论文部分内容阅读
随着互联网技术的不断发展,网络入侵技术也不断进步,并且正在造成越来越大的危害.目前对入侵防范的研究主要偏重于入侵检测,对于检测到的攻击,很多系统仍然采用人工响应的形式.由于响应及时性不够并且无法处理大规模高速网络中大量的安全事件,该方法已经不能够满足目前入侵响应的需求.自动入侵响应系统的研究仍然出于初期阶段,响应决策大都使用传统的基于分类的响应决策模型,且分类依据只考虑简单因素,因此响应的合理性仍然不够理想.本文以入侵防范系统MONSTER为背景,研究建立保护接入网的单点自动入侵响应系统.本文研究的自动入侵响应系统建立在滥用入侵检测系统之上,即以滥用入侵检测系统输出的安全事件作为输入.而由于入侵检测系统的局限,它检测出的事件与攻击的发生存在多对一的关系,因此本文研究的第一个子问题就是冗余消除问题.它对响应决策的输入进行预处理,对每次攻击仅产生一个事件,从而避免响应系统做出多余的响应.本文首先对冗余事件的关联特征进行系统的分析,包括攻击类型关联特征、空间关联特征、时间关联特征.对于空间关联特征,本文采取枚举的方法进行分析;对于时间关联特征,本文通过对大量的攻击实例进行分析,提出了相对均方差模型来刻画其特征.在提取这些关联特征的基础上,本文使用基于规则的方法描述每种可能的冗余情况,并提出了基于实时聚类的冗余消除算法,根据冗余消除规则集,实时接收安全事件进行冗余消除.在输入事件进行预处理之后进行响应的关键问题是响应决策.目前的自动入侵响应系统均采用传统的基于分类的响应决策模型,该模型的缺点在于没有统一的响应目标,并且响应政策对环境变化的适应性不理想.本文借鉴Wenke Lee的成本敏感模型的思想,提出基于代价的最优响应决策模型.该模型综合考虑攻击的危害和响应的付出,从全局考虑对攻击选择最优的响应方式.该模型涉及三种代价:攻击残留损失代价、响应操作代价、负面响应代价.本文给出了攻击残留损失代价的具体量化方法,并将其它两种代价转换为攻击损失代价的计算,从而实现这三种类型代价的统一量化.本文将所提算法实现于MONSTER系统中.对冗余消除算法的测试和分析表明,该算法能够有效地消除原始安全事件流中的冗余,对高速网络中一周安全事件分析显示冗余消除程度达到10倍以上,并且算法可以借助RAIRS系统的宏观攻击行为分析能力保证规则提取的完备性.对于响应决策算法的分析表明,该算法综合考虑了各种因素,能够对攻击的所有可行响应方式进行排序,并选择最合理的响应方式,而且响应政策能够根据环境的变化灵活地进行调整,对响应方式也有着良好的可扩展性.论文最后对未来自动入侵响应系统的研究进行了展望,指出了将复合攻击识别和攻击预测应用在响应决策中的意义.