基于成本分析的自適應入侵響應系統

[摘要] 自動入侵響應是一種有效的對付入侵的手段。本文介紹了成本分析理論，并將該理論應用于自動入侵響應中，設計了基于成本分析的自適應入侵響應系統，簡述了該系統中各個功能模塊，詳細介紹了分析代理和成本分析代理的功能應用。

[關鍵詞] 入侵響應 自適應 成本分析

隨著計算機網絡的不斷普及和發展，網絡入侵日益猖獗，作為一種對抗入侵的有效方法——入侵響應對保護系統安全性顯得越來越重要。目前的入侵響應大都只是在入侵檢測系統中實現，響應方式多為手動響應，因而響應能力受到一定限制。為了能夠快速及時的響應各種入侵，人們研究了多種自動響應技術來響應入侵。

美國得克薩斯AM大學的Carver提出了一種基于代理的自適應入侵響應系統AAIRS，該系統能夠快速及時的響應各種入侵攻擊，并且考慮了各種環境因素并具有良好的自適應性，但不足之處在于AAIRS在做出響應決策的時候并沒有考慮到成本代價問題，即入侵值不值得響應的問題，使系統為此付出很多不必要的代價。

本文首先對廣泛應用的成本分析理論做了簡要介紹，并結合自動入侵響應的方法特點，將成本分析理論應用于AAIRS中，構架了一個基于成本分析的自適應入侵響應系統CAIRS，重點研究該模型中的分析模塊和成本分析模塊，并對系統做了簡要分析。

一、成本分析理論

所謂成本分析，簡單地說，就是考慮付出與收獲之間的代價平衡。對于入侵響應來說，也面臨著同樣的問題，這就是入侵響應的成本分析問題。

入侵響應過程中涉及的成本因素可以分為損失代價(Dcost)，即在響應系統不做響應，攻擊對系統造成的損失；響應代價(RCost)，即系統對攻擊做出響應所付出的代價。針對IDS檢測到的具體入侵行為，如果其損失代價大于響應代價，即DCost≥RCost，則采取相應的響應措施；如果DCost

二、CAIRS系統結構

基于AAIRS系統和成本分析原理，本文設計了一個基于成本分析的自適應入侵響應系統CAIRS，系統結構如圖所示。

在該CAIRS中，多個IDS監視一個計算機網絡系統并生成入侵事件報告。接口代理把事件表示成為統一格式，并依據對IDS以往誤報或漏報的統計，賦予當前事件一個可信度值，將這個值與事件報告交給分析代理。為了生成一個比較合理的響應策略，分析代理會判定和分析該事件報告，并調用響應分類代理對攻擊進行分類，同時調用策略規范以保證響應策略符合法律、道德、習俗以及資源等約束。成本分析代理接收分析代理傳遞的策略方案和響應分類代理傳遞的攻擊分類，在此評估策略方案的響應代價和攻擊造成的損失代價，比較代價大小，據此判定是對入侵不予響應，只傳給記錄器備份，還是將策略傳給決策代理，調用響應工具庫中的工具實施響應。在分析代理和決策代理中都引入了基于以往成功響應的自適應技術。

該系統結構中，分析代理和成本分析代理是最主要的兩個部分，下面詳細介紹這兩個代理模塊的結構及功能。

1.分析代理

分析代理的功能是調用策略規范和響應分類生成合理的響應方案，它包括一個判定部件和多個分析部件。

(1)判定部件

判定部件根據事件報告的時間和攻擊類型，判斷入侵事件是新的攻擊還是原有攻擊的延續。如果該事件是一次新的攻擊，就創建一個新的分析部件，并將事件報告和相關的可信度傳送給它。如果該事件是已有攻擊的延續，則僅向原攻擊對應的分析部件傳送事件報告和可信度。

(2)分析部件

分析部件的主要功能是根據判定部件結果，通過調用策略規范和響應分類代理生成合理的響應方案。該方案包括一個或多個方案步驟(plan step)，支持每個方案步驟的策略(tactic)，以及支持每個策略的具體實施步驟(implementation)，簡稱PTI。對應于新攻擊的新建分析部件，必須建立一個新的方案；對應于原有攻擊的已存在的分析部件，檢查其成功度和可行性改進方案。

2.成本分析代理

成本分析代理主要功能是估算攻擊帶來的損失代價和響應攻擊的響應代價，比較二者大小，采取不同措施。

(1)損失代價的估算

要對代價進行準確的估算，必須制定合適的代價規則，而攻擊分類對于制定有意義的代價規則必不可少，將攻擊分成不同的類別以便能把相似的攻擊作為一類進行代價估算。Lindqvist使用入侵后果的嚴重性和被攻擊目標的重要性來對攻擊進行分類。SANS研究機構的主要負責人Northcutt便根據這種攻擊分類，對一次入侵事件中的兩個要素——攻擊毀壞性和目標重要性，進行經驗值賦值，然后將經驗值相乘，從而得到入侵帶來的損失代價。

本系統中入侵事件分類是采用的Carver的攻擊分類方法，一次入侵事件由5個要素組成：攻擊時間(Time)、攻擊目標(Aim)、攻擊類型(AttackType)、攻擊者類型(AttackerType)和事件可信度(Reliability)。這樣的攻擊分類法比較詳細具體，更適合于本系統。借鑒Northcutt的代價估算方法，將Carver的事件分類中的5個要素分別賦以合適的經驗權值，如表1所示，使用公式(1)得到損失代價：

DCost＝Time×AttackType×AttackerType×Reliability×Aim (1)

(2)響應代價的估算

本系統中響應代價包括兩部分：響應分析代價和響應執行代價，最終的響應代價就是二者之和。

分析代價是生成一個PTI方案的代價，一個PTI中包含響應計劃，響應策略和具體實施響應步驟，求PTI是一個計算機分析判斷的過程，付出的是計算機分析判斷消耗的資源代價。與前述損失代價估算方法類似，將每個Plane， Tactic和Implementation都分別賦以合適的經驗權值，代表為求解每步所付出的分析代價，如表2所示，然后使用公式(2)求得到一個生成PTI的代價：

PTI＝P[i]×T[j]×I[k]（2）

執行代價是按照具體實施步驟I[k]執行響應所付出的代價，賦經驗值記為I′[k]。最終響應代價為響應分析代價和響應執行代價之和，即RCost＝PTI＋I′[k]。

(3)代價比較

估算DCost和RCost之后，比較二者大小，如果損失代價大于響應代價，則將響應方案傳遞給決策代理來執行方案，同時將此次事件的方案傳給記錄器，進行歷史備份；如果損失代價小于響應代價，則不采取任何響應措施，只是將此次事件及方案傳遞給記錄器進行歷史備份。這樣可以避免很多不必要的代價損失。

三、系統分析

本文設計的CAIRS系統是在Carver等人的AAIRS系統基礎上，進行改進構建的。CAIRS保持了AAIRS原有的自適應性，而且還添加了成本分析部件，能夠合理有效的利用資源。

CAIRS系統之所以能實現自適應性，是因為在IDS檢測和響應這兩方面具有不確定性，這通過接口代理中可信度的修改和分析代理中成功策略方案的加權實現。

成本分析代理中，借鑒了Northcutt的代價估算方法，提出了一種適于本系統的代價估算法，對損失代價和響應代價進行估算比較，這樣，系統就能比較有效地利用有限資源。

四、小結

本文介紹了基于成本分析的自適應入侵響應系統的各個功能模塊，并做了簡要分析。該系統能夠基本實現及時，靈活，自適應的入侵響應，并且通過對響應成本的分析比較，能夠合理有效的利用有限的系統資源。今后將重點研究損失代價和響應代價經驗值的估算，有利于系統做出響應與否的準確判斷，使系統更加完善。

參考文獻:

[1]GARY R．WRIGHT W．RICHARD：TCP/IP詳解[M].北京:機械工業出版社，2000

[2]ANDREW S．TANENBAUM:計算機網絡[M].北京：清華大學出版社，2000

[3]SEAN CONVERY：網絡安全體系結構[M].北京:人民郵電出版社，2005