基于SVM成本决策分析模型的入侵响应研究山西大学计算机与信息.PDFVIP

维普资讯 第27卷第 11期 计算机应用 Vol_27No．11 2007年 11月 ComputerApplications Nov．2007 文章编号：1001—9o81(2007)11—27o4一o3 基于SVM成本决策分析模型的入侵响应研究 郭 宇，孙 敏 (山西大学 计算机与信息技术学院，太原 030006) (gy243@163．com) 摘 要：传统入侵响应决策模型只考虑攻击损失和响应成本。在此基础上增加攻击 目标的资产 价值、响应风险在决策过程中的两个重要因素，分析了各成本的计算方法。提 出一种把攻击 目标作为 无形资产进行评估的方法，并详细描述了采用SVM创建成本决策分析模型的过程。最后，基于 日志 记录进行攻击响应分析，给出了实验结果，显示该模型的决策结果有较高的正确率。 关键词：入侵响应；资产评估；成本决策；支持向量机 中图分类号：TP393．08 文献标识码 ：A IntrusionresponsebasedonSVM cost．．sensitivedecisionmodel GUOYu．SUN Min (SchoolofComputerInformationTechnology,ShanxiUniversity,TaiyuanShanxi030006，China) Abstract：Traditionalintrusion detection modelonly considersattack damage and responsecost． In thisstudy，two importantfactorsindecisionprocess，thepropertyvalueofattacktargetandtheresponseriskwere added，andthecalculation methodswiht eachcostwere analyzed．Moreover，amethod forassessingattacktragetas theimmaterial assetwaspmposnd and hteprocesshtatadoptde supportvectormachine(SVM)modeltosetuphtenaalysismodelofthecostdecisionWasdescribde indetail．Atlast，accordingtothedailyrecord，theexperimentalresultsshowthatthe decisionresultofthismodelhas higher accuracy· Keywords：intrusionresponse；worthassessmentofassets；cost—sensitivedecision；SupportVectorMachine(SVM) 0 引言 1 基于 SVM成本决策分析模型 计算机网络安全事件呈几何增长趋势，根据 “CERT／CC 1．1 自动入侵响应决策系统结构 Statistics，1988-2006”】‘的统计 ，全球的安全事件从 1988年的 自动入侵响应决策系统框架见图1。 6起已经发展到2003年的137529起。而 目前 国内外相关研 究大多集中在入侵检测系统 (IntrusionDetectionSystem，IDS) 方面，虽然 IDS能够比较准确地检测到入侵行为，但从 IDS报 警到系统管理员执行有效的响应措施 ，两者之间有显著的时 延。Cohen2‘的研究表明，自动入侵响应系统是 目前最能有效 保护网络安全的系统之一，它能 自适应地对安全事件进行响 应决策并及时地对攻击做出响应。由于资源的限制等原因， 入侵响应