[发明专利]一种基于攻击图的入侵响应方式

说明书

技术领域

本发明涉及到网络入侵检测响应的方法。

背景技术

自从20世纪80年代James Anderson首次提出入侵检测概念以来,入侵检测系统(IDS)作为网络安全的一个组件获得了极大的发展.但与防火墙、VPN等安全组件发挥着越来越重要的作用相比,IDS的作用没有真正能体现出来,主要原因是报警响应问题没能得到很好的解决.因为随着攻击手段的改进,攻击越来越朝向自动化、复杂化的方向发展,而目前的响应则主要以人工为主,这种不对称性使得入侵检测和响应领域的工作陷入了被动的局面,为了解决这个问题,人们开始了自动或半自动响应方式的研究。

如果考虑到首先从静态映射型响应方式开始的,即按一定的原则对攻击进行分类,并用人工的方式将每一报警映射到一个预先定义好的响应措施上,目前的很多入侵响应系统(IRS)正是基于这种响应方式.静态映射型入侵响应很大程度上解决了人工响应时间过长、负担过重的问题,但是它也有一些很明显的缺点,一方面易于被攻击所利用,另一方面它没有充分考虑入侵响应的适应性,响应措施的选择应该随着网络环境的不同而不同。

发明内容

本发明目的是：根据受攻击关系的启发,提出了一种基于攻击图的动态入侵响应IRAG (Intrusion Response based on Attack Graph)模型,该模型基于“任一攻击都会有某些攻击作为后继”这样的特点,使用了攻击图来描述攻击者的攻击意图和策略,并提出一种改进的博弈理论算法来进行攻防双方的策略的推理.这种算法充分发挥了攻击图在进行攻击意图描述方面以及博弈理论在处理攻击者和系统的收益、偏好和策略变化方面的优势,因而达到了比较好的响应效果和准确性。

本发明技术方案是：一种基于攻击图的动态入侵响应方法：根据入侵检测和响应的参考模型,先就入侵检测和响应提出了三种代价:操作代价、响应代价和损失代价,并在综合考虑这三种代价的基础上选择适当的应对措施。

1.IRAG模型

1)IRAG模型中的参与方

在报警响应中,参与方有系统管理员、安全员、各安全机制、合法用户、攻击者等等.为了减少复杂度,因为一般情况下合法用户对博弈的影响很小,因此在本发明报警响应模型中其不作为参与方出现.另外系统管理员、安全员、安全机制等利益几乎是一致的而且他们的策略可以统一起来,因此本发明将它们归结到一个参与方,统称系统.故本发明报警响应博弈的参与方为:攻击者                                                和系统。

2)IRAG模型中的参与方的类型空间

攻击者发出任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的.设攻击者类型,其中表示攻击者的类型空间,一般攻击者发起攻击的目的性很强,在安全尺度上常表现为对某种尺度的关心,如修改主页、删除系统文件等主要是针对完整性,窃取文件、破解密码等主要是针对机密性,而DOS攻击、大多数蠕虫攻击等由主要针对可用性.因此攻击者典型的类型空间可分为在机密性、完整性和可用性方面的攻击偏好。

由于系统必须同时拥有机密性、完整性和可用性才能正常工作,因此其类型不可能只针对某一尺度,但是不同的系统对不同的尺度是有偏向的,比如主要从事网络服务提供的网络系统,其偏向可用性要多些;机要部门的网络系统对机密性偏向多一些;而电子商务类的网络系统几乎在完整性、可用性、机密性上是同等重要的。

为了进行系统和攻击者类型的计算,本发明建立了两个信息集:攻击者的信息集和系统的信息集.攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息.信息集对对方类型的概率推理过程可以用专家系统、神经网络或模糊数学等方式进行,本发明使用的是产生式规则的方式,即对攻击者或系统可能发现的每一信息,设置其对对方在各类型上先验概率的增加值作为一条产生式知识,当所有信息推理完之后,对得出的概率进行归一化处理即得出对方各类型的先验概率。

3) IRAG模型中的节点价值