网络入侵事件的主动响应策略分析

孙天翔

摘要：采用一种针对响应的方法对攻击事件进行分类，分析自动响应存在的问题，在此基础上，分析了主动响应的成本问题，提出了基于事件分类和成本分析的主动响应策略的决策过程。

关键词：主动响应 响应策略

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2014）08-0188-01

1 针对响应的攻击事件分类

根据普遍经验，事件响应可具体分为准备、检测、抑制、根除、恢复和跟踪六个阶段，与入侵响应相关的有：（1）抑制：限制攻击的范围，尽可能减少损失；（2）根除：找到事件源并完全消灭它；（3）恢复：就是遭受攻击灾害后的“恢复重建”；（4）跟踪：通过回忆性的信息审查和整合，发现规律并总结。在此基础上，提出一个可以用来反应攻击细节的五元组<时间，攻击技术，漏洞类型，攻击结果，攻击目标>[1]。（1）时间（Time）：攻击行为的具体时间状态，攻击进行中或攻击结束。（2）攻击技术（Attack）：特定的攻击手段或方法，有三大类：漏洞攻击、拒绝服务和欺骗攻击。（3）漏洞类型（Weakness）：攻击所利用的具体漏洞信息。（4）攻击结果（Result）：针对计算机系统的保密性、完整性和可用性。评估具体的攻击结果，（5）攻击目标（Object）：有特定的目标位置（IP地址）、总体目的和特定的目标（文件系统、用户密码或流程等）三个层次。可能有重叠的类别出现，如欺骗攻击伴随漏洞攻击、获取许可也篡改数据等，对此，可采取攻击分割的处理方法或初始优先的处理方式。

2 自动响应存在的问题分析

自动响应可能存在如下问题：（1）IDS（入侵检测系统）误报造成错误的响应，也许会形成很多无法预测的损失。（2）地址欺骗类型的攻击，一些响应策略导致正常服务无法访问。如针对隔离入侵的策略，攻击者仿冒某一服务器IP地址实施攻击，实现自动响应则会导致无法访问该服务器了，类似策略还有禁止账户、停止会话等。（3）过度响应的生成，很多由DOS攻击引起。入侵响应具有一定的成本，DOS或DDOS攻击的流量规模很大，如果都一一响应是不科学的，会耗费很多宝贵的系统资源。针对这些问题的改善手段有[2]：一是提高检测的准确率，改进检测方法；二是针对欺骗攻击要谨慎地采用严厉响应手段；三是对响应进行成本评估，如果“得不偿失”，则没必要响应。

3 主动响应的策略分析

3.1 响应成本分析

通常采用损失代价（Damage Cost，DCost）以及响应代价（Response Cost，RCost）这两个指标的具体情况来测度和分析响应成本。损失代价就是遭到入侵后的所有损失（直接的和间接的）；响应代价就是执行入侵响应而付出的成本或代价，其具体内容包括响应实施时的成本和实施后的影响。

目标的关键性以及入侵的致命性是测度和评估损失代价Dcost的两个指标，目标的关键性表示的是被入侵的具体目标的重要程度，可用Criticality表示，假设一个目标关键性值域为{0，1，2，3，4，5}，5为最高值，路由器、防火墙的关键值可以定义为5，网页服务、邮件服务则可为4，一般的UNIX服务器为2，其它操作系统服务器为1，如此等等。入侵的致命性指的是攻击行为的“威力”是否足以“致命”，可用Lethality表示，其值是基于经验的估算的值，如尝试root登录的威胁值为333，则前述提到的UNIX服务器的损失代价具体为Dcost=Criticality*Lethality=2*333=666。一些具体的响应方式或机制决定了响应代价Rcost，比如主动响应的代价高于被动响应，跟踪攻击源的代价高于隔离攻击源。

如果DCost>RCost，可进行响应；若DCost

一个具体的入侵事件可用可用三元组e=（a，p，r）来描述，a、p和r分别表示入侵的类型、过程以及资源目标，Dcost（e）以及Rcost（e）用来指代损失代价以及响应代价。实际上，要针对具体的e来具体分析成本：（1）漏报：e为入侵行为，此时无响应，总成本为Rcost（e）；（2）误报：e为正常行为，但IDS误认为入侵行为e'，响应代价为Rcost（e'），由于错误响应可能存在损失Fcost（e'），因此总成本为Rcost（e'）+Fcost（e'）；（3）命中：e为入侵行为，IDS检测准确。如果Dcost（e）Rcost（e），为Rcost（e），从检测到响应会有延时，添加一个延时过程因子λ∈[0，1]，体现延时成本出现的可能性，因此，在检测命中情况下，总成本为Rcost（e）+λ*Dcost（e）；（4）错误命中：IDS把入侵事件e错误的认为是e'，那么，响应代价就是Rcost（e'），损失代价就是Dcost（e）。同时，由于错误响应而形成的损失代价表示为Fcost（e'），总成本为Rcost（e'）+Dcost（e）+Fcost（e'）。

3.2 基于事件分类的响应策略

入侵事件本身属性与入侵响应各阶段之间存在对应关系（如表1），策略选择的过程，即根据响应所处的特定阶段（抑制、根除、恢复和跟踪）结合对入侵事件的分类描述在策略列表中选择适当的响应策略。

一般的决策过程为：（1）以IDS执行的具体输出为依据，参考前述文中提出的入侵事件分类方法，将检测到的入侵事件按着分类标准进行格式化；（2）根据入侵事件的格式化描述进行响应策略的选择，具体的可以采用操作员配置或者程序自动化方式来进行选择；（3）对选好的既定策略实施成本分析，进一步实施策略审核，成本分析与实际情况相结合，决定策略的取舍，策略审核通过分析既定策略和已有策略库，统筹处理有冲突的策略，如首先执行优先级别高的策略；（4）根据成本评估及策略审核的结果决定是否输出响应策略。决策过程关键是事件分类和成本分析。

参考文献

[1]周竞.网络入侵检测及主动响应策略的研究[D].武汉理工大学硕士论文，2005.

[2]向林泓.主动防御技术的研究和实现[D].电子科技大学，2011.

摘要：采用一种针对响应的方法对攻击事件进行分类，分析自动响应存在的问题，在此基础上，分析了主动响应的成本问题，提出了基于事件分类和成本分析的主动响应策略的决策过程。

关键词：主动响应 响应策略

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2014）08-0188-01

1 针对响应的攻击事件分类

根据普遍经验，事件响应可具体分为准备、检测、抑制、根除、恢复和跟踪六个阶段，与入侵响应相关的有：（1）抑制：限制攻击的范围，尽可能减少损失；（2）根除：找到事件源并完全消灭它；（3）恢复：就是遭受攻击灾害后的“恢复重建”；（4）跟踪：通过回忆性的信息审查和整合，发现规律并总结。在此基础上，提出一个可以用来反应攻击细节的五元组<时间，攻击技术，漏洞类型，攻击结果，攻击目标>[1]。（1）时间（Time）：攻击行为的具体时间状态，攻击进行中或攻击结束。（2）攻击技术（Attack）：特定的攻击手段或方法，有三大类：漏洞攻击、拒绝服务和欺骗攻击。（3）漏洞类型（Weakness）：攻击所利用的具体漏洞信息。（4）攻击结果（Result）：针对计算机系统的保密性、完整性和可用性。评估具体的攻击结果，（5）攻击目标（Object）：有特定的目标位置（IP地址）、总体目的和特定的目标（文件系统、用户密码或流程等）三个层次。可能有重叠的类别出现，如欺骗攻击伴随漏洞攻击、获取许可也篡改数据等，对此，可采取攻击分割的处理方法或初始优先的处理方式。

2 自动响应存在的问题分析

自动响应可能存在如下问题：（1）IDS（入侵检测系统）误报造成错误的响应，也许会形成很多无法预测的损失。（2）地址欺骗类型的攻击，一些响应策略导致正常服务无法访问。如针对隔离入侵的策略，攻击者仿冒某一服务器IP地址实施攻击，实现自动响应则会导致无法访问该服务器了，类似策略还有禁止账户、停止会话等。（3）过度响应的生成，很多由DOS攻击引起。入侵响应具有一定的成本，DOS或DDOS攻击的流量规模很大，如果都一一响应是不科学的，会耗费很多宝贵的系统资源。针对这些问题的改善手段有[2]：一是提高检测的准确率，改进检测方法；二是针对欺骗攻击要谨慎地采用严厉响应手段；三是对响应进行成本评估，如果“得不偿失”，则没必要响应。

3 主动响应的策略分析

3.1 响应成本分析

通常采用损失代价（Damage Cost，DCost）以及响应代价（Response Cost，RCost）这两个指标的具体情况来测度和分析响应成本。损失代价就是遭到入侵后的所有损失（直接的和间接的）；响应代价就是执行入侵响应而付出的成本或代价，其具体内容包括响应实施时的成本和实施后的影响。

目标的关键性以及入侵的致命性是测度和评估损失代价Dcost的两个指标，目标的关键性表示的是被入侵的具体目标的重要程度，可用Criticality表示，假设一个目标关键性值域为{0，1，2，3，4，5}，5为最高值，路由器、防火墙的关键值可以定义为5，网页服务、邮件服务则可为4，一般的UNIX服务器为2，其它操作系统服务器为1，如此等等。入侵的致命性指的是攻击行为的“威力”是否足以“致命”，可用Lethality表示，其值是基于经验的估算的值，如尝试root登录的威胁值为333，则前述提到的UNIX服务器的损失代价具体为Dcost=Criticality*Lethality=2*333=666。一些具体的响应方式或机制决定了响应代价Rcost，比如主动响应的代价高于被动响应，跟踪攻击源的代价高于隔离攻击源。

如果DCost>RCost，可进行响应；若DCost

一个具体的入侵事件可用可用三元组e=（a，p，r）来描述，a、p和r分别表示入侵的类型、过程以及资源目标，Dcost（e）以及Rcost（e）用来指代损失代价以及响应代价。实际上，要针对具体的e来具体分析成本：（1）漏报：e为入侵行为，此时无响应，总成本为Rcost（e）；（2）误报：e为正常行为，但IDS误认为入侵行为e'，响应代价为Rcost（e'），由于错误响应可能存在损失Fcost（e'），因此总成本为Rcost（e'）+Fcost（e'）；（3）命中：e为入侵行为，IDS检测准确。如果Dcost（e）Rcost（e），为Rcost（e），从检测到响应会有延时，添加一个延时过程因子λ∈[0，1]，体现延时成本出现的可能性，因此，在检测命中情况下，总成本为Rcost（e）+λ*Dcost（e）；（4）错误命中：IDS把入侵事件e错误的认为是e'，那么，响应代价就是Rcost（e'），损失代价就是Dcost（e）。同时，由于错误响应而形成的损失代价表示为Fcost（e'），总成本为Rcost（e'）+Dcost（e）+Fcost（e'）。

3.2 基于事件分类的响应策略

入侵事件本身属性与入侵响应各阶段之间存在对应关系（如表1），策略选择的过程，即根据响应所处的特定阶段（抑制、根除、恢复和跟踪）结合对入侵事件的分类描述在策略列表中选择适当的响应策略。

一般的决策过程为：（1）以IDS执行的具体输出为依据，参考前述文中提出的入侵事件分类方法，将检测到的入侵事件按着分类标准进行格式化；（2）根据入侵事件的格式化描述进行响应策略的选择，具体的可以采用操作员配置或者程序自动化方式来进行选择；（3）对选好的既定策略实施成本分析，进一步实施策略审核，成本分析与实际情况相结合，决定策略的取舍，策略审核通过分析既定策略和已有策略库，统筹处理有冲突的策略，如首先执行优先级别高的策略；（4）根据成本评估及策略审核的结果决定是否输出响应策略。决策过程关键是事件分类和成本分析。

参考文献

[1]周竞.网络入侵检测及主动响应策略的研究[D].武汉理工大学硕士论文，2005.

[2]向林泓.主动防御技术的研究和实现[D].电子科技大学，2011.

摘要：采用一种针对响应的方法对攻击事件进行分类，分析自动响应存在的问题，在此基础上，分析了主动响应的成本问题，提出了基于事件分类和成本分析的主动响应策略的决策过程。

关键词：主动响应 响应策略

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2014）08-0188-01

1 针对响应的攻击事件分类

根据普遍经验，事件响应可具体分为准备、检测、抑制、根除、恢复和跟踪六个阶段，与入侵响应相关的有：（1）抑制：限制攻击的范围，尽可能减少损失；（2）根除：找到事件源并完全消灭它；（3）恢复：就是遭受攻击灾害后的“恢复重建”；（4）跟踪：通过回忆性的信息审查和整合，发现规律并总结。在此基础上，提出一个可以用来反应攻击细节的五元组<时间，攻击技术，漏洞类型，攻击结果，攻击目标>[1]。（1）时间（Time）：攻击行为的具体时间状态，攻击进行中或攻击结束。（2）攻击技术（Attack）：特定的攻击手段或方法，有三大类：漏洞攻击、拒绝服务和欺骗攻击。（3）漏洞类型（Weakness）：攻击所利用的具体漏洞信息。（4）攻击结果（Result）：针对计算机系统的保密性、完整性和可用性。评估具体的攻击结果，（5）攻击目标（Object）：有特定的目标位置（IP地址）、总体目的和特定的目标（文件系统、用户密码或流程等）三个层次。可能有重叠的类别出现，如欺骗攻击伴随漏洞攻击、获取许可也篡改数据等，对此，可采取攻击分割的处理方法或初始优先的处理方式。

2 自动响应存在的问题分析

自动响应可能存在如下问题：（1）IDS（入侵检测系统）误报造成错误的响应，也许会形成很多无法预测的损失。（2）地址欺骗类型的攻击，一些响应策略导致正常服务无法访问。如针对隔离入侵的策略，攻击者仿冒某一服务器IP地址实施攻击，实现自动响应则会导致无法访问该服务器了，类似策略还有禁止账户、停止会话等。（3）过度响应的生成，很多由DOS攻击引起。入侵响应具有一定的成本，DOS或DDOS攻击的流量规模很大，如果都一一响应是不科学的，会耗费很多宝贵的系统资源。针对这些问题的改善手段有[2]：一是提高检测的准确率，改进检测方法；二是针对欺骗攻击要谨慎地采用严厉响应手段；三是对响应进行成本评估，如果“得不偿失”，则没必要响应。

3 主动响应的策略分析

3.1 响应成本分析

通常采用损失代价（Damage Cost，DCost）以及响应代价（Response Cost，RCost）这两个指标的具体情况来测度和分析响应成本。损失代价就是遭到入侵后的所有损失（直接的和间接的）；响应代价就是执行入侵响应而付出的成本或代价，其具体内容包括响应实施时的成本和实施后的影响。

目标的关键性以及入侵的致命性是测度和评估损失代价Dcost的两个指标，目标的关键性表示的是被入侵的具体目标的重要程度，可用Criticality表示，假设一个目标关键性值域为{0，1，2，3，4，5}，5为最高值，路由器、防火墙的关键值可以定义为5，网页服务、邮件服务则可为4，一般的UNIX服务器为2，其它操作系统服务器为1，如此等等。入侵的致命性指的是攻击行为的“威力”是否足以“致命”，可用Lethality表示，其值是基于经验的估算的值，如尝试root登录的威胁值为333，则前述提到的UNIX服务器的损失代价具体为Dcost=Criticality*Lethality=2*333=666。一些具体的响应方式或机制决定了响应代价Rcost，比如主动响应的代价高于被动响应，跟踪攻击源的代价高于隔离攻击源。

如果DCost>RCost，可进行响应；若DCost

一个具体的入侵事件可用可用三元组e=（a，p，r）来描述，a、p和r分别表示入侵的类型、过程以及资源目标，Dcost（e）以及Rcost（e）用来指代损失代价以及响应代价。实际上，要针对具体的e来具体分析成本：（1）漏报：e为入侵行为，此时无响应，总成本为Rcost（e）；（2）误报：e为正常行为，但IDS误认为入侵行为e'，响应代价为Rcost（e'），由于错误响应可能存在损失Fcost（e'），因此总成本为Rcost（e'）+Fcost（e'）；（3）命中：e为入侵行为，IDS检测准确。如果Dcost（e）Rcost（e），为Rcost（e），从检测到响应会有延时，添加一个延时过程因子λ∈[0，1]，体现延时成本出现的可能性，因此，在检测命中情况下，总成本为Rcost（e）+λ*Dcost（e）；（4）错误命中：IDS把入侵事件e错误的认为是e'，那么，响应代价就是Rcost（e'），损失代价就是Dcost（e）。同时，由于错误响应而形成的损失代价表示为Fcost（e'），总成本为Rcost（e'）+Dcost（e）+Fcost（e'）。

3.2 基于事件分类的响应策略

入侵事件本身属性与入侵响应各阶段之间存在对应关系（如表1），策略选择的过程，即根据响应所处的特定阶段（抑制、根除、恢复和跟踪）结合对入侵事件的分类描述在策略列表中选择适当的响应策略。

一般的决策过程为：（1）以IDS执行的具体输出为依据，参考前述文中提出的入侵事件分类方法，将检测到的入侵事件按着分类标准进行格式化；（2）根据入侵事件的格式化描述进行响应策略的选择，具体的可以采用操作员配置或者程序自动化方式来进行选择；（3）对选好的既定策略实施成本分析，进一步实施策略审核，成本分析与实际情况相结合，决定策略的取舍，策略审核通过分析既定策略和已有策略库，统筹处理有冲突的策略，如首先执行优先级别高的策略；（4）根据成本评估及策略审核的结果决定是否输出响应策略。决策过程关键是事件分类和成本分析。

参考文献

[1]周竞.网络入侵检测及主动响应策略的研究[D].武汉理工大学硕士论文，2005.

[2]向林泓.主动防御技术的研究和实现[D].电子科技大学，2011.