（计算机应用技术专业论文）自动入侵响应系统的研究.pdf

北京交通大学博士学位论文 摘要 目前，计算机网络已经逐渐成为各行各业的基础性设施，网络安全涉及社会 经济生活各个领域。信息与网络安全已上升为一个事关国家政治稳定、社会安定、 经济有序运行的全局性问题。由于网络带宽的增加、新的网上应用业务不断推出 以及网络攻击技术的快速发展，都对网络安全系统和相关技术提出了新的挑战。 在这样的安全形势下，原来的资源访问控制、防火墙隔离等静态安全防御技术已 经不能满足安全需求，网络安全的重要发展趋势之一是综合运用入侵检测、入侵 响应、系统漏洞预先发现和安全风险评估等动态防御技术。本文通过对自动入侵 响应系统及其相关问题的研究，取得了如下几个方面的研究成果： 1 、提出了一个入侵报警综合处理模型和多种报警处理方法。这些方法包括： 自适应报警的聚合算法；基于多层模糊综合评判的报警验证算法；基于模糊综合 评判的报警关联算法；有监督的报警确信度学习算法。通过这些方法对报警进行 综合处理，提升了报警信息质量，降低了误报率、漏报率和重复报警率，重建攻 击过程，并提供多种综合性参数( 报警线程中的报警数量、报警种类数和相关度 等1 ，为准确在线的风险评估和正确响应决策打下了基础。此外，本文对i d s 报警 进行了分类和分析，并对各种现有报警处理算法的特点进行了阐述。 2 提出了一个从服务、主机到网络的层次化在线风险评估模型。在服务层次 上，利用了报警综合处理过程中产生的各种客观参数，提出了基于d s 证据理论 的风险指数计算模型，结台目标风险分布，可以准确地评估被攻击服务的风险状 态；在主机层次，提出了基于木桶原理的风险评估方法；在网络层次，提出的安 全依赖网络( s e c u r i t yd e p c n d c n c yn e t w o r k ，s d n ) 概念，并定义了s d n 的性质， 利用改进的风险传播算法完成网络层面风险的评估。将层次化在线风险评估模型 引入到自动入侵响应系统中，有利于系统应用响应策略，进行响应优化，减少误 响应风险和响应负面影响，增加了响应系统的自适应性。 3 提出了一个入侵响应规划模型。包括：基于层次任务网络h 1 m ( m e r a r c h i c a l t a s kn e t w o r k ) 规划的自动入侵响应规划方法；响应时机概念与响应时机决策模型 响应措施决策模型。响应规划模型可以有效地应用响应策略实现多种响应目的， 能够很好地平衡响应的有效性与响应负面效应之间的矛盾，进行整体上的优化响 应，有助于解决响应措旅之间的互补性与兼容性等问题。此外，本文对响应决策 中所涉及的因素进行了详细的分类、分析和统计，从而为响应决策模型合理选择 北京交通大学博士学位论文 a b s t r a c t c o m p u t e rn e t w o r k sh a v eb e c o m eam i s s i o 一c r j t j c a li n f a s t r u c t l l r ef o rg o v e m m e n t s ， c o m p 趣n i e s ，i n 啦渤荫o n s ，张畦m 诖l 妇勰o f 黼e f s + 橡) w “e r ，as 黔i 蠡c 甜媾i 嘟e 氇s e 纽蛙婶 n u m b e ro fc o m p u t 娌s c c h 矗母i n c i 出n t s # a c hy e a ri s 抽d i c a t 甜b y 魄ea n n u a l 辑p o 姓 f 如mt h ec o m p u t c re m e r g e n c yr e s p o n s et c a m ( c e r l ) m e a n w h i l e ，n e wn e t w o r k a l 攀l 奴箍圭主。拄s 箍f eg o w i n gw 主垂ht h e 瓣e 臻a s 嚣。f 萎掌e w o f kb a 嚣d w i d 矗s c l 毽襄垃n ga0 0 l n p l 棼x a n dh i 咖l yd y n a m i cn e 脚甜k0 fs y s t e m s f a c i n gt h ec h a l l e n g e ，p a s ts t a t i cn e 时甜k s e c u r i t yt e d m 互q u e s ，s u c ha s 丘f c w 砸l se t c ，c a n 髓0 tm e o tt h er e q u i r c m e n t so fp r e s e n t n e t w 时嫩s e c u d t ya n yl o g e l 弧ed e v e l 印m 强t 蚍n do f 魏e 撕o 嫩s e c u d yi s 幻a p p l y d y n a m i cn e m o r ks e c u r i t yt e c h n i q u e sc o m p r c h e n s i b l y i n c l u d i n gj n t r u s i o nd e t e c t i o n ， l 嚣锻l s l f 嚣p o 鑫s e ，v 拄k 嚣a _ b l i 玲黼s 鼯s 热e n l 鞠d 鳃l 珏e 矗s ka s 8 e s s 国妫娃e t c 转磊sc ，区冁 d e t a i l e da n a l y s i sa j l df i l l lu n d e r s t 卸d i n g0 fa u t o m a t e dj l l t n i s i o nr o s p o s es y s t e m s ( a i r s s ) ，s o m ea c h i e v e m e n l sa b o u t a j r sa r eo b t a j n e di nm i sd i s s e r t a 蛞o na s 1 0 n o w s ： ( 1 ) a 糙o d e l 抽a lc 技nd e e p l yp f o c e s s 司最睦sf o m 挪h l | i p l e 扭鼬l s i o nd e t e c 主o ns y s e 掇s ( i d s s ) i sp r e s c n t e d 弧“ea r em a n yf a l s ep o s i t v ea l e n s ，f a l s en e g a t i v ea l e r t sa n d d 峰巍a 拓a l e 恕擎箍髂撩羽毋蹦l 托盎量| 羚s s ，w 蠢i 馥w o u l d 糖币e c 主w l ye 鑫狂s e 谯l s e p o s i t i v er c s p o n s c s ，f a l s en e g a t i v e 心s p o n s e sa i l du i l i l e s s a 叮f e s p 咖s e si na na 瓜s ，a c 伽叩r e h e n s i v ea p p r o a c h ，j n d u 幽g 村瞅a g 掣e g a 矗呲，a l e f tc o n f i d e c cl e a m i n 岛a l e r t v 商最姚t i o n ，鞠da l 峨c o 嬲越鳓，i s o p o s e d 弧e 蛆酬耋量腿s 龆m 薹 堇e 黼n te 鲇h o t h e ra j l dl e a dt ob e t t e rr e s l l l t sl h a i la8 细口ea p p m a c hi i l 削s ep 0 8 i t i v ea l e n ，蜘s e 鞋e g 舔v ea l 饿a 藏矗d u 瘁i 龆| e 蠢蛾f 耐u c 垂i 鞠。髓ea d 箍撵 v e 越e 矗a g g | c g a l o 珏c 越 e f 托c h v d ya g 萨e g a t ed u p l i c a t ea l e r t sa n dr e d u c en c t w o r kt r a 麟cc a u 8 e db y _ 【1 1 e m t h e a l g 碱m m s0 ft h ea l e nv 确矗c a t i o na n da i 糠c o h e l 嘶傩a r eb 勰e do nd i 鼢鼢tf u z z y m p r 曲铭s i v 。e v a l u a 蛀o nm o d e l s 搬a 圭c 黼d e a 王w 蛙n n c e n 垂n 娃e sw o l i 。m o s tn o a b l y t h ea i c np r o c e s s i gm o d e lc a nc o n s t n l c ia i l l t r u s i o ns c e n a r i op f o d u c e db yas i n 烈e 韪e 毒d fa 虢dp f o v i d es 雌ec o 啪p o 隧娃p a r a 聪o l e f s ，瓣穗a sa l 雕烈e v 8 王l c es c o f e se | c ，璩嚣t c a nn o d 沁c | l yo b t a i n e dh o m 硼g i n a la l e ns t r e 黼b o t hj n 拓u s i o ns c e n a i i o sa n d 也c s e c o m p o u n dp a r a m e t e f sc o n v e ym u c hm o r ei n f o 掰l a 石o nt h a ni s o l a t e di d sa 王e r 招，a l i d 乎硼am o f e 湘p l 巷ep i c l 糕托越 a c 虹黼df a v 激蠡撼e fo 珏l 妇e 疸s ka s s e s s 壤l 鞠d i n t 九i s i o nr e s p o n s ed e c i s j o n _ m a l 【i n g m a b s t r a c t ( 2 ) ah i e r a r c h i c a lo n i i n ef i s ka s s e s s m e n t m o d e jj s p m p o s e d ，w h i c hc a na s s e s s r e a l - t i m er i s k sc a u s e db ya no n g o i n gi n t n l s i o ns c c n a r i oa ts e r v i c el e v e l ，h o s t l e v e la n d n e t w o r kl e v e l d se v i d e n c et h e o r yi su s e dt of u s em u l t i p l ev a r i a b l e so fa i la l e r tt h r e a d t og e tt h er i s ki n d e xa ts e i c el e v e l t h er i s ks i t u a t i o na tt h es c r v i c el e v e l0 fah o s ti s e v a l u a t e db yc o m b i n i n g l 】er j s k i 1 1 d e xw j t bt h et a 增e tf i s k 如埘b u t i o nc h a r a c t e r d e t e 加i n e db yt h ei m p o r t a n c co fa n a c k e ds e r v i c e s ar i s ka s s e s s m e n ta p p r o a c hb a s e d o nt h eb a e lp r i n c i p l ei sp r o p o s e dt oe v a h l a t et h er i s ks i t u a t i o na th o s t1 e v e l t h e s e c u r i t yd e p e n d e n c yn e t w o r k ( s d n ) c o n c e p ta 1 1 di t s r r e s p o n d i n gp r o p e n i e sa r e d e f i n e di nt h ed i s s e n a t i o n a ni m p r o v e da l g 耐t h mo fr i s kp r 叩a g a t i o ni su s e dt o a s s e s st h er i s ks i t u a t i o na tn e t 、v o r k1 e v e l _ t h ep r o p o s e d 蠲s e s 锄e ta l g o r i t h m sc a n d e a lw i t ht h ep r o b l e m so fs u b j e c t i v i t y f i l z z i n e s sa n du n c c n a i n t yw e l l 1 1 1 e h i e r 盯c h i c a lr i s ka s s e s s m e n t 舀v e s a s t m n gs u p p o r t t oi i l m l s i o r c s p o n s e d e c i s i o n m a k i n g ( 3 ) t h j sr e s e a r c hp r e s e n t san o v e jj n t n l s i o nr e s p o n s ep l a 助j l 】gm e t l l o d o 】o g yj nw h j c h t h eh i e r a r c h i c a lt a s kn e t w o r k， al 【i l o w l e d g c - b a s e d p l a n n e r ， i su s e d t h e r e s p o n s et i m ed e c i s i o 一m a l 【i n ga n dt h er e s p o n s em e 踮u r cd e c i s i o n m a l 【i l l ga f et w oo f m a j o rp r j m j t i v er e s p o n s et a s k s t h em e t h o d o l o g yo fr e s p o n s et i m ed e c i s i o n - m a l 【i n gi s f i r s t l yp r e s e n t e di nt l l er e s e a r c h ar e s p _ 0 n s es t r a t e g yc a nb ef l l s e di l l t oar e s p o n s ep l a n w i t has p e c i f i cr e s p o n s e9 0 a lb e c a u s er e s p o n s et i m e sc 柚c o n v e yt e m p o r a lc o n s t r a i n t s t h er e s p o n s em e 髂u r ed c c i s i o n ma ：k i gc 卸o p t i n l i z ear e s p o n s ep l 柚b yb a l a i l d n gt h e r e l a t i o n s h i pb e 撕e e nt l l en e g a t i v ei m p a c ta i l dt l l ep o s i t i v ee f c c t i v e n e s sf o rb o t ha s i n 出er c s p o s em e a s u r ea n dac o l l e d i o o fr e s p o n s em e a s u r e s i na d d j t i o ，t l l e a p p r o a c ht a k e st h ec o m p a t i b m t y 粕dc o m p l e m e n t a r i t yb e 腑e e nd i f f c r e tr e s p o n s e m e a s u r e sj t oa c c o u n t t h cr e s p o n s ep l a i l sg e n e m t e d 丘o mt h ea p p m a c ha r ea d a p t i v e ( 4 ) ap m t o t y p ec a l l e di n t n l s i o nd e t e c t i o na l e r tm a n a g e m c n t 锄di n t n l s i o r e s p o n s e s y s t e m ( d a m & i r s ) h a sb e e nd e v e l o p e da c c o r d i i l gt ot h er c s e a r c h n ed i s t r i b u t e d a r c h i t e c t u r eo fi d 蝴i r ss m 0 0 t h l yi n t e g r a t e sd i 脏r e n ts e c i l r i t yt o o l sa n dm o d u l e s t o g e m e r i d a m i r sc a na c h i e v ed i v e r s ef 骼p o n s eg o a l ss e tb ya d m i n i s t r a t o r sa i l d p r o v i d ed y n a m i ca n dd e e pd e f e n c ea g a i n s td i f i e r e n ta t t a c k s k e yw o r d s ：n e t w o r ks e c u r ：i t y a u t o m a t e di n m l s i o nr e s p o n s e ，i n t m s i o nd e t e c t i o n ， a l e nf u s i o n ，舢e r tc o h e l a t i o n ，o n l i n er i s k 缸s e s s m e n t ，r e s p o n s ed e d s i o n m a l 【i 舀 f l l z z yc o m p r e h e n s i v ee v a l u a t i o n ，d se v i d e m i a l 髓c o h i 洲圳c a lt a s kn e 锕o r k p l a i l n i i l g i v 独创性声明 本人声明，所莹交的博士学位论文是我个人在导师黄蓐宽教授指露下进行的 研究工作及取得的研究成果。尽本人所知，除了文中特别加以标注和致谢的地方 羚，论文中不含其德入已经发表或撰写过靛辑究成果，墩不包含为获褥北京交通 大学或其绝教学梳构的学位或诞书而使用遵的材聿辜。与我一弼工作静丽志对本文 研究所做的任何擞献均已在论文中做了明确的说明并表示了谢意。 本人签名：镌未懒期：弘哟不多z 关于论文使用授权的说明 零人完全了勰北京交通大学有关保留和使用学位论文的规定，即：学校有权 傈蘩送交论文懿襄窜锌，完诤惫爨纛詹烫论文；学校可敬公鸯论文静全帮蓑邦分 内裙，可以采用影印、缩印或其它复制手段保存论文。 本人签名 导师签名 藏衮交逢大学撼奎学位论文 响应是这一循环中必不可少的重要环节。 d d 警蠛o 聃圈1 2 p 袖r 模型b y n 锺m i ca d 曲p t i v e 戢meb$ed潮络安全众业界最近所推出入侵胁御系统i p s ( i n t r u s i o n prevention syste琢)囊入侵镣瑾系统l淞(intrusion酝黼ge赫ents y s t e 臻) 邀表嚣了瘸络安全 技术走向动态防御的发展趋瓣，显示了入侵响应技术的麓要性和必骤性。实质上 ips并没有脱离ids的检测技术，只不过使用了多重入侵检测机制和粒度更细的 筑粼，宅羁s簸大区裂在予增强了天餐嘲痘壤裂。露i褥也是戳游受棱心， 协调响应，实现了网络系统的动态、纵深防御。 掰以，不谂建用户需求述怒稠络安全技零趣发震趋势帮表鹱了慰予自动入侵 系统的一部分，实际上两者既紧密相关，又相对独立。两者在目标、功能上有明 照驹区分，在模澎和实现方法也有很大不阏，翦者通过澍原始数据的分类，目的 怒发瑗异常活麓鞫入霞，嚣器逶遥对入侵缀警靛融合等齄瑾霞菇爨蜜入侵遘程 mu06c，从而能够对入侵过糕进行合适的响应，达到保护目标系统的目的。自动 入侵响应所涉及相关技术不但可以用于提辩ids的入侵防御效果，对于改善ips 纛稻毪缝嚣糕蒸有重要意义。 从技术角廉来看，对予研究自动入侵响应系统的意义主要体现在以下两点： (1)解决了及时响应问题。从ids检测别入侵到实施入侵响应有一个时间差，我们称这一簿麟夔为骧应对耀密墨( r e s p 。n s et i 琢e 髯i n d o 警) ，对予逶躲类型稻半 岛渤类型的入侵响应系统，稀簧网络管理人员对报警的信息进行手工分析，然后 根据具体情况避 行响应决策，并实施响应，所以其响应时间窗口短则几分钟，长 哭8 几个小时甚至几天。丽这一对闻密日越妖，入侵豹成功率越高，入侵所造成妁 损失越大l s 幽c k 嘲。f r e de 幽e n 模熬了嫡应辩阕窝瑟对成功入侵的影响 s 北京交通大学博士学位论文 方法，只根据攻击类型决定响应措施，而这样简单的决策模型，缺乏推理，自适 应能力差，使响应达不到最佳的效果。只拍 鞘陵磴踟u 戮卦蚴翮糖淄鞫翻囝砭 檎鞯i 韩瓣稀潞鲻醴爨纛稽毋。酾鸶害妄芏盖盘韪搬麓攀姜鹫窿；悭廷遂崖燃潲隧 茹蘸重啦稀缔型穗永誊褥箜撕蛐鞠媳鲫朔酮蠢一 ；i i 勰蛳芽玉钮琶蕊浆骅职聪塑尊鞑藩j 冀豁赫酥甑醛甑耥鳇熬+ 默譬羹解决响应决策中的很多不确定 阉题，只戆够进行单一嫡痘播旌豹决繁，没有晦皮 瓣椒决燕识铡，响应鹃对 象是孤立的攻击动作，不能制定针对攻击过程的晌斑方案。 没有响应决策的自适应的调整机制。 此外，g 前所如现的大部分关于e i t r a 的文献，主要介绍豹是c i t 融豹结构、 缀成和相关蓊懋愆，并没有绘出实嚣魏舞舔算法。 ( 2 ) 同样鼹到d a r p a 瓷助，由n a i 宓验室进行的熬于主动网络的入侵阻断 系锣ei ba n ( i n t r u s i o nb l o c k e ro na c t i v en e t _ r ( s ) f c 瓢川t e f 0 2 1 。主焉0 嗣( a c t i y e n e 专w o矗s ) 楚遴鬈来嚣舔上溺终磅究懿裁沿漾题，荚蘸惫簸擎由酸r l p 予l 0 4 至 1 9 9 5 年在讨论网络系统的发髓方向中提如来的。筒而荫之，主动网娃；l 一组被称 为斑动节点的网络节点构成陬蚰e n 9 7 】，每个主动节点可以是路由器或交换机，其 “患动牲”有鼹艨含义：交换设鍪对溅经戆蘑户数攘进行整理；翅户逶过 将稷序注入网络，来定制更基有针对性的数据处理过穗。主动网络可加速网络结 构的更新，使得用户可以参与网络保护，辩提供智能化网络管理。i b a n 必须运 行农主动赠络环境孛，由管聪终端、移动濑澜扫接器秘穆动入侵阻麟器组成。管 怒终端负责提莰褥形纯酌溺产界覆，裙始纯扫描器稳融鞭器戬及满瓷搬警售怠。 管理终端发送移动扫描程序到合适的地点以发现系统中可能存在的漏洞，然后移 动阻断器移动到距离带有漏涧主机最近的节点( 路由器) 进行防卫燃检测，一旦 发璇锤辩蘧潺漏豹攻毒，裁霹疆对魏玫毒豹遴谖透行藤蘩。 此响应系统的优点是： 利用主动网络的优点，i b a n 可以选择激合适的地点：i e 行快速布防，响应速度 快。 在不妨碍其它用户合法避讯的前提下，可以有针对饿地阻断入侵连接，降低 了响应对其京用户的负谳影响。 蓉统豹主要蛱煮是： 鲍系茫勺8 x 北京交通大学博士学位论文 主动网络的节点计算多利用路由器c p u 空闲时间，所以这种方法不适用于高 速大流量的网络系统。 主动网的“主动性”带来了新的安全问题。显然当主动节点执行主动代码时， 极有可能造成主动节点、主动代码或者它们两者均被“恶意”地修改，以至 于使网络受到破坏，从而造成重大损失。 除了实施阻断外，系统还不能实现其它类型的响应目的，也没有应用响应策 略。 ( 3 ) 基于a g e n t 的自适应入侵响应系统a a i r s ( t h ea d a p t i v ea g e n t _ b a s e d i n ”u s i o nr e s p o n s es y s t e m s ) 【c a r v e r 0 1 一司【c a r v e l 0 1 - b 1 【c a r v e r 0 1 - c 】【r 垮d a l e 0 0 1 ，这 是由美国德州a m 大学计算机系的d a n i e lr a g s d a l e 和c u r t i sc a r v e r 等人进行 的一项研究。系统使用交互a g e n t ( i n t e r f a c ea g e n t ) 来接收来自多个i d s 的 报警信息，根据误报的历史情况产生攻击的确信度，然后确信度和报警信息一同 传送给主分析a g e n t ( m a s t e ra n a l y s i sa g e n t ) 。主分析a g e n t 将攻击分为已存 在的攻击和新攻击两类。对于新攻击，主分析a g e n t 产生一个新的分析a g e n t ( a n a l y s i sa g e n t ) ，以便产生响应方案来对付这一攻击；如果报警事件属于一 个已经存在的攻击过程，主分析a g e n t 则将确信度和报警信息传送给相应的已经 存在的分析a g e n t 。针对攻击，每一个分析a g e n t 会利用响应分类a g e n t ( r e s p o n s e t a x o n o m ya g e n t ，对攻击进行分类) 和政策a g e n t ( p o l i c ya g e n t ，指定响应目的， 并根据资源、法律、机构制度、道德等因素对响应方案进行约束) 来产生响应方 案。然后分析a g e n t 将产生的响应方案传送给战术a g e n t ( t a c t i c sa g e n t ) ，由其 将此响应方案分解为可以执行的具体响应措旋，之后调用响应工具箱( r e s p o n s e t 0 0 1 k i t ) 中的相应组件执行。 从i r s 优点在于： 响应对象为入侵过程，能够综合多种因素进行响应推理决策，并有针对性地 产生响应方案，能够满足多种响应目的的需求。 其响应决策机制具有较好的自适应性。其自适应性体表现在：利用确信度 和成功因子作为选择响应方案重要指标，在系统运行中根据情况不断修改这 两个变量。根据攻击的变化，改变响应方案和响应措施。 将响应方案层次化为计划步骤( p l a ns t e p ) 、实现步骤的战术( t a c t i c ) 和具体执行措施( i m p l e m e n t a t i o n ) ，这种层次化的响应方案p t i 有助于实 现各种响应目的。方案中的多种响应措施可以相互补充，增加了响应的效果。 主要缺点如下： 9 第一章缭论 在响应决策前期对报警触瑷的不够深入。虽然引入报警怀疑度策处理误报问 题，垂浚蠢采取综台犍豹潦蓬，采酶低误摄率，氇没有采取褒掰潜藏亲簿爨 潇报事。 没有应用响_ 陂策略，所形成的p t i 响殿方案没有考虑各层次上的计划执行顺 孝翔题，薅不嚣斡璃瘦搭旗掇行颞摩必然会影镌烈簸爱转嫡应效聚。 尽管也考虑了睫瘟鑫藏躲跨程惩嚣琰毒蠢参播燕、攻毒中藩耀、浚蠢后戆搭 施) ，但模型粒度过租，没有真正解决在整个入侵过程中什么措麝艇应该在什 么时刻执行的阅题。 漫存采露综合拷藏亲降骶雅斑嚣受蔼影穗。在璃庭决策孛酝浸窝考虑荸争穗 应措施的熊谶效应，也没有考虑整个响应方案的负筒效应。尽瓣其决策模型 可以选择雾个响应措施，增加了响应的效果，但没柯考虑响应措施之间的兼 容牲，掰彩成瓣蘸痤蘩艇之藤存在冗余，会麓犬确斑瓣受露效藏。 在其自逸廒的响应决案橇鹫中，没鸯摄斑计算成功的因子的算法，没有释放 这些响应措施的决策机制，限制了其自适应效果。 没畜弓l入鹋应蓉赂。强l-2酝示熬妒dr安愈摸墼瑟神麟sl实簿上是扶 pd暇(pmtection，dclection，response)模登弓i申而出的，增加了策略(licy)功能， 突出了策略在储息安全中的地位。上述大部分系统没有将响应策略引入到响应过 晌应方案中去宓现特定的晌殿匿的。要有效缝实现晌艨嚣静，在响应过程中藏必须按照一定的策略来进行。例如，如果系统以分析攻击( a n a l y z et h ea t t a c k ) 为目的，其响应过程应该按照响应强度幽弱到强策略谶行，在可承受的入侵风险 澈潮肉，穗瘦撼麓鞋记录蕊象，尽量狡集鬻关入霞癌惫，只有当蕊陵超遥承受范 嘲，才采取较强的响应手段，切断攻击糟燕机同被攻幽主机的连接。相反，如果 不按照这种响_ 陂策略，一发现攻击就立即切断攻击者的连接，就无法收集到入侵 壤惑，遣裁无法实瑰努辑攻潦之霆瓣。 ( 4 ) 没有弓f 入响应时机决策机制。响陂时机决策确定了在入侵的不同阶段采 取不同响应措施的时机。入侵是由多个攻衡阶段组成的一个过程，谯每个攻击阶 段，入侵者怒臻达蓟的器标不弱，辑使弼熬凌壹手段逸不淘，所呈现靛特点就不 同；防御者耍戆实现防御爵轹，其响应瞧成该是一个过程，要掖据不阉攻击阶段 的特点，有针对性选择不同响应措施，才能进行有效的响应。有了响应时机决策 就w 以根据不闼攻击阶段的特点，确定启渤不问响应措施的时间点，从丽形成一 个霄效的晦瘦避程。掰蔽，焱糖疲方案煞建立过程孛，桶应辩掇凌繁麓嚷应猪藏 祆簸同样重要。以前，人们往往将响应决策理解为确寇合适的响应措施，所以上 述大部分系统的响应决策只有响应措施决簸，没有一个研究项目明确提出响应时 裁决策赣念，黪迷霞专门鹣骠宠。嚣没毒拣瘟露橇夔莰繁，萁璃应方寨只是锋对 孤立报警( 代表一个攻击动作) 的一个响应点，而没有形成针对报警线程( 代表攻击 过程) 的响应过程。此外，如果没有响应时机决策，也就无法有效应用响应策略， 扶嚣缀难实现多拳争穗痊嚣麴。 ( 5 ) 以上大部分系统的响应决策模型没能均衡处璎响应负面效疲与喻应有效 第一夏嚣j 喜 丕盖罕骞位耸；摹喟1 噬噍瑙 螽m 惟骣晰送调1 m 曙劈珥惮咝嚆嗡；塑纂掣土 考霾俐篓葫a 情蛳；娌 耋匝蹦髂射霪芙，攫基p 蚓彰幕割滞训i 球驵殁酞靶。 链黑甏苇辑删鬻铎罐慧淫毒溜臻薏弦曼圳蓉蜀湘捌别龋磷霉商酌薷器鞭渐爱； 掘驵矜懿啪醢相 秘；稂萦稣去喜奸西岳并不理解终“鞭鹃畜强b 融5 白妒蠢 ；藿i 特蒙：鹜；i 酿譬丛韶裂割轻托强囊菱( 烽手熬靶氡蠢殳种攻击过程，将这些攻击过程作为模板输入到系统中去，然后系统就可 以将新的报警同这些攻击过程模板相比较，进行实时关联【v a l e u r 0 4 】。一条关联规 则表明两个报警进行关联所满足的条件，一个攻击过程可以由这样的多条关联规 则组成。这种方法的关键问题是如何获得攻击过程，从而得到这些关联规则。 在 d a j n 0 1 】 c a s w e n 0 3 】中提出了使用数据挖掘的方法获得攻击过程。【d a 抽0 1 l 中 实验结果表明基于数据挖掘的关联方法其准确率好于基于攻击属性相似性的关 联方法。另外一个使用此方法的系统是n et s t a t 【弘a 9 9 】，它以另外一个方式来 利用攻击过程：事先将一个攻击过程分解为由单独传感器( i d s ) 可以完成的较 小的任务( 对应相应的报警) ，然后再关联这些标定了的报警。 根据人类专家知识或数据挖掘方法获得合适的聚合与关联模板，既可以实现 聚合也可以实现关联，其实时性好，有利于在此基础上进行深入的报警处理。由 训练数据集学习得到的攻击过程是此类方法的一个重要发展方向。但由于各种不 确定性和网络环境的差异性，很难获得合适的训练集，同时存在过学习问题，不 能处理在训练集中未出现的攻击过程模式。另外，这种模板匹配方法抗噪能力较 差。 ( 3 ) 通过事件的前因和后果进行事件关联。此方法的思想是这样的：任何 一个攻击都具有前因和后果。所谓前因就是攻击要实旌所必须具有的前提条件， 后果就是攻击成功实施后所造成的结果。在一个有多个攻击组成的攻击过程中， 一个攻击的后果就是下一个攻击前因。换句话说，前一个攻击就是为下一个攻击 创造条件。基于这一思想，首先定义每一个单独攻击的前因、后果，然后就可以 将具有因果关系的攻击关联在一起，重现整个攻击过程。 由于只指出单独攻击的前因后果，不必事先知道整个攻击过程，所以不必手 工产生大量的关联规则，只要指出一个已知攻击的前提条件和可能造成的后果就 足够了。同时，这种方法还可以识别和报告不同攻击组合形成的新攻击过程。这 种方法的不足之处是不能处理新攻击( 不知道其前因、后果) ，且只适用于攻击 步骤的关联。另外，由于关联时搜索空间较大，对计算资源消耗大，处理时间长， 不适合于实时在线操作。【c u p p e x 繁二耄l 酷缀餐综台整理 c h e u n 9 0 3 所提出的算法都是旗子这种思想，区别在于兜成这种思想所使用描述 翦鼹、螽果静骶移日融i 骓辎篓型器酬； l 明尹 驰雕辨踟渐驱裂鲫婴型拦。器醐粥醛毯器妊招砦翮槲轿辩拍鞭 弼醢嚣钍型蠹翌怂龄燮盔鲢i 誓塑哦驯茸甄制番刚营”必麓一：鋈伸囊州耋理 爆掣嚷喹篙薯辑搽蓐并简酮基花要驺鳝舆稀辗寄献鏊藩嬗；板弼牵币列熙蝇班i c j ；硼 4 对各种报警融合算法所作的分析，算法( 1 ) 、( 2 ) 的实时性较好，而算法( 3 ) 在降 低误报率方面的性能较好，算法( 4 ) 有利于发现新的攻击序列，而算法( 5 ) 在降低无关 报警率方面具有明显优势。要确定上述那些类型算法对报警进行处理更有利于响应决 策，不但取决于这些算法本身的优劣，还要对报警的各种情况以及入侵响应的特 点进行深入的分析。2 4 报警的分类与分析 首先需要说明的是报警所报告的事件为攻击的概率远远高于报警没有报告 事件是攻击的概率，尽管如此，在大量报警中仍然存在很多误报，也就是报警所 代表的事件并不是真正的攻击事件。为了挖掘误报产生的原因，建立合适的报警 的处理算法，这里根据不同的标准对报警进行了分类，如图2 2 所示。 图2 - 2 报警分类 根据报警与目标主机的相关性，报警可以分为相关报警与无关报警。所谓相 关报警就是引发该报警的攻击利用了被攻击目标主机上的软硬件所存在的弱点 或漏洞；反之，则为无关报警。根据经验，相关报警为正确报警的概率远远大于 为误报的概率；无关报警的情况则比较复杂：首先无关报警分为无关错误报警和 无关正确报警 报警指的是报警并不 x 第二耄l o s 摄饕练含处理 算法的实时性薹雾一蓉薹歪鑫森器掣赫蟹! 澄酌蕉蠹鬣簌天禧摄瓣餐撵写 天侵，鹌塑静鳟挑鲤始嚣臻装醢嚣积，驻藕嚣鏊晷趣鞋翼鳍。琵联戮篓溢；嗡 翟晦蠕i 掣瓢翻蚓谚压强j 蹲留簧避。 每既f 强弱氛蚕楚彰矜莨孪灞嗄溪凄塑气二警爱型墨鬻隧露。熬套在缝：隧斟 蚤掣赶剽固；匿碧蝌黧删；h ? 拟蓦瞄鲐蕊锺黼铂! 垂真端蓄担热嚣嚣犍，露 鬻。冀鹭辩薛会 奁缝辩阕蠢产囊大量豹稳圈 报警。例如，对主机的一次全面的垂真端口扫描( v e r t i c a ls c a n ) s t a n i f o r d 0 2 】会 在短时间内产生成上百个报警。而在我们的实际实验中，一次针对某