2）

執(zhí)行代價(jià)是按照具體實(shí)施步驟I[k]執(zhí)行響應(yīng)所付出的代價(jià)，賦經(jīng)驗(yàn)值記為I′[k]。最終響應(yīng)代價(jià)為響應(yīng)分析代價(jià)和響應(yīng)執(zhí)行代價(jià)之和，即RCost＝PTI＋I(xiàn)′[k]。

(3)代價(jià)比較

估算DCost和RCost之后，比較二者大小，如果損失代價(jià)大于響應(yīng)代價(jià)，則將響應(yīng)方案傳遞給決策代理來執(zhí)行方案，同時(shí)將此次事件的方案傳給記錄器，進(jìn)行歷史備份；如果損失代價(jià)小于響應(yīng)代價(jià)，則不采取任何響應(yīng)措施，只是將此次事件及方案傳遞給記錄器進(jìn)行歷史備份。這樣可以避免很多不必要的代價(jià)損失。

三、系統(tǒng)分析

本文設(shè)計(jì)的CAIRS系統(tǒng)是在Carver等人的AAIRS系統(tǒng)基礎(chǔ)上，進(jìn)行改進(jìn)構(gòu)建的。CAIRS保持了AAIRS原有的自適應(yīng)性，而且還添加了成本分析部件，能夠合理有效的利用資源。

CAIRS系統(tǒng)之所以能實(shí)現(xiàn)自適應(yīng)性，是因?yàn)樵贗DS檢測和響應(yīng)這兩方面具有不確定性，這通過接口代理中可信度的修改和分析代理中成功策略方案的加權(quán)實(shí)現(xiàn)。

成本分析代理中，借鑒了Northcutt的代價(jià)估算方法，提出了一種適于本系統(tǒng)的代價(jià)估算法，對損失代價(jià)和響應(yīng)代價(jià)進(jìn)行估算比較，這樣，系統(tǒng)就能比較有效地利用有限資源。

四、小結(jié)

本文介紹了基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)的各個(gè)功能模塊，并做了簡要分析。該系統(tǒng)能夠基本實(shí)現(xiàn)及時(shí)，靈活，自適應(yīng)的入侵響應(yīng)，并且通過對響應(yīng)成本的分析比較，能夠合理有效的利用有限的系統(tǒng)資源。今后將重點(diǎn)研究損失代價(jià)和響應(yīng)代價(jià)經(jīng)驗(yàn)值的估算，有利于系統(tǒng)做出響應(yīng)與否的準(zhǔn)確判斷，使系統(tǒng)更加完善。

參考文獻(xiàn):

[1]GARY R．WRIGHT W．RICHARD：TCP/IP詳解[M].北京:機(jī)械工業(yè)出版社，2000

[2]ANDREW S．TANENBAUM:計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社，2000

[3]SEAN CONVERY：網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].北京:人民郵電出版社，2005