彭凌西，謝冬青，付穎芳，熊偉，沈玉利

（1. 廣州大學(xué) 計(jì)算機(jī)科學(xué)與教育軟件學(xué)院，廣東 廣州 510006；

2. 網(wǎng)絡(luò)與數(shù)據(jù)安全四川省重點(diǎn)實(shí)驗(yàn)室，四川 成都 611731；

3. 北京工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，北京 100124；

4. 仲愷農(nóng)業(yè)工程學(xué)院 計(jì)算機(jī)科學(xué)與工程學(xué)院，廣東 廣州 510225）

1 引言

入侵響應(yīng)系統(tǒng)的作用是在入侵檢測(cè)系統(tǒng) (IDS,intrusion detection system)對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果后，進(jìn)行適當(dāng)?shù)娜肭猪憫?yīng)[1]。入侵響應(yīng)技術(shù)是基于主動(dòng)防御思想的新一代的網(wǎng)絡(luò)安全技術(shù)，在保護(hù)網(wǎng)絡(luò)安全上具有十分突出的意義，是目前網(wǎng)絡(luò)安全技術(shù)發(fā)展的重要方向。

現(xiàn)有對(duì)自動(dòng)入侵響應(yīng)的研究資料或文獻(xiàn)相對(duì)較少，在這些研究中，F(xiàn)isch最早對(duì)入侵響應(yīng)分類進(jìn)行了研究，提出了以入侵被檢測(cè)到的時(shí)機(jī)以及響應(yīng)目標(biāo)進(jìn)行分類，該方法的缺點(diǎn)是考慮的因素不夠全面[2]。Curtis在此基礎(chǔ)上提出了更為全面的入侵響應(yīng)方式分類方法，該方法綜合考慮了攻擊的進(jìn)度、攻擊的類型、代價(jià)作為響應(yīng)決策的依據(jù)[3]。Wenke L提出了一種基于響應(yīng)代價(jià)作為響應(yīng)決策的依據(jù)，從而出現(xiàn)了基于成本敏感的響應(yīng)決策模型，但方法中響應(yīng)代價(jià)的量化方法過于粗糙[4]。Wu Y S等設(shè)計(jì)并實(shí)現(xiàn)了一種名為ADEPTS的自動(dòng)響應(yīng)系統(tǒng)模型，利用入侵有向圖對(duì)系統(tǒng)傳播風(fēng)險(xiǎn)進(jìn)行建模，并根據(jù)具體的攻擊效果來進(jìn)行適當(dāng)?shù)捻憫?yīng)[5]。Mu C P等提出了一種基于層次任務(wù)網(wǎng)絡(luò)計(jì)劃的入侵響應(yīng)決策模型，包括響應(yīng)決策制定過程以及決策響應(yīng)時(shí)間[6]。Cuppens等提出了一種基于上下文和本體方法入侵響應(yīng)方法，并定義了一套規(guī)則來執(zhí)行這種基于策略的入侵響應(yīng)[7]。張劍等提出了一種可回卷的自動(dòng)入侵響應(yīng)系統(tǒng)，該方法根據(jù)IDS檢測(cè)到的攻擊行為進(jìn)行響應(yīng)，待判定攻擊會(huì)話結(jié)束后進(jìn)行響應(yīng)回卷[8]。穆成坡等提出了一種基于模糊認(rèn)知圖的自動(dòng)入侵響應(yīng)決策推理機(jī)制[9]。吳姚睿等提出了一種通過關(guān)系圖建立攻擊群模型的方法，通過判斷攻擊序列重構(gòu)協(xié)同入侵行為的攻擊過程，并對(duì)攻擊行為做出響應(yīng)，從而達(dá)到最大程度地減少響應(yīng)成本的目的[10]。

從總體上分析，當(dāng)前自動(dòng)入侵響應(yīng)研究主要存在2個(gè)問題，首先是由于目前IDS普遍存在的高誤報(bào)率和漏報(bào)率，造成自動(dòng)入侵響應(yīng)系統(tǒng)難以判斷真正“危險(xiǎn)”的入侵或者攻擊行為，因而影響了入侵響應(yīng)決策的判斷。另外，目前國內(nèi)外提出的一些入侵響應(yīng)模型或方法，大多缺乏嚴(yán)格、全面、定量的數(shù)學(xué)模型，進(jìn)行動(dòng)態(tài)響應(yīng)策略調(diào)整，因而在具體應(yīng)用中存在很大的局限性。

計(jì)算機(jī)安全問題與生物免疫系統(tǒng)(BIS, biological immune system)所遇到的問題具有驚人的相似性，兩者都要在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性?；谌斯っ庖?AIS, artificial immune system)的網(wǎng)絡(luò)安全技術(shù)具有多樣性、自適應(yīng)、頑健性等特點(diǎn)，被認(rèn)為是一條非常重要且有意義的研究方向[11,12]。目前，在人工免疫應(yīng)用于網(wǎng)絡(luò)安全技術(shù)的研究中，Hofmeyr和Forrest等基于“自體—非自體”理論[13]，提出了一種通用的人工免疫系統(tǒng)實(shí)現(xiàn)架構(gòu)，并設(shè)計(jì)了一個(gè)計(jì)算機(jī)免疫系統(tǒng)(CIS, computer immune system)LISYS[14]，LISYS對(duì)后來CIS的研究產(chǎn)生了深遠(yuǎn)的影響，現(xiàn)今基本上所有的 CIS模型都是基于LISYS的結(jié)構(gòu)。著名免疫學(xué)家Matzinger提出了著名的危險(xiǎn)理論[15]，危險(xiǎn)理論指出，免疫系統(tǒng)中不只是進(jìn)行“自體—非自體”的識(shí)別，而是對(duì)受侵害組織的“危險(xiǎn)”發(fā)出危險(xiǎn)信號(hào)。由于現(xiàn)有計(jì)算機(jī)免疫系統(tǒng)模型存在的因自體空間巨大而效率低下的問題[16]，因此在相關(guān)的網(wǎng)絡(luò)安全技術(shù)研究中，有必要進(jìn)一步引入危險(xiǎn)理論，將識(shí)別原理從對(duì)“自體—非自體”的識(shí)別轉(zhuǎn)變?yōu)閷?duì)“危險(xiǎn)”的識(shí)別。

為使網(wǎng)絡(luò)信息系統(tǒng)能對(duì)真正具有“危險(xiǎn)”的入侵攻擊進(jìn)行響應(yīng)，降低入侵響應(yīng)系統(tǒng)響應(yīng)代價(jià)和響應(yīng)次數(shù)，基于危險(xiǎn)理論，本文在建立網(wǎng)絡(luò)安全環(huán)境下人工免疫系統(tǒng)的自體、非自體、免疫細(xì)胞等集合定義后，提出了一種新的基于網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)的自動(dòng)入侵響應(yīng)系統(tǒng)模型(AIRSDT, automated intrusion response system model based on danger theory)，該模型首先對(duì)網(wǎng)絡(luò)入侵或攻擊進(jìn)行實(shí)時(shí)危險(xiǎn)評(píng)估，實(shí)時(shí)定量計(jì)算各類攻擊和總體網(wǎng)絡(luò)危險(xiǎn)強(qiáng)度，然后據(jù)此自動(dòng)調(diào)整入侵響應(yīng)策略，解決了目前自動(dòng)入侵響應(yīng)研究中難以判斷真正“危險(xiǎn)”的入侵或者攻擊行為的問題，從而降低了入侵響應(yīng)次數(shù)和響應(yīng)綜合代價(jià)，理論分析和實(shí)驗(yàn)結(jié)果均表明，AIRSDT為自動(dòng)入侵響應(yīng)系統(tǒng)研究提供了一種有效的新方法。

2 模型理論

定義論域 D={0, 1}l，l為正整數(shù)，抗原集合Ag?D，自體集合 self?Ag，非自體集合Nonself?Ag， 有 Self∪Nonself=Ag，Self∩Nonself=?，其中Ag表示通過從網(wǎng)絡(luò)IP數(shù)據(jù)分組中提取的IP地址，端口號(hào)或協(xié)議類型等網(wǎng)絡(luò)事務(wù)特征的二進(jìn)制表示，Self集為正常網(wǎng)絡(luò)服務(wù)事務(wù)，Nonself集為來自網(wǎng)絡(luò)的攻擊。

用四元組＜d, age, count, s＞來描述免疫檢測(cè)器集合B，其中d為抗體基因，d∈D，age為抗體年齡，age∈N，count為匹配數(shù)，count ∈N，s為模擬“危險(xiǎn)理論”，檢測(cè)器受到攻擊后的“危險(xiǎn)性”，s ∈R，N為自然數(shù)集合，R為實(shí)數(shù)集合。免疫檢測(cè)采用海明距離、歐式距離、r-連續(xù)比特(r-contiguous bites)匹配函數(shù)[13]等計(jì)算方式。記憶檢測(cè)器集Mb為不與自體匹配且與抗原匹配數(shù)不小于β的免疫檢測(cè)器組成。定義成熟免疫檢測(cè)器集合Tb，由不與自體匹配且與抗原匹配數(shù)未超過匹配數(shù)閾值β的免疫檢測(cè)器組成，β ∈N。類似地，用二元組＜d, age＞定義未成熟免疫檢測(cè)器集合 Ib，Ib由抗體基因庫產(chǎn)生以及隨機(jī)生成。Ib在通過自體耐受，通過α個(gè)耐受周期并刪除那些識(shí)別自體抗原的未成熟細(xì)胞后，成為成熟免疫細(xì)胞，α ∈N。

AIRSDT首先對(duì)入侵或攻擊行為進(jìn)行檢測(cè)并評(píng)估，實(shí)時(shí)定量計(jì)算出主機(jī)和網(wǎng)絡(luò)所面臨的總體危險(xiǎn)和各類攻擊危險(xiǎn)，然后根據(jù)具體危險(xiǎn)數(shù)值對(duì)網(wǎng)絡(luò)入侵或攻擊行為進(jìn)行入侵自動(dòng)響應(yīng)或進(jìn)行響應(yīng)回滾。

2.1 入侵實(shí)時(shí)危險(xiǎn)評(píng)估

對(duì)一個(gè)輸入的抗原集合Ag，分δ代（δ為正數(shù)）進(jìn)行訓(xùn)練，每代選出一定數(shù)量的抗原組成sAg抗原集合，通過B集合的檢測(cè)把它分類為自體和非自體。具體過程分為以下3個(gè)階段。第一階段為0時(shí)刻到一個(gè)耐受期α結(jié)束的時(shí)刻，需要定義初始的自體集合Self(0)和未成熟細(xì)胞集合Ib(0)，后者經(jīng)前者耐受后成為成熟細(xì)胞。第二階段從α+1時(shí)刻到記憶細(xì)胞產(chǎn)生的時(shí)刻，為自學(xué)習(xí)階段，成熟細(xì)胞通過克隆選擇產(chǎn)生能識(shí)別大量不同非自體抗原的記憶細(xì)胞，而通過檢測(cè)被分類為自體的抗原最后送給未成熟細(xì)胞進(jìn)行耐受。第三階段從記憶細(xì)胞產(chǎn)生到系統(tǒng)終止，免疫系統(tǒng)各部件產(chǎn)生完畢，進(jìn)行實(shí)際環(huán)境中的檢測(cè)：記憶細(xì)胞檢測(cè)，成熟細(xì)胞對(duì)剩下抗原的檢測(cè)，最后未成熟細(xì)胞以剩余抗原為自體進(jìn)行耐受[12]。

每個(gè)記憶細(xì)胞對(duì)應(yīng)檢測(cè)某種攻擊，主機(jī)或網(wǎng)絡(luò)中的記憶細(xì)胞對(duì)檢測(cè)到的入侵或者攻擊抗原進(jìn)行實(shí)時(shí)危險(xiǎn)評(píng)估。從時(shí)間t-1到t時(shí)刻的單位時(shí)間內(nèi)，對(duì)每個(gè)記憶細(xì)胞x，如果與某個(gè)抗原g相匹配，即入侵或攻擊抗原，其危險(xiǎn)值s按式(1)增加。如果檢測(cè)到多個(gè)同樣抗原，則按式(1)對(duì)其危險(xiǎn)數(shù)值將進(jìn)行累計(jì)計(jì)算，表明該類攻擊威脅在持續(xù)增加，其中η1(＞0 的常數(shù))為初始的危險(xiǎn)數(shù)值，η2(＞0 的常數(shù))模擬獎(jiǎng)勵(lì)因子。

反之，如果該記憶檢測(cè)器在該時(shí)間間隔內(nèi)沒有檢測(cè)到入侵或攻擊抗原，則其危險(xiǎn)性按式(2)進(jìn)行計(jì)算。

設(shè)危險(xiǎn)指標(biāo)0≤rk(t)≤1為主機(jī)k在t時(shí)刻所面臨的危險(xiǎn)：rk(t)=1，表明當(dāng)前系統(tǒng)極度危險(xiǎn)；rk(t)=0，表明當(dāng)前系統(tǒng)沒有危險(xiǎn)。rk(t)值越大，表明當(dāng)前系統(tǒng)面臨的危險(xiǎn)越高?？紤]到各種主機(jī)的資產(chǎn)權(quán)重以及各類攻擊的危險(xiǎn)性不一樣，設(shè)定μi表示第i類攻擊的危險(xiǎn)性，對(duì)于主機(jī)k，t時(shí)刻面臨的第i (1≤i≤I)類網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全危險(xiǎn)rk,i由式(3)進(jìn)行計(jì)算：

對(duì)于某個(gè)主機(jī)k，t時(shí)刻整個(gè)主機(jī)的整體網(wǎng)絡(luò)危險(xiǎn)rk(t)通過式(4)進(jìn)行計(jì)算：

對(duì)整體網(wǎng)絡(luò)，其面臨的第 i類攻擊的整體網(wǎng)絡(luò)危險(xiǎn) Ri(t)，由所包含主機(jī)k(1≤k≤K)的分類危險(xiǎn)及其資產(chǎn)權(quán)重ωk以及所包含的子網(wǎng)n(1≤n≤N)的分類子網(wǎng)危險(xiǎn) Rn,i和資產(chǎn)權(quán)重ξn按式(5)進(jìn)行加權(quán)計(jì)算，而其中的子網(wǎng)還可以保護(hù)下一級(jí)子網(wǎng)，依此類推。

類似地，整個(gè)網(wǎng)絡(luò)系統(tǒng)的整體安全危險(xiǎn)R(t)，由主機(jī)的整體危險(xiǎn)rk、資產(chǎn)權(quán)重ωk以及所包含子網(wǎng)的整體網(wǎng)絡(luò)危險(xiǎn)Rn(1≤n≤N)和資產(chǎn)權(quán)重ξn進(jìn)行計(jì)算，如式(6)所示。

2.2 自動(dòng)入侵響應(yīng)與回滾

自動(dòng)入侵響應(yīng)取決于2個(gè)條件，即網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)與攻擊強(qiáng)度。當(dāng)網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)低于給定閾值時(shí)，檢測(cè)到的一些無關(guān)報(bào)警信息和虛假警報(bào)被忽略，不進(jìn)行響應(yīng)，對(duì)于檢測(cè)的一些攻擊信息，也通過網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)評(píng)估關(guān)聯(lián)起來，根據(jù)具體的網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)進(jìn)行響應(yīng)；而攻擊強(qiáng)度條件大于 0，則是為了避免該時(shí)間段沒有檢測(cè)到攻擊，而由于前一時(shí)間段遭受攻擊后，網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)數(shù)值較高，但現(xiàn)在攻擊已經(jīng)停止，這種情形則不需要響應(yīng)。

式(7)用于描述主機(jī)中入侵響應(yīng)的產(chǎn)生，主要來自2個(gè)方面：對(duì)主機(jī) k，當(dāng)主機(jī)的整體危險(xiǎn) rk(t)大于kθ(0＜kθ＜1)，并且主機(jī)遭遇所有的攻擊（假設(shè)主機(jī)中包含了i類攻擊）的攻擊強(qiáng)度大于Mk；當(dāng)主機(jī)遭遇的第 i類攻擊的網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn) rk,i(t)大于 δk,i(0＜δk,i＜1)，且主機(jī)遭遇的該類攻擊的攻擊強(qiáng)度大于Nk,i。

這2個(gè)方面所對(duì)應(yīng)的具體意義是，如果主機(jī)的整體危險(xiǎn) rk(t)及被攻擊強(qiáng)度分別超過了給定閾值，表明主機(jī)遭遇所有攻擊的危險(xiǎn)程度已經(jīng)影響了主機(jī)的安全運(yùn)行；而主機(jī)遭遇的某類攻擊的網(wǎng)絡(luò)危險(xiǎn)rk,i(t)且被攻擊強(qiáng)度分別超過了給定閾值，表明主機(jī)檢測(cè)到同類及變種網(wǎng)絡(luò)攻擊已經(jīng)具有“危險(xiǎn)”。

對(duì)于整個(gè)網(wǎng)絡(luò)，響應(yīng)動(dòng)作來自2個(gè)方面：當(dāng)網(wǎng)絡(luò)的整體危險(xiǎn) R(t)大于 θ’(0＜θ’＜1)，并且網(wǎng)絡(luò)中遭遇所有的攻擊（假設(shè)網(wǎng)絡(luò)中包含了i類攻擊）的攻擊強(qiáng)度大于 M；當(dāng)網(wǎng)絡(luò)遭遇的某類攻擊的網(wǎng)絡(luò)危險(xiǎn) Ri(t)大于 δi’(0＜δi’＜1)，并且網(wǎng)絡(luò)中遭遇的該類攻擊（第i類攻擊）的攻擊強(qiáng)度大于Ni，具體定義如式(8)所示。

類似地，這2個(gè)方面所對(duì)應(yīng)的具體意義是，如果網(wǎng)絡(luò)的整體危險(xiǎn)R(t)且被攻擊強(qiáng)度分別超過了給定閾值，表明網(wǎng)絡(luò)遭遇所有攻擊的危險(xiǎn)程度已經(jīng)影響了網(wǎng)絡(luò)的安全運(yùn)行；而網(wǎng)絡(luò)的遭遇的某類攻擊的網(wǎng)絡(luò)危險(xiǎn) Ri(t)及被攻擊強(qiáng)度分別超過了給定閾值，表明網(wǎng)絡(luò)檢測(cè)到同類及變種網(wǎng)絡(luò)攻擊已經(jīng)具有“危險(xiǎn)”。

在AIRSDT模型中，對(duì)于主機(jī)，只有在主機(jī)遭遇的整體網(wǎng)絡(luò)危險(xiǎn)和某類攻擊危險(xiǎn)，及被攻擊強(qiáng)度分別大于給定的閾值的時(shí)候才進(jìn)行入侵響應(yīng)；而對(duì)于整個(gè)網(wǎng)絡(luò)，只有在網(wǎng)絡(luò)遭遇的整體網(wǎng)絡(luò)危險(xiǎn)和某類網(wǎng)絡(luò)攻擊危險(xiǎn)，以及遭遇攻擊的攻擊強(qiáng)度大于給定的閾值的時(shí)候才進(jìn)行入侵響應(yīng)。由于模型通過計(jì)算網(wǎng)絡(luò)、主機(jī)以及分別的分類網(wǎng)絡(luò)攻擊的總體網(wǎng)絡(luò)危險(xiǎn)和攻擊強(qiáng)度來判斷是否進(jìn)行自動(dòng)響應(yīng)，因此模型能較好地解決Wenke L等提出的成本敏感模型[4]中難以應(yīng)對(duì)協(xié)同攻擊的問題。

Curtis對(duì)所有響應(yīng)方式進(jìn)行了概括，并將響應(yīng)方式分為基于主機(jī)的和基于網(wǎng)絡(luò)的響應(yīng)方式[3]，Curtis列出的11種基于網(wǎng)絡(luò)的響應(yīng)方式，結(jié)合其他文獻(xiàn)提出來的6種響應(yīng)方式，另外本文提出6種響應(yīng)方式，較全面的自動(dòng)入侵響應(yīng)方式如表 1所示。

在全部響應(yīng)方式中，1～4，12～13，17的響應(yīng)措施比較溫和，8～11，14，16，20的響應(yīng)措施比較嚴(yán)厲，其余的響應(yīng)措施介于兩者之間。其中 1～4，12～13，21～22的響應(yīng)措施屬于被動(dòng)方式，其他屬于主動(dòng)方式。8～11，14～15的響應(yīng)方式一般受到法律等因素的約束，而 5～7，14～16，20的方式能有效地阻斷攻擊。

AIRSDT根據(jù)網(wǎng)絡(luò)或主機(jī)所面臨的定量總體網(wǎng)絡(luò)危險(xiǎn)進(jìn)行自動(dòng)響應(yīng)，網(wǎng)絡(luò)危險(xiǎn)程度越高，響應(yīng)策略就越嚴(yán)厲，反之響應(yīng)策略相對(duì)溫和。在本文實(shí)驗(yàn)中，根據(jù)具體網(wǎng)絡(luò)危險(xiǎn)所采取的響應(yīng)策略如表 2所示，從表中同時(shí)可看出，對(duì)所有的攻擊，AIRSDT模型均采取了記錄該安全事件的響應(yīng)方式，另外在網(wǎng)絡(luò)危險(xiǎn)高于0.1時(shí)，AIRSDT均產(chǎn)生報(bào)警信息。在實(shí)際過程中，可根據(jù)網(wǎng)絡(luò)安全需要來設(shè)定具體的響應(yīng)策略。

表1 基于網(wǎng)絡(luò)的入侵響應(yīng)方式

表2 網(wǎng)絡(luò)危險(xiǎn)及建議采取的響應(yīng)策略

自動(dòng)響應(yīng)模型根據(jù)網(wǎng)絡(luò)危險(xiǎn)情況作出響應(yīng)策略，并采用消息機(jī)制的方式，將具體的自動(dòng)響應(yīng)策略發(fā)送給執(zhí)行響應(yīng)策略的主機(jī)或者網(wǎng)絡(luò)，其中發(fā)送的響應(yīng)消息Message為一個(gè)5元組，如式(9)所示。對(duì)上述22種響應(yīng)方式，對(duì)應(yīng)操作Action和相應(yīng)的回滾操作Action如表3所示，其中的字符“Φ”表示該操作為空操作。

在AIRSDT模型執(zhí)行自動(dòng)入侵響應(yīng)策略后，如果網(wǎng)絡(luò)或者主機(jī)的網(wǎng)絡(luò)危險(xiǎn)呈現(xiàn)上升的趨勢(shì)，表明網(wǎng)絡(luò)或者主機(jī)所遭遇網(wǎng)絡(luò)危險(xiǎn)越來越大，AIRSDT將采取更加嚴(yán)厲的響應(yīng)措施，避免信息系統(tǒng)進(jìn)入更加“危險(xiǎn)”的狀態(tài)，從而確保信息系統(tǒng)運(yùn)行安全。

表3 響應(yīng)操作及相應(yīng)回滾操作

對(duì)于主機(jī)，式(10)對(duì)主機(jī)進(jìn)行再次響應(yīng)的過程進(jìn)行了描述，其中Response (t+Δt)表示主機(jī)在t+Δt時(shí)刻再次進(jìn)行響應(yīng)，表明由于主機(jī)遭遇到更加嚴(yán)重的攻擊，系統(tǒng)將采取更加嚴(yán)厲的響應(yīng)措施。

類似地，對(duì)于網(wǎng)絡(luò)，式(11)對(duì)網(wǎng)絡(luò)進(jìn)行再次響應(yīng)的過程進(jìn)行了描述，其中Response’(t+Δt)表示網(wǎng)絡(luò)在t+Δt時(shí)刻再次進(jìn)行響應(yīng)，表明由于網(wǎng)絡(luò)遭遇到更加嚴(yán)重的攻擊，系統(tǒng)將采取更加嚴(yán)厲的響應(yīng)措施。

當(dāng)網(wǎng)絡(luò)危險(xiǎn)低于給定的危險(xiǎn)閾值后，AIRSDT則自動(dòng)撤銷所采取的入侵響應(yīng)策略，以免影響正常的網(wǎng)絡(luò)服務(wù)。

對(duì)于主機(jī)，式(12)對(duì)主機(jī)進(jìn)行自動(dòng)響應(yīng)回滾的過程進(jìn)行了描述，其中 Rollback(t+Δt’)表示主機(jī)在t+Δt’時(shí)刻進(jìn)行響應(yīng)回滾[8]，μk表示主機(jī)所面臨整體危險(xiǎn)進(jìn)行自動(dòng)響應(yīng)回滾的閾值，而ωk,i表示主機(jī)對(duì)第i類攻擊危險(xiǎn)進(jìn)行自動(dòng)響應(yīng)回滾的閾值。

對(duì)于網(wǎng)絡(luò)，式(13)對(duì)網(wǎng)絡(luò)進(jìn)行自動(dòng)響應(yīng)回滾的過程進(jìn)行了描述，其中 Rollback’(t+Δt’)表示網(wǎng)絡(luò)在t+Δt’時(shí)刻進(jìn)行響應(yīng)回滾，μ’表示網(wǎng)絡(luò)或者子網(wǎng)所面臨整體危險(xiǎn)進(jìn)行自動(dòng)響應(yīng)回滾的閾值，而ωi’表示網(wǎng)絡(luò)對(duì)第 i類攻擊危險(xiǎn)進(jìn)行自動(dòng)響應(yīng)回滾的閾值。

對(duì)于自動(dòng)響應(yīng)回滾策略，同樣采用消息機(jī)制的方式，如式(9)所示，將要執(zhí)行的自動(dòng)響應(yīng)回滾策略發(fā)送給具體執(zhí)行的主機(jī)或者網(wǎng)絡(luò)。

由于AIRSDT模型通過計(jì)算出實(shí)時(shí)網(wǎng)絡(luò)危險(xiǎn)和被攻擊判斷是否進(jìn)行響應(yīng)，因此具有響應(yīng)速度較快的優(yōu)點(diǎn)，對(duì)拒絕式服務(wù)具有一定的抵抗能力；另外，可以與防火墻很便捷實(shí)現(xiàn)聯(lián)動(dòng)，具有協(xié)同性較強(qiáng)的優(yōu)點(diǎn)；最后，在網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)低時(shí)，可以自動(dòng)進(jìn)行響應(yīng)回滾，因此具有資源利用率高等特點(diǎn)。

3 仿真實(shí)驗(yàn)

實(shí)驗(yàn)在廣州大學(xué)信息安全研究所的網(wǎng)絡(luò)安全實(shí)驗(yàn)室進(jìn)行，實(shí)驗(yàn)環(huán)境為100M的局域網(wǎng)，其中有計(jì)算機(jī)20臺(tái)，通過一個(gè)C類IP地址202.192.87.*連接到Internet，服務(wù)器的操作系統(tǒng)為Red Hat 9.0，服務(wù)器提供WWW，E-mail以及FTP服務(wù)，抗原定義為定長為從IP分組中提取的包含IP地址、端口號(hào)、協(xié)議類型、數(shù)據(jù)分組內(nèi)容等網(wǎng)絡(luò)事務(wù)特征的128位二進(jìn)制字符串。

3.1 自動(dòng)入侵響應(yīng)實(shí)驗(yàn)

為驗(yàn)證入侵響應(yīng)子模型的有效性，對(duì)網(wǎng)絡(luò)進(jìn)行了模擬的smurf攻擊實(shí)驗(yàn)，其中網(wǎng)絡(luò)整體危險(xiǎn)響應(yīng)閾值和分類攻擊響應(yīng)閾值θ’和δi’均分別設(shè)定為0.4。圖1和圖2分別給出了正常服務(wù)情況、通過AIRSDT進(jìn)行入侵響應(yīng)以及沒有響應(yīng)情況下3個(gè)狀態(tài)下的網(wǎng)絡(luò)流量和CPU利用率的對(duì)比情況。

圖1 3個(gè)狀態(tài)下的網(wǎng)絡(luò)流量對(duì)比

圖2 3個(gè)狀態(tài)下的CPU利用率對(duì)比

從圖1可看出在，從0s到12s之間，在沒有進(jìn)行入侵響應(yīng)情況下，受網(wǎng)絡(luò)攻擊的影響，網(wǎng)絡(luò)流量持續(xù)增加，相應(yīng)圖2中CPU利用率也隨之增高，而從12s到20s之間，隨著攻擊強(qiáng)度的繼續(xù)增加，網(wǎng)絡(luò)流量持續(xù)增高，相應(yīng)圖2中CPU利用率也持續(xù)增高。而在進(jìn)行入侵響應(yīng)的情況下，網(wǎng)絡(luò)流量和CPU利用率雖然都有所增加，但都比較穩(wěn)定。

對(duì)照?qǐng)D1和圖2看出，對(duì)AIRSDT進(jìn)行自動(dòng)響應(yīng)與不進(jìn)行響應(yīng)情況進(jìn)行比較，進(jìn)行自動(dòng)響應(yīng)后的網(wǎng)絡(luò)流量要比不進(jìn)行響應(yīng)流量小很多，CPU利用率要低出很多，但均比正常情況下略大，這是因?yàn)檫M(jìn)行響應(yīng)后，發(fā)送響應(yīng)消息增加了網(wǎng)絡(luò)通信量，而進(jìn)行響應(yīng)處理也略微提高了CPU利用率。

實(shí)驗(yàn)結(jié)果顯示，AIRSDT通過自動(dòng)入侵響應(yīng)，有效減小了網(wǎng)絡(luò)流量，并降低了CPU利用率。

3.2 同類響應(yīng)模型對(duì)比實(shí)驗(yàn)

為證明AIRSDT有效降低了入侵響應(yīng)代價(jià)，將AIRSDT與RARS模型[8]在入侵響應(yīng)次數(shù)，以及響應(yīng)代價(jià)等進(jìn)行綜合比較，RARS模型與自動(dòng)入侵響應(yīng)模型相比，已較好地降低了響應(yīng)代價(jià)。

安排網(wǎng)絡(luò)安全專業(yè)人員對(duì)網(wǎng)絡(luò)進(jìn)行一天的模擬攻擊，圖 3給出了檢測(cè)到的網(wǎng)絡(luò)攻擊強(qiáng)度與AIRSDT的網(wǎng)絡(luò)危險(xiǎn)曲線，其中的危險(xiǎn)曲線是傳統(tǒng)IDS和已有入侵響應(yīng)系統(tǒng)均不具有的功能，而A、B、C 3個(gè)點(diǎn)為系統(tǒng)的自動(dòng)入侵響應(yīng)點(diǎn)。對(duì)圖3進(jìn)行分析，從 8:30～9:30之間，系統(tǒng)遭遇了 portscan攻擊，盡管攻擊強(qiáng)度很大，但整體危險(xiǎn)數(shù)值并不高，只有 0.098，但檢測(cè)到的 portscan攻擊危險(xiǎn)數(shù)值為0.825，高于0.4，因此系統(tǒng)在A點(diǎn)進(jìn)行了入侵響應(yīng)。在11:00～11:30之間，系統(tǒng)遭遇了sshtrojan攻擊，盡管攻擊強(qiáng)度比較小，但由于該攻擊運(yùn)行攻擊者登錄到受害主機(jī)，系統(tǒng)危險(xiǎn)數(shù)值迅速增大到 0.488，故系統(tǒng)在 B點(diǎn)進(jìn)行了入侵響應(yīng)。而在 16:30～17:00之間，系統(tǒng)遭遇了appache2和smurf攻擊，這些攻擊屬于資源耗盡型攻擊，系統(tǒng)實(shí)時(shí)危險(xiǎn)增到 0.7，因此系統(tǒng)在C點(diǎn)進(jìn)行了入侵響應(yīng)。

圖3 網(wǎng)絡(luò)攻擊強(qiáng)度與危險(xiǎn)曲線

入侵響應(yīng)系統(tǒng)中的代價(jià)類型包括響應(yīng)撤銷代價(jià)RRCost、操作代價(jià)OCost、響應(yīng)代價(jià)RCost、損失代價(jià)為Dcost，設(shè)入侵響應(yīng)系統(tǒng)R的期望綜合代價(jià)為 TCost(R)，TCost(R)為所有代價(jià)的總和，入侵事件類型集合為E，則得到：

各類響應(yīng)代價(jià)的量化是一個(gè)難點(diǎn)，本實(shí)驗(yàn)中結(jié)合了Wenke L提出[4]的方法，另外將AIRSDT模型與RARS進(jìn)行響應(yīng)次數(shù)n，以及各類響應(yīng)代價(jià)的比較，得到的結(jié)果如表4所示。

表4 入侵響應(yīng)次數(shù)及響應(yīng)代價(jià)比較

表4的實(shí)驗(yàn)結(jié)果表明，AIRSDT與RARS模型進(jìn)行比較，由于AIRSDT能夠?qū)崟r(shí)準(zhǔn)確計(jì)算出系統(tǒng)面臨的“真正”危險(xiǎn)，并進(jìn)行自動(dòng)響應(yīng)，這樣不僅降低入侵響應(yīng)的次數(shù)，提高了入侵響應(yīng)的質(zhì)量，而且大大降低了入侵響應(yīng)的綜合代價(jià)。

4 同類研究對(duì)比

在自動(dòng)入侵響應(yīng)研究中，如何判斷整個(gè)網(wǎng)絡(luò)系統(tǒng)所面臨的總體危險(xiǎn)和各類攻擊的危險(xiǎn)情況，判斷真正具有“危險(xiǎn)”行為的網(wǎng)絡(luò)入侵或攻擊行為，進(jìn)行自動(dòng)入侵響應(yīng)一直是研究中一個(gè)比較難以解決的問題，本文在網(wǎng)絡(luò)危險(xiǎn)評(píng)估實(shí)時(shí)定量計(jì)算研究基礎(chǔ)上，提出了一種根據(jù)“危險(xiǎn)”的自動(dòng)入侵響應(yīng)系統(tǒng)模型AIRSDT，表5給出了AIRSDT模型與引言中一些模型進(jìn)行的比較。

從表5可看出，由于當(dāng)前已有的入侵響應(yīng)模型無法對(duì)系統(tǒng)面臨的整體危險(xiǎn)進(jìn)行計(jì)算，所指定的響應(yīng)策略只能被預(yù)先靜態(tài)指定，而AIRSDT結(jié)合了對(duì)系統(tǒng)整體網(wǎng)絡(luò)危險(xiǎn)進(jìn)行實(shí)時(shí)定量計(jì)算方法，從而能根據(jù)“危險(xiǎn)”情況進(jìn)行響應(yīng)決策，自動(dòng)調(diào)整入侵響應(yīng)策略進(jìn)行響應(yīng)回滾策略，這樣不但能夠降低響應(yīng)次數(shù)，而且達(dá)到了降低響應(yīng)代價(jià)的目的，因此，AIRSDT模型具有良好的自適應(yīng)性。

基于網(wǎng)絡(luò)危險(xiǎn)的自動(dòng)入侵響應(yīng)技術(shù)屬于積極主動(dòng)的網(wǎng)絡(luò)安全防御技術(shù)，當(dāng)系統(tǒng)面臨較高的網(wǎng)絡(luò)危險(xiǎn)時(shí)候，系統(tǒng)可以采用比較嚴(yán)厲的響應(yīng)策略，例如斷開入侵者連接或者攻擊入侵者，與已有自動(dòng)入侵響應(yīng)技術(shù)相比較，由于AIRSDT能準(zhǔn)確實(shí)時(shí)定量計(jì)算系統(tǒng)所面臨的危險(xiǎn)并自動(dòng)調(diào)整響應(yīng)策略，所以AIRSDT是對(duì)已有自動(dòng)入侵響應(yīng)技術(shù)的突破，對(duì)克服傳統(tǒng)網(wǎng)絡(luò)安全信息系統(tǒng)的技術(shù)缺陷，具有一定的理論意義和實(shí)際應(yīng)用價(jià)值。

表5 自動(dòng)入侵響應(yīng)同類研究對(duì)比

5 結(jié)束語

本文首次將生物免疫系統(tǒng)中的危險(xiǎn)理論應(yīng)用到自動(dòng)入侵響應(yīng)系統(tǒng)的研究中，提出了一種新的自動(dòng)入侵響應(yīng)系統(tǒng)模型AIRSDT，AIRSDT根據(jù)網(wǎng)絡(luò)危險(xiǎn)程度自動(dòng)調(diào)整響應(yīng)策略，使得網(wǎng)絡(luò)信息系統(tǒng)只對(duì)具有“危險(xiǎn)”的網(wǎng)絡(luò)入侵或者攻擊行為進(jìn)行響應(yīng)，這樣既保證了系統(tǒng)的運(yùn)行性能，又大大降低了自動(dòng)入侵響應(yīng)系統(tǒng)的綜合代價(jià)，從而提高了系統(tǒng)運(yùn)行的自適應(yīng)性，但是，根據(jù)網(wǎng)絡(luò)信息系統(tǒng)重要性程度，所采取的自動(dòng)入侵響應(yīng)策略有待進(jìn)一步的完善。

[1] 段雪濤, 賈春福, 劉春波. 基于層次隱馬爾科夫模型和變長語義模式的入侵檢測(cè)方法[J]. 通信學(xué)報(bào), 2010, 31(3): 109-114.DUAN X T, JIA C F, LIU C B. Intrusion detection method based on hierarchical hidden Markov model and variable-length semantic pattern[J]. Journal on Communications, 2010, 31(3): 109-114.

[2] FISCH E A. Intrusion Damage Control and Assessment: a Taxonomy and Implementation of Automated Responses to Intrusive Behavior[D].Texas A&M University, College Station, TX, 1996.

[3] CURTIS A C. A methodology for using intelligent agents to provide automated intrusion response[A]. Proceedings of the IEEE Systems,Man, and Cybernetics Information Assurance and Security Workshop[C]. New York, USA, 2000. 110-116.

[4] WENKE L, WEI F, MATTHEW M, et al. Toward cost-sensitive modeling for intrusion detection and response[J]. Journal of Computer Security, 2002, 10(1/2): 5-22.

[5] WU Y S, FOO B, MAO Y C, et al. Automated adaptive intrusion containment in systems of interacting services[J]. Computer Networks,2007, 51(5): 1334-1360.

[6] MU C P, LI Y. An intrusion response decision-making model based on hierarchical task network planning[J]. Expert Systems with Applications, 2010, 37(3): 2465-2472.

[7] CUPPENGS B N, CUPPENS F, AUTREL F, et al. An ontology-based approach to react to network attacks[J]. International Journal of Information and Computer Security, 2009, 3(3): 280-305.

[8] 張劍, 龔儉.可回卷的自動(dòng)人侵響應(yīng)系統(tǒng)[J]. 電子學(xué)報(bào),2004, 32(5):769-771.ZHANG J, GONG J. Rollbackable automated intrusion response system[J]. Acta Electronica Sinica, 2004, 32(5): 769-771.

[9] 穆成坡, 黃厚寬, 田盛豐. 基于模糊認(rèn)知圖的自動(dòng)入侵響應(yīng)決策推理機(jī)制[J]. 北京交通大學(xué)學(xué)報(bào), 2005, 29(2): 12-16.MU C P, HUANG H K, TIAN S F. Fuzzy cognitive maps for decision supporting automatic intrusion response mechanism[J]. Journal of Beijing Jiaotong University, 2005, 29(2): 12-16.

[10] 吳姚睿, 劉淑芬. 基于攻擊群模型的協(xié)同入侵的響應(yīng)方法[J]. 電子學(xué)報(bào), 2009, 37(11): 2416-2419.WU Y R, LIU S F. A response method for cooperative intrusions based on the attack group model[J]. Acta Electronica Sinica, 2009, 37(11):2416-2419.

[11] LI T. Dynamic detection for computer virus based on immune system[J]. Science in China, Series F: Information Science, 2008,51(10):1475-1486.

[12] 李濤. 計(jì)算機(jī)免疫學(xué)[M]. 北京：電子工業(yè)出版社, 2004.LI T. Computer Immunology[M]. Beijing: Publishing House of Electronic Industry, 2004.

[13] FORREST S, PERELSON A, ALLEN L, et al. Self-nonself discrimi-nation in a computer[A]. IEEE Computer Society Symposium on Research in Security and Privacy, Proceedings[C]. Los Alamitos, USA,1994. 202-212.

[14] HOFMEYR S, FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation, 2000, 8(4): 443-473.

[15] MATZINGER P. The danger model: a renewed sense of self[J]. Science, 2002, 296(5566): 301-305.

[16] ZENG J Q, LIU X J, LI T, et al. A self-adaptive negative selection algorithm used for anomaly detection[J]. Progress in Natural Science,2009, 19(2): 261-266.

[17] 張峰. 基于策略樹的網(wǎng)絡(luò)安全主動(dòng)防御模型研究[D]. 成都: 電子科技大學(xué), 2004.ZHANG F. Policy Tree Based Proactive Defense Model for Network Security[D]. Chengdu: University of Electronic Science and Technology, 2004.

[18] 王璐, 秦志光. 業(yè)務(wù)蜜網(wǎng)技術(shù)與應(yīng)用[J]. 計(jì)算機(jī)應(yīng)用, 2004, 24(3):43-45.WANG L, QIN Z G. Technology and application of production honeynet[J]. Computer Applications, 2004, 24(3): 43-45.