基于危險理論的自動入侵響應(yīng)系統(tǒng)模型

彭凌西，謝冬青，付穎芳，熊偉，沈玉利

（1. 廣州大學(xué) 計算機科學(xué)與教育軟件學(xué)院，廣東 廣州 510006；

2. 網(wǎng)絡(luò)與數(shù)據(jù)安全四川省重點實驗室，四川 成都 611731；

3. 北京工業(yè)大學(xué) 計算機學(xué)院，北京 100124；

4. 仲愷農(nóng)業(yè)工程學(xué)院 計算機科學(xué)與工程學(xué)院，廣東 廣州 510225）

1 引言

入侵響應(yīng)系統(tǒng)的作用是在入侵檢測系統(tǒng) (IDS,intrusion detection system)對網(wǎng)絡(luò)活動進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果后，進行適當(dāng)?shù)娜肭猪憫?yīng)[1]。入侵響應(yīng)技術(shù)是基于主動防御思想的新一代的網(wǎng)絡(luò)安全技術(shù)，在保護網(wǎng)絡(luò)安全上具有十分突出的意義，是目前網(wǎng)絡(luò)安全技術(shù)發(fā)展的重要方向。

現(xiàn)有對自動入侵響應(yīng)的研究資料或文獻相對較少，在這些研究中，F(xiàn)isch最早對入侵響應(yīng)分類進行了研究，提出了以入侵被檢測到的時機以及響應(yīng)目標(biāo)進行分類，該方法的缺點是考慮的因素不夠全面[2]。Curtis在此基礎(chǔ)上提出了更為全面的入侵響應(yīng)方式分類方法，該方法綜合考慮了攻擊的進度、攻擊的類型、代價作為響應(yīng)決策的依據(jù)[3]。Wenke L提出了一種基于響應(yīng)代價作為響應(yīng)決策的依據(jù)，從而出現(xiàn)了基于成本敏感的響應(yīng)決策模型，但方法中響應(yīng)代價的量化方法過于粗糙[4]。Wu Y S等設(shè)計并實現(xiàn)了一種名為ADEPTS的自動響應(yīng)系統(tǒng)模型，利用入侵有向圖對系統(tǒng)傳播風(fēng)險進行建模，并根據(jù)具體的攻擊效果來進行適當(dāng)?shù)捻憫?yīng)[5]。Mu C P等提出了一種基于層次任務(wù)網(wǎng)絡(luò)計劃的入侵響應(yīng)決策模型，包括響應(yīng)決策制定過程以及決策響應(yīng)時間[6]。Cuppens等提出了一種基于上下文和本體方法入侵響應(yīng)方法，并定義了一套規(guī)則來執(zhí)行這種基于策略的入侵響應(yīng)[7]。張劍等提出了一種可回卷的自動入侵響應(yīng)系統(tǒng)，該方法根據(jù)IDS檢測到的攻擊行為進行響應(yīng)，待判定攻擊會話結(jié)束后進行響應(yīng)回卷[8]。穆成坡等提出了一種基于模糊認知圖的自動入侵響應(yīng)決策推理機制[9]。吳姚睿等提出了一種通過關(guān)系圖建立攻擊群模型的方法，通過判斷攻擊序列重構(gòu)協(xié)同入侵行為的攻擊過程，并對攻擊行為做出響應(yīng)，從而達到最大程度地減少響應(yīng)成本的目的[10]。

從總體上分析，當(dāng)前自動入侵響應(yīng)研究主要存在2個問題，首先是由于目前IDS普遍存在的高誤報率和漏報率，造成自動入侵響應(yīng)系統(tǒng)難以判斷真正“危險”的入侵或者攻擊行為，因而影響了入侵響應(yīng)決策的判斷。另外，目前國內(nèi)外提出的一些入侵響應(yīng)模型或方法，大多缺乏嚴格、全面、定量的數(shù)學(xué)模型，進行動態(tài)響應(yīng)策略調(diào)整，因而在具體應(yīng)用中存在很大的局限性。

計算機安全問題與生物免疫系統(tǒng)(BIS, biological immune system)所遇到的問題具有驚人的相似性，兩者都要在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性?；谌斯っ庖?AIS, artificial immune system)的網(wǎng)絡(luò)安全技術(shù)具有多樣性、自適應(yīng)、頑健性等特點，被認為是一條非常重要且有意義的研究方向[11,12]。目前，在人工免疫應(yīng)用于網(wǎng)絡(luò)安全技術(shù)的研究中，Hofmeyr和Forrest等基于“自體—非自體”理論[13]，提出了一種通用的人工免疫系統(tǒng)實現(xiàn)架構(gòu)，并設(shè)計了一個計算機免疫系統(tǒng)(CIS, computer immune system)LISYS[14]，LISYS對后來CIS的研究產(chǎn)生了深遠的影響，現(xiàn)今基本上所有的 CIS模型都是基于LISYS的結(jié)構(gòu)。著名免疫學(xué)家Matzinger提出了著名的危險理論[15]，危險理論指出，免疫系統(tǒng)中不只是進行“自體—非自體”的識別，而是對受侵害組織的“危險”發(fā)出危險信號。由于現(xiàn)有計算機免疫系統(tǒng)模型存在的因自體空間巨大而效率低下的問題[16]，因此在相關(guān)的網(wǎng)絡(luò)安全技術(shù)研究中，有必要進一步引入危險理論，將識別原理從對“自體—非自體”的識別轉(zhuǎn)變?yōu)閷Α拔ｋU”的識別。

為使網(wǎng)絡(luò)信息系統(tǒng)能對真正具有“危險”的入侵攻擊進行響應(yīng)，降低入侵響應(yīng)系統(tǒng)響應(yīng)代價和響應(yīng)次數(shù)，基于危險理論，本文在建立網(wǎng)絡(luò)安全環(huán)境下人工免疫系統(tǒng)的自體、非自體、免疫細胞等集合定義后，提出了一種新的基于網(wǎng)絡(luò)實時危險的自動入侵響應(yīng)系統(tǒng)模型(AIRSDT, automated intrusion response system model based on danger theory)，該模型首先對網(wǎng)絡(luò)入侵或攻擊進行實時危險評估，實時定量計算各類攻擊和總體網(wǎng)絡(luò)危險強度，然后據(jù)此自動調(diào)整入侵響應(yīng)策略，解決了目前自動入侵響應(yīng)研究中難以判斷真正“危險”的入侵或者攻擊行為的問題，從而降低了入侵響應(yīng)次數(shù)和響應(yīng)綜合代價，理論分析和實驗結(jié)果均表明，AIRSDT為自動入侵響應(yīng)系統(tǒng)研究提供了一種有效的新方法。

2 模型理論

定義論域 D={0, 1}l，l為正整數(shù)，抗原集合Ag?D，自體集合 self?Ag，非自體集合Nonself?Ag， 有 Self∪Nonself=Ag，Self∩Nonself=?，其中Ag表示通過從網(wǎng)絡(luò)IP數(shù)據(jù)分組中提取的IP地址，端口號或協(xié)議類型等網(wǎng)絡(luò)事務(wù)特征的二進制表示，Self集為正常網(wǎng)絡(luò)服務(wù)事務(wù)，Nonself集為來自網(wǎng)絡(luò)的攻擊。

用四元組＜d, age, count, s＞來描述免疫檢測器集合B，其中d為抗體基因，d∈D，age為抗體年齡，age∈N，count為匹配數(shù)，count ∈N，s為模擬“危險理論”，檢測器受到攻擊后的“危險性”，s ∈R，N為自然數(shù)集合，R為實數(shù)集合。免疫檢測采用海明距離、歐式距離、r-連續(xù)比特(r-contiguous bites)匹配函數(shù)[13]等計算方式。記憶檢測器集Mb為不與自體匹配且與抗原匹配數(shù)不小于β的免疫檢測器組成。定義成熟免疫檢測器集合Tb，由不與自體匹配且與抗原匹配數(shù)未超過匹配數(shù)閾值β的免疫檢測器組成，β ∈N。類似地，用二元組＜d, age＞定義未成熟免疫檢測器集合 Ib，Ib由抗體基因庫產(chǎn)生以及隨機生成。Ib在通過自體耐受，通過α個耐受周期并刪除那些識別自體抗原的未成熟細胞后，成為成熟免疫細胞，α ∈N。

AIRSDT首先對入侵或攻擊行為進行檢測并評估，實時定量計算出主機和網(wǎng)絡(luò)所面臨的總體危險和各類攻擊危險，然后根據(jù)具體危險數(shù)值對網(wǎng)絡(luò)入侵或攻擊行為進行入侵自動響應(yīng)或進行響應(yīng)回滾。

2.1 入侵實時危險評估

對一個輸入的抗原集合Ag，分δ代（δ為正數(shù)）進行訓(xùn)練，每代選出一定數(shù)量的抗原組成sAg抗原集合，通過B集合的檢測把它分類為自體和非自體。具體過程分為以下3個階段。第一階段為0時刻到一個耐受期α結(jié)束的時刻，需要定義初始的自體集合Self(0)和未成熟細胞集合Ib(0)，后者經(jīng)前者耐受后成為成熟細胞。第二階段從α+1時刻到記憶細胞產(chǎn)生的時刻，為自學(xué)習(xí)階段，成熟細胞通過克隆選擇產(chǎn)生能識別大量不同非自體抗原的記憶細胞，而通過檢測被分類為自體的抗原最后送給未成熟細胞進行耐受。第三階段從記憶細胞產(chǎn)生到系統(tǒng)終止，免疫系統(tǒng)各部件產(chǎn)生完畢，進行實際環(huán)境中的檢測：記憶細胞檢測，成熟細胞對剩下抗原的檢測，最后未成熟細胞以剩余抗原為自體進行耐受[12]。

每個記憶細胞對應(yīng)檢測某種攻擊，主機或網(wǎng)絡(luò)中的記憶細胞對檢測到的入侵或者攻擊抗原進行實時危險評估。從時間t-1到t時刻的單位時間內(nèi)，對每個記憶細胞x，如果與某個抗原g相匹配，即入侵或攻擊抗原，其危險值s按式(1)增加。如果檢測到多個同樣抗原，則按式(1)對其危險數(shù)值將進行累計計算，表明該類攻擊威脅在持續(xù)增加，其中η1(＞0 的常數(shù))為初始的危險數(shù)值，η2(＞0 的常數(shù))模擬獎勵因子。

反之，如果該記憶檢測器在該時間間隔內(nèi)沒有檢測到入侵或攻擊抗原，則其危險性按式(2)進行計算。

設(shè)危險指標(biāo)0≤rk(t)≤1為主機k在t時刻所面臨的危險：rk(t)=1，表明當(dāng)前系統(tǒng)極度危險；rk(t)=0，表明當(dāng)前系統(tǒng)沒有危險。rk(t)值越大，表明當(dāng)前系統(tǒng)面臨的危險越高?？紤]到各種主機的資產(chǎn)權(quán)重以及各類攻擊的危險性不一樣，設(shè)定μi表示第i類攻擊的危險性，對于主機k，t時刻面臨的第i (1≤i≤I)類網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全危險rk,i由式(3)進行計算：

對于某個主機k，t時刻整個主機的整體網(wǎng)絡(luò)危險rk(t)通過式(4)進行計算：

對整體網(wǎng)絡(luò)，其面臨的第 i類攻擊的整體網(wǎng)絡(luò)危險 Ri(t)，由所包含主機k(1≤k≤K)的分類危險及其資產(chǎn)權(quán)重ωk以及所包含的子網(wǎng)n(1≤n≤N)的分類子網(wǎng)危險 Rn,i和資產(chǎn)權(quán)重ξn按式(5)進行加權(quán)計算，而其中的子網(wǎng)還可以保護下一級子網(wǎng)，依此類推。

類似地，整個網(wǎng)絡(luò)系統(tǒng)的整體安全危險R(t)，由主機的整體危險rk、資產(chǎn)權(quán)重ωk以及所包含子網(wǎng)的整體網(wǎng)絡(luò)危險Rn(1≤n≤N)和資產(chǎn)權(quán)重ξn進行計算，如式(6)所示。

2.2 自動入侵響應(yīng)與回滾

自動入侵響應(yīng)取決于2個條件，即網(wǎng)絡(luò)實時危險與攻擊強度。當(dāng)網(wǎng)絡(luò)實時危險低于給定閾值時，檢測到的一些無關(guān)報警信息和虛假警報被忽略，不進行響應(yīng)，對于檢測的一些攻擊信息，也通過網(wǎng)絡(luò)實時危險評估關(guān)聯(lián)起來，根據(jù)具體的網(wǎng)絡(luò)實時危險進行響應(yīng)；而攻擊強度條件大于 0，則是為了避免該時間段沒有檢測到攻擊，而由于前一時間段遭受攻擊后，網(wǎng)絡(luò)實時危險數(shù)值較高，但現(xiàn)在攻擊已經(jīng)停止，這種情形則不需要響應(yīng)。

式(7)用于描述主機中入侵響應(yīng)的產(chǎn)生，主要來自2個方面：對主機 k，當(dāng)主機的整體危險 rk(t)大于kθ(0＜kθ＜1)，并且主機遭遇所有的攻擊（假設(shè)主機中包含了i類攻擊）的攻擊強度大于Mk；當(dāng)主機遭遇的第 i類攻擊的網(wǎng)絡(luò)實時危險 rk,i(t)大于 δk,i(0＜δk,i＜1)，且主機遭遇的該類攻擊的攻擊強度大于Nk,i。

這2個方面所對應(yīng)的具體意義是，如果主機的整體危險 rk(t)及被攻擊強度分別超過了給定閾值，表明主機遭遇所有攻擊的危險程度已經(jīng)影響了主機的安全運行；而主機遭遇的某類攻擊的網(wǎng)絡(luò)危險rk,i(t)且被攻擊強度分別超過了給定閾值，表明主機檢測到同類及變種網(wǎng)絡(luò)攻擊已經(jīng)具有“危險”。

對于整個網(wǎng)絡(luò)，響應(yīng)動作來自2個方面：當(dāng)網(wǎng)絡(luò)的整體危險 R(t)大于 θ’(0＜θ’＜1)，并且網(wǎng)絡(luò)中遭遇所有的攻擊（假設(shè)網(wǎng)絡(luò)中包含了i類攻擊）的攻擊強度大于 M；當(dāng)網(wǎng)絡(luò)遭遇的某類攻擊的網(wǎng)絡(luò)危險 Ri(t)大于 δi’(0＜δi’＜1)，并且網(wǎng)絡(luò)中遭遇的該類攻擊（第i類攻擊）的攻擊強度大于Ni，具體定義如式(8)所示。

類似地，這2個方面所對應(yīng)的具體意義是，如果網(wǎng)絡(luò)的整體危險R(t)且被攻擊強度分別超過了給定閾值，表明網(wǎng)絡(luò)遭遇所有攻擊的危險程度已經(jīng)影響了網(wǎng)絡(luò)的安全運行；而網(wǎng)絡(luò)的遭遇的某類攻擊的網(wǎng)絡(luò)危險 Ri(t)及被攻擊強度分別超過了給定閾值，表明網(wǎng)絡(luò)檢測到同類及變種網(wǎng)絡(luò)攻擊已經(jīng)具有“危險”。

在AIRSDT模型中，對于主機，只有在主機遭遇的整體網(wǎng)絡(luò)危險和某類攻擊危險，及被攻擊強度分別大于給定的閾值的時候才進行入侵響應(yīng)；而對于整個網(wǎng)絡(luò)，只有在網(wǎng)絡(luò)遭遇的整體網(wǎng)絡(luò)危險和某類網(wǎng)絡(luò)攻擊危險，以及遭遇攻擊的攻擊強度大于給定的閾值的時候才進行入侵響應(yīng)。由于模型通過計算網(wǎng)絡(luò)、主機以及分別的分類網(wǎng)絡(luò)攻擊的總體網(wǎng)絡(luò)危險和攻擊強度來判斷是否進行自動響應(yīng)，因此模型能較好地解決Wenke L等提出的成本敏感模型[4]中難以應(yīng)對協(xié)同攻擊的問題。

Curtis對所有響應(yīng)方式進行了概括，并將響應(yīng)方式分為基于主機的和基于網(wǎng)絡(luò)的響應(yīng)方式[3]，Curtis列出的11種基于網(wǎng)絡(luò)的響應(yīng)方式，結(jié)合其他文獻提出來的6種響應(yīng)方式，另外本文提出6種響應(yīng)方式，較全面的自動入侵響應(yīng)方式如表 1所示。

在全部響應(yīng)方式中，1～4，12～13，17的響應(yīng)措施比較溫和，8～11，14，16，20的響應(yīng)措施比較嚴厲，其余的響應(yīng)措施介于兩者之間。其中 1～4，12～13，21～22的響應(yīng)措施屬于被動方式，其他屬于主動方式。8～11，14～15的響應(yīng)方式一般受到法律等因素的約束，而 5～7，14～16，20的方式能有效地阻斷攻擊。

AIRSDT根據(jù)網(wǎng)絡(luò)或主機所面臨的定量總體網(wǎng)絡(luò)危險進行自動響應(yīng)，網(wǎng)絡(luò)危險程度越高，響應(yīng)策略就越嚴厲，反之響應(yīng)策略相對溫和。在本文實驗中，根據(jù)具體網(wǎng)絡(luò)危險所采取的響應(yīng)策略如表 2所示，從表中同時可看出，對所有的攻擊，AIRSDT模型均采取了記錄該安全事件的響應(yīng)方式，另外在網(wǎng)絡(luò)危險高于0.1時，AIRSDT均產(chǎn)生報警信息。在實際過程中，可根據(jù)網(wǎng)絡(luò)安全需要來設(shè)定具體的響應(yīng)策略。

表1 基于網(wǎng)絡(luò)的入侵響應(yīng)方式

表2 網(wǎng)絡(luò)危險及建議采取的響應(yīng)策略

自動響應(yīng)模型根據(jù)網(wǎng)絡(luò)危險情況作出響應(yīng)策略，并采用消息機制的方式，將具體的自動響應(yīng)策略發(fā)送給執(zhí)行響應(yīng)策略的主機或者網(wǎng)絡(luò)，其中發(fā)送的響應(yīng)消息Message為一個5元組，如式(9)所示。對上述22種響應(yīng)方式，對應(yīng)操作Action和相應(yīng)的回滾操作Action如表3所示，其中的字符“Φ”表示該操作為空操作。

在AIRSDT模型執(zhí)行自動入侵響應(yīng)策略后，如果網(wǎng)絡(luò)或者主機的網(wǎng)絡(luò)危險呈現(xiàn)上升的趨勢，表明網(wǎng)絡(luò)或者主機所遭遇網(wǎng)絡(luò)危險越來越大，AIRSDT將采取更加嚴厲的響應(yīng)措施，避免信息系統(tǒng)進入更加“危險”的狀態(tài)，從而確保信息系統(tǒng)運行安全。

表3 響應(yīng)操作及相應(yīng)回滾操作

對于主機，式(10)對主機進行再次響應(yīng)的過程進行了描述，其中Response (t+Δt)表示主機在t+Δt時刻再次進行響應(yīng)，表明由于主機遭遇到更加嚴重的攻擊，系統(tǒng)將采取更加嚴厲的響應(yīng)措施。

類似地，對于網(wǎng)絡(luò)，式(11)對網(wǎng)絡(luò)進行再次響應(yīng)的過程進行了描述，其中Response’(t+Δt)表示網(wǎng)絡(luò)在t+Δt時刻再次進行響應(yīng)，表明由于網(wǎng)絡(luò)遭遇到更加嚴重的攻擊，系統(tǒng)將采取更加嚴厲的響應(yīng)措施。

當(dāng)網(wǎng)絡(luò)危險低于給定的危險閾值后，AIRSDT則自動撤銷所采取的入侵響應(yīng)策略，以免影響正常的網(wǎng)絡(luò)服務(wù)。

對于主機，式(12)對主機進行自動響應(yīng)回滾的過程進行了描述，其中 Rollback(t+Δt’)表示主機在t+Δt’時刻進行響應(yīng)回滾[8]，μk表示主機所面臨整體危險進行自動響應(yīng)回滾的閾值，而ωk,i表示主機對第i類攻擊危險進行自動響應(yīng)回滾的閾值。

對于網(wǎng)絡(luò)，式(13)對網(wǎng)絡(luò)進行自動響應(yīng)回滾的過程進行了描述，其中 Rollback’(t+Δt’)表示網(wǎng)絡(luò)在t+Δt’時刻進行響應(yīng)回滾，μ’表示網(wǎng)絡(luò)或者子網(wǎng)所面臨整體危險進行自動響應(yīng)回滾的閾值，而ωi’表示網(wǎng)絡(luò)對第 i類攻擊危險進行自動響應(yīng)回滾的閾值。

對于自動響應(yīng)回滾策略，同樣采用消息機制的方式，如式(9)所示，將要執(zhí)行的自動響應(yīng)回滾策略發(fā)送給具體執(zhí)行的主機或者網(wǎng)絡(luò)。

由于AIRSDT模型通過計算出實時網(wǎng)絡(luò)危險和被攻擊判斷是否進行響應(yīng)，因此具有響應(yīng)速度較快的優(yōu)點，對拒絕式服務(wù)具有一定的抵抗能力；另外，可以與防火墻很便捷實現(xiàn)聯(lián)動，具有協(xié)同性較強的優(yōu)點；最后，在網(wǎng)絡(luò)實時危險低時，可以自動進行響應(yīng)回滾，因此具有資源利用率高等特點。

3 仿真實驗

實驗在廣州大學(xué)信息安全研究所的網(wǎng)絡(luò)安全實驗室進行，實驗環(huán)境為100M的局域網(wǎng)，其中有計算機20臺，通過一個C類IP地址202.192.87.*連接到Internet，服務(wù)器的操作系統(tǒng)為Red Hat 9.0，服務(wù)器提供WWW，E-mail以及FTP服務(wù)，抗原定義為定長為從IP分組中提取的包含IP地址、端口號、協(xié)議類型、數(shù)據(jù)分組內(nèi)容等網(wǎng)絡(luò)事務(wù)特征的128位二進制字符串。

3.1 自動入侵響應(yīng)實驗

為驗證入侵響應(yīng)子模型的有效性，對網(wǎng)絡(luò)進行了模擬的smurf攻擊實驗，其中網(wǎng)絡(luò)整體危險響應(yīng)閾值和分類攻擊響應(yīng)閾值θ’和δi’均分別設(shè)定為0.4。圖1和圖2分別給出了正常服務(wù)情況、通過AIRSDT進行入侵響應(yīng)以及沒有響應(yīng)情況下3個狀態(tài)下的網(wǎng)絡(luò)流量和CPU利用率的對比情況。

圖1 3個狀態(tài)下的網(wǎng)絡(luò)流量對比

圖2 3個狀態(tài)下的CPU利用率對比

從圖1可看出在，從0s到12s之間，在沒有進行入侵響應(yīng)情況下，受網(wǎng)絡(luò)攻擊的影響，網(wǎng)絡(luò)流量持續(xù)增加，相應(yīng)圖2中CPU利用率也隨之增高，而從12s到20s之間，隨著攻擊強度的繼續(xù)增加，網(wǎng)絡(luò)流量持續(xù)增高，相應(yīng)圖2中CPU利用率也持續(xù)增高。而在進行入侵響應(yīng)的情況下，網(wǎng)絡(luò)流量和CPU利用率雖然都有所增加，但都比較穩(wěn)定。

對照圖1和圖2看出，對AIRSDT進行自動響應(yīng)與不進行響應(yīng)情況進行比較，進行自動響應(yīng)后的網(wǎng)絡(luò)流量要比不進行響應(yīng)流量小很多，CPU利用率要低出很多，但均比正常情況下略大，這是因為進行響應(yīng)后，發(fā)送響應(yīng)消息增加了網(wǎng)絡(luò)通信量，而進行響應(yīng)處理也略微提高了CPU利用率。

實驗結(jié)果顯示，AIRSDT通過自動入侵響應(yīng)，有效減小了網(wǎng)絡(luò)流量，并降低了CPU利用率。

3.2 同類響應(yīng)模型對比實驗

為證明AIRSDT有效降低了入侵響應(yīng)代價，將AIRSDT與RARS模型[8]在入侵響應(yīng)次數(shù)，以及響應(yīng)代價等進行綜合比較，RARS模型與自動入侵響應(yīng)模型相比，已較好地降低了響應(yīng)代價。

安排網(wǎng)絡(luò)安全專業(yè)人員對網(wǎng)絡(luò)進行一天的模擬攻擊，圖 3給出了檢測到的網(wǎng)絡(luò)攻擊強度與AIRSDT的網(wǎng)絡(luò)危險曲線，其中的危險曲線是傳統(tǒng)IDS和已有入侵響應(yīng)系統(tǒng)均不具有的功能，而A、B、C 3個點為系統(tǒng)的自動入侵響應(yīng)點。對圖3進行分析，從 8:30～9:30之間，系統(tǒng)遭遇了 portscan攻擊，盡管攻擊強度很大，但整體危險數(shù)值并不高，只有 0.098，但檢測到的 portscan攻擊危險數(shù)值為0.825，高于0.4，因此系統(tǒng)在A點進行了入侵響應(yīng)。在11:00～11:30之間，系統(tǒng)遭遇了sshtrojan攻擊，盡管攻擊強度比較小，但由于該攻擊運行攻擊者登錄到受害主機，系統(tǒng)危險數(shù)值迅速增大到 0.488，故系統(tǒng)在 B點進行了入侵響應(yīng)。而在 16:30～17:00之間，系統(tǒng)遭遇了appache2和smurf攻擊，這些攻擊屬于資源耗盡型攻擊，系統(tǒng)實時危險增到 0.7，因此系統(tǒng)在C點進行了入侵響應(yīng)。

圖3 網(wǎng)絡(luò)攻擊強度與危險曲線

入侵響應(yīng)系統(tǒng)中的代價類型包括響應(yīng)撤銷代價RRCost、操作代價OCost、響應(yīng)代價RCost、損失代價為Dcost，設(shè)入侵響應(yīng)系統(tǒng)R的期望綜合代價為 TCost(R)，TCost(R)為所有代價的總和，入侵事件類型集合為E，則得到：

各類響應(yīng)代價的量化是一個難點，本實驗中結(jié)合了Wenke L提出[4]的方法，另外將AIRSDT模型與RARS進行響應(yīng)次數(shù)n，以及各類響應(yīng)代價的比較，得到的結(jié)果如表4所示。

表4 入侵響應(yīng)次數(shù)及響應(yīng)代價比較

表4的實驗結(jié)果表明，AIRSDT與RARS模型進行比較，由于AIRSDT能夠?qū)崟r準(zhǔn)確計算出系統(tǒng)面臨的“真正”危險，并進行自動響應(yīng)，這樣不僅降低入侵響應(yīng)的次數(shù)，提高了入侵響應(yīng)的質(zhì)量，而且大大降低了入侵響應(yīng)的綜合代價。

4 同類研究對比

在自動入侵響應(yīng)研究中，如何判斷整個網(wǎng)絡(luò)系統(tǒng)所面臨的總體危險和各類攻擊的危險情況，判斷真正具有“危險”行為的網(wǎng)絡(luò)入侵或攻擊行為，進行自動入侵響應(yīng)一直是研究中一個比較難以解決的問題，本文在網(wǎng)絡(luò)危險評估實時定量計算研究基礎(chǔ)上，提出了一種根據(jù)“危險”的自動入侵響應(yīng)系統(tǒng)模型AIRSDT，表5給出了AIRSDT模型與引言中一些模型進行的比較。

從表5可看出，由于當(dāng)前已有的入侵響應(yīng)模型無法對系統(tǒng)面臨的整體危險進行計算，所指定的響應(yīng)策略只能被預(yù)先靜態(tài)指定，而AIRSDT結(jié)合了對系統(tǒng)整體網(wǎng)絡(luò)危險進行實時定量計算方法，從而能根據(jù)“危險”情況進行響應(yīng)決策，自動調(diào)整入侵響應(yīng)策略進行響應(yīng)回滾策略，這樣不但能夠降低響應(yīng)次數(shù)，而且達到了降低響應(yīng)代價的目的，因此，AIRSDT模型具有良好的自適應(yīng)性。

基于網(wǎng)絡(luò)危險的自動入侵響應(yīng)技術(shù)屬于積極主動的網(wǎng)絡(luò)安全防御技術(shù)，當(dāng)系統(tǒng)面臨較高的網(wǎng)絡(luò)危險時候，系統(tǒng)可以采用比較嚴厲的響應(yīng)策略，例如斷開入侵者連接或者攻擊入侵者，與已有自動入侵響應(yīng)技術(shù)相比較，由于AIRSDT能準(zhǔn)確實時定量計算系統(tǒng)所面臨的危險并自動調(diào)整響應(yīng)策略，所以AIRSDT是對已有自動入侵響應(yīng)技術(shù)的突破，對克服傳統(tǒng)網(wǎng)絡(luò)安全信息系統(tǒng)的技術(shù)缺陷，具有一定的理論意義和實際應(yīng)用價值。

表5 自動入侵響應(yīng)同類研究對比

5 結(jié)束語

本文首次將生物免疫系統(tǒng)中的危險理論應(yīng)用到自動入侵響應(yīng)系統(tǒng)的研究中，提出了一種新的自動入侵響應(yīng)系統(tǒng)模型AIRSDT，AIRSDT根據(jù)網(wǎng)絡(luò)危險程度自動調(diào)整響應(yīng)策略，使得網(wǎng)絡(luò)信息系統(tǒng)只對具有“危險”的網(wǎng)絡(luò)入侵或者攻擊行為進行響應(yīng)，這樣既保證了系統(tǒng)的運行性能，又大大降低了自動入侵響應(yīng)系統(tǒng)的綜合代價，從而提高了系統(tǒng)運行的自適應(yīng)性，但是，根據(jù)網(wǎng)絡(luò)信息系統(tǒng)重要性程度，所采取的自動入侵響應(yīng)策略有待進一步的完善。

[1] 段雪濤, 賈春福, 劉春波. 基于層次隱馬爾科夫模型和變長語義模式的入侵檢測方法[J]. 通信學(xué)報, 2010, 31(3): 109-114.DUAN X T, JIA C F, LIU C B. Intrusion detection method based on hierarchical hidden Markov model and variable-length semantic pattern[J]. Journal on Communications, 2010, 31(3): 109-114.

[2] FISCH E A. Intrusion Damage Control and Assessment: a Taxonomy and Implementation of Automated Responses to Intrusive Behavior[D].Texas A&M University, College Station, TX, 1996.

[3] CURTIS A C. A methodology for using intelligent agents to provide automated intrusion response[A]. Proceedings of the IEEE Systems,Man, and Cybernetics Information Assurance and Security Workshop[C]. New York, USA, 2000. 110-116.

[4] WENKE L, WEI F, MATTHEW M, et al. Toward cost-sensitive modeling for intrusion detection and response[J]. Journal of Computer Security, 2002, 10(1/2): 5-22.

[5] WU Y S, FOO B, MAO Y C, et al. Automated adaptive intrusion containment in systems of interacting services[J]. Computer Networks,2007, 51(5): 1334-1360.

[6] MU C P, LI Y. An intrusion response decision-making model based on hierarchical task network planning[J]. Expert Systems with Applications, 2010, 37(3): 2465-2472.

[7] CUPPENGS B N, CUPPENS F, AUTREL F, et al. An ontology-based approach to react to network attacks[J]. International Journal of Information and Computer Security, 2009, 3(3): 280-305.

[8] 張劍, 龔儉.可回卷的自動人侵響應(yīng)系統(tǒng)[J]. 電子學(xué)報,2004, 32(5):769-771.ZHANG J, GONG J. Rollbackable automated intrusion response system[J]. Acta Electronica Sinica, 2004, 32(5): 769-771.

[9] 穆成坡, 黃厚寬, 田盛豐. 基于模糊認知圖的自動入侵響應(yīng)決策推理機制[J]. 北京交通大學(xué)學(xué)報, 2005, 29(2): 12-16.MU C P, HUANG H K, TIAN S F. Fuzzy cognitive maps for decision supporting automatic intrusion response mechanism[J]. Journal of Beijing Jiaotong University, 2005, 29(2): 12-16.

[10] 吳姚睿, 劉淑芬. 基于攻擊群模型的協(xié)同入侵的響應(yīng)方法[J]. 電子學(xué)報, 2009, 37(11): 2416-2419.WU Y R, LIU S F. A response method for cooperative intrusions based on the attack group model[J]. Acta Electronica Sinica, 2009, 37(11):2416-2419.

[11] LI T. Dynamic detection for computer virus based on immune system[J]. Science in China, Series F: Information Science, 2008,51(10):1475-1486.

[12] 李濤. 計算機免疫學(xué)[M]. 北京：電子工業(yè)出版社, 2004.LI T. Computer Immunology[M]. Beijing: Publishing House of Electronic Industry, 2004.

[13] FORREST S, PERELSON A, ALLEN L, et al. Self-nonself discrimi-nation in a computer[A]. IEEE Computer Society Symposium on Research in Security and Privacy, Proceedings[C]. Los Alamitos, USA,1994. 202-212.

[14] HOFMEYR S, FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation, 2000, 8(4): 443-473.

[15] MATZINGER P. The danger model: a renewed sense of self[J]. Science, 2002, 296(5566): 301-305.

[16] ZENG J Q, LIU X J, LI T, et al. A self-adaptive negative selection algorithm used for anomaly detection[J]. Progress in Natural Science,2009, 19(2): 261-266.

[17] 張峰. 基于策略樹的網(wǎng)絡(luò)安全主動防御模型研究[D]. 成都: 電子科技大學(xué), 2004.ZHANG F. Policy Tree Based Proactive Defense Model for Network Security[D]. Chengdu: University of Electronic Science and Technology, 2004.

[18] 王璐, 秦志光. 業(yè)務(wù)蜜網(wǎng)技術(shù)與應(yīng)用[J]. 計算機應(yīng)用, 2004, 24(3):43-45.WANG L, QIN Z G. Technology and application of production honeynet[J]. Computer Applications, 2004, 24(3): 43-45.