（计算机应用技术专业论文）自动入侵响应系统的研究与实现.pdf

捅要 随着全球网络化、信息化的迅速发展，网络安全问题日益严重，而且攻击手段复 杂化、自动化和大规模化程度不断提高，使得传统静态响应策略已经远远不能满足 响应的需要，因此，自动入侵响应系统成为目前的研究热点。但自动入侵响应系统 到目前为止还处于初步研究阶段，如何提高响应效率，减少系统损失，实现响应的及 时性、合理性、智能性等技术问题还没有完全解决。 本文以现有入侵检测系统的构架为基础，对自动入侵响应系统进行了相关的研 究。 第一，介绍了入侵响应系统的基本知识，包括国内外研究现状，主要系统模型、 系统分类及其关键响应技术等，并分析了目前存在的主要问题。 第二，针对目前原始报警数量大、质量低的问题引入了报警信息处理模型，该 模型将i d s 原始报警信息进行过滤、融合、关联处理，其中为有效识别独立报警间关 系发现攻击真实目的，本文在对现有报警关联算法优缺点进行总结的基础上，提出 了意图识别预测算法。使用m i t 林肯实验室开发的d a r p a2 0 0 0 测评数据集进行实验验 证，结果表明通过这些方法对原始报警进行综合处理，可以减少报警数量，降低误 报率、漏报率和重复报警率，重建攻击过程，提升报警信息质量，为正确的响应决 策打下了基础。 第三，在对入侵响应己有工作进行总结的基础上，提出了一种自动入侵响应系 统模型。首先为了降低响应时间提高响应效率本文根据超报警是否已成功响应，引 入分流代理对超报警信息进行分类处理。其次响应决策模块本文借鉴w e n k el e e 的成 本敏感模型的思想，提出成本最优化分析代理，该代理综合考虑攻击的危害、响应 操作代价、响应负面代价，从全局考虑实现了响应措施的最优化选择。最后通过实 验进行了相关验证。 关键词：自动入侵响应，意图识别，成本最优化选择 a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r ka n di n f o r m a t i o n ，s e c u r i t yp r o b l e m sb e c o m em o r e s e r i o u st h a ne v e la st h ei n s t r u m e n t so fa t t a c kb e c o m em o r ea n dm o r ec o m p l e xa n d a u t o m a t e d ，t h et r a d i t i o n a ls t a t i cr e s p o n s es t r a t e g i e sc a n n o ts a t i s f yt h ep r e s e n tr e q u i r e m e n t ， o fi n t r u s i o nr e s p o n s e a u t o m a t i cr e s p o n s et e c h n i q u ei sh i g h l i g h t e di nr e c e n tr e s e a r c h h o w e v e r , t h ea u t o m a t e di n t r u s i o nr e s p o n s es y s t e m ( a i r s ) i ss t i l li ni t sp r i m i t i v es t a g e s of a r m a n yt e c h n i c a lp r o b l e m ss u c ha sh o wt oe n h a n c et h ee f f i c i e n c yo ft h er e s p o n s e a n dr e d u c et h ed a m a g eo ft h es y s t e ma n dh o wt or e a l i z es p e e d i n e s sa n dr a t i o n a l i t ya n d i n t e l l i g e n th a v e n tb e e ns o l v e dc o m p l e t e l y t h i sp a p e rt a k e st h ee x i s t i n gi n t r u s i o nd e t e c t i o ns y s t e ma si t sa p p l i c a t i o nb a c k g r o u n d a n ds t u d yt h ei n t r u s i o nr e s p o n s et e c h n o l o g y f i r s t l y , t h i sp a p e ri n t r o d u c e st h eb a s i ck n o w l e d g eo fi r s ，i n c l u d i n gr e s e a r c h a c t u a l i t ya b r o a da n da th o m e ，m a i ns y s t e mm o d e l s ，a n dk e yr e s p o n s et e c h n o l o g i e s ，a n d t h e na n a l y z e st h ec o r r e l a t e dm a i np r o b l e m so fl r s s e c o n d l y , a i m i n ga tt h ec u r r e n tp r o b l e mt h a tt h en u m b e ro ft h er a wa l e r ti st o ob i g a n dt h eq u a l i t yi st o ol o w , am o d e lt h a tc a nd e e p l yp r o c e s st h er a wa l e r t si sp r e s e n t e d , i n w h i c ht h et e c h n o l o g i e so ff i l t e r - f u s i o na n dc o r r e l a t i o na r ei n t r o d u c e d i no r d e rt of i n dt h e r e a lp u r p o s eo fa t t a c k , t h ea l g o r i t h mo fp l a nr e c o g n i t i o ni sp r e s e n t e do nt h eb a s i so ft h e i n t r o d u c t i o no fo t h e rc o r r e l a t i o na p p r o a c h e s ，t h e ns o m ee x p e r i m e n t sa r ed o n eu s i n gt h e i d se v a l u a t i n gd a t a s e to fd a r p aw h i c hi sd e v e l o p e db ym i tl i n c o l nl a b o r a t o r yi n2 0 0 0 ， w h i c hp r o v et h a tt h i sm o d e lc a l lr e d u c et h en u m b e r o fa l e r t s ，r e c o n s t r u c tt h ep r o c e s so f a t t a c k sa n di m p r o v et h eq u a l i t yo fa l e r t s t h ep e r f o r m a n c eo ft h i sm o d e ll a i dt h e g r o u n d w o r kf o rf u t u r ec o r r e c tr e s p o n s ed e c i s i o n m a k i n g f i n a l l y , b a s e do nt h es u m m a r yo fi r ss t u d i e s ，a na u t o m a t i cm o d e lo fi n t r u s i o n r e s p o n s es y s t e mi sp r e s e n t e d t h em o d e lf i r s t l yi n t r o d u c e st h ed i f f i u e n c ea g e n ti no r d e rt o r e d u c et h et i m eo fr e s p o n s ea n di m p r o v et h ee f f i c i e n c yo fr e s p o n s e ，a c c o r d i n gt ot h e r e s u l to ft h er e s p o n s e t h e nt h i sp a p e rp u t sf o r w a r dt h ec o s tb a s e do p t i m a lr e s p o n s e d e c i s i o nm o d e l ( c o r d ) i n s p i r e db yw e n k el e e sc o s ts e n s i t i v em o d e l t h i sm o d e lt a k e s i n t oa c c o u n tt h et h r e a to fa t t a c k , t h en e g a t i v er e s p o n s ec o s ta n dt h ec o s to fr e s p o n s e ，a n d m a k e st h eo p t i m i z a t i o nr e s p o n s ec h o i c ec o m et r u e ，w h i c hi sp r o v e db yr e l a t e d e x p e r i m e n t s k e y w o r d s ：a u t o m a t e di n t r u s i o nr e s p o n s e ，p l a nr e c o g n i t i o n ，t h eb e s tc h o i c eo ft h e c o s t 青岛大学硕士学位论文 学位论文独创性声明、学位论文知识产权权属声明 学位论文独创性声明 本人声明，所呈交的学位论文系本人在导师指导下独立完成的研究成果。文 中依法引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意 义卜已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论 文或成果。 本人如违反上述声明，愿意承担由此引发的一切责任和后果。 论文作者签名：翌欠浃列 d t + r t s t ：i d t + r t ( p t - - a ) 2 一( 1 ) 2 一( 2 ) 其中，只为系统设置各种保护后的防护时间，即黑客成功入侵一个系统所花时 间。攻击时间的衡量特性包括两个方面：入侵能力和系统坚固程度。高水平的入侵 者及安全薄弱的系统都能提高攻击的有效性，使攻击时间只缩短。 历为从攻击开始到系统能够检测到攻击所花的时间一即检测时间，改进检测算 法可以缩短历，从而提高对抗的效率。 尼为发现攻击后调整系统到正常状态的响应时间。 历为系统暴露给攻击者的时间即系统处于不安全状况的时间，可以定义为 最= 织删_ 只：仍识删 2 一( 3 ) 满足公式2 一( 1 ) 的系统被认为是安全的，显然这一要求是非常高的，实现代价也 是非常昂贵的。对于某些漏洞或攻击，可以适当放宽尺度，如公式2 一( 2 ) 中，历毯小，系 统的安全性也越好。可见难于量化的安全性能可通过指标( 防护时间只、检测时间 现和响应时间尼) 来衡量：只越大，历和冠越小，系统也就越安全。通过以上公式的描 青岛大学硕士学位论文 述，给出了安全的一个全新的定义：及时的检测和响应就是安全，及时的检测和恢复 就是安全。 此外，模型对系统的恢复时间和入侵诱骗时间也做了相应的要求，前者应保证尽 量短，后者应尽量长，这样系统才能更合理、有效地工作。 2 2 入侵检测 入侵检测技术是p p d r 安全模型的一个重要组成部分，是动态安全技术的核心之 一。 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，是面向计算资源和网络资源恶 意行为的识别和响应，即对入侵行为的发觉。它通过对计算机网络或计算机系统中 的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象，以保证系统资源的机密性、完整性和可用性。进行入侵检 测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) n 3 。入侵检测作为一种主动的网络安全防御措施，它不仅可以通过监测网络实现对 内部攻击、外部攻击租误操作的实时保护，有效地弥补防火墙的不足，而且还能结 合其它网络安全产品，对网络安全进行全方位的保护，具有主动性和实时性的特点。 入侵检测的功能包括以下几点n 3 1 ： ( 1 ) 监视、分析用户及系统活动； ( 2 ) 检查系统配置和漏洞； ( 3 ) 识别反映已知进攻的活动模式并报警； ( 4 ) 评估系统关键资源和数据文件的完整性； ( 5 ) 异常行为模式的统计分析； ( 6 ) 对已发现的攻击行为进行合适地响应。 对于入侵检测系统的评估的主要性能指标有n 4 。1 7 3 ： ( 1 ) 可靠性，系统具有容错能力和连续运行能力； ( 2 ) 可用性，系统开销要最小，不会严重降低网络系统性能； ( 3 ) 可测试，通过攻击可以检测系统运行； ( 4 ) 适应性，对系统来说必须是易于开发的，可添加新的功能，能随时适应系 统环境的改变； ( 5 ) 实时性，系统能尽快地发现入侵企图以便制止和限制破坏； ( 6 ) 准确性，检测系统具有低的误报率和漏报率； ( 7 ) 安全性，检测系统不易被欺骗并且能够保护自身安全。 因此，一个完善的入侵检测系统的特点包括：经济性、时效性、安全性、可扩 g 第二章入侵检测及响应 展性。 2 2 1 入侵检测历史 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为c o m p u t e rs e c u r i t y t h r e a tm o n it o r i n ga n ds u r v e ill a n c e ) ( 计算机安全威胁监控与监视) 的技术报告， 第一次详细阐述了入侵检测的概念，他提出了一种对计算机系统风险和威胁的分类 方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪 数据监视入侵活动的思想1 。这份报告被公认为是入侵检测的开山之作。 从1 9 8 4 年至u 1 9 8 7 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l 的p e t e rn e u m a n n 提出了一个实时入侵检测系统模型，取名为i d e s ( 入侵检测专家系统) 引。在此之后 开发的i d s 系统基本都沿用了这个结构模型，该模型结构如图2 2 所示。 图2 2i d e s 模型 1 9 8 8 年1 1 月m o r r i s 蠕虫感染了i n t e r n e t 上近万台计算机造成i n t e r n e t 近五天无 法使用。事件发生之后网络安全引起了军方、企业和学术界的高度重视，促使人们投 入更多的资金和精力去研究与开发i d s 。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年加州大学戴维斯分校的 l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) n 引，该系统第一次直 接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下 监控异种主机，为入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于 网络的i d s 和基于主机的i d s 。 1 9 9 7 年美国国防部高级研究计划局( d a r p ad e f e n s ea d v a n c e dr e s e a r c h p r o j e c t sa g e n c y ) 的t e r e s al u n t 等提出制定公共入侵检测框架c l d f 脚1 ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，其结构如图2 3 所示。它将一个入侵检测系统分 为以下组件： 9 青岛大学硕士学位论文 ( 1 ) 事件产生器( e v e n tg e n e r a t o r s ) ( 2 ) 事件分析器( e v e n ta n a l y z e r s ) ( 3 ) 响应单元( r e s p o n s eu n it s ) ( 4 ) 事件数据库( e v e n td a t a b a s e s ) 事件产生器( e 单元) 、事件分析器( a 单元) 、响应单元( r 单元) 和事件数据库( d 单 元) 这四个主要组件之间通过通用入侵描述语言( c o m m o ni n t r u s i o ns p e c i f i c a t i o n l a n g u a g e ，c i s l ) 来进行通信。因此i d s 所需要经历的四个主要处理过程为：事件 产生单元对数据来源信息进行收集和预处理；事件分析单元进行数据的统计分析 与模式匹配；事件数据库单元负责数据及新规则的存储与检索：而响应单元进 行预警和响应处理。 图2 3c i d f 模型 1 9 9 9 年6 月。入侵检测工作组i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 就入侵 检测提出了一系列草案建议，主要包括：入侵检测消息交换格式( i d m e f ) 1 和入侵检 测交换协议( i d x p ) 瞳旧】。其中，i d m e f 描述了一种表示入侵检测系统输出消息的数据 模型，并且解释了使用这个模型的基本原理。i d m e f 数据模型以面向对象的形式表示 分析器发送给管理器的警报数据。而i d x p 贝u 是一个用于入侵检测实体之间交换数据 的应用层协议，能够实现i d m e f 消息、非结构文本和二进制数据之间的交换，并提供 面向连接协议之上的双方认证、完整性和保密性等安全特征。尽管草案建议目前还 处于逐步完之中，但是它们将来必然会成为未来的国际标准。 2 0 0 0 年2 月以后，全球许多著名网站如y a h o o 、c n n 、f b i 、e b a y 、s i n a 等都相继 遭受d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c ea t t a c k ) 攻击。d d o s 攻击引发了对i d s 旧系统的新一轮研究热潮。 2 0 0 1 年5 月，d i p a n k a rd a s g u p t a 和f a b i o g o n z a l e z 研究了入侵检测的智能决策支 撑系统。同时，为消除i d s 漏报误报，n e t w o r ki c e 公司提出了i p s ( i n t r u s i o np r o t e c t s y s t e m ，入侵保护系统) 概念并推出了业界第一款i p s 产品- - b l a c k i c eg u a r d ，它第 一次把基于旁路检测的i d s 技术用于在线模式，直接分析网络流量，并把恶意包丢弃。 2 0 0 2 2 0 0 3 年这段时期i p s 得到了快速发展。随着产品的不断发展和市场的认 l o 第二章入侵检测及响应 可，欧美一些大的安全公司也开始推出自己的i p s 产品。比如i s s 公司通过收购 n e t w o r ki c e 公司，发布了p r o v e n t i a ，思科、赛门铁克、t i p p i n g p o i n t 等公司也发 布了i p s 产品。同时，人们提出了入侵检测与防火墙等的联动技术。2 0 0 4 年i d s 在全 球销售额达到了2 8 1 l 亿美元。 入侵检测技术发展到今天，已呈现出百家争鸣的繁荣局面，很多不同的系统原 型和各种新兴的检测技术不断融合进来，如神经网络、遗传算法、模糊识别、数据 挖掘、免疫系统、协议分析等等乜3 删，并在智能化和分布式两个方向取得了长足的 进展然而面对层出不穷、变化多端的攻击，入侵检测技术仍然显得十分不成熟。 2 2 2 入侵检测分类 入侵检测系统根据不同的划分标准可以进行不同的分类，下面我们分别加以介 绍2 。 1 按数据源分类 根据检测数据来源不同，入侵检测系统可以分为基于主机的i d s 、基于网络的i d s 和混合型i d s 三类。 1 ) 基于主机的入侵检测 基于主机的入侵检测系统( h i d s ) ，检测的数据来源于系统的审计日志或对本 地资源使用状况进行统计后得到的数据。h i d s 的优点是可精确判断入侵事件并及时 进行反应、监控粒度更细、配置灵活、不需要额外硬件、可用于加密的以及交换的 环境。缺点是它会占用宝贵的主机资源并且它对网络流量不敏感，不能识别来自网 络的攻击；另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将 主机审计子系统作为攻击目标以避开i d s 。 由于这种系统研究的时间比较长，因而技术上相对比较完善，如最初的h a y s t a c k 模型、m i d a s 系统、i d e s 系统，到现在的c s m ( c o o p e r a t i n gs e c u r i t ym a n a g e r ) 协作安 全管理员、u s t a t 等。 2 ) 基于网络的入侵检测 基于网络的入侵检测系统( n i d s ) 又被称为实时入侵检测，其检测数据来源于网 络的信息流。这类系统不需要主机通过严格的审计，拥有成本低，主机资源消耗少， 可检测到h i d s 漏掉的攻击，取证容易并且实时检测和响应等优点。但它只能监视经 过本网段的活动，而且精确度较差，在交换网络环境下难于配置，防欺骗能力也较 差。典型的系统有：n s m ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 、b r o 等。 3 ) 混合型入侵检测系统 青岛大学硕士学位论文 混合型入侵检测系统( h y b r i di d s ) 综合了上述两类入侵检测系统的特点，既监 视主机数据又监视网络数据。它将主机i d s 和网络i d s 有机地结合，既可以发现网络 中的攻击信息，也可以从系统日志中发现异常情况。混合型检测系统往往是分布式 的，有一部分传感器( 或称为代理) 驻留在主机上收集信息，另一部分则部署在网络 中，它们都由中央控制台管理，将收集到的信息发往控制台进行处理，典型的系统 有e m e r a l i d 、g r i d s 等。 2 按检测原理分类 根据检测原理的不同，入侵检测系统可以分为异常检测的i d s 和滥用检测的i d s 两类。 1 ) 异常检测( a n o m a l yd e t e c t i o n ) 又称基于行为的监测，它首先需要建立系统用户的正常行为模型，然后根据使 用者的行为或资源使用状况是否偏离正常的情况来判定入侵是否发生，而不依赖于 具体行为是否出现。它假定所有的入侵行为都与正常行为不同，并为系统建立正常活 动模型，当主体活动违反其统计规律或超过阈值时，则将其视为可疑行为，该技术的 关键是异常阈值的定义和正常行为的训练和表示。基于这种检测技术的模型有统计 分析方法、神经网络方法和数据挖掘等。 这种检测方法的优点是与系统相对无关、通用性强并且有可能检测出以前未出 现的攻击。但是，因为不可能对整个系统内的所有用户行为进行全面描述，而且每个 用户的行为是经常改变的，因此它的一个主要缺陷是误检率高。异常检测模型如图 2 4 所示。 图2 4 异常检测模型 1 2 第二章入侵检测及响应 2 ) 滥用检测( m i s u s ed e t e c t i o n ) 又称基于知识的检测，它假定所有的入侵行为和手段都能够表达为一些模式和 特征，系统的目标就是检测主体活动是否符合这些模式，如果满足则表示入侵发生。 该技术的关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来，入侵 模式表达的好坏直接影响入侵检测的能力。 该检测方法优点是检测准确率高、误报少，缺点是只能发现攻击库中已知的攻 击，对未知的攻击无能为力；并且由于没有通用模式规格说明语言，所以其可扩展性 较差。基于这种检测技术的模型包括专家系统、模型推理、状态转移分析等。误用 检测模型如图2 5 所示。 图2 5 误用检测模型 3 其他分类方法 根据入侵检测系统的体系结构不同，也可以将其主要分为集中式i d s 和分布式 i d s 两类。集中式i d s 的各个模块包括数据的收集、分析模块都集中在一台主机上进 行，这种结构适用于规模较小的网络检测；分布式i d s 的各个模块分布在不同的计算 机和设备上进行工作。因为分布式i d s 各模块相对独立，便于修改、删除，有很强的 灵活性，适用于各i d s 的协作，因此分布式i d s 是入侵检测系统发展的趋势之一。 根据系统的工作方式可分为离线检测和在线检测。离线检测在事后分析审计事 件，从中检查入侵活动，是一种非实时工作的系统；在线检测是实时联机的检测系统， 它包含对实时网络数据包分析，对实时主机审计分析。 另外，根据系统的对抗措施还可分为主动系统和被动系统；根据数据的存储方 青岛大学硕士学位论文 式又可以分为使用数据库( 如知识库或规则库) 和使用数据文件( 如曰志文件等) 两类；根据系统检测频率可分为实时连续入侵检测系统和周期性入侵检测系统。值 得注意的足，以上这几种方法并不相交，一个系统可以属于某几类。 以上是从不同角度出发对入侵检测系统作的大致的分类，而入侵检测系统的核 心就在于检测分析，影响检测的是该系统采用的检测原理和方法。常见的入侵检测 技术主要包括统计方法、专家系统、神经网络检测技术等等，而随着网络及其安全 技术的飞速发展，一些新思想被应用到检测系统中，如遗传算法、移动代理、计算 机免疫学。智能关联技术、告警泛滥抑制技术、可信任防御模型等新技术将成为下 一代i d s 采用的主要技术n l1 5 】。 2 3 入侵响应 自1 9 8 0 年入侵检测的首次提出，在过去的2 0 多年里，世界各国对入侵检测系统进 行了广泛而深入地研究，而研究的焦点往往集中在设计一个更有效的系统和发展新 的榆测技术上。目前入侵检测技术已经相当成熟，入侵检测系统也取得了长足的发 展，尤其是对事件产生器、事件分析器、事件数据库3 个部件的理论研究都已经比较 完善；相比较而言，对响应部件的研究不仅起步晚，而且发展也非常缓慢，将响应 部件单独作为一个系统来重点研究是近几年才开始的，因此对入侵响应系统的研究 远远没有跟上攻击技术发展的步伐。 入侵响应作为入侵检测系统的最初出发点和最后的落脚点，严重制约着入侵检 测系统的性能表现。尤其是近几年来网络攻击复杂化、规模化和自动化的出现对入 侵检测系统响应功能提出了更高的要求，要求响应系统能够及时地做出有效响应以 减少攻击成功的机会和对系统造成的损失。而目前商业化的i d s 所提供的响应功能十 分有限，大部分只提供一些简单的报警信息。因此研究和开发智能化的自动入侵响 应系统得到了越来越多的重视。 2 3 1 入侵响应系统分类 入侵响应( i n t r u s i o nr e s p o n s e ) 指当检测到入侵或攻击时采取适当的措施阻 止入侵和攻击的进行从而保证目标的机密性完整性和可用性。入侵响应系统 ( i n t r u s i o nr e s p o n s es y s t e m ，i r s ) 是指实施入侵响应的软件或软硬件组合的系统。 根据不同的划分标准，可以对入侵响应系统进行不同的分类： 1 根据响应自动化程度 这是目前应用最广的分类方法，根据响应速度和自动化程度不同，现有的入侵 1 4 第二章入侵检测及响应 响应系统可以分为通知警报系统，人工手动响应系统和自动响应系统三种类型啪1 。 表2 1 总结了这三种系统在现有入侵检测系统中所使用的比例。 表2 1 入侵响应系统分类 入侵响应系统分类采用该响应方式的系统数 通知和警报 ( n o t i f i c a t i o n ) 3 1 人工手动响应 ( m a n u n a lr e s p o n s e ) 8 自动响应 ( a u t o m a ti cr e s p o n s e ) 1 7 总计5 6 ( 1 ) 通知和警报响应系统 由表2 1 可以看出，大部分入侵检测和响应系统属于通知和警报类型。这些系统 仅仅为系统管理员定期产生警报和报告，时间间隔可以是每分钟到每小时或者每天， 具体决定如何响应以及响应措施的实行由管理员负责。这类响应系统的缺点在于它 使攻击发现和响应之间的时间窗口过长，从而给攻击者提供了充足的时间窗口实现 攻击意图。目前，大部分的入侵检测系统的响应部分都属于这一类。 ( 2 ) 人工手动响应系统 它提供了一些预先编制好的用来响应的程序，并能指导管理员选择适当的程序 进行响应。这类系统加快了响应的速度，比单一的通知报警系统更加有效。但仍然 留给了有经验的攻击者足够的时间窗口。一些系统允许系统管理员根据一组预先设 定好的响应措施对入侵行为人工进行响应。 ( 3 ) 自动响应系统 自动响应系统，就是响应系统不需要管理员手工干预，检测到入侵行为后，系 统自动进行响应决策，自动执行响应措施，从而大大缩短了响应时间。它是最理想 的能有效保护网络安全的一类系统，它能自动进行响应决策并及时地对攻击做出响 应，从而留给攻击者尽量短的时间窗口。自动响应的途径有两种：决策表和基于规则 的系统。最普通的方法是使用简单的决策表，表中一个特定的响应对应一个特定的 攻击，无论攻击何时发生，响应都将被执行。如果表中一个特定的攻击发生了一千 次( 比如一个拒绝服务攻击) ，其对应的响应也将执行一千次。另外一些自动入侵响 应系统包含了一个基于规则的决策模块，该模块决定对一个入侵行为最恰当的响应 1 5 青岛大学硕士学位论文 是什么，减少了一些额外的无意义的多余响应。对于自动响应技术的研究目前还处 于初步阶段，存在很多的问题和不完善之处。 目前大部分响应系统仍然使用简单的静态响应列表，在列表中一种响应对应一 种特定的攻击行为。系统检y , j n 入侵行为的时候，这些预先设定好的响应措施就自 动执行，但是这些响应往往是一些简单的命令而不是可以有效限制攻击行为的一系 列相关动作，缺乏智能分析和自适应能力。 2 根据响应地点 与i d s 分为基于网络的和基于主机的入侵检测系统相对应，根据响应地点的不 同，入侵响应系统也可以分为基于网络的和基于主机的入侵响应系统。基于主机的 入侵响应系统用于防御对主机的入侵，其响应地点是在被攻击的主机上，响应包括 时间告警、时间记录、限制用户权限、中断用户进程、关闭用户帐号和数据备份等。 基于网络入侵响应系统响应地点位于交换机、路由器和防火墙等网络设备上，响应 包括记录安全事件、封闭交换机端口、切断入侵者i p 路由、入侵追踪等等。 3 根据响应范围 根据响应范围的不同，入侵响应系统可分为本地入侵响应系统和协同入侵响应 系统。本地响应系统是根据本地安全事件信息，在本地主机或网络设备上进行局限 于本地的响应。协同响应系统是在大规模网络中，各响应系统之间在整个网络内的 主机或网络设备上共享安全事件信息、协同响应，进行全局的响应方案优化，协同 各类安全工具进行更合理的响应，使系统总的损失达到最小，安全性达到最高。 2 3 2 入侵响应方式 从响应功能的角度出发，入侵响应方式大体上可以划分为：主动响应方式和被 动响应方式幢 。主动响应方式指系统自动地或以用户指定的方式采取响应措施，阻 断攻击过程或以其他方式影响攻击过程；而被动响应方式不能够直接干涉入侵的进 行，系统只报告和记录发生的事件。主动响应和被动响应并不是相互独立的，主动 响应是建立在被动响应的基础之上的。不管采用什么样的响应方式，响应系统始终 应该记录检测结果。 2 3 2 1 被动响应方式 被动响应( p a s s i v er e s p o n s e s ) 是指在检测到入侵行为后不做过多地干预，主要 为用户提供报警信息，由用户决定接下来应该采取何种措施。被动响应方式比较温 和，在早期的入侵检测系统中，所有响应都属于被动响应。虽然现在人们在更多地 研究主动响应，但被动响应仍然在很多方面发挥着巨大的作用，并且在某些特殊场 1 6 第二章入侵检测及响应 合还作为系统唯一的响应形式而存在。目前被动响应方式主要包括以下几种： 1 记录安全事件 这是几乎所有响应系统都会采用的一种响应方式，将安全事件记录下来有利于 系统管理员的事后追查。记录的内容可以根据用户的需要进行相应的定制，例如有 些情况下需要通过记录安全附加日志使管理员对攻击有更清楚地认识。 2 产生警报 警报的响应方式有多种，用户可以自己定制适合自己系统运行过程的警报。最 常见的警报是显示在屏幕上的警告信息，一般出现在入侵检测系统的控制台上，也 可以出现在用户安装入侵检测系统时所定义的部件上，根据用户自己的设置也可以 产生扬声器报警。而警报所提供的内容则应尽量洋细，如源地址、目标地址、端口 号、所使用的协议、攻击危害程度、攻击行为描述、攻击成功与否等等，而且具体 内容应该可以由用户根据需要定制，这样系统管理员能够根据这些情况迅速判断应 该采取何种措施。 3 远程通知 在系统管理员不在现场的情况下，譬如晚上或者是节假日，系统应该能够提供 远程告警通知。这些远程通知包括给管理员发送e m a i1 ，打寻呼或者是拨通手机以及 发送短消息等方式，以最快捷的方式通知系统管理员。使系统管理员及时了解安全 情况并采取措施，尽量减少系统的损失。 4 陷阱 所谓陷阱就是一组程序，它能够假装指定你的计算机存在着攻击者认为可以利 用的“安全漏洞”，利用这些“安全漏洞 可以攻入你的主机。陷阱能够记录在针 对这些漏洞上的入侵企图。这样陷阱可以为你提供详细的入侵行为信息和警告，而 且可以将攻击者的注意力转移到没有有用信息的机器，有效的保护有用的系统资源。 通过分析攻击者的攻击手段及工具了解其攻击方法及特点，合理改善自身系统，使 系统的安全性能更加完善。 2 3 2 2 主动响应方式 被动响应固然存在它的优点，在响应系统中发挥着重要的作用，但在很多情况 下，单靠被动响应根本无法满足用户的实时性需求。尤其随着网络技术的不断发展， 入侵者的攻击手段越来越复杂、攻击速度越来越快、攻击频率越来越高，在管理员 发觉入侵还未采取响应措施的时候，系统可能己经遭受严重破坏和损失。因此，人 们希望系统在检测到入侵的时候能够自动对攻击行为迅速采取一定的措施，而不需 要人为地干预，这就对响应系统提出了更高的要求。主动响应正是顺应这种需求而 发展起来的。主动响应( a c t i v er e s p o n s e s ) 有两种形式：一种是基于用户驱动响应， 1 7 青岛大学硕士学位论文 即人工响应，另一种是系统自动驱动响应，即自动响应1 。 目前主动响应方式主要存在以下几种： 1 断开连接 系统在检测到端口扫描或是s y n 湮没等行为时就开始逐次增加时延，直到系统确 认攻击，并对之采取具体的措施。例如攻击者可能会对一个激活的端口进行t c p 连接， 他向该端口发送一个或数个包，其中含有攻击字符串或可开发该端口的程序。对一 个有脆弱性的系统来说，这是一个十分危险的时刻。入侵检测系统检测到攻击字符 串后，发送r s t 报文将连接断开，命令系统撤消连接。 2 隔离入侵者i p 当发现攻击者对系统的威胁到达一定程度时，可以通过重新配置防火墙将攻击 者与受保护网络隔离开或设置路由器甚至交换机以阻断入侵。这种响应措施的选择 存在两个问题：1 ) 对于伪造i p 的攻击，可能会错误地伤害合法用户的利益。2 ) 重新 配置边缘设备存在着攻击者可以利用的时间延迟。 3 欺骗技术 欺骗是指故意误导攻击者的一系列有意识的行为的集合。它的目的是寻求创造 一种适应攻击者攻击思想的环境，将( 被怀疑的) 入侵行为转移到专用服务器，提供 伪装的服务，使攻击者认为已经成功攻陷系统，用以观测攻击者的意图，对被确定 的入侵行为可以消耗其资源、分析其攻击特点和趋势并进行取证。该响应方式有利 于法律上的分析取证。 4 反击入侵者 网络反击是最极端的针对入侵者采取的措施。网络反击是指追踪至入侵者实施 攻击的发起地，对其采取响应措施，如对攻击者进行警告，暂停入侵者账号，封锁 入侵者的机器或网络连接等等。反击通常会带些负面影响：首先，系统不能保证正确 鉴别攻击者，很可能使无辜者受到伤害。其次，反击可能挑起更猛烈地攻击。另外， 反击可能有法律上的风险。所以，使用反击入侵者时需要慎重考虑。 第三章自动入侵响应系统 第三章自动入侵晌应系统 3 1 自动入侵响应系统模型 自动入侵响应系统不需要管理员手工干预，检测到入侵行为后，系统自动进行 响应判断决策，自动执行响应措施，其模型如图3 1 。系统的输入是入侵检测系统输 出的安全事件；响应决策模块依据响应决策知识库，决定对于输入的安全事件做出 何种响应，产生响应策略；响应策略用某种中间语言描述，然后由响应执行模块解 释执行，并调用响应工具库中预先编制好的响应工具来执行响应动作。这样，自动 响应系统就可以通过预先设定的响应措施对入侵行为及时地做出响应，从而减少或 者消除攻击者利用存在的时间间隙进行攻击的机会。而响应反馈模块则对做出的响 应进行后向反馈，反馈到响应决策模块来调整和改进响应决策机制。其中，响应决 策模块是整个系统的核心，因为及时、有效、合理的响应策略是降低系统损失、提 高系统响应性能的关键。 安全事件响应策略 图3 1 入侵响应系统模型 3 2 自动入侵响应系统目标 一个理想的自动入侵响应系统应该实现以下目标： o ： 1 及时性( 响应时间窗口小) 入侵响应系统的目标是及时地采取措施尽量降低入侵对系统造成的危害。当前 的入侵响应方式以用户驱动为主：入侵检测系统( i d s ) 检测到攻击后，产生报警，通 知系统管理员入侵已经发生或入侵正在发生。然后，系统管理员对此入侵做出响应。 1 9 青岛大学硕士学位论文 无论采取什么报警策略，在i d s 检测到可能的入侵到采取相应的措施之间存在个延 时，攻击报警和响应之间的延时在数分钟，甚至数月之间，这就给攻击者提供了一 个可利用的时间窗口。c o h e n b l 通过模拟的方法研究了响应时间与攻击者成功概率之 间的关系。他的研究结果显示：针对一个训练有素的玫击者，如果在发现攻击到做出 响应的时间窗口为1 0 d , 时，攻击成功的机会有8 0 。如果时间窗口为2 0 t j , 时，攻击成 功的机会有9 5 如果时间窗口为3 0 d , 时，攻击者几乎不会失败。攻击能否成功还与 系统管理员的防御技巧有关。对一个训练有素的攻击者，如果响应时间窗口在3 0 d , 时以上时，系统管理员的技巧变得与系统安全无关，此时攻击几乎均会成功。反之， 如果响应及时或者一个有经验的系统管理员能够及时修正系统，进行响应，则攻击 很难成功。 在现实环境中，要求每一个系统管理员都有丰富的知识、技巧，又具有良好的 责任心、旺盛的精力，能够对每次出现的安全事件做出及时、正确的响应，是不现 实的。因此，对入侵响应的基本要求就是自动响应。自动响应能将攻击时间窗口减 小到最小，可以最大程度地阻止攻击。 2 安全性 入侵响应系统在保护网络安全的同时自身也会遭到攻击，典型的如d o s 攻击，所 以自身安全防护能力显得特别突出，尤其要避免失效开放( f a i lo p e n ) 的缺陷。 3 自适应性 由于实际环境中有许多不确定的因素，响应系统不能做成静态的形式，而应不 断适应环境的变化。根据先前响应的效果评估，做到动态调整响应策略，通过自适 应性米提高系统的智能性能。例如响应系统应当避免对可信度低的攻击做出严厉响 应，响应方式也应该能随着攻击的进行不断调整。 4 合理性 响应会有一定代价。响应决策不仅需要评估安全事件及相关影响因素，还要考 虑到代价、资源约束、技术可行性、响应的效果、法律等各种因素，力求以最小的 代价换取最大的安全目标。入侵检测和响应的目的足为了抑制攻击，减少攻击带来 的损失。合理性即响应应该在适当的位置，以最适当的方式进行。显然，当响应的 代价大于攻击持续所造成的损失时，就没有必要再进行响应。例如u n i x 系统遇到针 对w i n d o w s 系统的攻击，那么就不需要采取任何响应措施。入侵响应系统应能够自动 优化响应策略，在可行情况下使响应代价最小。 ， 目前还没有一个i r s 能够完全满足以上要求，但是已经有多种技术被提出并被用 来解决这些问题。 第三章自动入侵响应系统 3 3 自动入侵响应技术 自动入侵响应系统的响应技术决定了对当前攻击何时：何地采取响应，采取何 种响应，是实现系统合理性、及时性和有效性的关键。当前已有多种技术被提出并 被应用，如事件分类技术、自适应技术、协同响应技术、追踪反击技术等睁，下面 分别对各种技术进行详细的分析。 3 3 1 事件分类研究 事件：所有与计算机有关的操作、行为都可以称为一个计算机事件。用形式化的 描述就是一个行为、针对某个目标、相应产