网络入侵事件的主动响应策略分析
2014-12-13孙天翔
孙天翔
摘要:采用一种针对响应的方法对攻击事件进行分类,分析自动响应存在的问题,在此基础上,分析了主动响应的成本问题,提出了基于事件分类和成本分析的主动响应策略的决策过程。
关键词:主动响应 响应策略
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2014)08-0188-01
1 针对响应的攻击事件分类
根据普遍经验,事件响应可具体分为准备、检测、抑制、根除、恢复和跟踪六个阶段,与入侵响应相关的有:(1)抑制:限制攻击的范围,尽可能减少损失;(2)根除:找到事件源并完全消灭它;(3)恢复:就是遭受攻击灾害后的“恢复重建”;(4)跟踪:通过回忆性的信息审查和整合,发现规律并总结。在此基础上,提出一个可以用来反应攻击细节的五元组<时间,攻击技术,漏洞类型,攻击结果,攻击目标>[1]。(1)时间(Time):攻击行为的具体时间状态,攻击进行中或攻击结束。(2)攻击技术(Attack):特定的攻击手段或方法,有三大类:漏洞攻击、拒绝服务和欺骗攻击。(3)漏洞类型(Weakness):攻击所利用的具体漏洞信息。(4)攻击结果(Result):针对计算机系统的保密性、完整性和可用性。评估具体的攻击结果,(5)攻击目标(Object):有特定的目标位置(IP地址)、总体目的和特定的目标(文件系统、用户密码或流程等)三个层次。可能有重叠的类别出现,如欺骗攻击伴随漏洞攻击、获取许可也篡改数据等,对此,可采取攻击分割的处理方法或初始优先的处理方式。
2 自动响应存在的问题分析
自动响应可能存在如下问题:(1)IDS(入侵检测系统)误报造成错误的响应,也许会形成很多无法预测的损失。(2)地址欺骗类型的攻击,一些响应策略导致正常服务无法访问。如针对隔离入侵的策略,攻击者仿冒某一服务器IP地址实施攻击,实现自动响应则会导致无法访问该服务器了,类似策略还有禁止账户、停止会话等。(3)过度响应的生成,很多由DOS攻击引起。入侵响应具有一定的成本,DOS或DDOS攻击的流量规模很大,如果都一一响应是不科学的,会耗费很多宝贵的系统资源。针对这些问题的改善手段有[2]:一是提高检测的准确率,改进检测方法;二是针对欺骗攻击要谨慎地采用严厉响应手段;三是对响应进行成本评估,如果“得不偿失”,则没必要响应。
3 主动响应的策略分析
3.1 响应成本分析
通常采用损失代价(Damage Cost,DCost)以及响应代价(Response Cost,RCost)这两个指标的具体情况来测度和分析响应成本。损失代价就是遭到入侵后的所有损失(直接的和间接的);响应代价就是执行入侵响应而付出的成本或代价,其具体内容包括响应实施时的成本和实施后的影响。
目标的关键性以及入侵的致命性是测度和评估损失代价Dcost的两个指标,目标的关键性表示的是被入侵的具体目标的重要程度,可用Criticality表示,假设一个目标关键性值域为{0,1,2,3,4,5},5为最高值,路由器、防火墙的关键值可以定义为5,网页服务、邮件服务则可为4,一般的UNIX服务器为2,其它操作系统服务器为1,如此等等。入侵的致命性指的是攻击行为的“威力”是否足以“致命”,可用Lethality表示,其值是基于经验的估算的值,如尝试root登录的威胁值为333,则前述提到的UNIX服务器的损失代价具体为Dcost=Criticality*Lethality=2*333=666。一些具体的响应方式或机制决定了响应代价Rcost,比如主动响应的代价高于被动响应,跟踪攻击源的代价高于隔离攻击源。
如果DCost>RCost,可进行响应;若DCost 一个具体的入侵事件可用可用三元组e=(a,p,r)来描述,a、p和r分别表示入侵的类型、过程以及资源目标,Dcost(e)以及Rcost(e)用来指代损失代价以及响应代价。实际上,要针对具体的e来具体分析成本:(1)漏报:e为入侵行为,此时无响应,总成本为Rcost(e);(2)误报:e为正常行为,但IDS误认为入侵行为e',响应代价为Rcost(e'),由于错误响应可能存在损失Fcost(e'),因此总成本为Rcost(e')+Fcost(e');(3)命中:e为入侵行为,IDS检测准确。如果Dcost(e) 3.2 基于事件分类的响应策略 入侵事件本身属性与入侵响应各阶段之间存在对应关系(如表1),策略选择的过程,即根据响应所处的特定阶段(抑制、根除、恢复和跟踪)结合对入侵事件的分类描述在策略列表中选择适当的响应策略。 一般的决策过程为:(1)以IDS执行的具体输出为依据,参考前述文中提出的入侵事件分类方法,将检测到的入侵事件按着分类标准进行格式化;(2)根据入侵事件的格式化描述进行响应策略的选择,具体的可以采用操作员配置或者程序自动化方式来进行选择;(3)对选好的既定策略实施成本分析,进一步实施策略审核,成本分析与实际情况相结合,决定策略的取舍,策略审核通过分析既定策略和已有策略库,统筹处理有冲突的策略,如首先执行优先级别高的策略;(4)根据成本评估及策略审核的结果决定是否输出响应策略。决策过程关键是事件分类和成本分析。 参考文献 [1]周竞.网络入侵检测及主动响应策略的研究[D].武汉理工大学硕士论文,2005. [2]向林泓.主动防御技术的研究和实现[D].电子科技大学,2011.
摘要:采用一种针对响应的方法对攻击事件进行分类,分析自动响应存在的问题,在此基础上,分析了主动响应的成本问题,提出了基于事件分类和成本分析的主动响应策略的决策过程。
关键词:主动响应 响应策略
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2014)08-0188-01
1 针对响应的攻击事件分类
根据普遍经验,事件响应可具体分为准备、检测、抑制、根除、恢复和跟踪六个阶段,与入侵响应相关的有:(1)抑制:限制攻击的范围,尽可能减少损失;(2)根除:找到事件源并完全消灭它;(3)恢复:就是遭受攻击灾害后的“恢复重建”;(4)跟踪:通过回忆性的信息审查和整合,发现规律并总结。在此基础上,提出一个可以用来反应攻击细节的五元组<时间,攻击技术,漏洞类型,攻击结果,攻击目标>[1]。(1)时间(Time):攻击行为的具体时间状态,攻击进行中或攻击结束。(2)攻击技术(Attack):特定的攻击手段或方法,有三大类:漏洞攻击、拒绝服务和欺骗攻击。(3)漏洞类型(Weakness):攻击所利用的具体漏洞信息。(4)攻击结果(Result):针对计算机系统的保密性、完整性和可用性。评估具体的攻击结果,(5)攻击目标(Object):有特定的目标位置(IP地址)、总体目的和特定的目标(文件系统、用户密码或流程等)三个层次。可能有重叠的类别出现,如欺骗攻击伴随漏洞攻击、获取许可也篡改数据等,对此,可采取攻击分割的处理方法或初始优先的处理方式。
2 自动响应存在的问题分析
自动响应可能存在如下问题:(1)IDS(入侵检测系统)误报造成错误的响应,也许会形成很多无法预测的损失。(2)地址欺骗类型的攻击,一些响应策略导致正常服务无法访问。如针对隔离入侵的策略,攻击者仿冒某一服务器IP地址实施攻击,实现自动响应则会导致无法访问该服务器了,类似策略还有禁止账户、停止会话等。(3)过度响应的生成,很多由DOS攻击引起。入侵响应具有一定的成本,DOS或DDOS攻击的流量规模很大,如果都一一响应是不科学的,会耗费很多宝贵的系统资源。针对这些问题的改善手段有[2]:一是提高检测的准确率,改进检测方法;二是针对欺骗攻击要谨慎地采用严厉响应手段;三是对响应进行成本评估,如果“得不偿失”,则没必要响应。
3 主动响应的策略分析
3.1 响应成本分析
通常采用损失代价(Damage Cost,DCost)以及响应代价(Response Cost,RCost)这两个指标的具体情况来测度和分析响应成本。损失代价就是遭到入侵后的所有损失(直接的和间接的);响应代价就是执行入侵响应而付出的成本或代价,其具体内容包括响应实施时的成本和实施后的影响。
目标的关键性以及入侵的致命性是测度和评估损失代价Dcost的两个指标,目标的关键性表示的是被入侵的具体目标的重要程度,可用Criticality表示,假设一个目标关键性值域为{0,1,2,3,4,5},5为最高值,路由器、防火墙的关键值可以定义为5,网页服务、邮件服务则可为4,一般的UNIX服务器为2,其它操作系统服务器为1,如此等等。入侵的致命性指的是攻击行为的“威力”是否足以“致命”,可用Lethality表示,其值是基于经验的估算的值,如尝试root登录的威胁值为333,则前述提到的UNIX服务器的损失代价具体为Dcost=Criticality*Lethality=2*333=666。一些具体的响应方式或机制决定了响应代价Rcost,比如主动响应的代价高于被动响应,跟踪攻击源的代价高于隔离攻击源。
如果DCost>RCost,可进行响应;若DCost 一个具体的入侵事件可用可用三元组e=(a,p,r)来描述,a、p和r分别表示入侵的类型、过程以及资源目标,Dcost(e)以及Rcost(e)用来指代损失代价以及响应代价。实际上,要针对具体的e来具体分析成本:(1)漏报:e为入侵行为,此时无响应,总成本为Rcost(e);(2)误报:e为正常行为,但IDS误认为入侵行为e',响应代价为Rcost(e'),由于错误响应可能存在损失Fcost(e'),因此总成本为Rcost(e')+Fcost(e');(3)命中:e为入侵行为,IDS检测准确。如果Dcost(e) 3.2 基于事件分类的响应策略 入侵事件本身属性与入侵响应各阶段之间存在对应关系(如表1),策略选择的过程,即根据响应所处的特定阶段(抑制、根除、恢复和跟踪)结合对入侵事件的分类描述在策略列表中选择适当的响应策略。 一般的决策过程为:(1)以IDS执行的具体输出为依据,参考前述文中提出的入侵事件分类方法,将检测到的入侵事件按着分类标准进行格式化;(2)根据入侵事件的格式化描述进行响应策略的选择,具体的可以采用操作员配置或者程序自动化方式来进行选择;(3)对选好的既定策略实施成本分析,进一步实施策略审核,成本分析与实际情况相结合,决定策略的取舍,策略审核通过分析既定策略和已有策略库,统筹处理有冲突的策略,如首先执行优先级别高的策略;(4)根据成本评估及策略审核的结果决定是否输出响应策略。决策过程关键是事件分类和成本分析。 参考文献 [1]周竞.网络入侵检测及主动响应策略的研究[D].武汉理工大学硕士论文,2005. [2]向林泓.主动防御技术的研究和实现[D].电子科技大学,2011.
摘要:采用一种针对响应的方法对攻击事件进行分类,分析自动响应存在的问题,在此基础上,分析了主动响应的成本问题,提出了基于事件分类和成本分析的主动响应策略的决策过程。
关键词:主动响应 响应策略
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2014)08-0188-01
1 针对响应的攻击事件分类
根据普遍经验,事件响应可具体分为准备、检测、抑制、根除、恢复和跟踪六个阶段,与入侵响应相关的有:(1)抑制:限制攻击的范围,尽可能减少损失;(2)根除:找到事件源并完全消灭它;(3)恢复:就是遭受攻击灾害后的“恢复重建”;(4)跟踪:通过回忆性的信息审查和整合,发现规律并总结。在此基础上,提出一个可以用来反应攻击细节的五元组<时间,攻击技术,漏洞类型,攻击结果,攻击目标>[1]。(1)时间(Time):攻击行为的具体时间状态,攻击进行中或攻击结束。(2)攻击技术(Attack):特定的攻击手段或方法,有三大类:漏洞攻击、拒绝服务和欺骗攻击。(3)漏洞类型(Weakness):攻击所利用的具体漏洞信息。(4)攻击结果(Result):针对计算机系统的保密性、完整性和可用性。评估具体的攻击结果,(5)攻击目标(Object):有特定的目标位置(IP地址)、总体目的和特定的目标(文件系统、用户密码或流程等)三个层次。可能有重叠的类别出现,如欺骗攻击伴随漏洞攻击、获取许可也篡改数据等,对此,可采取攻击分割的处理方法或初始优先的处理方式。
2 自动响应存在的问题分析
自动响应可能存在如下问题:(1)IDS(入侵检测系统)误报造成错误的响应,也许会形成很多无法预测的损失。(2)地址欺骗类型的攻击,一些响应策略导致正常服务无法访问。如针对隔离入侵的策略,攻击者仿冒某一服务器IP地址实施攻击,实现自动响应则会导致无法访问该服务器了,类似策略还有禁止账户、停止会话等。(3)过度响应的生成,很多由DOS攻击引起。入侵响应具有一定的成本,DOS或DDOS攻击的流量规模很大,如果都一一响应是不科学的,会耗费很多宝贵的系统资源。针对这些问题的改善手段有[2]:一是提高检测的准确率,改进检测方法;二是针对欺骗攻击要谨慎地采用严厉响应手段;三是对响应进行成本评估,如果“得不偿失”,则没必要响应。
3 主动响应的策略分析
3.1 响应成本分析
通常采用损失代价(Damage Cost,DCost)以及响应代价(Response Cost,RCost)这两个指标的具体情况来测度和分析响应成本。损失代价就是遭到入侵后的所有损失(直接的和间接的);响应代价就是执行入侵响应而付出的成本或代价,其具体内容包括响应实施时的成本和实施后的影响。
目标的关键性以及入侵的致命性是测度和评估损失代价Dcost的两个指标,目标的关键性表示的是被入侵的具体目标的重要程度,可用Criticality表示,假设一个目标关键性值域为{0,1,2,3,4,5},5为最高值,路由器、防火墙的关键值可以定义为5,网页服务、邮件服务则可为4,一般的UNIX服务器为2,其它操作系统服务器为1,如此等等。入侵的致命性指的是攻击行为的“威力”是否足以“致命”,可用Lethality表示,其值是基于经验的估算的值,如尝试root登录的威胁值为333,则前述提到的UNIX服务器的损失代价具体为Dcost=Criticality*Lethality=2*333=666。一些具体的响应方式或机制决定了响应代价Rcost,比如主动响应的代价高于被动响应,跟踪攻击源的代价高于隔离攻击源。
如果DCost>RCost,可进行响应;若DCost 一个具体的入侵事件可用可用三元组e=(a,p,r)来描述,a、p和r分别表示入侵的类型、过程以及资源目标,Dcost(e)以及Rcost(e)用来指代损失代价以及响应代价。实际上,要针对具体的e来具体分析成本:(1)漏报:e为入侵行为,此时无响应,总成本为Rcost(e);(2)误报:e为正常行为,但IDS误认为入侵行为e',响应代价为Rcost(e'),由于错误响应可能存在损失Fcost(e'),因此总成本为Rcost(e')+Fcost(e');(3)命中:e为入侵行为,IDS检测准确。如果Dcost(e) 3.2 基于事件分类的响应策略 入侵事件本身属性与入侵响应各阶段之间存在对应关系(如表1),策略选择的过程,即根据响应所处的特定阶段(抑制、根除、恢复和跟踪)结合对入侵事件的分类描述在策略列表中选择适当的响应策略。 一般的决策过程为:(1)以IDS执行的具体输出为依据,参考前述文中提出的入侵事件分类方法,将检测到的入侵事件按着分类标准进行格式化;(2)根据入侵事件的格式化描述进行响应策略的选择,具体的可以采用操作员配置或者程序自动化方式来进行选择;(3)对选好的既定策略实施成本分析,进一步实施策略审核,成本分析与实际情况相结合,决定策略的取舍,策略审核通过分析既定策略和已有策略库,统筹处理有冲突的策略,如首先执行优先级别高的策略;(4)根据成本评估及策略审核的结果决定是否输出响应策略。决策过程关键是事件分类和成本分析。 参考文献 [1]周竞.网络入侵检测及主动响应策略的研究[D].武汉理工大学硕士论文,2005. [2]向林泓.主动防御技术的研究和实现[D].电子科技大学,2011.