自动入侵响应系统的研究1-江苏省计算机网络技术重点实验室.pdfVIP

自动入侵响应系统的研究1 丁勇 龚俭 虞平 （东南大学计算机科学与工程系，南京，210096 ） (江苏省计算机网络技术重点实验室) 【摘要】攻击手段的复杂化和自动化给网络造成了日益严重的威胁，自动入侵响应系统能够 及时地采取响应措施阻止攻击的延续和降低系统的损失。本文综合分析了理想的自动入侵响 应系统应当满足的要求，给出了自动入侵响应系统的一般结构，总 了可能的响应方式作为 研究的前提和基础，并重点介绍了成本敏感模型、意图识别技术和自适应技术，这些响应技 术的 合有助于实现一个合理的、及时的、自适应的自动入侵响应系统，文末还对应用于大 规模网络的响应协同技术进行了介绍。 【关键词】自动入侵响应；成本敏感模型；意图识别；自适应；协同。 1. 引言 随着计算机网络的不断发展和普及，安全问题日益严重，已成为当今研究的重点。从 CERT 每年的安全事件报告可以看出，安全事件的数量从1989 年的6 例上升到1999 年的8268 例[1]，计算机网络的安全问题引起了广泛的关注。另外，攻击技术也由简单的攻击发展为 复杂的攻击，如组合式攻击和协同攻击。1998 年CERT 的报告[2]指出越来越多的攻击者开 始使用 本进行攻击，即大量的攻击工具集成在一起，能在短时间内自动完成多种复杂攻击。 因此，入侵检测系统对保护系统的安全性显得尤为重要，而且攻击复杂化和自动化的出现对 入侵检测系统的响应功能提出了更高的要求，要求响应系统能够及时地做出响应以减少攻击 成功的机会和对系统造成的损失。 对于入侵响应系统来说，响应的及时性尤为重要。Cohen[3]通过模拟的方法研究了响应 的时间与攻击者成功概率之间的关系。他的研究 果显示：如果熟练的攻击者被发现后仍留 给他们 10 小时的时间，他们将有80 ％成功的机会；如果留给他们20 小时的时间，则成功 的机会达到95 ％；如果留给他们30 小时的时间，则攻击者几乎很少失败。 Curtis [4]将入侵响应系统按其响应速度分为3 类：报警型响应系统、手工响应系统、自 动响应系统。报警型响应系统只是发现了安全事件后简单地给管理员发送通知，具体决定如 何响应以及响应措施的实行由管理员负责。这类响应系统的缺点在于它使攻击发现和响应之 间的时间窗口过长，从而给攻击者提供了充足的时间窗口实现攻击意图。手工响应系统提供 了一些预先编制好的用来响应的程序，并能指导管理员选择适当的程序进行响应。这类系统 加快了响应的速度，但仍然留给了有经验的攻击者足够的时间窗口。自动响应系统是 理想 的能有效保护网络安全的一类系统，它能自动进行响应决策并及时地对攻击做出响应，从而 留给攻击者尽量短的时间窗口。 目前的IDS 的大部分研究还是集中于入侵的检测，对入侵的响应并未予以足够的重视， 现有的入侵响应系统只有少数属于自动响应系统，而且它们做的仍不够理想。本文在第 2 节中对自动入侵响应系统的要求进行了分析，第3 节介绍了自动入侵响应系统一般采用的体 系结构，第4 节总 了可能的响应方式作为研究自动响应的前提和基础，第5 节讨论为了达 到自动入侵响应系统的要求而采用的多种技术，第6 节介绍了响应协同技术。 2. 自动入侵响应系统的要求 自动入侵响应系统应当满足以下一些要求： 1 国家自然科学基金重点课题 （No.90 104031 ）资助 1 （1） 安全性：这个要求的必要性在于入侵响应系统也会受到攻击，如DOS 攻击，这样的 IDS 显然失去了保护系统的作用。安全性的要求使入侵响应决策不能只做成简单的 静态决策表，而是要有一定的智能。 （2 ） 合理性：入侵检测系统应该以 小的代价换取 大的安全目标，即响应应当在 适 当的位置，以 适当的方式进行；当响应的代价大于攻击持续所造成的损失时，就 不需要进行响应；极端的情况就是受攻击系统对检测到的攻击免疫，例如Unix 系统 遇到针对 NT 系统的攻击，那么就不需要采取任何响应措施。目前的入侵检测系统 试图对所有检测到的攻击进行响应，这显然不能有效地利用有限的资源达到尽可能 高的安全级别，采用基于成本模型的决策可以将有限的资源集中在潜在危害高的入 侵行为上。