基于成本分析的自适应入侵响应系统

[摘要] 自动入侵响应是一种有效的对付入侵的手段。本文介绍了成本分析理论，并将该理论应用于自动入侵响应中，设计了基于成本分析的自适应入侵响应系统，简述了该系统中各个功能模块，详细介绍了分析和成本分析的功能应用。

[关键词] 入侵响应 自适应 成本分析

随着计算机网络的不断普及和发展，网络入侵日益猖獗，作为一种对抗入侵的有效方法――入侵响应对保护系统安全性显得越来越重要。目前的入侵响应大都只是在入侵检测系统中实现，响应方式多为手动响应，因而响应能力受到一定限制。为了能够快速及时的响应各种入侵，人们研究了多种自动响应技术来响应入侵。

美国得克萨斯A&M大学的Carver提出了一种基于的自适应入侵响应系统AAIRS，该系统能够快速及时的响应各种入侵攻击，并且考虑了各种环境因素并具有良好的自适应性，但不足之处在于AAIRS在做出响应决策的时候并没有考虑到成本代价问题，即入侵值不值得响应的问题，使系统为此付出很多不必要的代价。

本文首先对广泛应用的成本分析理论做了简要介绍，并结合自动入侵响应的方法特点，将成本分析理论应用于AAIRS中，构架了一个基于成本分析的自适应入侵响应系统CAIRS，重点研究该模型中的分析模块和成本分析模块，并对系统做了简要分析。

一、成本分析理论

所谓成本分析，简单地说，就是考虑付出与收获之间的代价平衡。对于入侵响应来说，也面临着同样的问题，这就是入侵响应的成本分析问题。

入侵响应过程中涉及的成本因素可以分为损失代价(Dcost)，即在响应系统不做响应，攻击对系统造成的损失；响应代价(RCost)，即系统对攻击做出响应所付出的代价。针对IDS检测到的具体入侵行为，如果其损失代价大于响应代价，即DCost≥RCost，则采取相应的响应措施；如果DCost

二、CAIRS系统结构

基于AAIRS系统和成本分析原理，本文设计了一个基于成本分析的自适应入侵响应系统CAIRS,系统结构如图所示。

在该CAIRS中，多个IDS监视一个计算机网络系统并生成入侵事件报告。接口把事件表示成为统一格式，并依据对IDS以往误报或漏报的统计，赋予当前事件一个可信度值，将这个值与事件报告交给分析。为了生成一个比较合理的响应策略，分析会判定和分析该事件报告，并调用响应分类对攻击进行分类，同时调用策略规范以保证响应策略符合法律、道德、习俗以及资源等约束。成本分析接收分析传递的策略方案和响应分类传递的攻击分类，在此评估策略方案的响应代价和攻击造成的损失代价，比较代价大小，据此判定是对入侵不予响应，只传给记录器备份，还是将策略传给决策，调用响应工具库中的工具实施响应。在分析和决策中都引入了基于以往成功响应的自适应技术。

该系统结构中，分析和成本分析是最主要的两个部分，下面详细介绍这两个模块的结构及功能。

1.分析

分析的功能是调用策略规范和响应分类生成合理的响应方案，它包括一个判定部件和多个分析部件。

(1)判定部件

判定部件根据事件报告的时间和攻击类型，判断入侵事件是新的攻击还是原有攻击的延续。如果该事件是一次新的攻击，就创建一个新的分析部件，并将事件报告和相关的可信度传送给它。如果该事件是已有攻击的延续，则仅向原攻击对应的分析部件传送事件报告和可信度。

(2)分析部件

分析部件的主要功能是根据判定部件结果，通过调用策略规范和响应分类生成合理的响应方案。该方案包括一个或多个方案步骤(plan step)，支持每个方案步骤的策略(tactic)，以及支持每个策略的具体实施步骤(implementation)，简称PTI。对应于新攻击的新建分析部件，必须建立一个新的方案；对应于原有攻击的已存在的分析部件，检查其成功度和可行性改进方案。

2.成本分析

成本分析主要功能是估算攻击带来的损失代价和响应攻击的响应代价，比较二者大小，采取不同措施。

(1)损失代价的估算

要对代价进行准确的估算，必须制定合适的代价规则，而攻击分类对于制定有意义的代价规则必不可少，将攻击分成不同的类别以便能把相似的攻击作为一类进行代价估算。Lindqvist使用入侵后果的严重性和被攻击目标的重要性来对攻击进行分类。SANS研究机构的主要负责人Northcutt便根据这种攻击分类，对一次入侵事件中的两个要素――攻击毁坏性和目标重要性，进行经验值赋值，然后将经验值相乘，从而得到入侵带来的损失代价。

本系统中入侵事件分类是采用的Carver的攻击分类方法，一次入侵事件由5个要素组成：攻击时间(Time)、攻击目标(Aim)、攻击类型(AttackType)、攻击者类型(AttackerType)和事件可信度(Reliability)。这样的攻击分类法比较详细具体，更适合于本系统。借鉴Northcutt的代价估算方法，将Carver的事件分类中的5个要素分别赋以合适的经验权值，如表1所示，使用公式(1)得到损失代价：

DCost＝Time×AttackType×AttackerType×Reliability×Aim (1)

(2)响应代价的估算

本系统中响应代价包括两部分：响应分析代价和响应执行代价，最终的响应代价就是二者之和。

分析代价是生成一个PTI方案的代价，一个PTI中包含响应计划，响应策略和具体实施响应步骤，求PTI是一个计算机分析判断的过程，付出的是计算机分析判断消耗的资源代价。与前述损失代价估算方法类似，将每个Plane, Tactic和Implementation都分别赋以合适的经验权值，代表为求解每步所付出的分析代价，如表2所示，然后使用公式(2)求得到一个生成PTI的代价：

PTI＝P[i]×T[j]×I[k]（2）

执行代价是按照具体实施步骤I[k]执行响应所付出的代价，赋经验值记为I′[k]。最终响应代价为响应分析代价和响应执行代价之和，即RCost＝PTI＋I′[k]。

(3)代价比较

估算DCost和RCost之后，比较二者大小，如果损失代价大于响应代价，则将响应方案传递给决策来执行方案，同时将此次事件的方案传给记录器，进行历史备份；如果损失代价小于响应代价，则不采取任何响应措施，只是将此次事件及方案传递给记录器进行历史备份。这样可以避免很多不必要的代价损失。

三、系统分析

本文设计的CAIRS系统是在Carver等人的AAIRS系统基础上，进行改进构建的。CAIRS保持了AAIRS原有的自适应性，而且还添加了成本分析部件，能够合理有效的利用资源。

CAIRS系统之所以能实现自适应性，是因为在IDS检测和响应这两方面具有不确定性，这通过接口中可信度的修改和分析中成功策略方案的加权实现。

成本分析中，借鉴了Northcutt的代价估算方法，提出了一种适于本系统的代价估算法，对损失代价和响应代价进行估算比较，这样，系统就能比较有效地利用有限资源。

四、小结

本文介绍了基于成本分析的自适应入侵响应系统的各个功能模块,并做了简要分析。该系统能够基本实现及时,灵活,自适应的入侵响应,并且通过对响应成本的分析比较,能够合理有效的利用有限的系统资源。今后将重点研究损失代价和响应代价经验值的估算,有利于系统做出响应与否的准确判断,使系统更加完善。

参考文献:

[1]GARY R．WRIGHT W．RICHARD：TCP/IP详解[M].北京:机械工业出版社,2000

[2]ANDREW S．TANENBAUM:计算机网络[M].北京：清华大学出版社，2000

[3]SEAN CONVERY：网络安全体系结构[M].北京:人民邮电出版社,2005