基于回卷的自動(dòng)入侵響應(yīng)系統(tǒng)模型

基于回卷的自動(dòng)入侵響應(yīng)系統(tǒng)模型

1基于自動(dòng)響應(yīng)的攻擊響應(yīng)入侵檢測(cè)系統(tǒng)（ids）的目標(biāo)是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)，并檢測(cè)違反安全政策的行為。ids的主要功能包括檢測(cè)和分析用戶(hù)網(wǎng)絡(luò)上的活動(dòng)，確定已知的攻擊行為，統(tǒng)計(jì)分析異常行為，檢查系統(tǒng)配置、漏洞和入侵響應(yīng)。入侵反應(yīng)是入侵事件的一種措施。為了抑制、評(píng)估和恢復(fù)入侵損失，跟蹤和封鎖入侵來(lái)源。幾乎沒(méi)有反應(yīng)，無(wú)法實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的安全目標(biāo)。根據(jù)響應(yīng)方式的不同可將響應(yīng)系統(tǒng)分為三類(lèi):告警型、人工響應(yīng)型和自動(dòng)響應(yīng)型.告警型響應(yīng)系統(tǒng)僅能產(chǎn)生入侵事件報(bào)告和警報(bào),而完全由安全管理員做出響應(yīng),這種響應(yīng)方式不但時(shí)延較長(zhǎng),而且當(dāng)警報(bào)多時(shí),安全管理員就無(wú)法一一做出響應(yīng)了;人工響應(yīng)系統(tǒng)除了具有告警型響應(yīng)的功能外,還能夠?yàn)榘踩芾韱T提供響應(yīng)幫助,例如列舉出針對(duì)目前事件的響應(yīng)方式供安全管理員選擇,這種響應(yīng)方式仍然具有告警響應(yīng)系統(tǒng)的缺點(diǎn);自動(dòng)響應(yīng)系統(tǒng)可以根據(jù)當(dāng)前的安全狀態(tài)自動(dòng)做出響應(yīng)決策,無(wú)需安全管理員的干預(yù),它具有反應(yīng)靈敏、能適應(yīng)復(fù)雜環(huán)境的特點(diǎn),但目前其判斷的準(zhǔn)確度仍然不夠理想.為了改進(jìn)自動(dòng)響應(yīng)功能,Curtis提出一種入侵響應(yīng)的分類(lèi)方法,他認(rèn)為應(yīng)該根據(jù)入侵時(shí)間、入侵事件類(lèi)型、攻擊者類(lèi)型、事件可信度、攻擊意義和環(huán)境制約這些條件來(lái)選擇響應(yīng)方式.其中入侵時(shí)間是指響應(yīng)相對(duì)于入侵的時(shí)間,可分為入侵前、入侵進(jìn)行中和入侵后;攻擊意義是指攻擊目標(biāo)的關(guān)鍵度;環(huán)境制約是指響應(yīng)要考慮到法律、倫理和系統(tǒng)資源等的限制.在其響應(yīng)分類(lèi)的基礎(chǔ)上,Curtis進(jìn)一步提出了一個(gè)自動(dòng)入侵響應(yīng)的系統(tǒng)框架.Christopher提出將意圖識(shí)別技術(shù)應(yīng)用到入侵響應(yīng)中,根據(jù)當(dāng)前攻擊者的行為推斷其下一步動(dòng)作或意圖,從而做出具有預(yù)見(jiàn)性的響應(yīng).DARPA的“自動(dòng)入侵追蹤和響應(yīng)”項(xiàng)目研究將入侵檢測(cè)系統(tǒng)和防火墻、路由器和主機(jī)等結(jié)合在一起建立企業(yè)內(nèi)部局域網(wǎng)范圍內(nèi)的自動(dòng)防御系統(tǒng)技術(shù).其核心是建立一個(gè)入侵檢測(cè)和隔離協(xié)議(Intrusiondetectionandisolationprotocol,IDIP),系統(tǒng)的各組件通過(guò)該協(xié)議協(xié)同檢測(cè)入侵、交換入侵行為信息和動(dòng)態(tài)地配置防火墻、路由器和主機(jī)以自動(dòng)做出響應(yīng).上述的自動(dòng)響應(yīng)技術(shù)都是針對(duì)“存在”入侵事件而做出響應(yīng),而無(wú)法對(duì)“不存在”入侵事件的情形而做出響應(yīng).這樣會(huì)導(dǎo)致:(1)當(dāng)IDS發(fā)現(xiàn)某個(gè)事件是誤報(bào)時(shí),無(wú)法撤銷(xiāo)對(duì)該事件的響應(yīng).(2)當(dāng)IDS察覺(jué)采取響應(yīng)后入侵已經(jīng)停止時(shí),不能自動(dòng)解除響應(yīng),而該響應(yīng)會(huì)產(chǎn)生一定的負(fù)面影響,例如造成用戶(hù)不能訪問(wèn)服務(wù),因?yàn)樵摲?wù)已作為響應(yīng)的一部分被掛起.本文提出一種響應(yīng)回卷(Responserollback)方法和基于這種響應(yīng)回卷方法的的自動(dòng)入侵響應(yīng)系統(tǒng)(Rollbackableautomaticresponsesystem,RARS),響應(yīng)回卷可自動(dòng)判別響應(yīng)命令的可回卷性,然后將可回卷的響應(yīng)命令轉(zhuǎn)化為響應(yīng)回卷命令,響應(yīng)回卷命令進(jìn)一步被編譯為某種響應(yīng)執(zhí)行腳本,該腳本可自動(dòng)執(zhí)行響應(yīng)回卷動(dòng)作.RARS據(jù)此可檢測(cè)到入侵事件的“不存在”,然后完成響應(yīng)回卷功能,從而有效地彌補(bǔ)傳統(tǒng)響應(yīng)系統(tǒng)的缺陷.2回卷的實(shí)現(xiàn)和響應(yīng)和回卷的形式化定義響應(yīng)回卷的基本思想是撤銷(xiāo)多余的甚至有負(fù)面影響的入侵響應(yīng).最常見(jiàn)的情形是當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)誤報(bào)和入侵行為已經(jīng)停止時(shí),應(yīng)該撤銷(xiāo)對(duì)這些入侵行為的響應(yīng),否則可能會(huì)增加IDS的負(fù)荷或負(fù)面影響.響應(yīng)回卷的實(shí)現(xiàn)涉及兩個(gè)關(guān)鍵技術(shù):(1)響應(yīng)和響應(yīng)回卷的形式化定義.由于響應(yīng)回卷是建立在已有響應(yīng)的基礎(chǔ)上的,因此如果不能完整和正確地描述響應(yīng),就不能有效地實(shí)現(xiàn)響應(yīng)回卷;另外在自動(dòng)入侵響應(yīng)系統(tǒng)中,要求自動(dòng)地將響應(yīng)轉(zhuǎn)化為響應(yīng)回卷,這就需要一種形式化方法來(lái)支持該功能.(2)誤報(bào)和入侵中止的自動(dòng)檢測(cè).如果不能發(fā)現(xiàn)誤報(bào)和入侵停止,那么響應(yīng)回卷就無(wú)從實(shí)施.這一點(diǎn)對(duì)以往的IDS來(lái)說(shuō)是無(wú)能為力的.本節(jié)以下內(nèi)容將圍繞這兩個(gè)關(guān)鍵技術(shù)展開(kāi)討論.2.1可逆元操作與逆元操作定義1響應(yīng)主體是可唯一標(biāo)識(shí)的對(duì)象,它是一個(gè)具有如下形式的RS:RS:=<Domain>[!<Sub-domain1>[!<Sub-domain2>…]]其中domain和Sub-domain是響應(yīng)主體的定位符,Domain?Sub-domain1?Sub-domain2?…,“!”是域間的分割符.例如路由器192.168.2.1中的訪問(wèn)控制列表AL可表示為:192.168.2.1!AL定義2元操作是對(duì)響應(yīng)主體施加的最基本和獨(dú)立的動(dòng)作類(lèi)型.元操作可分為兩類(lèi),一類(lèi)存在某種元操作與其效果相反,且會(huì)改變響應(yīng)主體的狀態(tài),這種元操作稱(chēng)為可逆元操作,該動(dòng)作效果相反的元操作稱(chēng)為該可逆元操作的逆元操作,記可逆元操作為or,其逆元操作集合為┐or;另一種不存在動(dòng)作效果相反的元操作或不會(huì)改變響應(yīng)主體的狀態(tài),稱(chēng)為不可逆元操作,記可逆元操作為on,其逆元操作為┐on=?.?表示空操作.例如add、delete等操作稱(chēng)為可逆元操作,而send、kill則是不可逆元操作.Run的逆元操作集合為{hangup,kill}.而kill雖然是run的逆元操作,但它沒(méi)有逆元操作.表1是常用元操作的意義和相應(yīng)的逆元操作.定義3操作數(shù)Ou是對(duì)響應(yīng)主體施加的動(dòng)作內(nèi)容,操作數(shù)為空記為null.例如在路由器的訪問(wèn)控制列表中增加某條訪問(wèn)控制規(guī)則,該規(guī)則就是操作數(shù).定義4元響應(yīng)是具有以下形式的三元組UR:UR=〈Op,RS,Ou〉其中Op是元操作,RS是響應(yīng)主體,Ou是操作數(shù).元響應(yīng)是最基本的響應(yīng)動(dòng)作,逆元響應(yīng)是與元響應(yīng)動(dòng)作效果相反的元響應(yīng),記元響應(yīng)UR的逆元響應(yīng)為┐UR,則┐UR=〈┐Op,RS,Ou〉,若┐Op=?,則┐UR=?,稱(chēng)為空響應(yīng).定義5響應(yīng)R是一個(gè)元響應(yīng)序列.其形式為:R=〈UR1,UR2,…,URn〉,n=0,1,2,…響應(yīng)回卷是與某響應(yīng)動(dòng)作效果相反的響應(yīng),記為┐R,則┐R=〈┐URn,┐URn-1,…,┐UR1〉.響應(yīng)定義的意義在于:每個(gè)具體的響應(yīng)都可以分解成元響應(yīng)序列,響應(yīng)回卷則是從最后一個(gè)元響應(yīng)開(kāi)始取逆元響應(yīng),如果其中某些逆元響應(yīng)為?,則不執(zhí)行這些逆元響應(yīng).2.2誤報(bào)檢測(cè)并非所有的誤報(bào)都可被檢測(cè),在下列情況下可以發(fā)現(xiàn)誤報(bào):(1)ids的推理規(guī)則文獻(xiàn)提出建立一種基于非單調(diào)邏輯的IDS,該系統(tǒng)的入侵檢測(cè)模塊不是遵循傳統(tǒng)的命題邏輯推理規(guī)則,而是基于模糊默認(rèn)邏輯的推理方式.這種推理方法能在不充分證據(jù)的前提下推出有一定可信度的安全結(jié)論,不但提高了IDS的靈敏度和海量數(shù)據(jù)的分析處理能力,還能發(fā)現(xiàn)誤報(bào),從而推翻原來(lái)做出的安全結(jié)論判斷,然后向響應(yīng)系統(tǒng)提出響應(yīng)回卷請(qǐng)求.(2)預(yù)警的結(jié)果建議根據(jù)當(dāng)前的趨勢(shì)予以體現(xiàn),但如果入侵意圖識(shí)別技術(shù)能根據(jù)當(dāng)前的入侵狀況預(yù)測(cè)未來(lái)的入侵趨勢(shì),然后發(fā)出預(yù)警,從而指示響應(yīng)系統(tǒng)做出有預(yù)見(jiàn)性的響應(yīng).但這也可能產(chǎn)生誤報(bào),這時(shí)候應(yīng)該撤銷(xiāo)原有的響應(yīng),而根據(jù)當(dāng)前狀態(tài)重新做出響應(yīng).(3)人為干預(yù)安全管理員可能通過(guò)各種途徑發(fā)現(xiàn)誤報(bào),在這種情況下安全管理員可發(fā)起響應(yīng)回卷.2.3入侵事件聚合入侵會(huì)話過(guò)程是指由多個(gè)步驟組成的的復(fù)合攻擊方式的入侵過(guò)程,它通常表現(xiàn)為一個(gè)入侵事件序列,該序列中的每個(gè)事件都為了實(shí)現(xiàn)某個(gè)子目標(biāo).入侵會(huì)話過(guò)程的入侵事件序列很難事先確定,因?yàn)樵撊肭址绞娇赡苁俏粗?也可能它存在多種入侵事件序列.然而屬于同一入侵會(huì)話過(guò)程的入侵事件之間必然存在某些相似的特征值,這些特征稱(chēng)為本質(zhì)特征.因此如果能找到本質(zhì)特征,就能將屬于同一入侵會(huì)話過(guò)程的入侵事件聚合在一起.設(shè)某入侵事件序列IS=〈E1,E2,…,En〉,本質(zhì)特征集EC={c1,c2,…,ck},n,k=1,2,…,IS是入侵會(huì)話過(guò)程當(dāng)且僅當(dāng)Ei.cu=Ej.cv,u,v=1,2,…k,i,j=1,2,…,n,且TIi=Ti+1-Ti≤τ,其中Ti代表i事件發(fā)生的事件,TIi代表相鄰事件的時(shí)間間隔,τ是相鄰事件到達(dá)間隔閥值.最常見(jiàn)的本質(zhì)特征集是{源地址,目標(biāo)地址}.但這不是絕對(duì)的.例如對(duì)于DDOS攻擊,本質(zhì)特征就只有目標(biāo)地址;而對(duì)于掃描攻擊,本質(zhì)特征只有源地址.因此在入侵事件聚合時(shí)應(yīng)先識(shí)別事件類(lèi)型.定義6中止檢測(cè)算法是指發(fā)現(xiàn)入侵會(huì)話過(guò)程已經(jīng)停止的檢測(cè)算法.它可描述為:對(duì)入侵事件序列IS=〈E1,E2,…,En〉,若┐?E′?i((E′.ci=En·ci)∧(0<Tln≤τ)),i=1,2,…,k,則宣稱(chēng)該入侵會(huì)話過(guò)程已經(jīng)停止;否則En+1=E′,IS=〈E1,E2,…,En,En+1〉.中止檢測(cè)算法的基本思想是當(dāng)在相鄰事件到達(dá)間隔閥值內(nèi)沒(méi)有新的入侵事件到達(dá),則認(rèn)為當(dāng)前入侵會(huì)話過(guò)程已經(jīng)停止.3返回副本的實(shí)現(xiàn)模型3.1自動(dòng)響應(yīng)和響應(yīng)回卷技術(shù)不同響應(yīng)是在響應(yīng)設(shè)備不同的操作系統(tǒng)平臺(tái)之中執(zhí)行的,響應(yīng)設(shè)備通常包括路由器、防火墻和主機(jī)等.由于響應(yīng)設(shè)備分散在網(wǎng)絡(luò)中,要做到自動(dòng)響應(yīng),必須將響應(yīng)命令通過(guò)某種方式傳遞給響應(yīng)設(shè)備,有兩種方法可以做到這一點(diǎn):(1)設(shè)計(jì)一種自動(dòng)響應(yīng)協(xié)議,該協(xié)議負(fù)責(zé)在IDS和響應(yīng)設(shè)備之間傳遞響應(yīng)命令,響應(yīng)設(shè)備一旦接收到響應(yīng)命令,即自動(dòng)運(yùn)行響應(yīng)腳本或修改自身相關(guān)配置.這種做法的典型例子就是IDIP,IDIP不僅能傳遞響應(yīng)命令,還可以在IDS的各組件中進(jìn)行協(xié)同入侵檢測(cè)等工作.(2)利用某種自動(dòng)交互腳本,該腳本能夠自動(dòng)登錄到響應(yīng)設(shè)備中,執(zhí)行響應(yīng)程序或配置系統(tǒng)相關(guān)參數(shù).這種方法類(lèi)似于人工響應(yīng),人工響應(yīng)動(dòng)作對(duì)應(yīng)于腳本中的語(yǔ)句,但自動(dòng)交互腳本完全由其解釋器解釋執(zhí)行.Expect正是這種自動(dòng)交互工具,目前對(duì)其應(yīng)用主要用于IDS評(píng)估中.兩種方法的優(yōu)劣比較如表2所示.從表2可以看出,交互協(xié)議的弱點(diǎn)主要體現(xiàn)在兼容性和復(fù)雜性,而本文的重點(diǎn)是研究響應(yīng)回卷技術(shù),不是制訂自動(dòng)響應(yīng)協(xié)議,因此不采用該技術(shù).自動(dòng)響應(yīng)腳本具有簡(jiǎn)單易于實(shí)現(xiàn)的優(yōu)點(diǎn),而且與現(xiàn)有響應(yīng)設(shè)備兼容,易于做試驗(yàn),并且支持響應(yīng)回卷,因此盡管它有通用性和擴(kuò)展性的問(wèn)題,本文還是采用該技術(shù)來(lái)實(shí)現(xiàn)自動(dòng)響應(yīng)和響應(yīng)回卷.3.2回退后回退的狀態(tài)響應(yīng)狀態(tài)的改變有兩種情況,第一是當(dāng)前的響應(yīng)狀態(tài)回退到過(guò)去的狀態(tài),這種情況可以通過(guò)響應(yīng)回卷來(lái)實(shí)現(xiàn);第二是當(dāng)前的響應(yīng)狀態(tài)遷移到從來(lái)未出現(xiàn)的新?tīng)顟B(tài).第一種情況引發(fā)響應(yīng)回卷,其原因有:(1)響應(yīng)回卷命令典型的情況是入侵檢測(cè)進(jìn)程支持非單調(diào)邏輯推理機(jī)制,當(dāng)它采集到的數(shù)據(jù)推翻其原有的安全結(jié)論時(shí),它發(fā)出響應(yīng)回卷命令,要求響應(yīng)系統(tǒng)回卷以前做出的響應(yīng).(2)中斷預(yù)算編制并消除預(yù)算編制當(dāng)前的安全狀態(tài)與先前預(yù)測(cè)的不一致時(shí),應(yīng)該取消原有的預(yù)警,通知響應(yīng)系統(tǒng)回卷先前的響應(yīng).(3)入侵停止信號(hào)中止檢測(cè)模塊采用中止檢測(cè)算法探測(cè)復(fù)合攻擊的進(jìn)展情況,如果在一定的時(shí)間閥值內(nèi)沒(méi)有發(fā)現(xiàn)目標(biāo)復(fù)合攻擊的進(jìn)一步行動(dòng),則發(fā)出入侵中止信號(hào),指示響應(yīng)系統(tǒng)做出響應(yīng)回卷.(4)人為干預(yù)當(dāng)安全管理員發(fā)現(xiàn)誤報(bào)或入侵中止后,也可以觸發(fā)響應(yīng)回卷.3.3子分析引擎分析RARS應(yīng)該能滿足以下要求:(1)能夠自動(dòng)做出響應(yīng)和響應(yīng)回卷,也要提供用戶(hù)界面以觸發(fā)人為的響應(yīng)回卷;(2)能夠進(jìn)行中止檢測(cè)及對(duì)誤報(bào)事件做出響應(yīng)回卷.該系統(tǒng)模型如圖1所示:下面對(duì)圖1每個(gè)組件功能做說(shuō)明(1)事件聚類(lèi)分析模塊分析入侵事件報(bào)告,判斷它是否屬于已有的入侵會(huì)話過(guò)程,如果是,則將該事件報(bào)告?zhèn)鬟f給該入侵會(huì)話過(guò)程的子分析模塊;否則新創(chuàng)建一個(gè)子分析模塊來(lái)分析該事件,并將該模塊信息記錄在聚類(lèi)表中.如果事件聚類(lèi)分析模塊接收到誤報(bào)報(bào)告,則將響應(yīng)回卷命令和誤報(bào)報(bào)告?zhèn)鬟f給相應(yīng)的子分析模塊.(2)子分析引擎分析接收到的入侵事件報(bào)告,首先查詢(xún)響應(yīng)計(jì)劃庫(kù)以獲取可行計(jì)劃集,然后根據(jù)響應(yīng)目標(biāo)評(píng)估各種計(jì)劃的優(yōu)劣,從中挑選最優(yōu)計(jì)劃和事件報(bào)告?zhèn)鬟f給響應(yīng)轉(zhuǎn)化模塊.如果接收到響應(yīng)回卷命令,則將響應(yīng)回卷命令和誤報(bào)的入侵事件編號(hào)傳遞給響應(yīng)轉(zhuǎn)化模塊;子分析引擎的另一個(gè)功能是中止檢測(cè),如果發(fā)現(xiàn)當(dāng)前入侵會(huì)話過(guò)程已經(jīng)停止,就回卷該入侵會(huì)話過(guò)程的全部入侵事件響應(yīng).(3)響應(yīng)轉(zhuǎn)化模塊負(fù)責(zé)將輸入的響應(yīng)計(jì)劃轉(zhuǎn)化為響應(yīng),即元響應(yīng)序列,然后將入侵事件編號(hào)和相對(duì)應(yīng)的元響應(yīng)序列記錄在響應(yīng)表中,并輸出元響應(yīng)序列.在轉(zhuǎn)化過(guò)程中需要查詢(xún)響應(yīng)庫(kù)和參考事件報(bào)告.響應(yīng)庫(kù)中存儲(chǔ)了對(duì)應(yīng)每種響應(yīng)的元響應(yīng)集合.對(duì)于響應(yīng)回卷命令,它根據(jù)入侵事件編號(hào)查詢(xún)響應(yīng)表,以獲取元響應(yīng)序列,然后將其轉(zhuǎn)化為逆響應(yīng)的元響應(yīng)序列,排除空響應(yīng),然后輸出該序列.(4)響應(yīng)腳本檢索模塊從響應(yīng)腳本庫(kù)中取得每個(gè)元響應(yīng)的自動(dòng)響應(yīng)腳本,并依次執(zhí)行.在必要的時(shí)候它會(huì)動(dòng)態(tài)產(chǎn)生當(dāng)前元響應(yīng)的響應(yīng)回卷腳本.(5)自動(dòng)響應(yīng)腳本操縱響應(yīng)設(shè)備執(zhí)行響應(yīng)和響應(yīng)回卷.4試驗(yàn)及其結(jié)論4.1資源總量、響應(yīng)代價(jià)和入侵代價(jià)本試驗(yàn)的目的是對(duì)RARS與不帶響應(yīng)回卷功能的自動(dòng)入侵響應(yīng)系統(tǒng)ARS從代價(jià)角度做一比較評(píng)估,并量化之.入侵響應(yīng)系統(tǒng)中的代價(jià)類(lèi)型包括操作代價(jià)OCost、響應(yīng)代價(jià)RCost、入侵代價(jià)DCost和響應(yīng)回卷代價(jià)RRCost,其中操作代價(jià)是指執(zhí)行響應(yīng)所需要的CPU、內(nèi)存和網(wǎng)絡(luò)帶寬等的資源總量;響應(yīng)代價(jià)是指響應(yīng)造成的負(fù)面影響,例如網(wǎng)絡(luò)服務(wù)、信道資源不可用等;入侵代價(jià)是指從入侵成功到響應(yīng)后的這段時(shí)間入侵帶來(lái)的損失;RRCost是指執(zhí)行響應(yīng)回卷的操作代價(jià).入侵響應(yīng)的綜合代價(jià)就是這四類(lèi)代價(jià)的和.設(shè)入侵響應(yīng)系統(tǒng)R的期望綜合代價(jià)為CumulativeCost(R),入侵事件類(lèi)型集合為E,則CumulativeCost(R)=∑c∈Eλ(e)(OCost(e)+RCost(e)+DCost(e))CumulativeCost(R)=∑c∈Eλ(e)(ΟCost(e)+RCost(e)+DCost(e))其中λ(e)表示該入侵類(lèi)型在全部入侵事件中所占的比例.本試驗(yàn)是在CERNET的環(huán)境中進(jìn)行,根據(jù)該網(wǎng)絡(luò)環(huán)境入侵發(fā)生特點(diǎn)和入侵檢測(cè)模塊的性能,即網(wǎng)絡(luò)入侵事件類(lèi)型的分布情況和誤報(bào)率來(lái)確定兩種自動(dòng)響應(yīng)系統(tǒng)的綜合代價(jià).4.2試驗(yàn)量化和簡(jiǎn)化假設(shè)首先需要確定CERNET中的主要已知網(wǎng)絡(luò)入侵事件類(lèi)型和針對(duì)每種類(lèi)型的響應(yīng),然后確定入侵事件類(lèi)型的數(shù)量分布情況和針對(duì)RARS和ARS每種響應(yīng)的綜合代價(jià),最后計(jì)算出這兩種自動(dòng)響應(yīng)系統(tǒng)在該入侵事件類(lèi)型分布集中的期望綜合代價(jià).各種代價(jià)類(lèi)型的代價(jià)量化是一個(gè)難點(diǎn),本試驗(yàn)采用的量化根據(jù)來(lái)源于WenkeLee和WeiFan等人的工作、CERNET的實(shí)際情況和簡(jiǎn)化假設(shè).以下是幾條量化規(guī)則和簡(jiǎn)化假設(shè),(1)假設(shè)入侵事件的攻擊目標(biāo)是提供CERNET公共服務(wù)的設(shè)備,例如路由器、郵件服務(wù)器和域名服務(wù)器等.對(duì)這些設(shè)備的入侵響應(yīng)一般會(huì)造成較大的負(fù)面影響.(2)對(duì)操作代價(jià)和入侵代價(jià)的量化方法主要來(lái)自文.而響應(yīng)回卷代價(jià)與操作代價(jià)相同.(3)響應(yīng)代價(jià)是隨著時(shí)間增長(zhǎng)而單調(diào)遞增的量,這一點(diǎn)在表3可以看出,因此在此將響應(yīng)代價(jià)簡(jiǎn)化假設(shè)為時(shí)間的一階線性函數(shù).即RCost=a×t,其中a是單位時(shí)間的響應(yīng)代價(jià),t代表從響應(yīng)完成開(kāi)始到當(dāng)前的時(shí)間.(4)響應(yīng)代價(jià)的量化以貨幣價(jià)值為標(biāo)準(zhǔn),例如Yahoo的收費(fèi)郵件服務(wù)有n用戶(hù),月費(fèi)用為c元,則如果采用將郵件服務(wù)器從網(wǎng)絡(luò)中隔離開(kāi)的響應(yīng)方式,響應(yīng)后每分鐘的響應(yīng)代價(jià)RCost≈(n×c)÷(30×1440)元/分鐘.4.3cernet響應(yīng)計(jì)劃本試驗(yàn)采用的入侵檢測(cè)系統(tǒng)是Snort,Snort是一個(gè)開(kāi)放源代碼的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),它能夠檢測(cè)多種網(wǎng)絡(luò)入侵類(lèi)型,我們將其改造成將每條檢測(cè)到的入侵事件都寫(xiě)入數(shù)據(jù)庫(kù)中,每天檢測(cè)的事件是一張表,其數(shù)據(jù)規(guī)模大約是200-400條記錄,誤報(bào)率為10.23%.以下是CERNET的主要已知入侵事件類(lèi)型、