（计算机系统结构专业论文）自动入侵响应系统的研究.pdf

摘要 自动入侵响应系统的研究 丁勇龚俭东南大学 随着互联网技术的不断发展，网络入侵技术也不断进步，并且正在造成越来越大的危 害。目前对入侵防范的研究主要偏重于入侵检测，对于检测到的攻击，很多系统仍然采用 人工响应的形式。由于响应及时性不够并且无法处理大规模高速网络中大量的安全事件， 该方法已经不能够满足目前入侵响应的需求。自动入侵响应系统的研究仍然出于初期阶段， 响应决策大都使用传统的基于分类的响应决策模型，且分类依据只考虑简单因素，因此响 应的合理性仍然不够理想。本文以入侵防范系统m o n s t e r 为背景，研究建立保护接入网 的单点自动入侵响应系统。 本文研究的自动入侵响应系统建立在滥用入侵检测系统之上，即以滥用入侵检测系统 输出的安全事件作为输入。而由于入侵检测系统的局限，它检测出的事件与攻击的发生存 在多对一的关系，因此本文研究的第一个子问题就是冗余消除问题。它对响应决策的输入 进行预处理，对每次攻击仅产生一个事件，从而避免响应系统做出多余的响应。本文首先 对冗余事件的关联特征进行系统的分析包括攻击类型关联特征、空间关联特征、时间关 联特征。对于空间关联特征，本文采取枚举的方法进行分析；对于时间关联特征，本文通 过对大量的攻击实例进行分析，提出了相对均方差模型来刻画其特征。在提取这些关联特 征的基础上，本文使用基于规则的方法描述每种可能的冗余情况，并提出了基于实时聚类 的冗余消除算法，根据冗余消除规则集，实时接收安全事件进行冗余消除。 在输入事件进行预处理之后进行响应的关键问题是响应决策。目前的自动入侵响应系 统均采用传统的基于分类的响应决策模型，该模型的缺点在于没有统一的响应目标，并且 响应政策对环境变化的适应性不理想。本文借鉴w e n k el e e 的成本敏感模型的思想，提出 基于代价的最优响应决策模型。该模型综合考虑攻击的危害和响应的付出，从全局考虑对 攻击选择最优的响应方式。该模型涉及三种代价：攻击残留损失代价、响应操作代价、负 面响应代价。本文给出了攻击残留损失代价的具体量化方法，并将其它两种代价转换为攻 击损失代价的计算，从而实现这三种类型代价的统一量化。 本文将所提算法实现于m o n s t e r 系统中。对冗余消除算法的测试和分析表明，该算 法能够有效地消除原始安全事件流中的冗余，对高速网络中_ 周安全事件分析显示冗余消 除程度达到1 0 倍以上，并且算法可以借助r a i r s 系统的宏观攻击行为分析能力保证规则 提取的完备性。对于响应决策算法的分析表明，该算法综合考虑了备种因素，能够对攻击 的所有可行响应方式进行排序，并选择最合理的响应方式，而且响应政策能够根据环境的 变化灵活地进行调整，对响应方式也有着良好的可扩展性。 论文最后对未来自动入侵响应系统的研究进行了展望，指出了将复合攻击识别和攻击 预测应用在响应决策中的意义。 【关键字】网络入侵，自动入侵响应系统，实时聚类，冗余消除，响应决策，代价 东南大学硕士论文 a b s t r a c t r e s e a r c ho na u t o m a t e di n t r u s i o nr e s p o n s es y s t e m d i n g y o n g , g o n g j i a ns o u t h e a s t u n i v e r s i t y w i t ht h ec o n t i n u o u sd e v e l o p m e n to f i m e m e t , n e t w o r ki n t r u s i o nt e c h n i q u e sa r ea l s ok e e p i n g e v o l v i n g , w h i c hf a c e si n t e m e tw i t h 酽e m e rt h r e a t t h ec u r r e n tr e s e a r c ho np r e v e n t i n gi n t r u s i o n s f o c u s e so ni n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，a n dm a n yi n t r u s i o nr e s p o n s es y s t e m s ( i r s ) a r e s t i l l l i m i t e dt om a n u a i r e s p o n s e b e c a u s eo f i t ss l o w n e s si nr e s p o n s ea n di i si n a b i l i t yt od e a lw i t h t h el a r g en u m b e ro fe v e n t si nh i g h - s p e e dl a r g e s c a l en e t w o r k , t h em a n u a li r sc a n n o t s a t i s f yt h e p r e s e n tr e q u i r e m e n t o fi n t r u s i o nr e s p o n s e o nt h eo t h e rh a n d ，t h er e s e a r c ho na u t o m a t e d i n t r u s i o nr e s p o n s es y s t e m ( a i r s ) i ss t i l li ni t sp r i m i t i v es t a g e t h ec l a s s i f i c a t i o nb a s e dd e c i s i o n m o d e li sw i d e l yu s e d b u to n l yf e w 缸t o r sh a v eb e e nt a k e ni n t oc o n s i d e r a t i o ni nm a n ya i r s s a sar e s u l t ，i tc a n n o ta l w a y sm a k er e a s o n a b l ed e c i s i o n s t h i sp a p e rr e s e a r c h e so na i r sw h i c h a i m sa tp r o t e c t i n gal o c a la r e an e t w o r k , a n dt a k e sm o n s t e a ni n t r u s i o n p r e v e n t i o ns y s t e m ，a s i t sa p p l i c a t i o nb a c k g r o u n d t h ea i r s w es t u d i e dt a k e se v e n t sf r o mm i s u s ei d sa si n p u t f o ri t si n h e r e n tl i m i t a t i o n ，a m i s u s ei d s m a yg e n e r a t em u l t i p l ee v e n t sf o r a s i n g l ea t t a c k t h u s ，t h ef i r s tp r o b l e m w es t u d i e d i sr e d u n d a n c ee l i m i n a t i o n w h i c hp r e p r o c a s s e st h ei n p u tb ym e r g i n gr e d u n d a n te v e n t ss oa st o p r e v e n ta i r s f r o m t a k i n gu n n e c e s s a r yr e s p o n s e s t h i sp a p e rf i r s tm a d e as y s t e m a t i ca n a l y s i so f t h ec o r r e l a t i o nf e a t u r e sb e t w e e nt h er e d u n d a n te v e n t s ，i n c l u d i n ga t t a c kc l a s sc o n s t r a i n t ，s p a c i a l c o n s t r a i n t ，t i m i n gc o n s t r a i n t f o rs p a c i a lc o n s t r a i n t ，w ee n u m e r a t ea l lp o s s i b i l i t i e so fa t t a c k s ； w h i l ef o rt i m i n gc o n s t r a i n t ，w eu s er e l a t i v em e a n s q u a r ee r r o rm o d e l t od e s c r i b et h i sf e a t u r e t h e p a p e r u s e sr u l e - b a s e dm e t h o dt od e s c r i b ee a c hr e d u n d a n c ei n s t a n c e ，a n d p u t s f o r w a r dt h e r e a l - t i m ea g g r e g a t i o nb a s e dr e d u n d a n c ee l i m i n a t i o na l g o r i t h m ( r a r e ) t oe l i m i n a t er e d u n d a n t e v e n t si nr e a lt i m ea c c e d i n gt ot h er u l es e t 一 r e s p o n s ed e c i s i o ni sak e yp r o b l e mi nt h es t u d y o fa i r s c u r r e n ta i r s s a d o p tt r a d i t i o n a l c l a s s i f i c a t i o nb a s e dr e s p o n s ed e c i s i o nm o d e l i t sd e f i c i e n c y1 i e si nt 1 a ti ti a c k su n i f i e dr e s p o n s e g o a l ，a n di t sr e s p o n s ep o l i c yi sn o tw e l la d a p t i v et ot h ec h a n g e si ne n v i r o n m e n t t h i sp a p e rp u t s f o r w a r dt h ec o s tb a s e do p t i m a lr e s p o n s ed e c i s i o nm o d e l ( c o r d ) i n s p i r e db yw e n k el e e s c o s ts e n s i t i v em e d e i t h i sm e d e lt a k e si n t oa c c o u n tb o t ht h et h r e a to fa t t a c ka n dt h ec o s to f r e s p o n s e ，a n dc h o o s e st h eo p t i r e a lr e s p o n s ef r o mt h ew h o l ep r o s p e c t t h em o d e li n v o l v e st h r e e c l a s s e so fc o s t ，t h a ti s ，r e s i d u ed a m a g ec o s t ( r d c ) ，r e s p o n s eo p e r a t i o nc o s t ( r o c ) ，a n d n e g a t i v er e s p o n s ec o s t ( n r c ) t h ep a p e rg i v e s t h e q u a n t i f i c a t i o n m e t h o do fr d c ，a n d c o n v e y st h eq u a n t i f i c a t i o no fo t h e rc o s t si n t od a m a g ec o s t , t h u su n i f i e st h eq u a n t i f i c a t i o no fa l l t h r e ec l a s s e so f c o s t t h e p a p e rp u t sr a r e a n dc o r di n t oa p p l i c a t i o ni nm o n s t e i 乙a n dm a k e sa na s s e s s m e n t o ft h e mf r o mt h ee x t e r i m e n t , r a r ec a ne f f e c t i v e l ye l i m i n a t et h er e d u n d a n te v e n 协f r o mt h e s t r e a mo fp r i m i t i v ee v e n t s ，a n dt h ee l i m i n a t i o nr a t i of o ro u rt e s t i n gd a t as e ti sa b e v e1 0 i n a d d i t i o n ，t h ec o m p l e t e n e s so ft h ea l g o r i t h mc a l lb eg u a r a n t e e db yb e d e w i n gt h ef u n c t i o n a l i t yo f m a c r o s c o p i c a la t t a c kb e h a v i o ra n a l y s i sm o c t u l et oh e l pe x t r a c tr u l e s f o rc o r d i tt a k e si n t o a c c o u n tp l e n t yo ff a c t o r s ，a n dt h e nm a k e sr e a s o n a b l ed e c i s i o n s b ye s t a b l i s h i n ga l l o r d e ro f l l 摘要 p o s s i b l er e s p o n s e sf o ras p e c i f i ca t t a c ka n dc h o o s i n g t h eb e s to n e m o r e o v e r t h e r e s p o n s ep o l i c y c a l lb ea d j u s t e de a s i l yw i t ht h ec h a n g e si ne n v i r o n m e n t ，a n di th a sg o o de x t e n s i v ea b i l i t yf o r s u p p o r t i n gn e wr e s p o n s em e t h o d s i nt h ee n d ，t h ep a p e re x p e c t st h ef u t u r eo fr e s e a r c ho na i r sb yd i s c u s s i n gt h ep r o s p e c to f u s i n gc o m p o s i m a t t a c kd e t e c t i o na n da t t a c kp r e d i c t i o nt e c h n i q u e si nr e s p o n s ed e c i s i o n 【k e y w o r d s n e t w o r ki n t r u s i o n ，a u t o m a t e di n t r u s i o nr e s p o n s es y s t e m ，r e a l - t i m ea g g r e g a t i o n ， r e d u n d a n c ee l i m i n a t i o n ，r e s p o n s ed e c i s i o n ，c o s t i l l 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均己在论文中作了明确的说明并表示了谢意。 dl h 一 研究生签名： 堤日期：塑! 生垒：! ! 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。 i 本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。 论文的公布( 包括刊登) 授权东南大学研究生院办理。 研究生签名：3 亘导师签名：磊( 夸 日期：兰! ! 生：鱼：f7 第一章绪论 第一章绪论 在过去的几年内，网络入侵事件不断增长，技术也不断进步。根据c e r t c c ( 计算机 紧急响应小组协调中心) 的调查【1 】显示，网络入侵已经造成了严重的危害，这些危害体现 在：导致服务失效；导致对系统的非授权使用或者滥用：导致数据或者软件的丢失、更改 或损坏；导致巨大的经济的损失；对人类生命造成了危害；导致人们对计算机网络的不信 任。 从晟近几年的统计数据分析可以看出，网络入侵的发展呈现以下几大趋势： ( 1 ) 有能力发起入侵的人数不断增长。造成这种现象的主要原因是：入侵者之间的组织 性变强，相互交流变得越来越广泛，并且入侵者编写的入侵工具的功能越来越强且 容易使用，这使得不够熟练的新手很容易发起攻击。 ( 2 ) 网络入侵事件的数量不断增长。图卜l 显示了c e r t c c 从1 9 8 8 年到2 0 0 3 年期间， 每年发布的由该机构处理的网络入侵事件数量的变化，由图可见，近几年c e r t c c 处理的事件数量呈现逐年翻倍增长的趋势。 ( 3 ) 网络入侵技术发展日新月异。入侵行为由零碎的小规模攻击发展成为大规模的、分 布式攻击，并且入侵更具隐蔽性和破坏性。例如，近几年的s a d m i n d i i s 蠕虫、 c o d e r e d 蠕虫等的爆发严重影响了计算机互联网的正常运行。 由此可见，对于网络入侵的防范已经成为了一个急待解决的问题，入侵检测和响应系 统作为保障网络安全的重要设膻已经成为研究的焦点。 1 1 入侵与响应 1 1 1 入侵简介 图卜1c e r t c c 每年处理的安全事件数量 在1 9 8 0 年，a n d e r s o n 首先提出了入侵检测的概念，在【2 】中他将入侵定义为“一种非 授权的访问或操纵信息的尝试，并且可以导致系统不可靠和不稳定”。 由于入侵的多样性和入侵手段的不断发展，目前还没有公认的标准的入侵分类方法， 东南大学硕士论文 但是已有很多研究从不同的角度对入侵进行了分类，主要可以根据以下三种尺度：入侵的 目的、入侵采用的技术、入侵产生的后果，详见表1 - 1 中的分类【3 】。 表1 - 1 入侵的分类 ( 1 ) 按照入侵目的分类： 破坏型修改发布信息 摧毁核心数据 中断网络服务 渗透型窃取重要数据 盗用网络资源 骗取信任资源 跳板型眺转攻击目标 隐藏黑客行踪 毁灭日志数据 ( 2 ) 按照入侵技术分类： 绕过访问控制 口令攻击口令捕获 口令猜测 特权程序欺骗 利用弱认证 资源的主动滥用 利用系统漏洞 资源耗尽 资源的被动滥用手工浏览 自动探索( 利用扫描器)使用自制程序 使用公共工具 ( 3 ) 按照入侵后果分类： 泄漏机密信息的泄漏用户信息泄漏 系统信息泄漏 对非授权实体的服务以l 普通帐户访问 以特殊系统帐户访问 以c l i e n tr o o t 访问 以s e r v e r r o o t 访问 拒绝服务 选择性影响单个用户 影响一组用户 非选择性影响系统所有用户 传递性影响其它系统的用户 错误输出选择性影响单个用户 影响一组用户 非选择性影响系统所有用户 传递性影响其它系统的用户 每一种入侵对应一个或多个系统漏洞，随蔫系统复杂性的增加，系统存在漏洞也在所 难免。图1 - 2 【l 】显示了一个新的漏洞从被发现和利用到被淘汰的过程，横坐标表示时间， 纵坐标表示该漏洞被利用的次数。刚开始时，新的漏洞被一些有经验的入侵者发现，并且 2 第一章绪论 开发了利用该漏洞进行入侵的简单工具，这时该漏洞只有少数人知道并利用。随后，这些 工具被越来越多的新手使用，并且这些漏洞利用工具逐渐完善，成为自动化的、面向大规 模网络的入侵工具。然后，这些漏洞利用程序大规模蔓延从而造成大范围内的严重危害。 最后，入侵者开始转向寻找新的漏洞。从该图可以看出，太部分的入侵是可以预防的，因 为在某种入侵活动发展为大规模并造成严重危害之前，计算机紧急响应机构已经能够发现 被利用的漏洞，以及相应的入侵行为的特征和响应方法( 如图阴影部分所示) 。 图1 - 2 漏洞被利用的生命期 1 1 2 入侵检测系统的局限 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 4 是指用来检测未经授权 的对计算机资源非法使用的行为的系统。 根据入侵检测系统所处理的数据来源，它可以分为基于主机的入侵检测系统h i d s ( h o s t b a s e d i n t r u s i o n d e t e c t i o n s y s t e m ) 和基于网络的入侵检测系统n i d s ( n e t w o r k b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 两类。h i d s 通常部署在被重点监测的主机上，它通过采集和 分析主机的系统访问记录、文件存储、资源占用、进程创建、命令调用等信息的审计日志、 应用日志、配置信息、系统校验和等数据发现潜在的入侵行为。n i d s 通常部署在网络关 键路径上，实时采集网络中的数据报文，通过对报文的特征分析发现入侵行为。 根据入侵检测系统使用的检测算法，它可以分为滥用检测系统( m i s u s ed e t e c t i o n s y s t e m ) 和异常检测系统( a n o m a l yd e t e c t i o ns y s t e m ) 两类。滥用检测系统通过对采集的 数据按照已知的攻击知识进行分类来发现攻击行为，它依赖于所谓的攻击知识库，该类系 统检测效率和准确性较高，但只能够检测已知的攻击。异常检测系统通过观察相对于正常 系统行为的偏离来检测攻击行为，这类系统比较完备，即能够检测未知攻击，但误报率较 高。 入侵检测系统对网络安全做出了巨大贡献，它使得网络入侵不再是隐蔽的行为。然而， 入侵检测系统对网络的保护能力仍然有限，因为它的作用仅限于发现入侵行为和记录入侵 行为以便用于事后追查，而不能及时地阻止入侵行为、消除入侵造成地危害。目前，入侵 检测系统并不能作为一个独立的保护网络安全的设施，在发现入侵行为后通常需要管理员 进行人工干预和响应，因此入侵响应系统的研究显得越来越重要，它与入侵检测系统的结 3 东南大学硕士论文 合能够更大程度地保护网络的安全。 1 1 3 入侵响应系统 入侵响应系统( i n t r u s i o nr e s p o n s es y s t e m ，简称i r s ) 是指能够阻止入侵行为、降 低系统遭受的损失、甚至对系统进行恢复的系统。它位于入侵检测系统之上，接收入侵检 测系统报告的安全事件，并做出合理的响应。 l 、入侵响应系统的响应方式 从响应功能的角度，入侵响应系统可以使用的响应方式多种多样，主要可以分为被动 响应方式和主动响应方式。主动响应方式能够主动干涉入侵行为，从而阻止入侵的进行 如断开入侵链接等方式；而被动响应方式不能够直接干涉入侵的进行，如采取记录和报警 等方式。( 5 】中对可能的响应方式进行了枚举： ( 1 )记录安全事件：将安全事件记录下来有利于管理员的事后追查。 ( 2 )产生报警信息：在控制台产生报警，或发送邮件给管理员。 ( 3 )记录附加日志：为了能更好地分析入侵行为，有时应当不仅限于记录发现入侵的第 一个报文，如对于栈溢出攻击，记录栈溢出之后的一些报文对管理员了解入侵者的 意图是非常重要的。 ( 4 )激活附加的入侵检测工具：入侵检测系统为了将有限的资源集中于更多攻击的检 测，一般使用计算复杂度较低的测度进行检测，当发现入侵者对系统的潜在危害上 升时，可以触发更细致的检测，这种检测一般使用计算复杂度较高的测度，但检测 精度将更高。 ( 5 )中断会话：通过发送r s t 报文中断会话。 ( 6 )隔离入侵者：通过配置防火墙将入侵者从受保护网络隔离，但是对于伪造i p 的攻 击，这种响应会伤害合法客户的利益。 ( 7 )隔离被攻击对象的特定服务：通过配置防火墙实现，但这种响应将阻止其他合法客 户对该服务的访问。 ( 8 )隔离被攻击对象：通过配置防火墙实现，但这种措施实际上禁l 上了所有客户对该对 象的访问。 ( 9 )提供附加的认证措施：在受害主机上强制可疑用户提供附加的身份证明。 ( 1 0 ) 暂停用户任务的执行：在受害主机上杀死可疑进程。 ( 1 1 ) 封锁用户帐户：在受害主机上实现。 ： ( 1 2 ) 关闭被攻击的主机。 ( 1 3 ) 欺骗入侵者：蜜罐( h o n e y p o t ) 技术是典型的代表。它是一个设计用来观测入侵者 如何探测并最终入侵系统的一个系统，它包含一些并不威胁公司机密的数据或应用 程序，同时对于入侵者来说又具有很大的诱惑力，其晟大作用在于了解及评估入侵 者的入侵技术。 ( 1 4 ) 跟踪入侵者：找到尽量接近攻击发起的位置。 ( 1 5 ) 警告入侵者：发送警告消息给入侵者。 ( 1 6 ) 攻击入侵者：最严厉的响应措施。 可以看出，( 1 ) 至( 4 ) 的响应方式比较温和，( 1 3 ) 至( t 6 ) 的响应方式比较严厉， ( 5 ) 至( 1 2 ) 的响应方式介于两者之间。其中( 1 ) 至( 4 ) 的响应属于被动方式，其它的 属于主动方式。在早期的入侵响应系统中，被动响应是唯一的响应模式，随着技术的不断 4 第一章绪论 发展和人们对于不断提高安全性的要求，主动响应成为现今入侵响应系统的主要响应模式。 在这些响应方式的实现方面，( 1 5 ) 和( 1 6 ) 的响应方式一般受到法律等因素的约束，从而 限制了它们的使用；( 1 3 ) 和( 1 4 ) 的响应方式由于实现的困难，使用的比较少：其它的响 应方式都得到了实现和使用。 2 、入侵响应系统的分类 对于入侵响应系统，响应的及时性非常重要。c o h e n 6 通过模拟的方法研究了响应的 时间与攻击者成功概率之间的关系。他的研究结果显示：如果熟练的攻击者被发现后仍留 给他们1 0 小时的时间，他们将有8 0 成功的机会；如果留给他们2 0 小时的时间，则成功 的机会达到9 5 ：如果留给他们3 0 小时的时间，则攻击者几乎很少失败。 c u r t i s 5 】将入侵响应系统按其响应速度分为3 类： ( 1 ) 报警型系统( n o t i f i c a t i o ns y s t e m ) 。报警型系统只是发现了安全事件后简单地给管 理员发送通知，具体决定如何响应以及响应措施的实行由管理员负责。这类响应系 统的缺点在于它使攻击发现和响应之间的时间窗口过长，从而给攻击者提供了充足 的时间窗口实现攻击意图。 ( 2 )手工响应系统( m a n u a lr e s p o n s es y s t e m ) 。它提供了一些预先编制好的用来响应的 程序，并能指导管理员选择适当的程序进行响应。这类系统加快了响应的速度，但 仍然留给了有经验的攻击者足够的时间窗口。 ( 3 ) 自动入侵响应系统( a u t o m a t e d i n t r u s i o n r e s p o n s e s y s t e m ，简称a i r s ) 。它是最理 想的能有效保护网络安全的一类系统，它能自动进行响应决策并及时地对攻击做出 响应，从而留给攻击者尽量短的时间窗口。 c u r t i s 对5 6 个现有的入侵响应系统进行了调查调查的统计结果见表i - 2 ，详细的调 查结果见附录a 1 。 表卜2 现有入侵响应系统的分类 i n t r u s i o nr e s p o n s ec l a s s i f i c a t i o ni q u m h e ro fs y s t e m s n o t i f i c a t i o n3 1 m a n u a lr e s p o n s e8 a u t o m a t e dr e s p o n e s1 7 t o t a i5 6 目前大量研究仍然集中在入侵检测，而对于入侵响应仍未给予足够的重视。现有的入 侵响应系统中，虽然大部分已经支持主动响应方式，但它们当中只有少数属于自动入侵响 应系统，而且目前对于自动入侵响应系统的研究仍然处在初期阶段。 1 2 研究背景介绍 ( 2 ) 在网络安全监测和响应研究领域，目前存在如下几个问题 随着网络技术的发展，网络带宽飞速提升，从而对入侵检测系统的性能提出较高的 要求。以c e i 州e t 为例，至2 0 0 0 年底，c e r n e t 的地区主干线路已经升级到2 5 g ， 而一些高校的网络接入速率也达到1 0 0 0 m 。 网络攻击技术更具隐蔽性，从而对检测算法研究提出了更高的要求。如一些攻击采 5 东南大学硕士论文 用t c p 分段、字符串变形等方式来逃避入侵检测系统的检测。 ( 3 ) 随着攻击的自动化和大规模化，传统的人工响应方式已经远远不能满足响应的需 要。这主要体现在：反应迟钝，对攻击进行人工分析拖延了响应时机，使得攻击造 成巨大的损失；不能适应大规模高速网络实时响应的要求，大量的安全事件使人工 响应变得不可能。于是，自动入侵响应技术的研究逐渐得到重视。 在以上背景之下，华东北地区网络中心研究和开发了m o n s t e r ( m o n i t o r o n n e t w o r k s e c u r i t ya n dt o o lf o re m e r g e n c yr e s p o n s e ) 系统，该系统是一个部署于1 0 0 0 m 接入网的以 串联方式工作的集成报文过滤、入侵检测、协同和响应的入侵防范系统( i n t r u s i o n p r e v e n t i o n s y s t e m ) 。该系统具有以下特点： ( 1 ) 在千兆信道、峰值流量为1 g b p s 的环境下，支持实时报文采集过滤转发功能。 ( 2 ) 具有基于特征匹配的单报文检测能力、基于协议分析的会话检测、多报文上下文相 关检测能力，可以抗攻击逃逸和针对i d s 的攻击。 ( 3 ) 具备自动入侵响应能力，响应方式包括报警、配置防火墙访问控制规则等。 ( 4 ) 具备与r a i r s 的协同能力。可以作为r a i r s 的检测和响应节点。 m o n s t e r 的体系结构如图1 - 3 所示。m o n s t e r 系统的主要组件由报文监测模块、 入侵检测模块、入侵响应模块和协同模块组成。m o n s t e r 位于接入网中，采用转发式的 体系结构，由报文监测模块负责对两个方向报文的过滤和转发，从而可以起到防火墙的作 用；报文监测模块同时还采集入侵检测模块需要的报文，送给入侵检测模块进行分析。入 侵检测模块当发现报文中有入侵行为时产生原始事件，报送给入侵响应模块。入侵响应模 块消除原始事件中的冗余，生成简单攻击事件，并对简单攻击事件进行响应，响应方式包 括更新入侵检测规则、更新报文监测模块的报文过滤规则等，从而能够阻止攻击的进行。 同时，入侵响应模块将生成的简单攻击事件入安全事件库。协同模块支持r a i r s 与 m o n s t e r 系统之间的协同。包括向r a i r s 提供本地安全事件库中的事件信息，以及接收 r _ a i r s 的响应命令并触发入侵响应模块执行。 酉1 - 3 一m 石面爵赢爵膝螽韬一 r a i r s 系统以“面向大规模互联网络的信息安全保障体系研究”( 科技部社会公益专 项课题) 和“面向大规模互联网的分布式入侵检测和预警模型”( 国家自然科学基金重大研 6 第一章绪论 究计划课题- - 9 0 1 0 4 0 3 1 ) 为项目背景，它面向大规模网络，完成的功能包括安全事件的综 台、响应决策和预警，它只对安全事件进行分析而不具备从网络报文中检测安全事件的能 力。与m o n s t e r 的响应不同，r a i r s 的响应的特点是分布性和非实时性：分布性指其响 应可能需要各个m o n s t e r 协同完成，而非实时性指其不是针对某个入侵事件，而着重于 粗时间粒度上的预瞀。图1 - 4 显示了r a i r s 和m o n s t e r 的关系由图可见m o n s t e r 不仅可以作为独立的系统运行，也可以作为r a i r s 的检测和响应节点，r a i r s 不仅可以 从m o n s e r 获得安全事件信息，还可以通过m o n s t e r 实现分布式的响应。 图1 - 4r a l r s 和m o n s t e r 的关系 1 3 论文研究内容 本文以m o n s t e r 系统为背景，对单管理域的自动入侵响应进行研究，并给出 m o n s t e r 系统入侵响应模块的实现模型。 研究内容涉及两个子问题： ( 1 )冗余消除问题。 入侵响应的输入为入侵检测输出的原始事件，但这些事件与攻击的发生并非一一对应， 而是多对一的关系，即它们当中存在很多冗余事件。本文通过提取冗余事件的关联特征， 提出了基于实时聚类的冗余消除算法，合并一次攻击产生的多个事件。该过程实际上对入 侵响应的输入进行了预处理从而使系统能够做出更准确的响应。 ( 2 )响应决策问题。 入侵响应需要对每个发生的攻击做出合理的、及时的响应。本文借鉴成本敏感模型， 提出了基于代价的最优响应决策模型。该模型综合考虑了攻击的危害和对攻击响应的付出， 以系统期望总代价最小化为目标。该模型通过代价评价响应的合理性，本文对模型中涉及 的各种代价的量化进行了研究，并给出了代价量化的方法。 1 4 论文组织结构 论文第一章首先对入侵技术和现状进行了介绍，强调了入侵响应系统对保障网络安全 的重要作用：然后介绍了入侵响应系统的分类和研究现状，给出了自动入侵响应系统的定 义：最后介绍了论文：【= 作的研究背景和研究内容。 第二章对冗余消除问题进行了研究。本章首先对冗余消除问题做了定义，分析了 7 东南大学硕士论文 c i t r a 系统的冗余消除方法的不足：然后本章对冗余事件的关联特征进行了系统的分析， 包括冗余事件的攻击类型关联特征、空间关联特征、时间关联特征：最后给出了在实时环 境中的原始事件冗余消除算法，并对算法的优化进行了讨论。 第三章对响应决策问题进行了研究。本章首先介绍了响应决策模型的研究背景：然后 借鉴成本敏感模型提出了基于代价的最优响应决策模型，并对该模型和传统的基于分类的 响应决策模型进行了比较；随后本章给出了基于代价的最优响应决策模型中各种代价的量 化方法；最后给出了响应决策算法的总体描述。 第四章介绍了m o n s t e r 系统入侵响应模块的设计。本章给出了入侵响应模块的实现 模型，各功能模块的流程以及入侵响应模块和系统其它模块以及r a i r s 系统的接口设计。 第五章对本文提出的冗余消除算法和响应决策算法，从正确性、可行性、完备性、扩 展性角度进行了分析。 第六章为本文最后一章，主要对自动入侵响应技术进行了总结，并对未来自动入侵响 应技术的发展进行了展望。 8 第二章冗余消除 第二章冗余消除 由于滥用入侵检测系统输出的安全事件与攻击的发生并非一一对应，而是多对一的关 系，因此为了保证响应的准确性必须消除这些安全事件中的冗余事件，也就是对入侵响 应的输入进行预处理。本章讨论自动入侵响应涉及的第一个子问题，即冗余消除问题。本 章首先对冗余事件的关联特征进行系统的分析，然后提出了基于实时聚类的冗余消除算法。 2 1 冗余消除研究背景 2 1 1 问题的提出 1 ，1 1 节根据攻击目的、攻击手段和攻击后果尺度介绍了攻击的分类。而从攻击行为特 征的角度，可以给出攻击的另一种分类方式：持续性攻击和非持续性攻击。 ( j )持续性攻击：指攻击必须通过大量重复或相似的动作才能够实现攻击目标，如一次 拒绝服务攻击通常需要持续发送大量的攻击报文来实现，属于这类攻击的还有扫描 攻击、口令猜测攻击等。 ( 2 )非持续性攻击：指攻击往往通过一个动作就能够实现攻击目标，如栈溢出攻击等。 对于持续性攻击，攻击的次发生可能使滥用入侵检测系统在一定对问范围内检测到 多个安全事件，f 面以l a l g ep i n g 和t c p p o r ts c a n 攻击为例进行说明。 例l ：一次l a r g e p i n g 拒绝服务攻击 该攻击基于i c m p 协议，通过连续向目标主机发送长度很大的i c m p p i n g 报文使目标 主机服务失效【7 】。滥用入侵检测系统对于该攻击的检测算法一般为：若发现一个长度较大 的i c m p p i n g 报文，则报告一个l a r g ep i n g 类型的安全事件。因此，对应l a r l 骟p i n g 攻击 的一次发生，入侵检测系统通常会报告多个该类型的安全事件。图2 - 1 显示了当发生一次 l a r g ep i n g 攻击时s n o r t 的输出( s n o r t 是一个开放源码的网络入侵检测系统) 。这些安全事 制：的类型都是l a r g ep i n g ，它们的攻击源地址相同，攻击宿地址也相同。 1 6 ：5 9 ：1 8 7 6 6 1 7 3 1 6 ：5 9 ：1 8 7 7 0 2 3 6 1 6 ：5 9 ：1 8 7 7 0 2 3 6 1 6 ：5 9 ：1 8 7 7 0 2 3 6 7 ：0 0 ：5 8 4 3 5 8 0 11 9 2 1 6 8 2 5 1 3 0 - 1 9 2 1 6 8 2 3 3 7 l a r g ep i n g 图2 - 1s n o r t 检测一次l a r g ep i n g 攻击的输出 例2 ：一次t c p 端口扫描攻击 该攻击是指攻击者尝试对目标主机多个不伺端口的连接，从而确定目标主机提供哪些 服务。一般滥用入侵检测系统使用的检测算法为：在一定时间t 内，若发现攻击者对目标 主机不同端口的连接数大于n ，则报告一个t c pp o r ts c a n 的安全事件。对于s n o r t 系统， 缺省情况t 取值为1 0 秒，n 取值为1 5 。这样当攻击者一次性扫描大范围的端口时，入侵 吨哪雄孵姆 l l l l”钾” 勰铝醯能s 蛇妮蛇 ) 如如如如 巧筋筋筋醯鳃醯矾蛇兜蛇s ! 东南大学硕士论文 检测系统将报告多个该类型的安全事件。 理想的入侵检测系统应当对一次攻击仅产生一个安全事件，因此在以上两种情况中报 告的事件存在冗余。而且，这种现象也存在于其它多种攻击类型的检测中。 冗余事件将造成如下的负面影响： ( 1 )如果以它们作为入侵响应系统的输入，则会造成很多重复的不必要的响应，因为入 侵响应系统应当针对每个攻击进行响应，这要求每个安全事件准确地报告了一次攻 击的发生； ( 2 )给管理员对安全事件的查询造成了困难，特另0 是这些冗余事件有成千上万条时，将 使得入侵检测系统的输出不可读。 因此，冗余消除问题至关重要。它的目标就是使得系统对次攻击只产生一个安全事 件，这样不仅有利于入侵响应系统做出准确的响应，而且增强了入侵检测系统的输出的可 读性。 其实，在理论上冗余消除问题可以在入侵检测算法中解决。在进行入侵检测时，为每 个持续性攻击保存状态，从而为每个攻击只产生一个安全事件。但无论是在s n o r t 系统， 还是在其它入侵检测系统中，都没有在检测算法层中解决该问题，主要原因有两点： ( i )保存状态需要消耗系统资源，每个状态需要占用空间资源，而且若状态数急剧膨胀， 则搜索状态所需要的计算资源也会随之增大： ( 2 )检测算法面向的是高数据流量，为了提高算法效率往往需要对算法进行优化和简 化，而若在检测算法中加入了冗余消除的需求则会使得算法变得复杂，并且给优 化带来困难。 基于以上原因，本文将冗余消除作为独立的模块进行研 究，它的输入即为现有的入侵检测系统的输出( 如图2 - 2 所 示) 它输出的安全事件与