基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)_第1頁
基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)_第2頁
基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)    摘要 自動入侵響應(yīng)是一種有效的對付入侵的手段。本文介紹了成本分析理論,并將該理論應(yīng)用于自動入侵響應(yīng)中,設(shè)計了基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng),簡述了該系統(tǒng)中各個功能模塊,詳細(xì)介紹了分析代理和成本分析代理的功能應(yīng)用。關(guān)鍵詞 入侵響應(yīng) 自適應(yīng) 成本分析隨著計算機(jī)網(wǎng)絡(luò)的不斷普及和發(fā)展,網(wǎng)絡(luò)入侵日益猖獗,作為一種對抗入侵的有效方法入侵響應(yīng)對保護(hù)系統(tǒng)安全性顯得越來越重要。目前的入侵響應(yīng)大都只是在入侵檢測系統(tǒng)中實現(xiàn),響應(yīng)方式多為手動響應(yīng),因而響應(yīng)能力受到一定限制。為了能夠快速及時的響應(yīng)各種入侵,人們研究了多種自動響應(yīng)技術(shù)來響應(yīng)

2、入侵。美國得克薩斯A&M大學(xué)的Carver提出了一種基于代理的自適應(yīng)入侵響應(yīng)系統(tǒng)AAIRS,該系統(tǒng)能夠快速及時的響應(yīng)各種入侵攻擊,并且考慮了各種環(huán)境因素并具有良好的自適應(yīng)性,但不足之處在于AAIRS在做出響應(yīng)決策的時候并沒有考慮到成本代價問題,即入侵值不值得響應(yīng)的問題,使系統(tǒng)為此付出很多不必要的代價。本文首先對廣泛應(yīng)用的成本分析理論做了簡要介紹,并結(jié)合自動入侵響應(yīng)的方法特點,將成本分析理論應(yīng)用于AAIRS中,構(gòu)架了一個基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)CAIRS,重點研究該模型中的分析模塊和成本分析模塊,并對系統(tǒng)做了簡要分析。一、成本分析理論所謂成本分析,簡單地說,就是考慮付出與收獲之間

3、的代價平衡。對于入侵響應(yīng)來說,也面臨著同樣的問題,這就是入侵響應(yīng)的成本分析問題。入侵響應(yīng)過程中涉及的成本因素可以分為損失代價(Dcost),即在響應(yīng)系統(tǒng)不做響應(yīng),攻擊對系統(tǒng)造成的損失;響應(yīng)代價(RCost),即系統(tǒng)對攻擊做出響應(yīng)所付出的代價。針對IDS檢測到的具體入侵行為,如果其損失代價大于響應(yīng)代價,即DCostRCost,則采取相應(yīng)的響應(yīng)措施;如果DCost二、CAIRS系統(tǒng)結(jié)構(gòu)基于AAIRS系統(tǒng)和成本分析原理,本文設(shè)計了一個基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)CAIRS,系統(tǒng)結(jié)構(gòu)如圖所示。在該CAIRS中,多個IDS監(jiān)視一個計算機(jī)網(wǎng)絡(luò)系統(tǒng)并生成入侵事件報告。接口代理把事件表示成為統(tǒng)一格式,并依

4、據(jù)對IDS以往誤報或漏報的統(tǒng)計,賦予當(dāng)前事件一個可信度值,將這個值與事件報告交給分析代理。為了生成一個比較合理的響應(yīng)策略,分析代理會判定和分析該事件報告,并調(diào)用響應(yīng)分類代理對攻擊進(jìn)行分類,同時調(diào)用策略規(guī)范以保證響應(yīng)策略符合法律、道德、習(xí)俗以及資源等約束。成本分析代理接收分析代理傳遞的策略方案和響應(yīng)分類代理傳遞的攻擊分類,在此評估策略方案的響應(yīng)代價和攻擊造成的損失代價,比較代價大小,據(jù)此判定是對入侵不予響應(yīng),只傳給記錄器備份,還是將策略傳給決策代理,調(diào)用響應(yīng)工具庫中的工具實施響應(yīng)。在分析代理和決策代理中都引入了基于以往成功響應(yīng)的自適應(yīng)技術(shù)。該系統(tǒng)結(jié)構(gòu)中,分析代理和成本分析代理是最主要的兩個部分,

5、下面詳細(xì)介紹這兩個代理模塊的結(jié)構(gòu)及功能。1.分析代理分析代理的功能是調(diào)用策略規(guī)范和響應(yīng)分類生成合理的響應(yīng)方案,它包括一個判定部件和多個分析部件。(1)判定部件判定部件根據(jù)事件報告的時間和攻擊類型,判斷入侵事件是新的攻擊還是原有攻擊的延續(xù)。如果該事件是一次新的攻擊,就創(chuàng)建一個新的分析部件,并將事件報告和相關(guān)的可信度傳送給它。如果該事件是已有攻擊的延續(xù),則僅向原攻擊對應(yīng)的分析部件傳送事件報告和可信度。(2)分析部件分析部件的主要功能是根據(jù)判定部件結(jié)果,通過調(diào)用策略規(guī)范和響應(yīng)分類代理生成合理的響應(yīng)方案。該方案包括一個或多個方案步驟(plan step),支持每個方案步驟的策略(tactic),以及支

6、持每個策略的具體實施步驟(implementation),簡稱PTI。對應(yīng)于新攻擊的新建分析部件,必須建立一個新的方案;對應(yīng)于原有攻擊的已存在的分析部件,檢查其成功度和可行性改進(jìn)方案。2.成本分析代理成本分析代理主要功能是估算攻擊帶來的損失代價和響應(yīng)攻擊的響應(yīng)代價,比較二者大小,采取不同措施。(1)損失代價的估算要對代價進(jìn)行準(zhǔn)確的估算,必須制定合適的代價規(guī)則,而攻擊分類對于制定有意義的代價規(guī)則必不可少,將攻擊分成不同的類別以便能把相似的攻擊作為一類進(jìn)行代價估算。Lindqvist使用入侵后果的嚴(yán)重性和被攻擊目標(biāo)的重要性來對攻擊進(jìn)行分類。SANS研究機(jī)構(gòu)的主要負(fù)責(zé)人Northcutt便根據(jù)這種攻

7、擊分類,對一次入侵事件中的兩個要素攻擊毀壞性和目標(biāo)重要性,進(jìn)行經(jīng)驗值賦值,然后將經(jīng)驗值相乘,從而得到入侵帶來的損失代價。本系統(tǒng)中入侵事件分類是采用的Carver的攻擊分類方法,一次入侵事件由5個要素組成:攻擊時間(Time)、攻擊目標(biāo)(Aim)、攻擊類型(AttackType)、攻擊者類型(AttackerType)和事件可信度(Reliability)。這樣的攻擊分類法比較詳細(xì)具體,更適合于本系統(tǒng)。借鑒Northcutt的代價估算方法,將Carver的事件分類中的5個要素分別賦以合適的經(jīng)驗權(quán)值,如表1所示,使用公式(1)得到損失代價:DCostTime×AttackType

8、5;AttackerType×Reliability×Aim (1)(2)響應(yīng)代價的估算本系統(tǒng)中響應(yīng)代價包括兩部分:響應(yīng)分析代價和響應(yīng)執(zhí)行代價,最終的響應(yīng)代價就是二者之和。分析代價是生成一個PTI方案的代價,一個PTI中包含響應(yīng)計劃,響應(yīng)策略和具體實施響應(yīng)步驟,求PTI是一個計算機(jī)分析判斷的過程,付出的是計算機(jī)分析判斷消耗的資源代價。與前述損失代價估算方法類似,將每個Plane, Tactic和Implementation都分別賦以合適的經(jīng)驗權(quán)值,代表為求解每步所付出的分析代價,如表2所示,然后使用公式(2)求得到一個生成PTI的代價:PTIPi×Tj×

9、Ik(2)執(zhí)行代價是按照具體實施步驟Ik執(zhí)行響應(yīng)所付出的代價,賦經(jīng)驗值記為Ik。最終響應(yīng)代價為響應(yīng)分析代價和響應(yīng)執(zhí)行代價之和,即RCostPTIIk。(3)代價比較估算DCost和RCost之后,比較二者大小,如果損失代價大于響應(yīng)代價,則將響應(yīng)方案傳遞給決策代理來執(zhí)行方案,同時將此次事件的方案傳給記錄器,進(jìn)行歷史備份;如果損失代價小于響應(yīng)代價,則不采取任何響應(yīng)措施,只是將此次事件及方案傳遞給記錄器進(jìn)行歷史備份。這樣可以避免很多不必要的代價損失。三、系統(tǒng)分析本文設(shè)計的CAIRS系統(tǒng)是在Carver等人的AAIRS系統(tǒng)基礎(chǔ)上,進(jìn)行改進(jìn)構(gòu)建的。CAIRS保持了AAIRS原有的自適應(yīng)性,而且還添加了成本分析部件,能夠合理有效的利用資源。CAIRS系統(tǒng)之所以能實現(xiàn)自適應(yīng)性,是因為在IDS檢測和響應(yīng)這兩方面具有不確定性,這通過接口代理中可信度的修改和分析代理中成功策略方案的加權(quán)實現(xiàn)。 成本分析代理中,借鑒了Northcutt的代價估算方法,提出了一種適于本系統(tǒng)的代價估算法,對損失代價和響應(yīng)代價進(jìn)行估算比較,這樣,系統(tǒng)就能比較有效地利用有限資源。四、小結(jié)本文介紹了基于成本分析的自適應(yīng)入侵響應(yīng)系統(tǒng)的各個功能模塊,并做了簡要分析。該系統(tǒng)能夠基本實現(xiàn)及時,靈活,自適應(yīng)的入侵響應(yīng),并且通過對響應(yīng)成本的分析比較,能夠合理有效的利用有限的系統(tǒng)資源。今后將重點研究損失代價和響應(yīng)代價經(jīng)驗值的估算,有利

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論