（计算机软件与理论专业论文）网络安全风险评估与入侵响应.pdf

摘要 摘要 随着i n t e r n e t 的发展，人们在得益于信息革命所带来的新的巨大机遇的同时， 也不得不面对信息安全问题的严峻考验。为了增强计算机网络的安全性能，人们 研究出了众多的安全技术和机制。在这些安全技术中，自动入侵响应是网络安全 体系中的重要防范技术，它可以在发现入侵行为后及时做出响应，把网络攻击的 危害减小到最低程度。 本文在深入细致地分析了现有自动入侵响应系统的各种决策技术的基础上，引 入了基于层次化动态风险评估的响应决策模型。模型以入侵报警关联结果攻击线 程为基础，从服务、主机和网络三个层次自下而上实时地评估一个正在发生的攻 击过程在这三个层次上所产生的风险情况，为入侵响应决策提供重要依据。我们 取得了以下研究成果： 1 把层次化在线风险评估引入到入侵响应决策中来，风险因素成为响应决策 的重要依据。 2 识别攻击所针对的具体资产，便于了解系统实时的安全状况，并做更有针 对性的响应。 3 在进行响应措施决策前，先做响应时机决策，根据响应目的及响应的有效 性和负面效应来选取响应措施。 4 设计并实现了风险评估和响应决策模块。实验证明，模块能够及时、合理 地对攻击行为进行响应，减小了攻击的风险，达到了设计的目标。 本文首先概述了入侵检测与响应系统的模型结构、一般特性、不同分类以及发 展趋势，接着介绍了风险评估的发展历程、评估标准及动态风险评估；然后对本 文的研究重点基于层次化动态风险评估的入侵响应决策技术进行了详细描 述，并着重讨论了其中的两个核心模块：风险评估模块和响应决策模块；最后采 用d a r p a 数据集进行实验，并对实验结果进行了分析。 关键词：网络安全；动态风险评估；自动入侵响应；攻击线程；响应决策 分类号：t p 3 9 3 0 8 a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e r n e t ，w eh a v et of a c e s e v e r en e t w o r ks e c u r i t y p r o b l e m sw h i l eb e n e f i t i n gf r o mt h eg r e a to p p o r t u n i t i e s o fi n f o r m a t i o nr e v o l u t i o n p e o p l eh a v ed e v e l o p e da n u m b e ro fs e c u r i t yt e c h n o l o g i e sa n dm e c h a n i s m st os t r e n g t h e n t h es e c u r i t yc a p a b i l i t yo fc o m p u t e rn e t w o r k a m o n gt h et e c h n o l o g i e s ，a i r si s a n i m p o r t a n tt o o lf o rt h ep r o t e c t i o no fn e t w o r ki n t h en e t w o r ks e c u r i t ys y s t e m i tc a n r e s p o n dt ot h ei n t r u s i o ne v e n t si m m e d i a t e l ya f t e ri td e t e c t st h e m ，i no r d e rt or e d u c e t h e d a m a g eo f n e t w o r ka t t a c kt ot h em i n i m u md e g r e e b a s e do nt h ed e e pa n a l y s i so fa r c h i t e c t u r ea n dd e c i s i o np o l i c yo fe x i s t i n ga i r s ，a n e wr e s p o n s ed e c i s i o nm o d e lb a s e do nh i e r a r c h i c a ld y n a m i cr i s k a s s e s s m e n ti s i n t r o d u c e di nt h i sp a p e r , t h em o d e lb a s e do nt h e r e s u l to ft h ei n t r u s i o na l a r m a s s o c i a t i o n ，c a na s s e s st h er i s ko fa no n l i n ea t t a c kp r o c e s sa ts e r v i c el e v e l 、h o s tl e v e l a n dn e t w o r kl e v e l w h i c hc a nb ea ni m p o r t a n td a t af o ri n t r u s i o nr e s p o n s ed e c i s i o n a n d w eh a v ea c h i e v e dt h ef o l l o w i n gr e s u l t so no u rr e s e a r c h ： 1 i n t r o d u c i n gh i e r a r c h i c a ld y n a m i cr i s k a s s e s s m e n tm o d e lt oo u ra i r s ， c o n s i d e r i n gt h er i s ka sak e y f a c t o ri nt h ep r o c e s so fr e s p o n s ed e c i s i o n 2 i d e n t i f y i n gt h es p e c i f i ca s s e t sw h i c ha t t a c k e ra i m e dt o ，t or e a l i z er e a l _ t i m e s e c u r i t ys i t u a t i o no ft h en e t w o r ka n dt om a k eam o r ee f f e c t i v er e s p o n s e d e c i s i o nf o r t h ea s s e t 3 m a k i n gr e s p o n s et i m ed e c i s i o nb e f o r er e s p o n s em e a s u r e s d e c i s i o n ，a n d t a k i n gd i f f e r e n tm e a s u r e sa c c o r d i n gt oe f f e c t i v ea n dn e g a t i v ei m p a c to f t h e r e s p o n s em e a s u r e sa n d d i f f e r e n tg o a l s 4 d e s i g n i n ga n di m p l e m e n t i n gt h er i s k a s s e s s m e n ta n dr e s p o n s ed e c i s i o n m o d u l e s a n de x p e r i m e n t sd e m o n s t r a t e dt h a tt h es y s t e mc o u l dr e s p o n dt o a t t a c ke v e n t si m m e d i a t e l ya n dr e a s o n a b l y , r e d u c et h er i s ko fa t t a c k ，s oi th a s a c h i e v e dt h eg o a lo fo u rd e s i g n t h i sp a p e rf i r s t l yo u t l i n e st h em o d e ls t r u c t u r e ，g e n e r a lf e a t u r e s ，d i f f e r e n t c l a s s i f i c a t i o na n dt h ed e v e l o p m e n tt r e n do fi d sa n di r s ，t h e ni n t r o d u c e st h ep r o g r e s s , c r i t e r i o n , m e t h o do fr i s ka s s e s s m e n t ，a n dt h e n f o c u s e so nt h ei n t r u s i o nr e s p o n s e d e c i s i o nt e c h n o l o g yb a s e do nh i e r a r c h i c a ld y n a m i cr i s k ，w h i c hi st h ek e yc o n t e n to ft h i s p a p e r t h i sp a p e rp u t si t se m p h a s i s o nt w oc o r em o d u l e so ft h es y s t e m ：r i s ka s s e s s m e n t m o d u l ea n dr e s p o n s ed e c i s i o nm o d u l e f i n a l l y , u s e dd a r p ad a t as e tf o re x p e r i m e n t ， l 北京交通人学硕十学位论文 a n da n a l y z e dt h ee x p e r i m e n t a lr e s u l t s k e y w o r d s ：n e t w o r ks e c u r i t y ；d y n a m i cr i s ka s s e s s m e n t ；a u t o m a t e di n t r u s i o n r e s p o n s e ；a t t a c kt h r e a d ；r e s p o n s ed e c i s i o n c l a s s n 0 ：t p 3 9 3 0 8 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：关 高孕 签字日期：口g 年月彳日 导师签名： 签字日期：口一确月6 日 独创性声明 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：关 旁平 签字日期：工。咿年月6 日 致谢 值此论文完成之际，首先衷心地感谢我的导师田盛丰教授。感谢他在研 究生两年的学习期问的悉心指导、谆谆教诲和关怀照顾。田老师不仅培养了我们 认真、严谨的治学态度，还深入浅出地教我们做研究的方法。田老师渊博的学识、 严谨的治学态度、孜孜不倦的进取精神、对问题实质的洞察入微和高屋建瓴、以 及宽广豁达的长者风范，都给我们留下了深刻的印象。在课题研究和论文撰写的 过程中，田老师给予了宝贵的指导意见。再次对田老师表示最诚挚的感谢。 由衷的感谢博士生李万，他帮助我们选取题目，研究和讨论实现思想、方案， 监督论文的进度，在我遇到困难的时候及时与我讨论解决方案，分析可能的解决 方法及优缺点，从而使我想问题的思路站在了一个更高的层次上，对我的工作有 很大的启发性和指导性。 ， 衷心感谢黄厚宽教授、于剑教授，林友芳、王志海、瞿有利、魏名元及田凤 占老师的谆谆教导和帮助，他们为我们的研究营造了一个良好轻松的实验环境。 他们一丝不苟的治学精神永远是我学习的榜样。 感谢尹传环、穆成坡博士，课题小组组员赵大维、朱妍和韩冬，在与他们的 合作过程中，我学到了很多的东西，同时他们对本论文给予了很大的帮助支持。 感谢实验室的各位博士、各位师兄、师姐、师弟、师妹。在本论文的完成过程中， 他们都给了我很大的帮助。 感谢我的男友，感谢同宿舍的钟明英、杨阳，他们在我学习工作的过程中给 我最大的鼓励和支持，并对论文提出建议和意见。 感谢我的父母，是他们将我养育成人，给了我无私的爱，他们总在我最困难 的时候给我坚决的支持，父母永远是我人生最大的精神动力。 最后，在即将结束研究生阶段的学习时，让我衷心祝福所有关心我、爱护我 的各位老师、同学、朋友和亲人们。祝你们健康、顺利! 郑彦平 二零零八年五月 绪论 1 1 网络安全现状 1 绪论 随着信息化进程的不断深入和互联网的迅速发展，计算机网络向世界各个角 落延伸，人们通过网络互联享受着科技带来的巨大便利。通过网络，拓展了信息 资源共享空间和时间，提高了利用率。在得益于计算机互联网络所带来的新的巨 大机遇的同时，也充分感受到信息安全面临的严峻考验。 信息安全已成为国家安全的重要组成部分，网络安全技术己成为信息领域的 研究热点。网络安全技术如防火墙技术、入侵检测技术、加密技术、访问控制技 术、v p n 技术等能分别从不同角度加强网络的安全。其中入侵检测系统的作用尤 其重要，因为它是一种主动的信息安全保障措施，弥补了传统安全防护技术的缺 陷，它提供的信息表示了被保护资源当前的状态，使得我们能够对恶意活动的发 生有及时的了解，从而及时采取保护措施，避免或减少受到的危害。 尽管网络安全的研究得到越来越多的关注，然而网络安全事件并没有因此而 减少。相反，随着网络规模的飞速扩大、结构的复杂和应用领域的不断扩大，出 于各种目的，盗用资源、窃取机密、破坏网络的肇事者也越来越多，网络安全事 件呈迅速增长的趋势，造成的损失也越来越大。与此同时，网络入侵者的经验正 在变得越来越丰富，攻击工具和技术水平不断提高，攻击方法也在不断地创新和 更加丰富多样化。这些攻击轻则造成一些麻烦和经济上的损失，重则严重地威胁 到国家政治经济环境的稳定和国防安全。对入侵攻击的检测与防范、保障计算机 系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。 据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上，法国为1 0 0 亿法郎，日本、新加坡 问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已 列榜首。2 0 0 3 年，c s i f b i 调查所接触的5 2 4 个组织中，有5 6 的组织遇到电脑 安全事件，其中3 8 的组织遇到1 5 起，1 6 以上的组织遇到1 1 起以上。因与互 联网连接而成为频繁攻击点的组织连续3 年不断增加，遭受拒绝服务攻击的组织 则从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查显示，5 2 1 个接受调查的组织中 9 6 有网站，其中3 0 提供电子商务服务，这些网站在2 0 0 3 年一年中有2 0 发现 未经许可入侵或误用网站现象。更令人不安的是，有3 的组织说他们不知道自己 的网站是否受到损害。据统计，全球平均每2 0 s 就发生1 次网上入侵事件。 北京交通人学硕十学位论文 1 2 论文研究背景 计算机网络已经渗透到了社会的各个领域，然而其安全问题也同益突出，各 种黑客攻击技术在网上唾手可得，而且日新月异。入侵检测作为种积极主动的 安全防护技术，从网络安全立体纵深、多层次防御的角度出发，通过监视受保护 系统的状态和活动，提供了对内部攻击、外部攻击和误操作的实时保护。在过去 的i d s 研究和设计中，人们更注重如何设计一个有效的系统和它的检测性能上， 对入侵响应的研究却很不充分。随着对网络和系统的攻击速度越来越快，规模越 来越大并且日趋复杂，研究和开发具有自适应能力的系统变的十分迫切。 入侵检测( i n t r u s i o nd e t e c t i o n ) 就是对入侵行为的发现。它通过对计算机网络 和计算机系统中的若干关键点收集信息并对其进行分析，从而发现网络或系统中 是否有违反安全策略的行为和被攻击的痕迹。i d s 通常架设在网络重要节点与主机 系统之上，可检测网络流量与内容，或者分析网络内的信息流动。入侵检测作为 一种积极主动的安全防护技术，被认为是防火墙之后的第二道安全闸门。它能在 不影响网络性能的情况下对网络进行监听，可以识别入侵者、识别入侵行为、检 测和监视已经成功的入侵。 当i d s 分析出入侵行为或可疑现象后，只有系统采取相应的响应手段，才能 及时有效地阻止入侵的进一步发生并将入侵造成的损失降到最小程度。入侵响应 ( i n t r u s i o nr e s p o n s e ) 就是在发现或检测到入侵后针对入侵所采取的措施和行动， 这些行动和措施是为了在发生入侵的情况下确保被保护目标的机密性、完整性和 可用性【1 】。可能的入侵响应包括对入侵的告警、记录、追踪、阻断、取证、反击 以及损失恢复等行动。随着网络的日益复杂和安全要求的提高，更加实时的和系 统自动入侵响应方法正逐渐被研究和应用。入侵响应大致分为三类：系统保护、 动态策略和攻击对抗。 目前，被网络安全领域所普遍接受的可适应信息安全防护体系( 或称动态信息 安全理论) 的模型是p 2 d r 2 ，如图1 1 所示。 d e t e c t i o n 图1 - 1p 2 d r 模型 f i g u r e1 - 1p 2 d rm o d e l 2 d y n a m i c a d a p t i v e t i m e - b a s e d 绪论 此模型包含四个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。在安全策略的指导下，防护、检测和响应组成了一 个完整的、动态的安全循环。响应是这一循环中必不可少的重要环节。 1 3 论文研究的内容和意义 如今，入侵响应系统( i r s ，i n t r u s i o nr e s p o n s es y s t e m ) 已经不仅仅是应用于实验 和科研的软件系统了，它的最终目标是能够在实际的网络环境中发挥作用。因此， 设计i r s 是必须同时考虑有效性和易用性。目前，一般i r s 所共有的一个缺点是 响应速度慢，无效响应和误响应多，响应时机不恰当等。就目前的发展现状来看， i r s 还不能做到完全的自动化，对于响应时机和措施的决策还没有一个完善的解决 方案。 我们研究的内容主要有如下几个方面： 1 对服务、主机和网络这三个层次的在线风险评估模型及其算法的研究。 在线风险评估使得入侵响应依据由孤立报警变为攻击线程的风险这样 一个综合性指标，这一指标是进行响应时机决策、措施决策以及响应自 适应调整的重要参数，有利于响应策略应用和响应方案的优化，减少误 响应风险和响应的负面影响，增加响应系统的自适应性。 2 把攻击所针对的具体资产进行研究。这样便于我们把握系统中的被攻击 点详细情况并了解系统实时的安全状况，还可以针对被攻击点做有针对 性的响应。因为在响应中针对具体资产做出响应，这样不仅更具有针对 性，而且可以节约系统资源、降低响应成本。 3 对入侵响应进行响应时机和响应措施决策进行研究。在响应决策过程 中，根据不同的响应目的采取不同的响应策略，并综合考虑了响应措施 的有效性和响应同时给系统带来的负面效应。通过各种参数和阈值的设 定，系统具有了成本模型的优点，避免了“得不偿失 的响应。随着系 统不断运行，动态地调整响应措施，使得系统具有一定的自学习性和自 适应性。 我们研究的网络安全风险评估与入侵响应的意义在于，一方面通过对攻击线 程的评估，让管理员可以对网络整体态势有直观的认识；另一方面经评估量化的 风险，作为响应时机决策和响应措施决策的依据，为入侵响应提供依据。 北京交通人学硕十学位论文 1 4 论文的组织与安排 本文共分为七章。各章的内容安排如下： 第一章，绪论。本章介绍了网络安全的现状和本论文研究的背景、重点内容 和意义，以及对论文结构安排的描述。 第二章，入侵检测与响应系统概述。本章首先概述了入侵检测和响应系统的 相关知识，接着重点分析了自动入侵响应系统，最后指出了入侵检测与响应系统 未来的发展趋势。 第三章，网络安全风险评估概述。本章首先概述了网络安全的相关知识，接 着介绍了风险评估中的相关内容，最后指出了动态风险评估的研究及其与静态风 险评估的比较。 第四章，风险评估与入侵响应总体设计。本章首先介绍了系统背景和相关的 报警处理技术，随后总结了风险评估与入侵响应模块的功能目标、设计需求、体 系结构及设计思路，最后对系统的特点作了分析。 第五章，系统的详细设计和实现。本章详细介绍了基于层次化在线风险评估 的入侵响应系统的实现过程。首先解释了系统中几个重要的基本概念，接着重点 介绍了风险评估和响应决策模块的实现方法。 第六章，实验结果及分析。本章首先介绍了d a r p a 数据集，然后对实验结果 进行了验证分析。 第七章，结束语。本章总结了全文的主要内容，并对下一步要做的工作进行 了展望。 4 入侵检测与响应系统概述 2 入侵检测与响应系统概述 2 1 入侵检测系统概述 早在2 0 世纪8 0 年代初期，a n d e r s o n 提出了对计算机系统的风险和威胁的分 类方法，并阐述了安全审计机制的目标，这被认为是入侵( 攻击) 检测的开创性工作。 a n d e r s o n 将入侵定义为：未经授权蓄意尝试访问信息、篡改信息、使系统不可靠 或不能使用【3 。h e a d y 认为入侵是指试图破坏资源的完整性、机密性及可用性的 行为集合 4 。s m a h a 从分类角度指出 5 】，入侵包括尝试性闯入、伪装攻击、安全 控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基一梅隆大学的研究 人员将入侵定义为非法进入信息系统，包括违反信息系统的安全策略或法律保护 条例的动作【6 。目前美国国际计算机安全协会对入侵( 攻击) 检测的定义是：入侵( 攻 击1 检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分 析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种 安全技术。 我们认为，入侵的定义应与受害目标相关联，该受害目标可以是一个大的系 统或单个对象。判断与目标相关的操作是入侵的依据是：对目标的操作超出了目 标的安全策略范围。因此，入侵是指违背访问目标的安全策略的行为。入侵检测 通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全 策略或危及系统安全的行为。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e mi d s ) 是指能 够通过分析与系统安全相关的数据来检测入侵活动的系统，包括入侵检测的软件 和硬件的组合，简称i d s 。从系统所执行的功能上来考虑，i d s 必须包括如下三个 功能部件：提供事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分 析引擎的结果产生反应的响应部件。 入侵检测系统是新一代的安全防范技术，它通过对计算机网络或系统中的若 干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻 击的迹象。这是一种集检测、记录、报警响应一体的动态安全技术，被认为是防 火墙之后的第二道安全闸门。作为信息安全保障的一个重要环节，i d s 很好地弥补 了访问控制、身份认证等传统保护机制所不能解决的问题。入侵检测通过实时跟 踪网上和主机数据来检测非法入侵行为，并根据检测结果实时报警、响应，达到 主动发现入侵活动的目的。它是对付网络入侵的重要工具，是动态网络安全技术 的核心技术之一。 入侵( 攻击) 检测技术一般分为异常检测( a 1 1 0 m a l yd e t e c t i o n ) 与误用检测( m i s u s e 5 北京交通人学硕士学位论文 d e t e c t i o n ) 7 。异常检测是指建立系统的正常模式轮廓，若实时获得的系统或用户 的轮廓值与正常值的差异超出指定的阈值，就进行入侵报警。异常检测方法的优 点是不依赖于攻击特征，立足于受检测的目标发现入侵行为。但是，如何对检测 建立异常指标，如何定义正常模式轮廓，降低误报率，都是难以解决的问题。误 用检测是指根据己知的攻击特征检测入侵，可以直接检测出入侵行为。误用检测 方法的优点是误报率低，可以发现己知的攻击行为。但是，这种方法检测的效果 取决于检测知识库的完备性，为此，特征库必须及时更新，此外，这种方法无法 发现未知的入侵行为。 2 2 入侵响应系统概述 入侵响应( i n t r u s i o nr e s p o n s e ) 就是在发现或检测到入侵后针对入侵所采取的 措施和行动，这些行动和措施是为了在发生入侵的情况下确保被保护目标的机密 性、完整性和可用性【1 】。当i d s 分析出入侵行为或可疑现象后，系统需要采取相 应手段，将入侵造成的损失降低到最小程度。 入侵响应系统i r s ( i n t r u s i o nr e s p o n s es y s t e m ) 就是实现入侵响应的软件或软、 硬件组合系统。近期的响应技术研究主要包括入侵追踪、陷阱、与其它安全产品 的联动、入侵隔离、入侵屏蔽、可信恢复、灾难控制、自适应响应等技术。 研究结果显示，对于一个熟练的攻击者，从系统报警到采取有效的响应措施， 如果这之间留给他1 0 小时，那成功几率在8 0 ，如果留给他2 0 小时，那他的入 侵成功率为9 5 8 】。这个结果表明，响应的及时性对于成功阻止一次入侵是至关 重要的。 关于入侵响应的研究大致分为对响应政策的研究和响应机制的研究两类。对 响应政策的研究侧重在响应的自适应性和响应政策的形式化技术两个方面，试图 将响应政策的评估和执行机制集成到入侵检测和响应系统中，并尝试用高级语言 为大规模互联网络定义安全政策并开发相应的工具来处理。对于响应机制的研究 主要集中在如何提供一个全局的、更合理的实时响应系统，更灵活的去面对多变 的攻击行为。 根据响应地点的不同，入侵响应系统可以基于主机的入侵响应系统和基于网 络的入侵响应系统。基于主机的入侵响应系统用于防御针对主机的入侵，其响应 是地点是在被攻击主机上，响应包括事件告警、事件记录、限制用户权限、中断 用户进程、关闭用户账号和数据备份等。基于网络的入侵响应系统其响应地点位 于交换机、路由器和防火墙等专用网络设备上，可能的响应包括记录安全事件、 封闭交换机端口、切断入侵者口路由、防火墙上的连接阻断、追踪入侵和对攻击 6 入侵检测与响应系统概述 者实施攻击等等。 根据响应决策和响应实施的自动化程度，入侵响应系统又可以分为通知类型、 半自动类型和自动类型的入侵响应系统 9 】。通知类型的入侵响应是在i d s 检测到 入侵事件后只是向管理员发出警报，至于管理员如何响应主要取决于管理员本身 的经验和水平。目前，大部分的入侵检测系统中的响应部分都属于这一类。半自 动类型入侵响应系统附带有一系列的事先编制好的响应程序，当管理员接到告警 信息后，手工对其进行相应的分析，然后从这些事先编制好的响应程序中挑选合 适的执行。自动类型的入侵响应系统在i d s 发现入侵后，可以自动对报警信息进 行分析，并进行响应决策，确定合适的响应措施后，随之自动实施。不论是从应 对数量惊人的入侵事件考虑，还是从响应时间考虑，自动入侵响应系统都是目前 较为理想的响应系统。 2 3 自动入侵响应系统 自动入侵响应即指使用可行的主动响应技术自动进行入侵响应的过程。按照 实施响应的时间可以分为实时自动响应和事后自动响应。实时自动响应是在发现 入侵的同时采取响应行为来阻止潜在的破坏，属于抑制阶段；事后自动响应指在 根除和恢复阶段进行的响应，例如借助自动化工具进行系统检查，修复等，本文 关注的重点在实时自动响应。 2 3 1自动入侵响应系统的意义 从技术角度来看，对于研究自动入侵响应系统的意义主要体现在以下两点： ( 1 ) 解决了及时响应问题。从i d s 检测到入侵到实施入侵响应有一个时间差， 对于通知类型和半自动类型的入侵响应系统，需要网络管理人员对报警的信息进 行手工分析，然后根据具体情况进行响应决策，并实施响应，所以其响应时间短 则几分钟，长则几个小时甚至几天。而这一时间段越长，入侵的成功率越高，入 侵所造成的损失越大【1 0 】。因此，缩短从检测到响应的这一段时间，对于成功地防 止入侵，恢复系统，消除或降低入侵所带来的损失至关重要。在各类入侵响应系 统中，自动入侵响应系统的响应速度最快。 ( 2 ) 解决了正确响应问题。当i d s 报警后，网络管理人员常常需要对报警的信 息做出进一步的分析，然后根据具体情况，才能做出响应。而这种响应是否合适， 能否达到理想的效果，往往取决于网络管理人员能否对报警信息做出分析，并在 此基础上综合各方面的情况进行正确的推理、决策，选择合适的响应措施。这就 7 北京交通火学硕十学位论文 要求网络管理人员对网络原理、主机操作系统、网络安全等方方面面知识具有较 深的了解。所以，当入侵发生的时候，如果没有这样的专家在场，即使检测到入 侵，也无法进行及时、有效的响应。自动入侵响应系统中的响应决策机制就是集 相关知识于一体的专家系统，它可以自动对报警信息进行分析，然后综合各种实 际情况，进行推理决策。 2 3 2自动入侵响应系统的总体结构 自动入侵响应系统的总体结构如图2 1 所示。响应决策模块根据响应决策知识 库，决定对入侵检测系统检测出的安全事件做出何种响应；响应策略应当由一种 中间语言描述，由响应执行模块解释执行，并调用响应工具库中预先编制好的工 具。其中响应决策是系统的核心，因为合理的、及时的响应是降低系统损失的关 键。 图2 - 1 自动入侵响应系统体系结构 f i g u r e2 - la i r ss y s t e mf r a m e w o r k 2 3 3自动入侵响应系统的决策技术 综合目前国内外研究现状，自动入侵响应技术主要涉及以下一些方面的内容： 对攻击事件的分类研究、自适应技术在自动响应系统中的应用、响应的成本分析。 对事件的分类研究是自动入侵响应的基础，自适应是响应决策过程的技术保证， 而成本分析是响应满足合理性要求的关键。 1 事件分类研究 入侵响应的决策过程在很大程度上建立于对事件详细分类的基础上。针对不 同的事件，相应地采取不同的响应措施。对事件的分类，应该基于不同的标准， 从多个角度对事件进行分类。目的是确定事件的多个属性，以此来决定响应措施。 比如，同一个攻击事件，从攻击类型考虑，不同的类型对应不同的响应；从时间 入侵检测与响应系统概述 的角度考虑，正在进行的攻击行为和已经结束的攻击行为对应的响应措施也应该 不同。 c a r v e r 在综合前人研究的基础上，提出了一种面向自动入侵响应决策的事件 分类方法【1 l 】。这种分类法从攻击发生的时间、攻击的类型、攻击者的类型、事件 的可信度、攻击目标、环境约束等角度出发，构造了一个多维事件分类模型，如 图2 2 所示。 瑷击对阔 攻击炎飘 攻击者英蔓 事稍：可信度 攻击目标 图2 - 2 多维事件分析法 图2 - 2m u l t i - d i m e n s i o ne v e n ta n a l y s i sa p p r o a c h 从攻击时间考虑，针对正在进行的攻击主要应该采取相应措施阻止攻击的持 续，而在攻击事件发生之后则应侧重系统恢复。从攻击类型来看，一个d o s 攻击 与一个缓冲区溢出攻击响应措施显然不会一样。模型第三维从攻击者的角度对事 件进行区分。第四维考虑事件可信度，由于i d s 可能存在误报问题，系统通过可 信度对事件报告的确定性进行描述，而响应系统需要根据事件可信度来确定响应 措施，对可信度高的事件采取较为严厉的响应措施。从攻击目标的角度考虑，如 受到攻击的一个是d n s 服务器，一个是普通工作站，那么它们对应的响应也是不 相同的。最后，响应决策还应该考虑与事件相关的道德法律等约束条件，一个技 术上可行的响应在实际环境下不见得可行。 9 北京交通人学硕+ 。学位论文 2 自适应响应 到目前为止，大部分的自动入侵响应系统都是通过一个简单的静态决策表来 实现响应决策的。在这个决策表中特定的响应措施对应特定的攻击行为，一旦某 类攻击被检测到，就执行相应的响应措施。但是，入侵和响应是一个攻与防交互 的动态过程，任何静态的响应决策过程都不是最好的。入侵响应应当以一种动态 的自适应的方式进行。 针对某个具体的入侵行为，从入侵检测系统检测到该事件，到响应系统做出 相应的响应动作，响应过程并不应该到此为止。在做出初步的响应之后，决策系 统应该充分利用反馈机制，跟踪响应结果，如是否有效阻止入侵等信息，并结合 i d s 的进一步检测结果，及时调整修改响应策略或响应措施。 自适应技术的应用，还可以动态优化响应决策机制。响应系统根据每次响应 的成功与否，统计不同的响应措施成功响应的概率。这样，当针对某类攻击可能 的响应有多种选择时，系统就优先选择在以往响应事件中成功概率比较高的响应 措施。 系统安全状态是不断变化的，自适应技术的应用，使得自动入侵响应系统在 具备动态性、自适应性的同时，将会向着智能化的方向发展。 3 成本分析模型 自动入侵响应系统应该以最小的代价实现最大的安全目标。理想的响应系统 对所有检测到的入侵行为都做出响应，但是从资源限制等实际情况考虑，“不惜一 切代价”的响应显然是不合理的。入侵响应必须考虑成本问题，响应成本不能超过 预计入侵带来的损失。这就要求入侵响应系统综合考虑与入侵和响应相关的代价 与损失，从而做出最优响应决策。 w e n k el e e 1 2 】提出了一种用于入侵检测与响应的成本分析模型： c o s t s e n s i t i v em o d e l i n g 。入侵响应过程中涉及的成本因素可以分为损失代价 ( d a m a g ec o s t ，d c o s t ) ，即在响应系统不作任何响应的情况下，攻击对系统所造成 的损失；响应代价( r e s p o n s ec o s t ，r c o s t ) ，即系统对攻击做出响应所要付出的代 价，或者叫响应成本。针对i d s 检测到的具体入侵行为，如果其损失代价大于响 应代价，即d c o s t r c o s t ，则采取相应的响应措施；如果d c o s t r c o s t ，则响应 就没有必要。 成本分析的关键在于损失代价和响应代价的估算。损失代价可以通过重要性 和严重性两个指标来衡量。重要性是指攻击目标的重要程度，通过目标系统的功 能作用可以体现，如防火墙、路由器、d n s 服务器的重要性较高，邮件和w e b 服 务器的重要性次之，普通工作站的重要性最低。严重性是指攻击本身潜在的危害 1 0 入侵检测与响应系统概述 程度，如可以获取r o o t 用户权限的攻击的危害程度就高于只可以获取普通用户权 限的攻击的危害程度。响应代价主要根据响应策略和具体的响应措施，同时考虑 安全政策、环境约束等因素进行估算。 成本分析模型对于优化响应决策有着重要意义，但是它的不足之处也很明显： 成本分析只是基于单个攻击，而在实际的攻击事件中越来越多地采用了协同攻击； 只简单的比较损失代价和响应代价，没有考虑响应执行之后的剩余损失，因为响 应不一定能够将预计损失减小到零。 2 4 入侵检测与响应系统的发展趋势 2 4 1入侵检测技术的发展趋势 目前，虽然入侵检测系统已经有了很大的改进，但面对日益增长的网络带宽 和激增的安全事件，入侵检测应用面临诸多挑战：1 ) 现有的入侵检测系统都存在 一定程度的漏报、误报。漏报导致无法对攻击做出相应的反应，在安全等级比较 高的网络中，一般配备多种类型的检测系统，以增强互补减少漏报，但是这样也 会产生大量的重复报警；误报不仅增加了报警量，而且可能会触发没有必要的响 应动作从而影响网络的正常运行。2 ) 网络流量越来越大，对入侵检测系统的处理 能力要求越来越高。为了减少检查匹配的复杂性，入侵检测系统的检测特征比较 简单，事件的粒度比较小。3 ) 攻击能力提高，手段更加复杂。c e r t 在2 0 0 2 年的 攻击趋势报告中指出，网络攻击的趋势朝着攻击速度提升，攻击工具复杂度增加， 弱点被发现的速度加快，对防火墙的穿透能力增强，非对称性的威胁增加以及针 对网络基础建设的攻击增加等趋势发展。c e r t2 0 0 3 年的报告中又进一步指出入 侵者会设计精密的攻击计划，或者与其他黑客进行协同攻击，也会侵入网络的主 机，利用这些主机进行协同攻击。入侵检测系统对复杂攻击的检测能力比较弱， 只是对单个攻击动作报警，无法明确的反映攻击意图和危害。 随着网络技术和网络规模的不断发展、攻击手法的不断更新并日趋复杂，i d s 也必须要随着网络技术和相关学科的发展而发展，概括总结入侵检测技术的未来 发展的趋势，主要表现在以下几个方面。 ( 1 ) 适合高速网络的实时检测技术 近几年大量的高速网络技术如a t m 、千兆以太网等相继出现，相应的各种宽 带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的 问题。然而目前的千兆i d s 产品其性能指标与实际要求相差很远。因此，为了能 保证在高速网络下的检测性能，必须重新设计i d s 的软件结构和算法，以期适应 北京交通人学硕十学 _ 7 ：论文 高速网的环境，提高运行速度和效率；其次，随着高速网络技术的不断发展与成 熟，新的高速网络协议的设计也必将成为未来发展的趋势，那么，现有i d s 如何 适应和利用未来的新网络协议将是一个全新的问题，需要积极加以研究。 ( 2 ) 大规模网络下的分布式检测技术 传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前 网络状态的信息，然后将这些信息传送到中央控制台统一进行处理分析。这种方 式存在明显的缺陷如扩展性差，容易造成单点失效，中央控制台容易成为瓶颈等。 其次，多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担， 导致网络系统性能的降低。网络传输的时延问题也将造成不能进行实时地反应当 前的网络状态，不能及时响应攻击行为。因此基于网络尤其是大规模网络的分布 式入侵检测系统己成为当前工d s 研究的重点。a a f i d 系统采用基于代理的检测 技术，很好地解决了集中式i d s 存在的缺陷，但它也带来一些新的问题，如系统 配置的复杂性，代理间的协作、代理间的通信等，这些问题有待于作进一步的研 究。 ( 3 ) 数据挖掘技术 操作系统的同益复杂和网络数据流量的急剧增加，导致了审计数据以惊人速 度剧增，如何在海量的审计数据中提取出具有代表性的系统特征模式，以对程序 和用户行为做出更精确的描述，是实现入侵检测的关键。 数据挖掘( d a t am i n i n g ) 是一项通用的知识发现技术，其目的是要从海量数据中 提取对用户有用的数据。将该技术用于入侵检测领域，利用数据挖掘中的关联分 析、序列模式分析等算法提取相关的用户行为特征，并根据这些特征生成安全事 件的分类模型，应用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检 测模型要包括对审计数据的采集，数据预处理、特征变量选取、算法比较、挖掘 结果处理等一系列过程。这项技术难点在于如何根据具体应用的要求，从用于安 全的先验知识出发，提取出可以有效反映系统特性的特征属性，应用适合的算法 进行数据挖掘。另一技术难点在于如何将挖掘结果自动地应用到实际的i d s 中。 ( 4 ) 开发更先进的智能算法和数学模型 目前的入侵检测系统之所有存在很高的误报率和漏报率，其根本的原因在于 缺乏好的数学模型和智能算法。一个以一个简单数学公式作为支撑的安全模型 p d r ( p r o t e c t i o n 、d e t e c t i o n 、r e s p o n s e ) 似乎深入人心，但应用到今天，收效甚微。 因此，必须开发新的算法和数学模型。其中计算机免疫技术、神经网络技术和遗 传算法这三种机器学习算法有着良好的前景，为i d s 的发展注入了新的活力。 1 2 入侵检测与响应系统概述 2 4 2 入侵检测与响应系统的发展趋势 互联网络的规模不断扩大，结构越来越复杂，以及网络攻击技术的不断提高， 这一切对对网络入侵检测及响应都提出了更高的要求，我们认为随着安全问题的 倍受瞩目，入侵检测尤其是响应技术将得到更广泛关注和更深入的研究，概括总 结入侵检测与响应系统未来发展的趋势，主要表现在以下几个方面。 ( 1 ) 全方位的检测及响应 防护措施应该遍布在网络应用的每一个环节中，包括时间层面入侵发生 前、发生中、发生后都应当有相应的措施进行响应；也包括空间层面不仅在 网络边界、重要服务器等位置要实施防护，桌面级的防护也是值得考虑的。入侵 检测与响应系统应当具备自我延伸的能力，将检测与响应的范围都尽可能扩展到 网络中的每个细节中去。 ( 2 ) 智能化检测及响应 对于入侵检测而言，智能化主要是指检测引擎的智能化，这要求采用更先进 的检测理论，尽管目前提出了诸如神经网络或免疫系统等能够自适应的检测理论， 但是离实际应用还相差较远，但是可以肯定这将是发展趋势之一；对于入侵响应 而言，智能化是指响应方式的主动性和自适应性。 ( 3