论文部分内容阅读
随着Internet的蓬勃发展,网络攻击事件也呈现增长的趋势。目前对入侵防范的研究主要偏重于入侵检测。众所周知,入侵检测系统(Intrusion Detection System,简称IDS)的误报和漏报不可避免,尤其是在大规模网络环境中,往往使安全管理员淹没在大量的警报中。对用户而言,网络安全体系中检测和响应同样重要。但是,长期以来响应技术的研究未受到重视,主要依赖于人工响应,由于响应及时性不够并且无法处理大规模高速网络中大量的安全事件,使得该方法已经不能够满足目前对入侵响应的需求。自动入侵响应系统(Intrusion Response System,简称IRS)的研究尚处于初期阶段,响应决策大都使用传统的基于分类的决策模型,响应的合理性和适应能力不够理想。
本文在分析了网络攻击的特征后,提出在已有成熟IDS的基础上建立一个面向大规模网络的自适应入侵检测和响应系统AN-AIDRS(Active-Network based Adaptive Intrusion Detection and Response System),该系统以主动网为平台,由多个分布式入侵检测代理IDA(Intrusion Detection Agent)和中央处理节点AIRS(Adaptive Intrusion:Response System)组成。IDA对本地。IDS的报警进行简单的预处理,AIRS的主要功能是实时汇聚分布在大规模网络中IDA的入侵警报,在此基础上实现报警事件的全局分析和自动响应。本文的研究主要是围绕着AIRS中涉及到的关键技术展开的,AIRS的关键技术包括全局事件关联和基于代价的自适应响应决策。
全局事件关联的主要目的是对IDS输出的报警进行处理,使得对应每次攻击的发生仅产生一个报警事件,从而避免响应系统做出多余的响应。本文提出一个多步全局事件分析模型MS-GACM(Multi-Step GlobalAlert Correlation Model),该模型包括冗余消除、事件合并、事件聚集以及复合攻击识别四个串联子算法。其中冗余消除模块位于本地IDA,其主要目的是对单个IDS的重复报警进行消除,位于中央节点的事件合并子模块首先对多个IDA传递过来的重复报警进行合并,然后交由事件聚集子模块,该模块根据攻击属性对报警进行聚集,以发现大规模的单步攻击,最后复合攻击关联子模块根据攻击的因果关系对报警进行关联,实现对网络复合攻击的识别。
目前的自动入侵响应系统均采用基于分类的响应决策模型,该模型的主要缺点在于没有统一的响应目标,且响应策略对环境变化的适应性不理想。本文借鉴Wenke Lee的成本敏感模型的思想,提出基于代价的自适应响应决策模型。该模型综合考虑攻击的危害和响应的付出,同时参考响应的历史成功率对攻击选择最优的响应措施。该模型涉及两种代价:响应操作代价和残留损失代价,其中残留损失代价又包括攻击已经造成的损失和响应可能给正常用户带来的负面代价。本文给出了攻击残留损失代价的具体量化方法,并通过将代价转换为攻击损失代价的计算从而实现代价的统一量化。为提高响应的自适应性,响应执行后系统继续关注攻击的状态,动态调整响应措施直至攻击完全停止。
在对AIRS的关键技术讨论之后,本文提出各个功能的实现模型,然后在此基础上进行测试。实验的主要内容包括冗余消除、事件合并、事件聚集、复合攻击关联算法的能力,结果证明AIRS具有较强的全局事件关联能力。对响应决策算法的分析表明,该算法综合考虑了各种因素,能够根据代价对各响应措施进行排序,并选择最合理有效的响应措施。