（计算机系统结构专业论文）面向报警处理生命周期的入侵响应管理系统的设计与实现.pdf

摘要 摘要 面向报警处理生命周期的入侵响应系统的设计与实现 李杰，龚俭东南大学 随着计算机网络的不断发展，网络已经成为人们日常生活不可缺少的部分，被广泛应用 于教育、科研等领域，但是由于互联网的开放性其自身的弱点和缺陷也暴露出来，越来越多 的问题成为制约互联网发展和应用的主要障碍其中网络安全问题便是其中突出的一个。目 前，应用于解决网络安全问题的手段主要包括：防火墙、入侵检测、入侵响应等。由于防火 墙和入侵检测系统存在的问题例如：防御政策配置不灵活、检测精度太低、不能进行有效地 响应和处理等等，因此，近年来针对入侵响应技术的研究成为了网络安全领域的热点。本论 文在综合分析目前网络安全技术的发展的基础上，以c e r n e t 华东0 l ) 地区网络中心为依托 环境。研究了入侵响应管理模型，并在此基础上设计、实现了一个入侵响应管理系统。 论文首先针对传统的入侵检测系统及其报警的特点进行了分析，总结了检测系统的不足 和缺陷，并对目前已有的响应系统的不足进行了总结，其中包括报警数量问题、报警精读问 题、响应管理问题等等。接下来，本论文在第二章中对入侵响应管理模型的研究进行了详细 的阐述，并在当中提出了响应管理以及响应卢明周期的概念，响应管理模型包括三个主要部 分：安全事件管理、响应决策、响应过程管理，安全事件管理主要针对采集剑的i d s 报警 进行预处理包括格式统一、过滤、危害度评估等步骤。响应决策的目标是针对待响应的安全 事件生成当前环境下最优的响应方案。响应过程管理的目的是针对多步骤的响应执行过程进 行管理，包括响应记录的生成、查询等等。 论文接着在第三章和第四章详细地介绍了安全事件管理模酗和响应决策算法。在安全事 件管理模型中，论文采用了i e t f 等组织制定的入侵检测数据的标准格式i d m e f 为基础定 义安全事件的描述，并作为事件格式统一的模板；安全事件的过滤采用了基于事件与目标系 统的配置相关性的计算的方法；安全事件评估定义了事件危害度有关的评估因素集并采用了 加权综合评估方法来进行。在响应决策算法的研究中，本论文对目前流行的静态决策模型以 及成本评估模型进行了分析，以决策理论作为基础，并借鉴了自动控制理论中的反馈的思想 设计一种基于反馈和效果评估的响应决策模型，该模型有效地将信息论中熵的概念应用到响 应效果评估中，并将其作为到响应决策的反馈，有效地解决了以往的响应决策模型的经度以 及参数设置不准确的问题，使得响应决策过程具有很好的准确性希i 动态性。 在第二章到第四章介绍了本论文的主要研究内容之后，论文在第五章阐述了i r i s 系统 的设计与实现。在本章中，论文首先描述了系统的整体结构设计，随后介绍了各个模块的设 计和实现流程，同时对响应记录库、规则库的实现和组织方式也进行了详细的介绍。最后介 绍了i r i s 系统的主要接口设计和实现。论文在第六章描述了i r i s 系统的测试和验证，主要 包括测试环境、测试方案以及测试结果的分析，通过测试结果的分析有效地说明了i r i s 系 统在入侵响应和管理方面的有效性。 最后，本论文在第七章对论文的主要工作进行了总结，并对入侵响应技术今后的发展趋 势以及i r i s 系统的可改进之处做了展望。 【关键词】入侵响应管理格式统一事件过滤事件评估响应决策响应过程管理 a b s t r a c t d e s i g n a n di m p l e m e n t a t i o no f a ni n t r u s i o nr e s p o n s em a n a g e m e n ts y s t e mb a s e do n a l e r t l i f e c i r c l e l ij i e g o n gj i a ns o u t h e a s tu n i v e r s i t y w i mt h ef a s td e v e l o p m e n to fc o m p u t e rn e t w o r k , t h en e t w o r ki t s e l fh a sb e c o m ea l l i n d i s p e n s a b l et o o li np e o p l e sd a i l yl i f e ，b u tb e c a u s eo ft h es p e c i a l i t i e so ft h en e t w o r k , m o r ea n d m o r ep r o b l e m so ft h en e t w o r kh a v eb e c o m ee x p o s e d ，t h es e c u r i t yp r o b l e mi st h eo n eo fm o s t s e r i o u sp r o b l e m s a tp r e s e n t , t h e r ea r em a n ys o l u t i o n st o w a r dt h en e t w o r ks e c u r i t yp r o b l e m s , i n c l u d e sf i r e w a l l ，i n t r u s i o nd e t e c t i o ns y s t e m , i n t r u s i o nr e s p o n s es y s t e m , e t c b u tm a n y d i s c o m i n g se x i s ti nt h e s es o l u t i o n s ，s u c ha sp o l i c yc o n f i g u r a t i o np r o b l e m ，d e t e c t i o np r e c i s i o n p r o b l e m s oi nr e c e n ty e a r st h er e s e a r c ho ft h ei n t r u s i o nr e s p o n s et e c h n o l o g yb e c a m eaf o c u si n t h en e t w o r ks e c u r i t yf i e l d b a s e do nt h ea n a l y s i so f t h ee x i s t i n gs y s t e m sa n dt h ec e r n e te a s t e m c h i n a ( n o r t h ) n e t w o r ke n v i r o n m e n t , an o v e lr e s p o n s em a n a g e m e n tm o d e li sp r o p o s e di nt h i sp a p e r a sw e l la st h ei m p l e m e n t a t i o no f t h a t t h ef i r s tc h a p t e ri nt h i sp a p e rf o c u s e do nt h ea n a l y s i so ft h eb a c k g r o u n do ft h ei n t r u s i o n r e s p o n s em a n a g e m e n t i tg a v eac o m m e n ts u m m a yo ft h ea l e r t so fi d s s u c ha st h en u m b e ro f a l e r t si st o oh u g e ，t h e r ee x i s t st o om a n ym i s t a k e sa m o n gt h ea l e r t s ，t h e r ei sn oi n f o r m a t i o na b o u t t h er e l a t i o n s h i pa m o n gt h ea l e r t s ，e t c i nt h ef o l l o w i n gc h a p t e r2 ，t h ei n t r u s i o nr e s p o n s em o d e li s p r o p o s e da n di n t r o d u c e di nd e t a i l ，w h i c hi n c l u d e st h r e ep a r t s ：i n c i d e n t sm a n a g e m e n t , r e s p o n s e d e c i s i o n , r e s p o n s ep r o c e s sm a n a g e m e n t t h em a i no b j e c to fi n c i d e n tm a n a g e m e n ti sp r o v i d i n g p r e t r e a t m e n to ft h ei n t r u s i o na l e r ts u c ha sf o r m a t t i n g , f i l t e r i n g ，e v a l u a t i o n f o rr e s p o n s ed e c i s i o i i ， t h eo b j e c ti st og e n e r a t eb e s tr e s p o n s es c h e m e ，w h i c hi st a k i n gc h a r g eo ft h er e s p o n s ep r o c e s sf o r t h er e s p o n s ep r o c e s sm a n a g e m e n t i nt h et h i r da n df o r t hc h a p t e ri nt h i sp a p e r t h ei n c i d e n tm a n a g e m e n tm o d e la n dr e s p o n s e d e c i s i o nm o d e li sd i s c u s s e ds e r i o u s l y t h ei d m e ft h a te s t a b l i s h e db yt h ei e t fi su s e di nt h e a l e r t sf o r m a t t i n ga n dt h er e l a t i v i t yc o m p u t i n gb e t w e e nt h ei n c i d e n ta n do b j e c tu s e dt of i l t e rt h e i n v a l i da l e r t s b e s i d e s ，ae v a l u a t i o ne l e m e n t ss e ta n ds c h e m ep r o p o s e dh e r et oe v a l u a t et h eh a r m o ft h ei n c i d e n t s i nt h er e s p o m ed e c i s i o nm o d e l ，t h ed e c i s i o nt h e o r ya n df e e d b a c km o d e li nt h e c o n t r o lt h e o r ya st h e o r yb a s e da r ca p p l i e d a n dan e wd e c i s i o nm o d e lb a s e do nt h ef e e d b a c ka n d e f f e c te v a l u a t i o ni sp r o p o s e di nt h ef o r t hc h a p t e r i tu s e dt h ee n t r o p yt h e o r yt oe v a l u a t et h e r e s p o n s ee f f e c ta n dt o o ki ta st h ef e e d b a c ki nt h em o d e l t h em o d e lr e s o l v e dt h ep r o b l e m so f p a r a m e t e rs e t t i n ga n ds y s t e ma d a p t i o ne f f e c t i v e l y b a s e do nt h ef i r s t4c h a p t e r s , t h ed e s i g na n di m p l e m e n t a t i o na r ei n t r o d u c e di nt h ef i f t hc h a p t e r i n t h i sc h a p t e r , t h es y s t e ma r c h i t e c t u r ed e s i g nw a sf i r s ti n t r o d u c e da n dt h em o d u l e sd e s i g na n d i m p l e m e n t a t i o ni nt h ef o l l o w i n g t h es i x t hc h a p t e rf o c u s e do nt h et e s to f t h es y s t e m a tl a s t , as u m m a r yo f t h i sp a p e rw a sg i v e ni nt h ec h a p t e r7a sw e l la st h ee x p e c t a t i o no f t h e d e v e l o p m e n t n n d o f t h e i n t r u s i o n r e s p o n s e t e c h n o l o g y a n d i m p r o v e m e n t o f t h e i r i ss y s t e m k e yw o r d s i n t r u s i o nr e s p o n s em a n a g e m e n t , a l e r t sf o r m a t t i n g , f i l t e r i n g , e v a l u t i o n , r e s p o n s e d e c i s i o n , r e s p o n s ep r o c e s sm a n a g e m e n i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我 所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成 果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我同工作的同 志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：蕉垒日期：乏型：，2 m 少 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所：国家图书馆有权保留本人所送交学位论文的复印件和 电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内 容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的 全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 研究生签名：兰查导师签名：豸p5 1 期：州石f 2 ，2 第一章绪论 1 。 引言 第一章绪论 上世纪6 0 年代末期，为了能够在爆发核战争的时候保障通信联络，美国国防部高级研 究计划署a r p a 资助建立了世界上第一个分组交换试验网a r p a n e t ，连接美国的四个大 学。a r p a n e t 的建成也标志着计算机网络的出现和应用，它使得计算机之问的互连和通 信由理论成为了现实。从a r p a n e t 的建成到今天，计算机网络已经经过了3 0 多年的发 展，网络己从最初的几十台计算机互连几个单位发展到今天的上千万台p c 和服务器同时 通过互联网互连起来，而且几乎覆盖了世界上几乎所有的国家和地区：通过阿络传输的数 据流晕从最初的b i t 级来发展到今天的g i g a b i t 级。互联网变得越来越大且速度也越来越快， 这极大地提高了人们工作和生活的效率。同时也对科学研究话动和商业活动产生了积极的 影响，网络已经成为人们日常生活和科学研究中不可缺少的工具。随着世界互联网技术的 不断发展，我国也于1 9 9 4 年由国家支持建设了c e r n e t 示范网工程，这是中国第一个全 国性t c p i p 互联网，互连全国的几百所高校和研究机构。 计算机互连网的发展在推动社会和科技进步的周时。其自身也暴露出越来越多的问 题，这些问题真接影响了互联网的继续发展。网络安全问题就是其中突出的一面大量网 络入侵事件以及蠕虫病毒等安全危害严重地打乱的网络的秩序、影响了正常的网络运行。 例如2 0 0 0 年y a h o o 等门户网站遭到大规模拒绝服务( d o s ) 攻击，直接和间接损害了数百万 用户的正常网络服务；2 0 0 1 年爆发了r e dc o d e 、n i m d a 和s a d m i n d i l s 等蠕虫病毒，2 0 0 3 年爆发了s q l 杀手和冲击波及其变种等蠕虫病毒，2 0 0 4 年爆发了振荡波和蠕虫病毒，这 些蠕虫短时问之内使得世界范围内的数十万台计算机遭到感染并且感染的速度越来越快， 表l l 列出了了几种典型的蠕虫j 芮毒的扩散周期，表1 - 2 列出了几种典型病毒从漏洞发布 到攻击实施的时间周期。在这期间还频繁发生网页篡改和黑客竞赛等多起波及全球的犬规 模安全事件，这些网络安全事件都在世界范围内造成了相当严重的影响和经济损失，严重 影响了人们的正常学习、生活和科学研究工作。 表1 - 1 几种蠕虫病毒扩散全球所需的时间 蠕虫病毒类型蠕虫病毒扩散全球孀虫病毒类型 蠕虫病毒扩散全球 所花的时间 所需的时间级别 s l a m m e r 1 0 分钟 邮件病毒数天 k l e z 2 5 小时宏病毒 数星期到数个月 c o d er e d 1 2 小时档案型病毒 数个月到数年 表1 - 2 几种蠕虫利用漏洞攻击周期 蠕虫病毒名称漏洞攻击周期 蠕虫病毒名称漏洞攻击周期 w i t t y 4 8 小时n i m d a 1 1 个月( 3 3 6 天1 b l a s t 1 个户j ( 2 6 天1 k l e z 1 3 个月 s l a m m e r 6 个月( 1 8 5 天) b u g b e a r 1 8 个月 东南大学硕士学位论文 通过对近些年的安全事件统计数据分析，网络攻击呈现了以下几大发展趋势： 攻击的发起者数量不断增长。由于攻击者之间的组织性变强，相互交流越来越广泛， 并且出现了很多简单易用的网络攻击工具，这都使得能够发起网络攻击的人数越来越 多，即使不够熟练的新手很容易发起攻击。 网络攻击技术越来越复杂，复合攻击比重上升。由于网络系统本身和软件越来越复杂， 攻击者往往不能够在一次攻击行为中达到目的，因此通常一次复合攻击通常包含多个 简单攻击行为并由它们组成更大规模的、多阶段、多层次的攻击。 攻击行为实施和系统漏洞发现之间的周期越来越短。表i 1 和l - 2 说明了这一点。 网络攻击事件的数量不断增长。根据中国互联网络信息中心( c n n i c ) 历年的“中国互 联网络发展状况统计报告”，我国计算机用户遭受黑客攻击次数以年均至少l 6 的增 长率上升1 1 1 。图1 1 显示了国家计算机网络应急技术处理协调中- l ) ( c n c e r t c c ) 统计 的我国历年报告的安全事件数量j 。 网络攻击的危害越来越大。由于互联网的用户越来越多，因此，因此攻击所影响的用 户可能很大，造成的危害也就越来越大。 图1 1c e r t c c 每年处理的安全事件数 由此可见。对于网络攻击的防范和处理已经成为了亟待解决的问题。针对这个问题， 目前出现了多种网络安全技术，这其中主要有入侵检测系统、入侵响应系统、防火墙等等。 其中入侵检测是针对计算机网络和系统进行监测以发现违背安全政策的行为的过程i j j ，入 侵检测系统能够对试图穿越或入侵被保护的网络或主机的行为进行识别，但是入侵检测系 统本身并不对攻击行为进行处理。防火墙技术是一种能够阻止外界与被保护网络或主机间 通信的网络安全技术，从阻止攻击的角度而言，防火墙能够直接阻止攻击或危害行为的发 生。是一种便宜而且有效的安全手段，但是防火墙也存在以下几个问题”j ： 使用防火墙会在一定程度上降低系统的效率，尤其在高速i p 网络上，如果使用防火墙 会严重地影响传输性能。 因为不同的子网具有不同的安全政策，而且常用的自主访问控制具有传递性，会产生 潜在的安全漏洞，因此有时不得不在大型企业网络内设置内部防火墙。使用内部防火 墙可阻止这种访问控制( 信赖关系) 的传递转移。但同时增加了防火墙设置的复杂性， 而且进一步地降低了内部传输的效率。 防火墙的另一个缺点是灵活性差，对报文的过滤只有允许和不允许两种方式( a l lo r 2 第一章绪论 n o t h i n 曲。然而对于现实的应用而言，网络互连的形式要复杂得多。 防火墙的防卫重点是网络传输，因此对于高层协议的安全控制功能较弱或开销很大。 由于防火墙的这些问题的存在，使得入侵检测系统的使用就变得日益重要，但是，入 侵检测系统缺乏对检测到的攻击行为进行响应能力的问题，因此其需要于入侵响戍技术等 相结合才能够真正发挥出其最大的作用。关于网络攻击的响应技术近年来逐渐得到重视， s r i 在1 9 9 7 年的e m e r a l d 项目中开始提到响应问题而且在其目标中是监测和响应技术 是并重的，同时u s ci n f o r m a t i o ns c i e n c e si n s t i t u t e 开始将入侵检测系统中某些独立成分视 为专门的响应者，并且试图建立检测者和响应者之间的交换协议。此后，在1 9 9 9 和2 0 0 0 年d a r p a 有近十个项目直接研究响应问题，相关研究则更多。 1 2 入侵响应和管理 1 2 1 入侵响应 入侵检测的问题 在1 9 8 0 年，a n d e r s o n | + ! 首先提出了入侵检测的概念，他将入侵定义为“一种非授权的 访问或操纵信息的尝试，并且可以导致系统不可靠和不稳定”。入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，简称i d s ) t ”是指用来检测未经授权的对计算机资源非法使用的行为的系 统。根据入侵检测系统所处理的数据来源，它可以分为基于主机的入侵检测系统h i d s ( h o s t b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 和基于网络的入侵检测系统n i d s ( n e t w o r kb a s e di n t r u s i o n d e t e c t i o ns y s t e m ) 两类。根据使用的检测算法。它可以分为滥用检测系统( m i s u s ed e t e c t i o n s y s t e m ) 和异常检测系统( a n o m a l yd e t e c t i o ns y s t e m ) 两类。滥用检测系统依赖于所谓的攻击 知识库，检测效率和准确性较高，但只能够检测已知的攻击，对未知的攻击行为存在较高 的漏报率。异常检测系统通过观察相对于正常系统行为的偏离来检测攻击行为，这类系统 比较完备，即能够检测未知攻击，但误报率较高。 通过对现有的入侵检测系统( 包括上述的所有分类) 的分析，我们发现i d s 存在着以下 的不足或缺陷： 入侵检测系统的报警数量巨大，远超过人能够处理的范围，并且报警中充斥着9 0 以上的误报，误报可能是用户的误操作引起的，也可能是由于检测系统自身知识 的不足造成的。 一 许多真正的网络攻击行为往往被检测系统漏掉，因为攻击者往往自己研究出系统 或软件的漏洞，这些漏洞再被利用前，通常连开发者都不了解。 检测系统缺乏对不同攻击之间逻辑关系的理解，由于攻击技术的进步，现在的网 络攻击通常会由多个步骤组成，并利用多种知识和技术。检测系统通常只能发现 其中的单个行为，而对攻击真正的目的缺乏理解。并且由于漏报的存在，通过检 测的单个攻击行为集来发现真正的攻击目的非常困难。目前关于网络攻击的目的 的识别技术也是当前网络安全领域内部的研究热点，同时也有很多最新的成果公 布。 入侵检测系统对网络安全做出了巨大的贡献，但由于它存在上述的缺陷，因此仅有入 侵检测系统并不能够有效地保护网络，它必须和入侵响应系统o r s ) 等协同工作才能较好地 起到保障网络安全的作用。 入侵响应 自从第一个入侵检测系统的开发和实现开始，入侵响应功能就被集成在检测系统当中， 东南大学硕士学位论文 但是在最初的研究中，科研人员对入侵检测技术的研究投入了大量的精力，而对响应技术 的研究重视不够。随着网络攻击技术的不断进步、攻击的数量不断上升以及入侵检测系统 自身固有的不足和问题，近些年来入侵响应技术逐渐成为了网络安全领域研究的焦点并且 被从入侵检测中分离出来，成为一个相对独立的研究领域。 目前，对入侵响应这个概念还没有正式的定义，但是我们仍然可以从功能上对入侵响 应系统进行描述：入侵响应系统( i r s ) 是指能够阻止或者处理入侵事件，以达到降低被保护 系统遭受的损失、甚至对被保护系统进行恢复并增强其安全性的目的。入侵响应系统o r s ) 通常与入侵检测系统( i d s ) 协同工作，接收入侵检测系统报告的安全事件报警，并对其做出 及时，合理的响应。 1 2 2 研究现状 入侵响应存在的响应方式 入侵响应系统在对报警安全事件进行响应的时候可以采取多种响应方式，从响应功能 的角度，主要可以分为被动响应方式和主动响应方式。主动响应方式能够主动干涉入侵行 为，从而阻止入侵的进行，如断开入侵链接等方式；而被动响应方式不能够直接干涉入侵 的进行，如采取记录和报警等方式。文献i o j 中对可能的响应方式进行了枚举，文献1 7 1 对其 进行了整理，具体如表l - 3 所示。 表1 3 入侵响应中常用的响应方式 类型名称 描述 参晕 报警 g e n e g a t e 向本地控制台报警警报信息 a l a r m l o e a l g e n e r a t e 向其它监测点报警目标监测点地址、警报信息 a l a m l r e m o t e g e n e r a t ear e p o r t记录攻击事件 攻击事件 a c lb l o e k l p 封锁攻击源和目标源i p 地址、宿l p 地址 h o s t t o h o s t 地址之间的通信 b l o c k l p 封锁攻击源和内部源i p 地址 h o s t l 0 n e t 子网之间的通信 i s o l a t e 将受攻击资源从网i p 地址、服务端口和隔离范 s e r v i c e络中隔离围 i s o l a t e 将受攻击主机从网主机i p 地址和隔离范围 h o 或 络隔离 基于主机 k n l 杀死指定主机上的 主机i p 地址、进程信息 的响应 p r o c e s s 指定进程 s u s p e n d 挂起指定主机上的主机m 地址、进程信息 p r o c e s s指定进程 b l o c k 封锁指定主机上的主机i p 地址、用户帐户名 u s e r a e c o u n t 指定帐户 s h u t d o w n 将受害主机关机受害主机i p 地址 h o s t 4 第一章绪论 f o r c ea d d i t i o n a l 对用户采取额外的受害主机i p 地址、服务端 a n t h e n t i c a t i o n 验证措施 口 e m p l o yt e m p o r a r y 复制并加密源文件受害主机i p 地址、文件名 s h a d o wf i l e s 以保护它 r e s t r i c tu s e ra c t i v i t y 限制用户执行命令 主机巾地址、用户帐户名 反击 t r a c e 追踪攻击源安全事件 a t t a c k w a r n 警告攻击者攻击者信息 i n t r u d e r t e r m i n a t e 中断t c p 会话t c p s e s s i o n 信息 t c p s e s s i o n 其它 e n a b l e 启动记录附加日志 记录日志的主机 a d d i t i o n a l l o g e n a b l e 激活附加的更细致攻击者信息、入侵检测工具 a d d i t i o n a l l d的入侵检测工具 c r e a t e 进行主机备份主机i p 地址、备份信息 b a c k u p 入侵响应系统的分类 对于入侵响应系统，响应的及时性非常重要。c o h e n i s l 通过模拟的方法研究了响应的时 间与攻击者成功概率之间的关系。他的研究结果显示：如果熟练的攻击者被发现后仍留给 他们l o 小时的时间，他们将有8 0 成功的机会；如果留给他们2 0 小时的时间，则成功的 机会达到9 5 ；如果留给他们3 0 小时的时间，则攻击者几乎很少失败。因此根据响应类 型和响应速度c u r t i s 6 1 将入侵响应系统分为以下3 类： ( 1 ) 报警型系统洲o t i f i c a t i o ns y s t e m ) 。报警型系统发现了安全事件后只是简单地给管理 员发送通知，具体决定如何响应以及响应措施的实行由管理员负责。这类响应系统 的缺点在于它使攻击发现和响应之问的时间窗口过长，从而给攻击者提供了充足的 时间窗口实现攻击意图。 ( 2 ) 手工响应系统( m a n u a lr p o m es y s t e m ) 。它提供了一些预先编制好的用来响应的程 序或工具，并能指导管理员选择适当的程序进行响应。这类系统加快了响应的速度， 但仍然留给了有经验的攻击者足够的时间窗口。 ( 3 ) 自动入侵响应系统( a u t o m a t e di n t r u s i o nr e s p o n s es y s t e m ，简称a i r s ) 。它是最理想 的能有效保护网络安全的一类系统，它能自动进行响应决策并及时地对攻击做出响 应，从而留给攻击者尽量短的时间窗口。 c u r t i s 同时对5 6 个入侵响应系统进行了调查，调查的统计结果见表l - 4 表i - 4 现有入侵响应系统的分类 i n t r u s i o nr e s p o n s ec l a s s i f i c a t i o nn u m b e ro f s y s t e m s n o t i f i c a t i o n3 l m a n u a lr e s p o n s e 8 a u t o m a t e dr e s p o n e s 1 7 t o h a l5 6 根据表1 3 所示的入侵响应方式，入侵响应系统又可以分为如下四类： 基于主机的主动入侵响应系统：在检测到主机系统遭到攻击后采取保护措施有时 甚至采取反击措施。 5 东南大学硕士学位论文 ( 2 )基于网络的主动入侵响应系统：根据网络检测引擎的报警既可以直接阻断用户 的连接，也可以通过与网络上的路由器、防火墙互动阻塞攻击的源地址，或把攻 击者路由到不存在的地址，甚至可以设置蜜罐( h o n e y n e t ) 网络，消耗攻击资源和 收集证据。 ( 3 )基于主机的被动入侵响应系统：在检测到主机系统发生的安全事件后，主要是向 安全管理员提供相关主机上的审计信息，而并不采取保护和反击措施 ( 4 )基于网络的被动入侵响应系统：根据网络检测引擎的输出，向安全管理员提供该 网络的安全信息，例如可以用于记录有关网络事件的有：时间、源地址、目的地 址以及事件描述和性质等信息。 由于网络攻击的范围可能涉及多个子网，响应系统在执行响应的时候经常跨网络响应 才能有效遏制网络攻击，因此按照响应执行的范围，入侵响应系统可以分为以下两类： ( 1 ) 本地入侵响应系统：响应只是根据本地的安全信息，并且只进行局限于本地的响应 措施。 ( 2 )协同入侵响应系统：响应执行时，通常进行各网络响应系统的协同工作并进行安全 信息交换，其中典型的代表是由波音公司、n a i 实验室和加州大学d a v i s 分校计算 机安全实验室共同研究的应用协议i d i p i 9 】和协同入侵追踪和响应框架c i t r a l l o 】。 图1 2 描述了c i t r a 社区组成。 图l - 2 i d i p 社区 入侵响应的关键支撑技术 入侵响应的目的是针对入侵检测系统( i d s ) 或者其他预警系统所产生的网络安全事件 报警进行及时合理的响应，由于i d s 会产生巨大数量的安全事件报警，并远远超过了入侵 响应系统0 r s ) 能够处理的能力范围，并且其中的误报占相当大的比重，因此响应系统必须 能够对i d s 的报警进行分析和处理，以找出当中真j e 发生的攻击事件或者发生了但是i d s 漏报的安全事件。报警验证技术i l l 】。【“i 是一种对1 d s 产生的安全事件报警的真实性进行验 证的技术，通过对报警进行验证能够对i d s 报警进行有效的甄别和过滤。 i d s 产生的报警安全事件基本上都是低级别简单攻击事件，由于网络攻击技术的不断 6 第一章绪论 复杂化，复合攻击事件占网络攻击事件的比重越来越大，且复合攻击事件通常是由多个简 单攻击事件按照某种特定序列组成，因此发掘低级攻击事件之间的关联关系并识别出攻击 者的攻击目的能够有效提高响应系统的t 作效率。报警关联技术f 1 8 i 和入侵意图识别技术 【7 】【”h ”】就是指针对i d $ 的简单事件报警发掘其中的关联关系并识别攻击者的真正意图的 安全技术。 响应执行对响应系统的实时性要求较高，因此针对安全事件，i r s 必须能够快速地选 择响应策略或方案并实施响应，因此响应决策技术7 1 1 2 3 1 1 2 4 l 和自动响应技术唧2 5 】的研究就显 得非常重要。同时由于攻击的爆发通常是大规模的网络同时发生，因此针对跨越网络边界 的攻击事件，通常需要进行响应的协同，响应协同技术【9 j 的研究也因此成为入侵响应研究 领域的研究重点之一。 综上所述，入侵响应的研究的支撑技术大致包括以下几项： 报警验证技术 报警关联技术 自动响应技术 响应决策技术 入侵意图识别技术 响应协同技术 本论文也将就其中的报警验证、响应决策等技术进行地介绍和讨论。 1 2 3 响应管理 目前对入侵检测系统和响应系统的研究虽然已有很多研究成果，但是远没有达到完美， 它依然存在一些问题。首先，目前已实现自动响应的i r s 很少，即使少部分支持自动响应 的i r s 也只是采取简单的静态决策表方式进行响应决策。而仅依赖人工响应决策的缺点是 反应迟钝且处理能力差，从攻击被检测到响应完成的时闻间隔过长，且对响应执行人员的 专业水平有较高的要求，在应对海量报警信息的时候显得无能为力。因此自动响应和响应 决策在入侵响应的研究中显得相当重要。但是，目前对自动响应和决策的研究也存在以下 两个问题： ( 1 ) 目前响应决策技术的研究主要集中在基于分类的响应决策1 6 1 1 2 6 1 1 2 7 】和基于成本敏感 模型【2 3 1 的响应决策。基于分类的响应决策技术的基础是静态的响应分类，其中响 应分类必须满足两个条件即：响应分类必须是面向响应决策的；响应分类必须是 唯一标识的。目前的分类技术很难同时满足这两个条件。基于成本敏感的响应决 策是一种量化的决策方法，它解决了响应决策中的计算问题，但是由于决策参数 由人为设定，因此具有主观性和随机性且不具备自适应修改的能力，而参数设置 的合理性会在很大程度上影响响应决策的结果。因此，目前的决策方法大都属于 开环决策动态特性较差，动态适应性能力较差。 ( 2 ) 目前对响应决策和自动响应的研究通常缺乏对响虑过程管理的考虑。由于响应环 境具有动态变化的特征，且响应的执行通常都不是简单的单步执行，因此响应过 程存在多个阶段，目前的响应系统大都由管理员人工对响应阶段进行管理和控制， 因此这实际将管理员的人为因素引入的响应过程，和第一个问题一样，管理员的 个人能力是会在很大程度上影响响应系统的效率。 从以上两点我们发现，目前的入侵响应系统大都受到人为因素的影响，缺乏自适应和 管理的能力，这都使得响应系统的响应效率大打折扣。由于目前的响应系统和相关技术的 研究存在的问题，因此本文提出响应管理的思想，通过响应管理从而使得响应系统具备较 7 东南大学硕士学位论文 好的适应能力和工作效率。在本论文中响应管理是指针对入侵响应过程中的各个阶段进行 控制和管理的活动。 1 3 论文工作概述 目前，在入侵检测和响应技术的研究过程中，出现了如下的一些新问题和挑战： ( 1 ) 由于网络技术自身的发展，网络带宽和速度已有了飞速的发展，例如c e r n e t 地 区主干的线路已经升级至2 5 ( 3 。高速的网络对检测系统的检测能力和数据采集能 力提出了很高的要求。同时也对响应系统产生了巨大的影响，人工响应已经变得毫 无意义。 ( 2 ) 网络攻击本身越来越复杂，复合攻击大量出现，针对复合攻击的响应通常是一个离 散多步的过程，缺乏对响应过程进行管理的响应系统不能够有效地应对当前攻击技 术的发展。 ( 3 )网络环境的动态变化增快，响应系统必须能够自适应环境的变化，动态进行自调整， 开环的响应系统缺乏自适应能力，不能够很好的根据环境的变化进行调整，因而当 网络环境发生改变的时候，响应系统的执行通常是没有意义的。 ( 4 )每个使用响应系统的单位或者部门，对响应系统的需求通常不一致，因此响应系统 应当支持响应政策的动态配置，不能够进行响应政策配置的响应系统通常只能使用 于一个单位，或者当单位的需求改变的时候响应系统已经变得毫无意义。 鉴于以上所列出的问题，华东北地区网络中心研究和开发了m o n s t e r ( m o n i t o ro n n e t w o r ks e c u r i t ya n dt o o lf o re m e r g e n c yr e s p o n s e ) 系统和i r i s ( i n t r u s i o ni n f o r m a t i o n m a n a g e m e n ts y s t e m ) 系统。m o n s t e r 是一个部署于1 0 0 0 m 接入网的以串联方式工作的集成 报文过滤、入侵检测、协同的入侵防范系统( i n t r u s i o np r e v e n t i o ns y s t e m ) 。i r i s 是一个集成 报警采集、报警处理、响应决策和响应过程管理的入侵响应管理系统。该系统具备以下的 特点： ( 1 )能够采集由m o n s t e r 系统报警的网络安全事件； ( 2 ) 能够针对采集到的报警进行预处理并过滤和筛选掉其中大部分的错误报警； ( 3 ) 能够对安全事件进行自动响应决策并生成响应方案； ( 4 ) 能够对多步骤的响应执行过程进行有效管理，并提供报警和响应历史的查询、统计、 删除等维护功能。 i r j s 系统与m o n s t e r 的协同工作方式如图l - 2 所示。 8 第一章绪论 m o n s t e r 系统对被保护网络进行监测和采集流量，并对采集到的流量进行检测发现攻 击行为并产生报警。i r i s 系统处于m o n s t e r 系统的上层，将m o n s t e r 报警的网络安全事件 作为安全事件源，同时针对这些报警进行分析和处理，最终产生响应方案，并对响应的执 行过程进行管理。 1 4 论文的研究目标和内容 1 4 1 研究目标 本论文以c e r n e t 华东( 北) 地区网络中心为实际试验环境，并将i r i s 作为最终实现系 统。论文将对响应管理模型及其各个部分进行研究，并将模型实现到i r i s 系统当中。最终 系统应该具备以下功能： 报警采集功能：能够从网络入侵检测系统端将i d s 产生的安全时间报警采集到本地缓 存并作为入侵响应系统的数据源： 安全事件管理功能：能够对从检测系统端采集到的网络安全事件进行有效管理并进行 一些预处理工作，包括对不同检测系统的报警进行格式统一并生成响应系统内部使用 的安全时问格式，对采集到的报警事件进行过滤筛选掉其中的错误报警以及不需要响 应的安全事件等； 响应决策功能：能够根据即时的网络环境以及待响应的安全事件生成当前最优的响应 方案； 响应过程管理功能：能够对事件响应的过程进行有效的管理，包括对响应过程进行记 录，并对安全事件响应过程提供有效的响应信息例如过去的执行步骤和执行情况，未 做的响应步骤等等； 响应日志库的维护功能：响应日志库存有安全事件响应的日志信，系统需要提供该日 志库的维护功能，包括查询、删除等。 9 东南大学硕士学位论文 1 4 2 主要研究内容 根据1 4 1 节所描述的论文研究目标，并以i r i s 系统为具体实现背景，本论文主要包 括以下四项研究内容： 入侵响应管理模型的研究 针对i d s 报警的安全事件的响应过程包含多个阶段，每个阶段又有若干个步骤，本文 对整个入侵响应过程的各个阶段进行研究并提出一种面向报警处理生命周期的入侵响应管 理模型。模型能够适用于入侵响应系统