網絡入侵事件的主動響應策略分析

孫天翔

摘要：采用一種針對響應的方法對攻擊事件進行分類，分析自動響應存在的問題，在此基礎上，分析了主動響應的成本問題，提出了基于事件分類和成本分析的主動響應策略的決策過程。

關鍵詞：主動響應 響應策略

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2014）08-0188-01

1 針對響應的攻擊事件分類

根據普遍經驗，事件響應可具體分為準備、檢測、抑制、根除、恢復和跟蹤六個階段，與入侵響應相關的有：（1）抑制：限制攻擊的范圍，盡可能減少損失；（2）根除：找到事件源并完全消滅它；（3）恢復：就是遭受攻擊災害后的“恢復重建”；（4）跟蹤：通過回憶性的信息審查和整合，發現規律并總結。在此基礎上，提出一個可以用來反應攻擊細節的五元組<時間，攻擊技術，漏洞類型，攻擊結果，攻擊目標>[1]。（1）時間（Time）：攻擊行為的具體時間狀態，攻擊進行中或攻擊結束。（2）攻擊技術（Attack）：特定的攻擊手段或方法，有三大類：漏洞攻擊、拒絕服務和欺騙攻擊。（3）漏洞類型（Weakness）：攻擊所利用的具體漏洞信息。（4）攻擊結果（Result）：針對計算機系統的保密性、完整性和可用性。評估具體的攻擊結果，（5）攻擊目標（Object）：有特定的目標位置（IP地址）、總體目的和特定的目標（文件系統、用戶密碼或流程等）三個層次。可能有重疊的類別出現，如欺騙攻擊伴隨漏洞攻擊、獲取許可也篡改數據等，對此，可采取攻擊分割的處理方法或初始優先的處理方式。

2 自動響應存在的問題分析

自動響應可能存在如下問題：（1）IDS（入侵檢測系統）誤報造成錯誤的響應，也許會形成很多無法預測的損失。（2）地址欺騙類型的攻擊，一些響應策略導致正常服務無法訪問。如針對隔離入侵的策略，攻擊者仿冒某一服務器IP地址實施攻擊，實現自動響應則會導致無法訪問該服務器了，類似策略還有禁止賬戶、停止會話等。（3）過度響應的生成，很多由DOS攻擊引起。入侵響應具有一定的成本，DOS或DDOS攻擊的流量規模很大，如果都一一響應是不科學的，會耗費很多寶貴的系統資源。針對這些問題的改善手段有[2]：一是提高檢測的準確率，改進檢測方法；二是針對欺騙攻擊要謹慎地采用嚴厲響應手段；三是對響應進行成本評估，如果“得不償失”，則沒必要響應。

3 主動響應的策略分析

3.1 響應成本分析

通常采用損失代價（Damage Cost，DCost）以及響應代價（Response Cost，RCost）這兩個指標的具體情況來測度和分析響應成本。損失代價就是遭到入侵后的所有損失（直接的和間接的）；響應代價就是執行入侵響應而付出的成本或代價，其具體內容包括響應實施時的成本和實施后的影響。

目標的關鍵性以及入侵的致命性是測度和評估損失代價Dcost的兩個指標，目標的關鍵性表示的是被入侵的具體目標的重要程度，可用Criticality表示，假設一個目標關鍵性值域為{0，1，2，3，4，5}，5為最高值，路由器、防火墻的關鍵值可以定義為5，網頁服務、郵件服務則可為4，一般的UNIX服務器為2，其它操作系統服務器為1，如此等等。入侵的致命性指的是攻擊行為的“威力”是否足以“致命”，可用Lethality表示，其值是基于經驗的估算的值，如嘗試root登錄的威脅值為333，則前述提到的UNIX服務器的損失代價具體為Dcost=Criticality*Lethality=2*333=666。一些具體的響應方式或機制決定了響應代價Rcost，比如主動響應的代價高于被動響應，跟蹤攻擊源的代價高于隔離攻擊源。

如果DCost>RCost，可進行響應；若DCost

一個具體的入侵事件可用可用三元組e=（a，p，r）來描述，a、p和r分別表示入侵的類型、過程以及資源目標，Dcost（e）以及Rcost（e）用來指代損失代價以及響應代價。實際上，要針對具體的e來具體分析成本：（1）漏報：e為入侵行為，此時無響應，總成本為Rcost（e）；（2）誤報：e為正常行為，但IDS誤認為入侵行為e'，響應代價為Rcost（e'），由于錯誤響應可能存在損失Fcost（e'），因此總成本為Rcost（e'）+Fcost（e'）；（3）命中：e為入侵行為，IDS檢測準確。如果Dcost（e）Rcost（e），為Rcost（e），從檢測到響應會有延時，添加一個延時過程因子λ∈[0，1]，體現延時成本出現的可能性，因此，在檢測命中情況下，總成本為Rcost（e）+λ*Dcost（e）；（4）錯誤命中：IDS把入侵事件e錯誤的認為是e'，那么，響應代價就是Rcost（e'），損失代價就是Dcost（e）。同時，由于錯誤響應而形成的損失代價表示為Fcost（e'），總成本為Rcost（e'）+Dcost（e）+Fcost（e'）。

3.2 基于事件分類的響應策略

入侵事件本身屬性與入侵響應各階段之間存在對應關系（如表1），策略選擇的過程，即根據響應所處的特定階段（抑制、根除、恢復和跟蹤）結合對入侵事件的分類描述在策略列表中選擇適當的響應策略。

一般的決策過程為：（1）以IDS執行的具體輸出為依據，參考前述文中提出的入侵事件分類方法，將檢測到的入侵事件按著分類標準進行格式化；（2）根據入侵事件的格式化描述進行響應策略的選擇，具體的可以采用操作員配置或者程序自動化方式來進行選擇；（3）對選好的既定策略實施成本分析，進一步實施策略審核，成本分析與實際情況相結合，決定策略的取舍，策略審核通過分析既定策略和已有策略庫，統籌處理有沖突的策略，如首先執行優先級別高的策略；（4）根據成本評估及策略審核的結果決定是否輸出響應策略。決策過程關鍵是事件分類和成本分析。

參考文獻

[1]周競.網絡入侵檢測及主動響應策略的研究[D].武漢理工大學碩士論文，2005.

[2]向林泓.主動防御技術的研究和實現[D].電子科技大學，2011.

摘要：采用一種針對響應的方法對攻擊事件進行分類，分析自動響應存在的問題，在此基礎上，分析了主動響應的成本問題，提出了基于事件分類和成本分析的主動響應策略的決策過程。

關鍵詞：主動響應 響應策略

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2014）08-0188-01

1 針對響應的攻擊事件分類

根據普遍經驗，事件響應可具體分為準備、檢測、抑制、根除、恢復和跟蹤六個階段，與入侵響應相關的有：（1）抑制：限制攻擊的范圍，盡可能減少損失；（2）根除：找到事件源并完全消滅它；（3）恢復：就是遭受攻擊災害后的“恢復重建”；（4）跟蹤：通過回憶性的信息審查和整合，發現規律并總結。在此基礎上，提出一個可以用來反應攻擊細節的五元組<時間，攻擊技術，漏洞類型，攻擊結果，攻擊目標>[1]。（1）時間（Time）：攻擊行為的具體時間狀態，攻擊進行中或攻擊結束。（2）攻擊技術（Attack）：特定的攻擊手段或方法，有三大類：漏洞攻擊、拒絕服務和欺騙攻擊。（3）漏洞類型（Weakness）：攻擊所利用的具體漏洞信息。（4）攻擊結果（Result）：針對計算機系統的保密性、完整性和可用性。評估具體的攻擊結果，（5）攻擊目標（Object）：有特定的目標位置（IP地址）、總體目的和特定的目標（文件系統、用戶密碼或流程等）三個層次。可能有重疊的類別出現，如欺騙攻擊伴隨漏洞攻擊、獲取許可也篡改數據等，對此，可采取攻擊分割的處理方法或初始優先的處理方式。

2 自動響應存在的問題分析

自動響應可能存在如下問題：（1）IDS（入侵檢測系統）誤報造成錯誤的響應，也許會形成很多無法預測的損失。（2）地址欺騙類型的攻擊，一些響應策略導致正常服務無法訪問。如針對隔離入侵的策略，攻擊者仿冒某一服務器IP地址實施攻擊，實現自動響應則會導致無法訪問該服務器了，類似策略還有禁止賬戶、停止會話等。（3）過度響應的生成，很多由DOS攻擊引起。入侵響應具有一定的成本，DOS或DDOS攻擊的流量規模很大，如果都一一響應是不科學的，會耗費很多寶貴的系統資源。針對這些問題的改善手段有[2]：一是提高檢測的準確率，改進檢測方法；二是針對欺騙攻擊要謹慎地采用嚴厲響應手段；三是對響應進行成本評估，如果“得不償失”，則沒必要響應。

3 主動響應的策略分析

3.1 響應成本分析

通常采用損失代價（Damage Cost，DCost）以及響應代價（Response Cost，RCost）這兩個指標的具體情況來測度和分析響應成本。損失代價就是遭到入侵后的所有損失（直接的和間接的）；響應代價就是執行入侵響應而付出的成本或代價，其具體內容包括響應實施時的成本和實施后的影響。

目標的關鍵性以及入侵的致命性是測度和評估損失代價Dcost的兩個指標，目標的關鍵性表示的是被入侵的具體目標的重要程度，可用Criticality表示，假設一個目標關鍵性值域為{0，1，2，3，4，5}，5為最高值，路由器、防火墻的關鍵值可以定義為5，網頁服務、郵件服務則可為4，一般的UNIX服務器為2，其它操作系統服務器為1，如此等等。入侵的致命性指的是攻擊行為的“威力”是否足以“致命”，可用Lethality表示，其值是基于經驗的估算的值，如嘗試root登錄的威脅值為333，則前述提到的UNIX服務器的損失代價具體為Dcost=Criticality*Lethality=2*333=666。一些具體的響應方式或機制決定了響應代價Rcost，比如主動響應的代價高于被動響應，跟蹤攻擊源的代價高于隔離攻擊源。

如果DCost>RCost，可進行響應；若DCost

一個具體的入侵事件可用可用三元組e=（a，p，r）來描述，a、p和r分別表示入侵的類型、過程以及資源目標，Dcost（e）以及Rcost（e）用來指代損失代價以及響應代價。實際上，要針對具體的e來具體分析成本：（1）漏報：e為入侵行為，此時無響應，總成本為Rcost（e）；（2）誤報：e為正常行為，但IDS誤認為入侵行為e'，響應代價為Rcost（e'），由于錯誤響應可能存在損失Fcost（e'），因此總成本為Rcost（e'）+Fcost（e'）；（3）命中：e為入侵行為，IDS檢測準確。如果Dcost（e）Rcost（e），為Rcost（e），從檢測到響應會有延時，添加一個延時過程因子λ∈[0，1]，體現延時成本出現的可能性，因此，在檢測命中情況下，總成本為Rcost（e）+λ*Dcost（e）；（4）錯誤命中：IDS把入侵事件e錯誤的認為是e'，那么，響應代價就是Rcost（e'），損失代價就是Dcost（e）。同時，由于錯誤響應而形成的損失代價表示為Fcost（e'），總成本為Rcost（e'）+Dcost（e）+Fcost（e'）。

3.2 基于事件分類的響應策略

入侵事件本身屬性與入侵響應各階段之間存在對應關系（如表1），策略選擇的過程，即根據響應所處的特定階段（抑制、根除、恢復和跟蹤）結合對入侵事件的分類描述在策略列表中選擇適當的響應策略。

一般的決策過程為：（1）以IDS執行的具體輸出為依據，參考前述文中提出的入侵事件分類方法，將檢測到的入侵事件按著分類標準進行格式化；（2）根據入侵事件的格式化描述進行響應策略的選擇，具體的可以采用操作員配置或者程序自動化方式來進行選擇；（3）對選好的既定策略實施成本分析，進一步實施策略審核，成本分析與實際情況相結合，決定策略的取舍，策略審核通過分析既定策略和已有策略庫，統籌處理有沖突的策略，如首先執行優先級別高的策略；（4）根據成本評估及策略審核的結果決定是否輸出響應策略。決策過程關鍵是事件分類和成本分析。

參考文獻

[1]周競.網絡入侵檢測及主動響應策略的研究[D].武漢理工大學碩士論文，2005.

[2]向林泓.主動防御技術的研究和實現[D].電子科技大學，2011.

摘要：采用一種針對響應的方法對攻擊事件進行分類，分析自動響應存在的問題，在此基礎上，分析了主動響應的成本問題，提出了基于事件分類和成本分析的主動響應策略的決策過程。

關鍵詞：主動響應 響應策略

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2014）08-0188-01

1 針對響應的攻擊事件分類

根據普遍經驗，事件響應可具體分為準備、檢測、抑制、根除、恢復和跟蹤六個階段，與入侵響應相關的有：（1）抑制：限制攻擊的范圍，盡可能減少損失；（2）根除：找到事件源并完全消滅它；（3）恢復：就是遭受攻擊災害后的“恢復重建”；（4）跟蹤：通過回憶性的信息審查和整合，發現規律并總結。在此基礎上，提出一個可以用來反應攻擊細節的五元組<時間，攻擊技術，漏洞類型，攻擊結果，攻擊目標>[1]。（1）時間（Time）：攻擊行為的具體時間狀態，攻擊進行中或攻擊結束。（2）攻擊技術（Attack）：特定的攻擊手段或方法，有三大類：漏洞攻擊、拒絕服務和欺騙攻擊。（3）漏洞類型（Weakness）：攻擊所利用的具體漏洞信息。（4）攻擊結果（Result）：針對計算機系統的保密性、完整性和可用性。評估具體的攻擊結果，（5）攻擊目標（Object）：有特定的目標位置（IP地址）、總體目的和特定的目標（文件系統、用戶密碼或流程等）三個層次。可能有重疊的類別出現，如欺騙攻擊伴隨漏洞攻擊、獲取許可也篡改數據等，對此，可采取攻擊分割的處理方法或初始優先的處理方式。

2 自動響應存在的問題分析

自動響應可能存在如下問題：（1）IDS（入侵檢測系統）誤報造成錯誤的響應，也許會形成很多無法預測的損失。（2）地址欺騙類型的攻擊，一些響應策略導致正常服務無法訪問。如針對隔離入侵的策略，攻擊者仿冒某一服務器IP地址實施攻擊，實現自動響應則會導致無法訪問該服務器了，類似策略還有禁止賬戶、停止會話等。（3）過度響應的生成，很多由DOS攻擊引起。入侵響應具有一定的成本，DOS或DDOS攻擊的流量規模很大，如果都一一響應是不科學的，會耗費很多寶貴的系統資源。針對這些問題的改善手段有[2]：一是提高檢測的準確率，改進檢測方法；二是針對欺騙攻擊要謹慎地采用嚴厲響應手段；三是對響應進行成本評估，如果“得不償失”，則沒必要響應。

3 主動響應的策略分析

3.1 響應成本分析

通常采用損失代價（Damage Cost，DCost）以及響應代價（Response Cost，RCost）這兩個指標的具體情況來測度和分析響應成本。損失代價就是遭到入侵后的所有損失（直接的和間接的）；響應代價就是執行入侵響應而付出的成本或代價，其具體內容包括響應實施時的成本和實施后的影響。

目標的關鍵性以及入侵的致命性是測度和評估損失代價Dcost的兩個指標，目標的關鍵性表示的是被入侵的具體目標的重要程度，可用Criticality表示，假設一個目標關鍵性值域為{0，1，2，3，4，5}，5為最高值，路由器、防火墻的關鍵值可以定義為5，網頁服務、郵件服務則可為4，一般的UNIX服務器為2，其它操作系統服務器為1，如此等等。入侵的致命性指的是攻擊行為的“威力”是否足以“致命”，可用Lethality表示，其值是基于經驗的估算的值，如嘗試root登錄的威脅值為333，則前述提到的UNIX服務器的損失代價具體為Dcost=Criticality*Lethality=2*333=666。一些具體的響應方式或機制決定了響應代價Rcost，比如主動響應的代價高于被動響應，跟蹤攻擊源的代價高于隔離攻擊源。

如果DCost>RCost，可進行響應；若DCost

一個具體的入侵事件可用可用三元組e=（a，p，r）來描述，a、p和r分別表示入侵的類型、過程以及資源目標，Dcost（e）以及Rcost（e）用來指代損失代價以及響應代價。實際上，要針對具體的e來具體分析成本：（1）漏報：e為入侵行為，此時無響應，總成本為Rcost（e）；（2）誤報：e為正常行為，但IDS誤認為入侵行為e'，響應代價為Rcost（e'），由于錯誤響應可能存在損失Fcost（e'），因此總成本為Rcost（e'）+Fcost（e'）；（3）命中：e為入侵行為，IDS檢測準確。如果Dcost（e）Rcost（e），為Rcost（e），從檢測到響應會有延時，添加一個延時過程因子λ∈[0，1]，體現延時成本出現的可能性，因此，在檢測命中情況下，總成本為Rcost（e）+λ*Dcost（e）；（4）錯誤命中：IDS把入侵事件e錯誤的認為是e'，那么，響應代價就是Rcost（e'），損失代價就是Dcost（e）。同時，由于錯誤響應而形成的損失代價表示為Fcost（e'），總成本為Rcost（e'）+Dcost（e）+Fcost（e'）。

3.2 基于事件分類的響應策略

入侵事件本身屬性與入侵響應各階段之間存在對應關系（如表1），策略選擇的過程，即根據響應所處的特定階段（抑制、根除、恢復和跟蹤）結合對入侵事件的分類描述在策略列表中選擇適當的響應策略。

一般的決策過程為：（1）以IDS執行的具體輸出為依據，參考前述文中提出的入侵事件分類方法，將檢測到的入侵事件按著分類標準進行格式化；（2）根據入侵事件的格式化描述進行響應策略的選擇，具體的可以采用操作員配置或者程序自動化方式來進行選擇；（3）對選好的既定策略實施成本分析，進一步實施策略審核，成本分析與實際情況相結合，決定策略的取舍，策略審核通過分析既定策略和已有策略庫，統籌處理有沖突的策略，如首先執行優先級別高的策略；（4）根據成本評估及策略審核的結果決定是否輸出響應策略。決策過程關鍵是事件分類和成本分析。

參考文獻

[1]周競.網絡入侵檢測及主動響應策略的研究[D].武漢理工大學碩士論文，2005.

[2]向林泓.主動防御技術的研究和實現[D].電子科技大學，2011.