[发明专利]一种动态入侵响应的方法

说明书

技术领域

本发明涉及一种动态入侵响应的方法。 

背景技术

随着计算机网络的飞速发展,政府、军事和商业组织对互联网依赖程度的越来越高,入侵逐渐成为网络中困扰人们最大的问题之一。而目前针对入侵的响应工作,主要以手工为主,这与入侵越来越朝向自动化、复杂化方向发展相比有着明显的滞后,因而自动响应的研究成为迫切的需求。目前此类工作主要集中在从系统自身因素如成本、资源等进行响应决策,没有充分考虑攻击者的因素,因此当攻击者改变攻击策略时,响应效果就会大打折扣。另外,它们在成本的计算上未考虑到不同系统的差异性,未能将不同系统遭受同一攻击可能带来的损失不同体现出来,也影响了响应效果。 

    与此同时,为了解决入侵检测自身报警数量大、误报率高的问题,研究人员进行了报警关联的研究。其通过分析各报警之间的因果关系给出描述攻击次序的攻击场景图,增强了报警信息的可读性和有效性,给报警响应的研究带来了一个新的思路,即可以利用攻击之间的因果关系进行响应。 

不过要使用报警关联的思路进行响应还需要考虑一些问题。攻击者首先进行Sadmind扫描,然后进行缓冲区溢出攻击并取得root权限,然后上传DDOS软件,最后启动DDOS软件进行攻击。 

由于响应延时的问题，会造成响应措施施行时攻击动作已经完成，因此针对其下一步动作进行预响应非常必要。当系统检测到Sadmind_Amslverify_Overflow攻击时，可能目的已经达到，因此若要真正阻止攻击，需要对下一步攻击Rsh进行预响应才能有效。而由于任意攻击的下一步攻击都可能有很多，因此只考虑针对一种攻击场景进行响应是不够的。针对Sadmind_Amslverify_Overflow的下一步攻击动作Rsh，系统做出关闭Rsh服务的响应，攻击者攻击场景就不能继续下去，但是如果攻击者更改其策略用其它方式如SSH，则刚才的响应无效。 

同时根据报警关联的原理,可以看出,对攻击的响应措施可以采用阻止其前提条件使其攻击不能和阻止其结果状态使其攻击无效两种。比如Sadmind_Amslverify_Overflow(A,H)攻击,针对其前提条件OSSolaris(H),可以采用关闭系统或关闭网络等措施;而针对其结果状态GainAccess(A,H),可以采用防火墙阻断源主机A或阻断目的主机H等措施。如何在众多的响应措施中进行选择也是决定入侵响应是否有效的重要因素,因为若选择的响应措施其代价超过攻击损失,则响应显然是失败的。 

因此,在报警关联的思想基础上进行响应,需要考虑以下因素： 

1)      攻击者的策略变化。攻击者攻击策略会随着系统响应措施的实施而变化。

2)      综合收益。针对同一攻击动作的响应措施有很多种,而这些措施的响应效果和代价也不相同,响应决策应该将它们考虑进来。 

本发明从报警关联的原理出发,提出了一种动态入侵响应模型。模型利用了报警关联在攻击因果关系上的优势,充分考虑攻击者的策略变化及响应的效果和代价,并且使用了类型表示参与方的收益偏好,较好地提高了报警响应的准确性和效果。 

报警响应实际场景是首先是有攻击,然后IDS发现并报警,接着系统根据一定的响应策略进行响应,然后是攻击者继续发起后继动作,系统进一步响应……,如此重复。 

一般攻击者发起攻击的目的性很强,在安全尺度上常表现为对某种尺度的关心,如修改主页、删除系统文件等主要是针对完整性, DOS攻击、大多数蠕虫攻击等主要针对可用性等。而系统必须同时拥有机密性、完整性和可用性才能正常工作,因此其类型不可能像攻击者一样只偏向某种尺度,而是对不同尺度各有偏向。比如公共ftp、DNS服务器等对可用性的偏向要多些,而公司内部的档案服务器、生产服务器则对机密性偏向多些等等。 

攻击者的获利对不同的攻击者来说是不同的,恶作剧型攻击者的获利可能是心理的愉悦或在小团体中的声望,竞争对手型的攻击者的获利可能是扩大的市场占有率等等。要想对所有这些不同的获利进行建模很困难,本发明经过研究发现,各种不同的攻击者的获利都是以对系统的破坏为基础的,像上面所说的攻击者的心理上的愉悦以及更大的市场占有率都能够体现在对系统的破坏程度上,因此可以用系统损失来表示攻击者的获利。 

发明内容