《网络安全技术》-第4章

4.7响应时机决策4.8响应措施决策4.9现有响应决策模型的问题4.10小结4.1引言入侵响应（IntrusionResponse）就是在发现或检测到入侵后针对入侵所采取的措施和行动，这些行动和措施是为了在发生入侵的情况下确保被保护目标的机密性、完整性和可用性。可能的入侵响应包括对入侵的告警、记录、追踪、阻断、取证、反击以及损失恢复等行动。入侵响应系统IRS（IntrusionResponseSystem）就是实现入侵响应的软件或软、硬件组合系统。NataliaStakhanova等人总结了前人对入侵响应系统的分类情况，提出了一个较完整的入侵响应系统的分类体系，如图4-1所示。返回下一页4.1引言在这一分类体系中，根据响应措施的主、被动性，将响应系统分为被动响应系统和主动响应系统。被动响应系统所实施的响应措施是以提供攻击信息或通知有关人员为响应目标，而不是以阻止攻击或减少损失为目标；与之相反，主动响应系统是以阻止攻击或减少系统损失为目标，实施诸如攻击跟踪、反击等响应措施。根据实施响应措施的自动化程度，入侵响应系统可以分为通知响应系统、手动响应系统和自动响应系统。通知响应系统只发出入侵的报警，不采取其他响应措施；在手动响应系统中，管理员根据报警等情况进行响应决策，返回下一页上一页4.1引言从事先编制好的响应程序集中选择合适的响应程序执行；自动响应系统可以自己根据报警等情况进行响应决策，选择合适的响应措施执行。此分类体系的重点是对自动响应系统的分类，一共使用了5个特征对自动响应系统进行分类。根据系统的调节能力，自动响应系统可以分为静态响应系统和自适应的响应系统。静态响应系统在响应的全过程中（从响应决策到响应执行）不能根据情况变化调整响应方案；反之，自适应的系统在响应的过程中可以根据情况的变化调整响应方案。根据响应时机，自动响应系统分类为预先响应系统和迟后响应系统。返回下一页上一页4.1引言预先响应系统可以在攻击影响系统资源之前对攻击进行预测，并选择合适的响应措施执行；迟后的响应系统是在入侵得到确认后，才开始实施响应决策，执行响应措施。根据系统的协同能力，自动响应系统分为自治响应系统和协同响应系统。自治响应系统是在其检测范围内对入侵进行独立的响应处理；而协同响应系统是由多个响应系统（或单元）进行协同来处理某个入侵。根据响应决策机理（也就是响应措施的选择方法），响应系统分为静态映射响应系统、动态映射响应系统和成本敏感映射响应系统。在静态映射响应系统中，响应决策是将一个特定类型的报警映射为一个特定类型的响应行动；返回下一页上一页4.1引言动态映射响应系统是根据一些攻击参量（如攻击确信度、攻击严重程度等）来选择响应行动；基于成本敏感的入侵响应系统是在入侵损失和响应代价这两方面进行平衡来选择响应行动。这里沿用这一分类体系，但只进行一个概括的介绍，在下面的各节中会对自动入侵响应决策技术进行更加详细的介绍。正如在1.6.2节所阐述的那样，自动入侵响技术解决了入侵的及时响应和正确响应问题，这对IDS、IPS和IMS等网络安全系统真正发挥安全保护作用至关重要。返回上一页下一页4.2自动入侵响应中的关键技术以前人们往往将自动入侵响应系统作为入侵检测系统的一部分，实际上两者既紧密相关，又相对独立。两者在目标和功能上有明显的区分，在模型和实现方法也有很大不同。前者通过对原始数据的分类，目的是发现异常活动和入侵，后者通过对入侵报警的融合等处理回归真实入侵过程，然后对入侵过程进行合适的响应，达到保护目标系统的目的。网络安全防护应是在安全策略的指导下，防护、检测和响应组成了一个完整的、动态的安全循环。响应是这一循环中必不可少、相对独立的重要环节，同时响应同其他几方面又密切相关。返回下一页上一页4.2自动入侵响应中的关键技术所以，对于入侵响应系统的研究不能仅仅局限在响应系统的内部，还要深入研究响应同检测、防护以及安全策略等多方面的关系，才能构建真正有效的入侵响应系统。借鉴其他自动入侵响应系统的研究情况，这里将自动入侵响应的关键技术研究归结为两个主要方面：●安全报警信息处理技术的研究；●响应决策技术的研究。响应系统要想及时、合理、有效地响应，就必须对IDS报警信息进行综合性的处理。其原因如下。首先，由于入侵响应决策的重要依据是IDS报警，返回下一页上一页4.2自动入侵响应中的关键技术误报会引发误响应，漏报会导致漏响应，而重复报警必然会引发重复响应问题。误响应的结果会严重影响到合法用户对网络资源的使用，漏响应的结果会造成入侵者成功完成入侵，重复响应会加大系统负担，甚至被黑客利用作为DoS攻击手段，导致系统瘫痪。其次，IDS所产生的孤立报警很难反映入侵行为和入侵的风险变化情况，如果针对这些孤立报警进行响应，既增加了误响应的风险，也很难应用响应策略进行响应方案的优化。要解决这些问题，就必须对安全设备（IDS、防火墙等）产生的原始报警和数据进行综合处理，降低误报率和漏报率，重建攻击过程，形成能够描述攻击过程的报警线程，使报警线程而不是孤立报警成为响应的对象。返回下一页上一页4.2自动入侵响应中的关键技术总之，报警综合处理是入侵响应的基础，本书已经在第2、第3两章中对报警聚合、关联、验证以及风险评估等报警综合处理技术进行了阐述。入侵响应决策是自动入侵响应系统的关键和核心技术之一。入侵响应决策就是确定合适的响应时机和合适的响应措施。响应决策所涉及的问题较多，其中包括响应目的和响应策略制定、响应因素选择、响应时机决策和响应措施决策等。这些问题可以总结为图4-2所示的层次化逻辑结构，表述为：当发现入侵后，响应决策机制应根据响应因素，在响应策略的指导下，进行响应时机与响应措施决策，产生可以实现响应目的的响应执行计划。返回上一页下一页4.3响应目的与策略响应目的是响应行动要达到的目标。入侵响应决策要服从于和服务于响应目的实现和响应策略的运用。现有大部分入侵响应系统都以阻止攻击作为响应的唯一目的，入侵响应目的是多方面的，不仅仅是为了阻止攻击行动，因为只是简单地阻止攻击往往达不到好的防御效果。截至目前，CurtisA.CarverJR提出的8种响应目的是最全面的，其中包括追踪攻击、分析攻击、屏蔽攻击、最大化系统机密性、最大化数据完整性、最小化资源成本、恢复系统和维持服务。用户可以根据自己的情况制定特定的响应目的。返回下一页上一页4.3响应目的与策略人们对于策略的解释之一是为达到某一特定目的在特定时刻采取特定行动的时序计划。策略是为目的而服务的，只有使用了合适的响应策略才能够实现响应目的，所以，不同的响应目的，其实现策略也不同，见表4-1。例如，如果响应目的是分析攻击，其响应策略就应该是先采取报警、记录攻击数据等强度较弱的被动响应措施，只有当攻击将要超出防护方可控范围的，才采取阻断和反攻击等较强的主动响应措施。反之，一开始就采取阻断措施，就无法记录攻击数据，也就无法对攻击进行详细的分析。而如果响应目的是最大化系统机密性，响应策略就应该是全力阻断入侵活动，为防止信息的泄漏，可以采取任何类型的措施。返回下一页上一页4.3响应目的与策略目前，还没有人提出完整入侵响应策略理论体系，只有少部分人开始在这方面进行尝试，如DanSchnackenberg等人提出的只杀掉侵犯性入侵进程的响应策略。这样的策略允许入侵的红队在被保护的主机上进行一些非侵犯性的活动，这样让红队感到其入侵行动是有进展的，而不至于改变入侵的方法和策略，蓝队只在关键的时刻杀掉侵犯性的进程，达到拖延入侵活动、保护主机的目的。相反，如果蓝队响应过早，杀掉红队的入侵进程，红队就可能改变其入侵方法和策略，这会给蓝队进行入侵的检测和响应带来更多的困难，甚至出现不可预测的情况。返回下一页上一页4.3响应目的与策略BingruiFoo等人在其研发的ADEPTS中采用了侵略、温和和保守这三种策略来进行报警处理和入侵响应决策。但这些策略都是框架式的，没有落实到具体的响应方案上，也没有同响应目的结合起来。除了相对独立的响应目的和响应策略外，实际情况下可能会更复杂。在有些情况下，响应目的可能是上述两个或多个响应目的的组合。例如，在某些电子商务网站遭到攻击的情况下，网站管理员既想追踪攻击，同时也要维持电子商务网站向外提供服务，这样就必须根据具体情况采取合适的响应策略，合理地设定各种参数，协调各种资源，以便同时实现多个响应目的。返回上一页上一页4.4入侵响应决策中的响应因素响应因素（ResponseFactors）为参与响应决策过程的因素或变量。响应决策成败与否不仅取决于响应决策算法，还与响应因素密切相关。目前，绝大部分的入侵响应系统其响应决策的中心内容是响应措施决策（没有响应时机决策），下面就对这些响应决策模型所涉及的响应因素进行统计、分类和分析。返回下一页上一页4.4入侵响应决策中的响应因素4.4.1响应因素统计我们将现有入侵响应决策模型所涉及响应因素归结为下述的15个因素。由于不同的响应决策模型对相同的因素所赋予的名称不同，根据这些因素的实际意义，这里进行名称上的统一。1.报警确信度目前的入侵检测技术是非精确的，任何入侵检测系统都会产生误报，报警确信度代表了报警所指示的异常活动为入侵攻击的概率。返回下一页上一页4.4入侵响应决策中的响应因素2.攻击类型根据攻击的不同属性特点（如协议类型、入侵动机、攻击方式、攻击目标和攻击后果等）可以对攻击进行不同的分类。目前，没有统一的攻击分类标准，人们根据入侵检测、报警处理和入侵响应系统的需要采用不同的攻击分类方法。3.攻击严重程度攻击严重程度表明攻击对被攻击系统所造成的威胁或损害的程度。攻击严重程度和攻击类型是密切相关的，IDS报警一般都会具有类似的参数。返回下一页上一页4.4入侵响应决策中的响应因素4.时间段内的攻击次数这一参数表现为在一个时间窗口内，系统所接受总的报警数量。IDS系统一般不会直接提供此参数，多为报警处理系统根据需要通过统计得到的，它从更高层次上反映了入侵的特点（如攻击强度、确信程度、是否使用攻击脚本等）。5.时间段内攻击类型数量它表现为在时间窗口内，系统所接受报警种类的数量。和攻击次数一样，此参数也为报警处理系统通过统计方法获得，从更高层面反映了入侵的特点（如确信程度、攻击者技术水平等）。返回下一页上一页4.4入侵响应决策中的响应因素6.攻击者类型根据攻击者的技术水平，可以将攻击者分为专家型和初级型。一个老练专家型的攻击者进行手动的攻击，显然要比一个新手使用已知的攻击脚本更加难以防御。在选取响应措施时，对于专家型攻击者要采取力度较高的响应措施，对于新手则可以采取力度较低的响应措施。7.攻击时间IDS的报警都会提供检测到异常事件的时间，检测时间比攻击时间稍有滞后，对于一个实时的IDS，可以认为这就是攻击的时间。不同时段的攻击对被攻击系统来说意义是不同的，也会影响到响应措施的选择。返回下一页上一页4.4入侵响应决策中的响应因素8.响应目的这是管理员根据需要所设定的入侵响应要达到的目标，响应目的对于响应时机、响应措施以及响应策略的确定都有重大的影响。9.响应措施力度它表明了响应措施的强弱，一般来说响应力度越大，阻止入侵的效果越好，但对合法用户的负面影响也越大。10.响应的负面影响任何的响应手段都会对系统的各种性能（网络通信能力和资源服务能力等）产生或多或少的负面影响。返回下一页上一页4.4入侵响应决策中的响应因素合理的报警处理方法、响应系统的结构和响应决策算法都可以降低响应的负面影响。11.响应的有效性它反映了响应措施阻止入侵的效果，同攻击类型密切相关。也就是每一种响应措施对于阻止不同类型的攻击的效果是不一样的。这也就是在Curtis统计的18种自动入侵响应系统中，有14种直接将响应措施与入侵类型直接映射，来进行响应决策的原因。12.资源重要性不同的网络资源对于一个组织来说其意义和价值是不同的，这一价值通过资源的重要性反映出来。返回下一页上一页4.4入侵响应决策中的响应因素网络中一个普通的工作站的重要性和一个存储着高度机密数据的服务器的重要性显然是不同的。资源重要性影响到系统可承受风险能力，从而影响入侵响应决策过程。13.漏洞的暴露程度它就是系统本身所存在漏洞向外界开放的程度。如果漏洞所在的服务或相关端口并没有向外界开放，那么利用这种漏洞的攻击就不能成功。14.系统服务能力这里所说的系统服务能力是指网络上的主机向外提供各种网络服务的能力。返回下一页上一页4.4入侵响应决策中的响应因素网络服务能力包括服务的可用性、完整性和机密性这三方面的能力。服务能力的变化可以用于衡量入侵的损失，也可以用于衡量响应所产生的负面影响。15.政策约束政策约束是指根据系统资源、国家法律、社会道德和机构制度等方面对可采取的响应措施和方法所施加的限制。例如，有关法律可能规定不能向可能的攻击者发起侵害性攻击；而在战争期间，当响应措施变为一种军事手段时，采取何种响应都不会有任何限制。返回下一页上一页4.4入侵响应决策中的响应因素图4-3为这15个响应因素的在响应决策模型中被采纳的情况。尽管使用次数不能完全说明该因素在响应决策中的重要程度，但对于各决策模块选择响应因素具有一定的指导意义。其中报警确信度、攻击类型、响应的负面影响、响应的有效性和目标资源的重要性为各类决策模型所普遍使用的响应决策因素，其他因素随着响应决策模型类型的不同，而分别被采纳。返回下一页上一页4.4入侵响应决策中的响应因素4.4.2响应因素分类为了很好地利用响应因素进行入侵响应决策，将这15个因素进行了分类，分类结果见表4-2。根据这些因素的相关性，将这些因素分为：●与攻击相关的因素。这些因素反映了攻击的有关特性，可以从IDS报警中获得，或通过报警的处理获得，和攻击相关的因素有7个。●与响应相关的因素。这些因素反映了响应的相关特性，这些因素有的可以通过相关计算获得，有的由管理员根据经验设定，此类因素有4个。返回下一页上一页4.4入侵响应决策中的响应因素●与被保护目标相关的因素。这类因素主要反映被保护目标的各种特性，可以通过目标的配置情况、漏洞扫描工具、安全政策、专家经验和相关计算获得，此类因素共有4个。根据这些因素的主客观特点，将这些因素分为：●客观因素。这里所谓的客观因素，就是在响应决策这个层面上，参与响应决策的因素可以直接从IDS的报警、响应手段、漏洞扫描系统和被保护网络配置信息中直接获得，或者由这些因素通过融合、计算获得。●主观因素。由管理员根据主观安全意向和相关经验确定的因素和由这些因素推理、计算得到的因素。返回下一页上一页4.4入侵响应决策中的响应因素●混合因素。由主观因素和客观因素共同确定的因素。根据这些因素的来源特点，将这些因素分为：●独立因素。直接可以通过各种安全工具和目标配置获得的因素，或者由专家经验直接确定的因素。●复合因素。通过对一个或多个独立因素的计算或推理获得的因素。上述对因素的划分是一个相对的、非严格的划分，彼此之间存在重叠之处，因素的类型与具体系统配置和环境密切相关。返回下一页上一页4.4入侵响应决策中的响应因素4.4.3响应因素的分析与选择一般来说，客观因素和由客观因素推算出的复合因素能够从客观角度上反映出系统的安全状态和攻击威胁情况，而主观因素和由主观因素推算出的复合因素更能够从主观上反映出被保护系统的资源价值和管理员的安全意向。因此，在响应决策的高层（响应目的和响应策略的确定）应多考虑主观因素，而在响应决策的底层（响应时机决策和响应措施决策）应多选择客观因素。在目前绝大多数的自动入侵响应系统中，入侵响应决策的核心问题只有一个，就是确定合适的响应措施。在这些模型中，上述响应因素都被用于决策响应措施。返回下一页上一页4.4入侵响应决策中的响应因素我们认为将响应决策划分为两个核心问题更合适，一是确定合适的响应时机，二是确定合适的响应措施。也就是在合适的时刻实施合适的响应，最终才能实现响应目的。不同的响应因素适合于不同的决策问题，有的适合于响应时机的决策，有的适合于响应措施决策。就报警的确信度而言，将确信度用于响应时机决策是比较合适的，而将响应确信度用于响应措施决策是不合适的。这是由于一方面，确信度代表了IDS所检测到的异常事件是攻击的概率，而响应时机决策实质就是确定合适的响应时刻，或者说确定是否应该开始响应。返回下一页上一页4.4入侵响应决策中的响应因素如此，用确信度这样一个确定是不是攻击的因素决策是否应该进行响应就比较合适。也就是说，如果异常事件的攻击可能性大，系统就应该采取响应，如果是攻击的可能性很小，就不要采取响应措施；而响应措施决策的关键是要确定用什么样的响应措施来有效地对付什么样的攻击，而报警确信度这样的参数对于确定响应措施的有效性是没有多少帮助的。另一方面，大部分与响应相关的因素（如响应措施力度、响应措施有效性等）是一些偏重于反映响应措施本身特性的因素，将这些因素用于响应措施决策是合适的，而用于响应时机的决策则是不合适的。返回上一页4.5针对入侵响应决策的攻击分类目前，已经有很多对攻击进行分类的方法，分类的标准包括攻击技术、攻击结果、攻击目标和所利用的漏洞性质等因素。但对于攻击的分类还没有统一的标准和广泛接受的体系结构。我们的思想是：对于攻击的分类要服从于和服务于上层目标，具体在入侵响应决策中，就是攻击的分类要有利于响应措施的选择。在U.Lindqvist攻击分类方法中使用了攻击技术和攻击结果这两个维度，Curtis在AAIR中用了U.Lindqvist分类方法，但在其响应决策中主要使用了基于攻击结果的攻击分类。我们认为基于攻击技术的攻击分类更有利于有针对性地选择有效的响应措施。返回下一页4.5针对入侵响应决策的攻击分类IDAM&IRS采用了Lindqvist攻击分类方法，将攻击技术作为攻击分类的维度，并对其基于攻击技术的分类方法进行了扩展，以适合入侵响应决策的需求，见表4-3。此分类方法主要服务于入侵响应决策，分类是不完全的。之所以使用这种基于技术的不完全分类方法，原因如下：①攻击技术不断发展，分类中不可能包含所有的技术。②攻击者使用某些攻击技术使入侵活动很难被检测到，对这些技术进行分类对自动入侵响应系统是无意义的。例如，使用被动网络嗅探技术来获得密码等敏感信息，使用社会工程攻击方法，攻击者在现场窥视密码等。返回下一页上一页4.5针对入侵响应决策的攻击分类资源的被动误用攻击技术的主要行为是“读取”和收集被攻击目标的有关信息，以便实施其他类型的攻击。攻击者既可以使用手动的方法读取目标信息，也可以使用众多类型的扫描工具来自动扫描目标，以获得深入攻击可利用的信息。这些扫描工具有些是公开的程序，可以从相关网站下载。由于这些工具的技术公开性，在响应过程中可以较容易采取相应的措施，而有些个人自己编写的扫描程序，由于其技术的隐秘性，却往往较难防御。返回下一页上一页4.5针对入侵响应决策的攻击分类资源的主动误用主要表现在攻击者产生各种数据对目标实施攻击，这种攻击一般都会利用目标系统的某些弱点或漏洞。这里将资源的主动误用攻击又划分为拒绝服务攻击（DoS）和漏洞利用攻击。网络资源耗尽型拒绝服务攻击一般会造成网络带宽的耗尽，如Smurf攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机网络通信线路和端口拥塞。对于这类DoS攻击采取基于网络的响应措施是比较有效的；主机资源耗尽型的DoS攻击一般是耗尽主机的CPU、内存或硬盘空间等资源，从而使主机无法提供服务。返回下一页上一页4.5针对入侵响应决策的攻击分类大多数的主机和服务的漏洞攻击的常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令。如果该程序具有root权限，攻击者就可以对系统进行任意操作了。突破访问控制攻击是试图突破或绕过目标系统的安全访问控制机制，从而获得各种非法（或非授权）的系统操作权限。此类攻击又被细分为口令攻击、欺骗攻击和利用弱验证机制攻击等子类。口令攻击一般会使用特定的程序自动地反复尝试字典中的账号和密码信息与目标系统的账号和密码是否匹配，以此获得目标系统的账号和密码。返回下一页上一页4.5针对入侵响应决策的攻击分类欺骗攻击行为就是伪造自己身份，以获得相关的权限。所谓弱验证机制攻击，是攻击者利用目标系统没有对某些请求的发起者实施合适的验证，从而使得攻击者获得较高的系统操作权限。为了方便入侵响应措施决策，将上述各种分类好的攻击技术再进行分组，得到表4-4。此表可以根据攻击技术的发展，随时添加新的条目和分组。响应决策机制根据报警名称和检测特征在支持数据库中可以查询到报警所对应的攻击属于哪一组攻击。返回上一页上一页4.6响应措施分类在不同的网络环境下，可以得到和可以实施的响应措施不同。例如，有的网络设备生产厂家同专业网络安全公司联合推出的IDS同网络交换机联动的安全响应解决方案：当某台主机受到攻击时，就封闭连接此台主机的交换机端口，而这样的响应措施在大部分网络环境中还得不到。为了便于响应措施决策，这里根据响应决策模型的需要，使用多种分类标准对响应措施进行了分类，如图4-5所示。详细情况如下。返回下一页上一页4.6响应措施分类1.按照响应措施作用时间分按照响应措施作用时间，上述响应措施可以分为：①持续型响应措施。持续型响应措施必须持续执行一段时间，才能完成其响应任务。对于持续型响应措施，响应决策机制会选择或计算出合适的作用时间。②非持续型响应措施。非持续响应措施只需要执行一次，就可以完成响应任务。执行时间由程序自己的运行时间决定，不需要设定持续时间。持续时间LT（Lastedtime）可以事先给定或由响应决策机制计算出来。返回下一页上一页4.6响应措施分类2.按照响应措施的兼容性分按照响应措施的兼容性，上述响应措施又分为：①兼容型响应措施。兼容型响应措施与其他响应措施可以同时执行，大部分通知与记录型响应措施属于此类。②互斥型响应措施。互斥型响应措施不能同时与其他互斥型响应措施同时执行。属于互斥类的响应措施有下述情况：当两个响应措施都可以完成相同的任务且这两个措施在功能上互补性差时，一般不要同时加载这两个措施，以免增加系统负担和响应负面效应；另外，当有的响应措施执行后，再同时实施其他响应措施已经没有意义。返回下一页上一页4.6响应措施分类3.按照响应措施的功能分按照响应措施的功能，上述响应措施可以分为：①告警型响应措施。这类措施主要以各种方式发出报警通知相关人员，或者发出信息警告攻击者。这些方式包括在控制台报警、通过网络发送即时消息、通过E-mail发送各种报警信息和通过手机短信等方式发送报警信息。②记录型响应措施。这类响应措施主要记录和入侵相关的数据。③备份型响应措施。响应措施主要备份系统关键文件、数据和系统。④阻断型响应措施。这类响应措施主要用于中断入侵者对服务、主机和网络的访问连接，阻止入侵的继续进行。⑤反击型响应措施。返回下一页上一页4.6响应措施分类反击类响应措施包括通过各种方法向攻击者发送有关信息警告攻击者，对攻击者实施反攻击，通过这些主动方式来阻止攻击，保护系统。响应功能类别可由功能码FC（FunctionCode，FC）来代表。4.按照响应措施的作用范围分按照响应措施的作用范围，上述响应措施可以分：①服务层响应措施。响应措施作用或影响范围主要限于被攻击主机上的一个或几个服务。②主机层响应措施。其作用或影响范围主要限于被攻击主机。③网络层响应措施。其作用或影响范围会涉及整个子网。返回下一页上一页4.6响应措施分类作用在门防火墙（GateFirewall）上的响应措施一般都是网络层的响应措施。例如，在门防火墙上阻断特定IP对网内某台主机的访问，尽管其作用范围是针对某台主机，但由于规则是加载到门防火墙上的，所以会影响到所有主机对外通信的带宽。④无层次响应措施。有些响应措施不好划定或从响应决策角度来说没有必要划分其作用和影响范围。作用范围类别可由范围码BC（Boundcode，BC）来代表。5.按照响应措施对系统性能的负面影响分根据响应措施对系统性能的负面影响，将响应措施分为：①弱负面影响响应措施。②较强负面影响响应措施。返回下一页上一页4.6响应措施分类③强负面影响响应措施。④很强负面影响响应措施。根据经验，每个响应措施负面影响可以由措施的负面影响指数DI（DisruptivenessIndex，DI∈［0，16］）来量化。6.按照响应措施从开始实施到开始发挥作用的时间窗口分由于受到资源、运行环境和响应执行速度的影响，一个响应措施从开始实施到其开始发挥作用需要一个时间窗口。根据这一时间窗口，可以将响应措施划分为：①有效用时间响应措施。这类响应措施从开始实施到发挥作用一般需要几秒到几分钟的时间。返回下一页上一页4.6响应措施分类这个时间窗口可由变量Teff进行量化。②无效用时间响应措施。这类响应措施一开始实施，就立刻发挥作用，或者响应决策机制不需要对这类响应措施进行有效性检查。7.按照响应措施的可用性分根据可用性，可以将响应措施划分为可用响应措施和不可用响应措施。例如，在大部分情况下，对攻击者进行反攻击的手段是不可用响应措施。响应措施是否可用，由管理员根据具体情况事先设定可用代码AC（AvailabilityCode）来控制。AC=0，表示此响应措施不可得；AC=1，表示响应措施可得。返回下一页上一页4.6响应措施分类通过此标准对响应措施的分类，可以体现政策约束和响应策略对响应的影响。例如，为了实现维护系统服务能力的响应目的，根据相应的响应策略，可以将响应措施4-4-1、5-2-*、5-4-1、6-3-*、6-4-*和6-5-1的可用代码设置为AC=0。又如，像编号为1-4-1、6-4-*、6-5-1和7-*-*的响应措施，可由管理员根据具体安全政策约束，通过AC代码进行控制。根据这些分类标准对响应措施的分类，得到如表4-5所示的分类结果。针对不同类型的攻击，不同响应措施在执行不同类型的任务时效果不同。返回下一页上一页4.6响应措施分类例如，“BlockIPaddresstoaccesstheattackedhostatthegatefirewall”这一响应措施能够很好地阻断对被保护网络中特定主机的入侵，却不能有效完成像通知、证据收集这样的任务。这里引入有效性指数EI（EffectivenessIndex，EI∈［1,16］）来量化响应措施的有效性。在响应决策中，针对不同类型的响应任务（告警类任务、记录类任务、备份类任务、阻断类任务、反击类任务），赋予响应措施相应的有效指数。返回上一页下一页4.7响应时机决策以往响应决策模型只具有响应措施的决策能力，但要实现一个响应过程，响应决策还必须具有响应时机的决策能力。Cohen的实验结果表明了响应时间窗口的重要性。那么，是否越早阻断攻击就越好呢？或者说，是否一旦发现入侵就立即采取强烈的响应行动切断入侵者同被害主机的连接是最好的选择呢？答案是不一定，这取决于响应目的与策略。例如，如果响应是为了追踪攻击者、分析攻击或入侵取证，这时如果过早采取较强烈响应（如阻断类的响应）就达不到入侵响应的目的。那么，怎样才能在响应策略的指导下，实现管理员所期望的响应目的呢？返回下一页上一页4.7响应时机决策响应时机的引入，使得响应系统可以根据响应策略将不同性质的响应任务在时序上进行排列，使得响应系统可以在入侵的不同阶段有针对性地实施不同的响应措施，从而很好地实现响应目的。在IDAM&IRS的响应决策中引入了响应时机决策机制，其思想是：针对整个入侵过程，在入侵可控的情况下，为了实现响应的目的，在响应策略的指导下，及时进行响应。这里强调的是在入侵可控的情况下及时进行响应，而不是一旦有报警就尽早进行响应。所谓入侵可控，就是将入侵所带来的风险控制在可承受的范围内。返回下一页上一页4.7响应时机决策为实现上述的响应时机决策思想，决策模型使用层次任务网络HTN规划方法（Hierarchicaltasknetworkplanning）将目的任务分解为若干按时序排列的响应关键点Pi（子任务），如图4-6所示。通过所提出的在线风险评估模型计算服务、主机和网络三个层次的风险指数，然后根据每个层次的风险指数、各层次风险阈值以及响应关键点Pi的任务性质，决定是否开始执行Pi响应子任务。返回下一页上一页4.7响应时机决策总之，响应时机决策给入侵响应带来的好处是：●由于响应时机的引入，响应由孤立的动作变为过程，这样有利于制定灵活、可行的响应策略，从而实现响应目的。●通过调节响应时机点的启动阈值（如风险阈值），使入侵响应系统对网络上的各种异常活动具有了一定的耐受性，从而使系统对网络上的异常活动不至于过度敏感，减少不必要的响应行动，降低了误报所造成误响应的风险和入侵者利用自动入侵响应机制进行攻击的风险。返回上一页下一页4.8响应措施决策4.8.1静态映射模型此方法将一个特定的报警映射为一个特定的响应行动。如图4-7所示，也就是将报警所确定的攻击类型与特定的响应措施作关联，形成一个简单的响应决策表。早期的自动入侵响应系统大都采用这种静态映射决策方法，CurtisA.CarverJr.对56个入侵检测系统进行了调研，有18个系统有自动入侵响应机制。在这18个自动入侵响应系统中，14个系统使用了简单的静态映射响应决策方法。BMSL-basedresponse、SoSMART和pH等入侵响应系统都采用了静态映射的决策模型。返回下一页上一页4.8响应措施决策静态映射决策模型的优点是方法简单、容易维护。此模型只考虑了攻击的简单情况（攻击类型），没有综合考虑攻击多方面情况（如确信度、严重程度）、被攻击目标的现有状况（如资源重要性、漏洞情况）和响应对被攻击目标的影响（响应负面效应）。所以这种决策方法缺乏推理，很难适应真实网络环境，所采取的响应措施很容易被对手预测，没有响应自适应调节能力。例如，如果被攻击的目标为Linux+Apache的Web服务器，而一个攻击脚本针对是MSIIS的某一个漏洞，实际系统对针对此漏洞的攻击并不脆弱。返回下一页上一页4.8响应措施决策由于静态映射方法没有考虑被攻击目标情况，自动响应系统对针对此漏洞攻击依然采取响应措施，这种响应措施没有任何效果，加大了系统负担，影响了Web向外提供服务的能力。此外，正像Toth指出的那样，这一方法不适合于大型系统，在大型系统中要分析很多的入侵进程，同时系统的策略也会经常变化，这样就很难制定合适的映射，而且很容易出错。返回下一页上一页4.8响应措施决策4.8.2动态映射模型简单的动态映射模型基于一些攻击的参量（如攻击确信度、攻击严重程度）的情况，来映射确定响应措施。较复杂的动态映射模型会综合攻击参量和目标系统本身的参量、响应目的和政策约束等情况，来推理选定响应措施。较早基于动态映模型的自动响应系统有协作安全管理系统CSM（CooperatingSecurityManagers），这是一个分布式基于主机的入侵检测和响应系统。CSM将对攻击的怀疑度（确信度）作为唯一的因素，从其中的8个响应集中选择响应措施。返回下一页上一页4.8响应措施决策另一个是异常干扰事件的监视与响应系统EMERALD（EventMonitoringEnablingResponsestoAnomalousLiveDisturbances），这是一个集误用检测和异常检测于一体的分布式入侵检测与响应系统。它使用入侵证据量和响应强度这两个因素来决定响应措施。具有代表性的动态映射决策模型是由美国德州A&M大学计算机系的DanielRagsdale和CurtisCarver等人提出的基于Agent的自适应入侵响应系统AAIRS（theAdaptiveAgent-basedIntrusionResponseSystems），其响应决策模型结构如图4-8所示。返回下一页上一页4.8响应措施决策系统使用接口Agent（InterfaceAgent）接收来自多个IDS的报警信息，根据误报的历史情况产生攻击的确信度，然后确信度和报警信息一同被传送给主分析Agent（MasterAnalysisAgent）。主分析Agent将攻击分为已存在的攻击和新攻击两类。对于新攻击，主分析Agent产生一个新的分析Agent（AnalysisAgent），以便产生响应方案来对付这一攻击；如果报警事件属于一个已经存在的攻击过程，主分析Agent则将确信度和报警信息传送给相应的已经存在的分析Agent。返回下一页上一页4.8响应措施决策响应措施决策是由分析Agent（AnalysisAgent）完成的，每一个攻击过程对应一个对此攻击过程进行措施决策的分析Agent。每一个分析Agent会利用响应分类Agent（ResponseTaxonomyAgent，对攻击进行分类）和政策Agent（PolicyAgent，根据资源、法律、机构制度、道德等因素对响应方案进行约束）结合响应目的来产生响应方案。其决策的原理可以用图4-9来表示，一个攻击过程通过政策约束、报警怀疑度（确信度）、攻击时机、攻击者类型、攻击含意（代表目标重要性）和响应目的等响应因素映射为一个响应措施子集，也就是其所说的响应方案。返回下一页上一页4.8响应措施决策然后分析Agent将产生的响应方案传送给战术Agent（TacticsAgent），由其将此响应方案分解为可以执行的具体响应措施，之后调用响应工具箱（ResponseToolkit）中的相应组件执行。另外一个典型的动态映射模型出现在由波音公司幻影工作室、网盟NAI实验室和加利福尼亚大学的戴维斯计算机安全实验室共同合作的一个自动入侵响应方面的项目——协同入侵跟踪和响应体系结构CITRA（如图4-10所示）。此项目受到DARPA资助，它使用IDIP协议，将入侵检测系统、路由器、防火墙、主机操作系统、系统完整性验证系统、漏洞扫描工具、返回下一页上一页4.8响应措施决策网管系统和关联工具等集成在一起，使它们相互配合，实现网络管理域内的有效、协同响应。在其响应决策过程中，首先根据被攻击资源的价值（resourcevalue）、攻击类型（attacktype）和攻击发生的时段（timeofday）来确定攻击的严重程度（severity），然后利用攻击的确信度（certainty）和严重度与管理员所设定的阈值进行比较，综合两者的比较结果来决定响应措施。例如，在其响应决策机制中，将确信度和所对应的阈值进行比较，可以将确信度分为高、中、低；将严重程度和对应阈值比较，可将严重程度分为高、低两个层次。返回下一页上一页4.8响应措施决策当有报警产生时，如果其确信度低，就不采取任何响应行动；如果低严重程度、中确信度，就采取报警和追踪攻击的响应措施；而如果高严重程度、高确信程度，就实施阻断响应措施。动态映射比静态映射要先进的多，它考虑了攻击的多方面情况，并且能够将响应目的、被攻击目标情况、政策约束等因素一并考虑进来，从而可以提供更加灵活的响应决策和更细粒度的响应控制。这一方法多以响应的有效性为原则，较少考虑响应的负面效应，响应机制也可以被对手利用。返回下一页上一页4.8响应措施决策4.8.3成本敏感模型基于成本敏感的响应措施决策模型是在入侵损失与响应代价这两方面进行平衡的方法，模型会在几个成本与风险因素之间进行协调以优化响应决策。成本敏感模型首先由佐治亚理工学院计算机学院的WenkeLee等人提出，之后IvanBalepin等人在其研发的自动入侵响应原型系统ARB中提出了类似的思想方法。在WenkeLee的模型中，将相关的代价分为：①损失代价DCost（e），为IDS对入侵事件e不采取任何响应措施时，由入侵所造成的损失。返回下一页上一页4.8响应措施决策②响应代价RCost（e），为IDS对事件e进行响应所付出的代价，实质上代表了响应所产生的负面影响。③检测代价OpCost（e），为IDS检测事件e所付出的代价。作者提出了根据专家经验估算这些代价的公式。其响应决策的基本思想就是当RCost（e）＞DCost（e）时不采取响应措施，当Rcost（e）≤Dcost（e）时就采取响应措施。这样一个模型的优点是保证了响应所带来的负面影响小于入侵所带来的损失。建立此类模型的难点在于：①确定哪些系统资源被纳入到成本中去。返回下一页上一页4.8响应措施决策在计算响应的负面影响时，要考虑的因素很多，有资源不可用、资源占用等直接的负面影响，也有响应被黑客利用等间接负面影响。②如何对代价进行量化。对于此类模型，对代价的准确量化是一个挑战。目前，几乎所有基于成本敏感模型的决策方法都采用经验方法对代价进行量化，主观性强，增加了管理员的负担。③响应成本的不确定性问题。入侵与响应都是一个动态变化的过程，对于有些攻击过程，尽管在攻击的初期采取响应行动时，响应代价可能会大于损失代价，但如果从整个入侵过程来看，这种响应行动所带来的成本却是最低的。确定整个入侵和响应交互过程中响应的负面效应是相当困难的。返回下一页上一页4.8响应措施决策4.8.4基于响应负面效应最小原则模型此模型与成本敏感模型相类似，但其在响应措施决策只以响应的负面效应（响应代价）最小为原则。由维也纳技术大学ThomasToth和ChristopherKruegel提出的评价自动入侵响应机制影响模型，作为响应方案建立时的决策支持模型。此模型根据网络服务之间的关系和网络的拓扑结构建立起整个网络的服务依赖树，然后利用此依赖树来计算具体响应措施对网络总体服务能力的负面影响，认为对网络系统服务能力影响最小的响应措施是最佳的。返回下一页上一页4.8响应措施决策RohitParti根据这一思想提出了基于演化计算的响应决策模型，以此来选择负面影响最小的响应措施。此类决策模型的优点在于可以最大限度地减少响应对服务的负面影响。同成本敏感模型一样，负面影响的量化和不确定性问题也是这一模型所面临的挑战。另外，在保证响应负面影响最小的情况下，是否能够保证响应的有效性是这一模型所面临的又一个问题。基于这一问题，普渡大学电子与计算机学院的Yu-SungWu等人提出了自适应的入侵耐受系统ADEPTS，它是一个应用在分布环境下的自动响应系统。其响应决策模型是对负面效应最小原则模型的改进。返回下一页上一页4.8响应措施决策如图4-11所示，其决策过程如下：首先利用报警置信度结合入侵图I-Graph（Intrusion-Graph）来自下向上计算I-Graph中各节点的侵占置信指数CCI（ComprisedConfidenceIndex），从中筛选出入侵者最有可能达到的候选节点，然后根据候选节点的入侵通道类型，选择多个可以阻止入侵者通过入侵通道进行扩展的候选响应措施。系统使用响应指数RI（ResponseIndex）来衡量这些候选响应措施的合适程度。系统通过两个方面来确定RI，一方面是响应措施对特定攻击的有效性，通过有效指数EI（EffectivenessIndex）来量化；另一方面是响应的负面影响，返回下一页上一页4.8响应措施决策由负面影响指数DI（DisruptivenessIndex）来量化。RI为EI与DI的加权差，这样通过设定RI阈值，就可以滤除响应效果差而负面影响大的措施，获得有效且负面影响小的响应措施。另外，系统还可以通过不断修改响应措施的有效指数来实现响应的自适应。返回下一页上一页4.8响应措施决策4.8.5基于实时入侵风险评估的模型目前，基于实时风险评估的模型是较新、较先进的响应措施决策模型。模型首先对入侵对目标系统所造成的风险进行在线评估，然后以风险评估的结果作为主要依据来确定响应措施。较早基于实时风险评估的响应决策模型是由SaponTanachaiwiwat等人提出的RADAR，更加具体的模型是由美国杜克大学计算机系的AnshishGehani等人提出的RheoStat实时风险管理模型。RheoStat模型沿用了许多离线风险评估模型中的影响因素，即根据攻击威胁、目标资产和目标漏洞这三方面来评估攻击风险。返回下一页上一页4.8响应措施决策在其模型中使用威胁发生的概率、漏洞暴露率和受攻击资产所经受的损失之积来计算风险。模型根据发生事件序列与已知攻击事件模板的匹配程度来计算威胁发生概率，并以此来计算事件对风险变化的影响。事件发生后，如果系统风险增加并超过设定的风险阈值（主机可承受风险），系统就采取响应措施来使风险降低到阈值以下；当事件发生后，如果系统风险降低，在保证系统风险不超过风险阈值的条件下，释放一部分安全措施，以增强系统性能。当需要增强安全措施时，系统选择具有最高效益代价比的响应措施。返回下一页上一页4.8响应措施决策这里效益就是响应前后的风险差值，代价就是响应措施给系统所带来的负担（负面影响）；当需要改善系统性能时，系统需要释放安全措施，选择已经执行的响应措施中具有最小效益代价比的措施。此模型只是针对主机层次进行风险评估（没有考虑网络层次），评估中的漏洞暴露率、措施的负面影响、后果损失代价和系统可承受风险等方面的量化主要依赖于主观经验。另外，在计算威胁概率时，如何获得攻击事件序列模板以及如何处理新的攻击序列等问题在其模型中都没有得到解决。IDAM&IRS响应措施决策也是基于实时风险评估的。返回下一页上一页4.8响应措施决策为了完成响应关键点任务Pi，系统需实施多个响应措施。这多个响应措施所组成的集合称为响应措施集，表示为RM={rm1，rm2，…，rmn}。集合中的一个元素rmi代表一种响应措施，元素的顺序为响应措施的执行顺序。响应措施决策就是要确定响应措施集中的各个元素。响应措施决策的思想是：综合考虑响应措施的有效性与响应措施的负面效应，在完成响应任务的前提下，尽量降低响应措施的负面效应。为了实现上述思想，响应措施决策过程如下：首先根据各层次上的入侵风险指数、关键点任务性质等因素来计算措施选择窗口。返回下一页上一页4.8响应措施决策所谓措施选择窗口，就是响应措施的选取范围。通过控制窗口的大小和位置来控制可能进入窗口的响应措施和相应的数量，以保证进入窗口内的措施的有效性，同时精简任务的响应措施集，减少不必要响应措施给系统带来的负担，平衡响应集响应的有效性和响应负面效应之间的关系。然后从选择窗口中选择具有较高正负比的响应措施。正负比综合了响应措施响应的有效性（由有效指数EI代表）和响应的负面效应（由负面指数DI代表）这两方面因素，为单个响应措施有效指数EI和其负面效应指数DI之间的比值，即返回下一页上一页4.8响应措施决策正负比越高，响应措施有效性越好，负面效应越小。由于IDAM&IRS响应决策模型充分利用了报警综合处理所产生的各种参量，较之RheoStat系统客观性更好，同时IDAM&IRS的在线风险评估是层次化的（服务、主机和网络），这样使得IDAM&IRS可以进行层次化的响应决策，有利于协调各层次的响应措施进行优化响应。此外，为了解决响应的有效性和响应负面效应之间的矛盾，模型在响应措施集合的整体和单个响应措施决策上都进行了很好的平衡。返回下一页上一页4.8响应措施决策总之，这种基于主机风险情况的响应措施决策模型，将响应决策依据由单个报警变为综合了多种因素（攻击威胁、目标资产和目标漏洞）的主机风险，使得响应措施决策更客观，抗噪能力更强，为响应自适应调整提供了很好的依据，并有利于平衡响应措施有效性和响应措施负面效应之间的关系。此类决策系统由于综合了多种数据源，模型较复杂，维护起来比较困难。返回上一页下一页4.9现有响应决策模型的问题对入侵响应来说，只围绕入侵响应的决策模型来进行研究是不够的，必须与报警融合、响应联动等多项技术结合起来，才能够实现较好的响应效果。就目前研究的模型和已经实现的产品来看，普遍存在以下问题。①绝大多数入侵响应系统在响应决策前没有对入侵检测系统所产生的报警进行综合、深入的处理。自动入侵响应系统的响应决策的重要依据是入侵检测系统的报警，而目前大部分的入侵检测系统都存在较严重的误报、漏报和重复报警问题，这样就会使得自动入侵响应系统很容易产生误响应、漏响应和重复响应问题。返回下一页下一页4.9现有响应决策模型的问题目前，入侵检测算法本身或单一的报警处理方法很难将误报率、漏报率和重复报警率降低到理想水平。要提升报警的信息质量，有效降低误报、漏报和重复报警，重建攻击过程，就必须使用多种方法对报警进行综合处理，大量文献中的评测结果、实验结果和论点都表明了这一点。②不能实现多种响应目的。上述系统中除了Curtis的AAIRS模型外，大部分系统要么没有制定明确的响应目的，要么只制定了单一的响应目的。不同的网络具有不同的安全目标，具体到入侵响应系统上，不同的用户对入侵响应系统的要求是不同的，所以入侵响应系统在不同的网络环境下所要实现的目的也是不同的。返回下一页上一页4.9现有响应决策模型的问题即使是同一个网络，在不同的时段（工作时间、非工作时间）对自动入侵响应系统的要求也不尽相同。例如，一个用于电子商务的Web服务器，在工作时间，其响应目的是维护系统服务能力，而在其非工作时间，则可能以最大化数据完整性为响应目的。所以只能够实现单一的响应目的的系统无法满足用户的多种需求，而没有明确响应目的的响应系统更无法有针对性地进行响应决策以确定合适的响应时机和措施。③没有引入响应策略。网络安全技术的发展趋势之一是突出策略在网络安全中的重要性。如目前被业界普遍接受的P2DR先进安全模型就强调了策略在安全防御中的核心地位。返回下一页上一页4.9现有