专利名称:一种动态入侵响应的方法
技术领域:
本发明涉及一种动态入侵响应的方法。
背景技术:
随着计算机网络的飞速发展,政府、军事和商业组织对互联网依赖程度的越来越高,入侵逐渐成为网络中困扰人们最大的问题之一。而目前针对入侵的响应工作,主要以手工为主,这与入侵越来越朝向自动化、复杂化方向发展相比有着明显的滞后,因而自动响应的研究成为迫切的需求。目前此类工作主要集中在从系统自身因素如成本、资源等进行响应决策,没有充分考虑攻击者的因素,因此当攻击者改变攻击策略时,响应效果就会大打折扣。另外,它们在成本的计算上未考虑到不同系统的差异性,未能将不同系统遭受同一攻击可能带来的损失不同体现出来,也影响了响应效果。与此同时,为了解决入侵检测自身报警数量大、误报率高的问题,研究人员进行了报警关联的研究。其通过分析各报警之间的因果关系给出描述攻击次序的攻击场景图, 增强了报警信息的可读性和有效性,给报警响应的研究带来了一个新的思路,即可以利用攻击之间的因果关系进行响应。不过要使用报警关联的思路进行响应还需要考虑一些问题。攻击者首先进行 Mdmind扫描,然后进行缓冲区溢出攻击并取得root权限,然后上传DDOS软件,最后启动DDOS软件进行攻击。由于响应延时的问题,会造成响应措施施行时攻击动作已经完成,因此针对其下一步动作进行预响应非常必要。当系统检测到&idmind_AmslVerify_0Verflow攻击时,可能目的已经达到,因此若要真正阻止攻击,需要对下一步攻击Rsh进行预响应才能有效。而由于任意攻击的下一步攻击都可能有很多,因此只考虑针对一种攻击场景进行响应是不够的。针对&idmind_Amslverify_Overflow的下一步攻击动作Rsh,系统做出关闭Rsh服务的响应,攻击者攻击场景就不能继续下去,但是如果攻击者更改其策略用其它方式如SSH,则刚才的响应无效。同时根据报警关联的原理,可以看出,对攻击的响应措施可以采用阻止其前提条件使其攻击不能和阻止其结果状态使其攻击无效两种。比如&idmind_Amslverify_ Overflow (A, H)攻击,针对其前提条件OSSolaris (H),可以采用关闭系统或关闭网络等措施;而针对其结果状态feinACCesS(A,H),可以采用防火墙阻断源主机A或阻断目的主机 H等措施。如何在众多的响应措施中进行选择也是决定入侵响应是否有效的重要因素,因为若选择的响应措施其代价超过攻击损失,则响应显然是失败的。因此,在报警关联的思想基础上进行响应,需要考虑以下因素
1)攻击者的策略变化。攻击者攻击策略会随着系统响应措施的实施而变化。2)综合收益。针对同一攻击动作的响应措施有很多种,而这些措施的响应效果和代价也不相同,响应决策应该将它们考虑进来。本发明从报警关联的原理出发,提出了一种动态入侵响应模型。模型利用了报警关联在攻击因果关系上的优势,充分考虑攻击者的策略变化及响应的效果和代价,并且使用了类型表示参与方的收益偏好,较好地提高了报警响应的准确性和效果。报警响应实际场景是首先是有攻击,然后IDS发现并报警,接着系统根据一定的响应策略进行响应,然后是攻击者继续发起后继动作,系统进一步响应……,如此重复。一般攻击者发起攻击的目的性很强,在安全尺度上常表现为对某种尺度的关心, 如修改主页、删除系统文件等主要是针对完整性,DOS攻击、大多数蠕虫攻击等主要针对可用性等。而系统必须同时拥有机密性、完整性和可用性才能正常工作,因此其类型不可能像攻击者一样只偏向某种尺度,而是对不同尺度各有偏向。比如公共ftp、DNS服务器等对可用性的偏向要多些,而公司内部的档案服务器、生产服务器则对机密性偏向多些等等。攻击者的获利对不同的攻击者来说是不同的,恶作剧型攻击者的获利可能是心理的愉悦或在小团体中的声望,竞争对手型的攻击者的获利可能是扩大的市场占有率等等。要想对所有这些不同的获利进行建模很困难,本发明经过研究发现,各种不同的攻击者的获利都是以对系统的破坏为基础的,像上面所说的攻击者的心理上的愉悦以及更大的市场占有率都能够体现在对系统的破坏程度上,因此可以用系统损失来表示攻击者的获利。
发明内容
本发明目的是提出一种动态入侵响应的方法,通过计算系统损失和阻止率得到系统的响应代价、攻击代价,从而得出在系统与攻击者的收益。根据豪尔绍尼理性原则和贝叶斯理性原则,能够得出可以使用先验信念进行参与方收益函数的计算。因为在实际场景中,系统的响应动作攻击者通过探测几乎都可以知道,因此本发明假定系统所实施的响应动作对攻击者来说是了解的。故攻击者对系统类型的信念可以根据观察到的响应动作而做出调整,即形成后验信念。在计算出双方类型的信念后,本发明推断出系统和攻击者的最优方法。本发明技术方案是入侵响应的方法,其步骤是
1、通过计算系统损失和阻止率得到系统的响应代价、攻击代价,从而得出在系统与攻击者的收益,具体过程如下
2、定义系统损失
权利要求
1. 一种动态入侵响应的方法,其特征是步骤如下1)定义系统损失
全文摘要
入侵响应的方法,其步骤是通过计算系统损失和阻止率得到系统的响应代价、攻击代价,从而得出在系统与攻击者的收益,具体过程通过定义系统损失、阻止率、响应代价、攻击代价,并计算系统和攻击者收益;通过计算系统损失和阻止率得到系统的响应代价、攻击代价,从而得出在系统与攻击者的收益。根据豪尔绍尼理性原则和贝叶斯理性原则,能够得出可以使用先验信念进行参与方收益函数的计算。本发明假定系统所实施的响应动作对攻击者来说是了解的。故攻击者对系统类型的信念可以根据观察到的响应动作而做出调整,即形成后验信念。
文档编号G06F21/00GK102314569SQ20111027590
公开日2012年1月11日 申请日期2011年9月19日 优先权日2011年9月19日
发明者刘建邦, 张辰, 潘健翔, 石进, 高为 申请人:南京大学, 江苏南大苏富特科技股份有限公司