[发明专利]一种基于攻击图的入侵响应方式

摘要

一种基于攻击图的动态入侵响应方法：根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在考虑这三种代价基础上选择应对措施；任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的；建立两个信息集:攻击者的信息集和系统的信息集；攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息；参与方的行动空间：系统在进行响应时,实际上会根据攻击类型的不同,确定一个响应集。

主权项

1.一种基于攻击图的动态入侵响应方法：其特征是根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在综合考虑这三种代价的基础上选择适当的应对措施；1)IRAG模型中的参与方报警响应博弈的参与方为:攻击者和系统；2)IRAG模型中的参与方的类型空间攻击者发出任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的.设攻击者类型,其中表示攻击者的类型空间,攻击者典型的类型空间可分为在机密性、完整性和可用性方面的攻击偏好；建立两个信息集:攻击者的信息集和系统的信息集；攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息；3) IRAG模型中的节点价值节点价值是一个用来表示节点重要性的量化的一个值；设节点价值度量的范围从1到N,其中1表示的是最低的重要性,而N表示最高的重要性,N的大小是根据系统环境确定的；系统的类型和节点价值共同表达了系统在安全防护时的偏向性；4) IRAG模型中的攻击图攻击图的定义:攻击图是一个四元组,其中S表示状态集,表示系统中存在的一个个可能遭受的攻击,可由系统中存在的漏洞推导出来;是传递关系,指的是攻击之间的关系,由攻击间的因果联系及网络连接状态决定;是开始状态集,表示攻击者首先发起的攻击,如扫描等;是成功状态集,表示满足攻击者攻击目的的攻击状态,同时也是攻击者最后一步攻击；5)IRAG模型中的参与方的行动空间两处需要确定行动空间,一是系统选择响应措施时的行动空间,记为,另一个是攻击者发出下一步动作时的行动空间,记为；系统在进行响应时,实际上会根据攻击类型的不同,确定一个响应集；根据攻击图来确定攻击者下一步攻击动作；只计算针对Web服务器的DOS攻击,即DOS攻击的目的节点为攻击者能访问到的Web服务器；6) IRAG模型中的响应措施对攻击的阻止率响应措施阻止攻击的效果,计算响应措施阻止率的时候需要继承对前一攻击的阻止率； 7) IRAG模型中的参与方的收益使用先验概率进行收益函数的计算.由于攻击者在博弈过程中可以观察到一次系统的响应,因此可以根据观察的结果来改变其对系统类型的判断,而系统在博弈过程中不改变对攻击者类型的判断. 因此攻击者对系统类型的信念就可以根据观察到的响应动作而做出调整,即形成后验信念；针对系统的每一个响应动作，攻击者在下一步攻击的选择上，均会选择其收益最大的攻击动作；IRAG模型至少存在一个纯策略纳什均衡；计算中存在多于一个均衡的情况，预定义参照响应模式对报警响应的博弈搜索进行指导,即系统预先定义一种响应方式,对出现的多个纳什均衡,使用最接近于预定义响应方式的措施进行响应,从而确定唯一的博弈结果,便于系统自动响应的快速实施；系统的响应动作是针对攻击者所有可能下一步动作做出的最优反应.根据均衡的定义:均衡时每个参与方选择的策略都是其它参与方所选策略的最佳反应,任何一方单方面改变策略就会使其利益受损,因此攻击者和系统无论哪方都不会偏离均衡结果选择行动。