专利名称:一种基于攻击图的入侵响应方式的制作方法
技术领域:
本发明涉及到网络入侵检测响应的方法。
背景技术:
自从20世纪80年代James Anderson首次提出入侵检测概念以来,入侵检测系统 (IDS)作为网络安全的一个组件获得了极大的发展.但与防火墙、VPN等安全组件发挥着越来越重要的作用相比,IDS的作用没有真正能体现出来,主要原因是报警响应问题没能得到很好的解决.因为随着攻击手段的改进,攻击越来越朝向自动化、复杂化的方向发展, 而目前的响应则主要以人工为主,这种不对称性使得入侵检测和响应领域的工作陷入了被动的局面,为了解决这个问题,人们开始了自动或半自动响应方式的研究。如果考虑到首先从静态映射型响应方式开始的,即按一定的原则对攻击进行分类,并用人工的方式将每一报警映射到一个预先定义好的响应措施上,目前的很多入侵响应系统aRs)正是基于这种响应方式.静态映射型入侵响应很大程度上解决了人工响应时间过长、负担过重的问题,但是它也有一些很明显的缺点,一方面易于被攻击所利用,另一方面它没有充分考虑入侵响应的适应性,响应措施的选择应该随着网络环境的不同而不同。
发明内容
本发明目的是根据受攻击关系的启发,提出了一种基于攻击图的动态入侵响应 IRAG (Intrusion Response based on Attack Graph)模型,该模型基于“任一攻击都会有某些攻击作为后继”这样的特点,使用了攻击图来描述攻击者的攻击意图和策略,并提出一种改进的博弈理论算法来进行攻防双方的策略的推理.这种算法充分发挥了攻击图在进行攻击意图描述方面以及博弈理论在处理攻击者和系统的收益、偏好和策略变化方面的优势,因而达到了比较好的响应效果和准确性。本发明技术方案是一种基于攻击图的动态入侵响应方法根据入侵检测和响应的参考模型,先就入侵检测和响应提出了三种代价操作代价、响应代价和损失代价,并在综合考虑这三种代价的基础上选择适当的应对措施。1.IRAG 模型 1)IRAG模型中的参与方
在报警响应中,参与方有系统管理员、安全员、各安全机制、合法用户、攻击者等等.为了减少复杂度,因为一般情况下合法用户对博弈的影响很小,因此在本发明报警响应模型中其不作为参与方出现.另外系统管理员、安全员、安全机制等利益几乎是一致的而且他们的策略可以统一起来,因此本发明将它们归结到一个参与方,统称系统.故本发明报警响应博弈的参与方为攻击者Um
和系统R。2) IRAG模型中的参与方的类型空间
攻击者发出任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定
4义攻击者的类型,并以此来描述攻击者的攻击目的.设攻击者类型,其中.表示攻击者的类型空间,一般攻击者发起攻击的目的性很强,在安全尺度上常表现为对某种尺度的关心,如修改主页、删除系统文件等主要是针对完整性,窃取文件、破解密码等主要是针对机密性,而DOS攻击、大多数蠕虫攻击等由主要针对可用性.因此攻击者典型的类型空间可分为在机密性、完整性和可用性方面的攻击偏好。由于系统必须同时拥有机密性、完整性和可用性才能正常工作,因此其类型不可能只针对某一尺度,但是不同的系统对不同的尺度是有偏向的,比如主要从事网络服务提供的网络系统,其偏向可用性要多些;机要部门的网络系统对机密性偏向多一些;而电子商务类的网络系统几乎在完整性、可用性、机密性上是同等重要的。为了进行系统和攻击者类型的计算,本发明建立了两个信息集攻击者的信息集和系统的信息集.攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息.信息集对对方类型的概率推理过程可以用专家系统、神经网络或模糊数学等方式进行,本发明使用的是产生式规则的方式,即对攻击者或系统可能发现的每一信息,设置其对对方在各类型上先验概率的增加值作为一条产生式知识,当所有信息推理完之后,对得出的概率进行归一化处理即得出对方各类型的先验概率。3) IRAG模型中的节点价值
节点价值是一个用来表示节点重要性的量化的一个值.设节点价值度量的范围从1 到N,其中1表示的是最低的重要性,而N表示最高的重要性,N的大小是根据系统环境确定的.例如一些诸如不重要的匿名FTP服务器或者密罐系统等节点的节点价值可能被赋予 2,像生产服务器这样非常关键的节点可能被赋予一个比较高的节点价值比如15.网络中节点价值的度量范围和取值是根据整个系统的具体情况由系统管理员指定的.。系统的类型和节点价值共同表达了系统在安全防护时的偏向性。4) IRAG模型中的攻击图
攻击图的定义攻击图是一个四元组,其中S表示状态集,表示系统中存在的一个个可能遭受的攻击,可由系统中存在的漏洞推导出来;TEh 〃是传递关系,指的是攻击之间的关系,由攻击间的因果联系及网络连接状态决定;Ae〃是开始状态集,表示攻击者首先发起的攻击,如扫描等;是成功状态集,表示满足攻击者攻击目的的攻击状态,同时也是攻击者最后一步攻击。5) IRAG模型中的参与方的行动空间
本发明有两处需要确定行动空间,一是系统选择响应措施时的行动空间,记为,另一个是攻击者发出下一步动作时的行动空间,记为.系统在进行响应时,实际上会根据攻击类型的不同,确定一个响应集。而攻击者一般不会只发出一个单独的攻击,他们的攻击之间是有联系的,也就是说每个攻击之后的下一步攻击动作是有规律可循的.本发明根据攻击图来确定攻击者下一步攻击动作。因为DOS攻击不一定需要特定的漏洞,所以攻击图中不完全能包括这个攻击,并且DOS攻击只针对攻击者已获取访问权限的服务器,如公共的Web服务器,因此本发明暂只计算针对Web服务器的DOS攻击,即DOS攻击的目的节点为攻击者能访问到的Web服务器。6) IRAG模型中的响应措施对攻击的阻止率
响应措施阻止攻击的效果,本发明用它成功阻止攻击的概率来体现,因为与报警所报攻击有直接因果关系的后继攻击,如果报警所报攻击被阻止,它也不可能成功,因此计算响应措施阻止率的时候需要继承对前一攻击的阻止率。7) IRAG模型中的参与方的收益
根据贝叶斯理性原则,如果人们进行决策时对与之相关的某种客体没有确定性了解, 而且也不知道其发生的客观概率,那么人们将对其做出主观概率判断,并在决策中如同应用客观概率一样应用这种主观概率判断.因此,可以使用先验概率进行收益函数的计算.由于攻击者在博弈过程中可以观察到一次系统的响应,因此可以根据观察的结果来改变其对系统类型的判断,而系统在博弈过程中不改变对攻击者类型的判断.因此攻击者对系统类型的信念就可以根据观察到的响应动作而做出调整,即形成后验信念。因为本发明只考虑攻击者的攻击、系统响应及攻击者下一步攻击的过程。因此,针对系统的每一个响应动作,攻击者在下一步攻击的选择上,均会选择其收益最大的攻击动作。根据纳什均衡的存在条件任意有限策略型博弈至少存在一个混合策略纳什均衡.因为IRAG模型中各参与方在每个信息集上的可选行动数目是有限的,所以它的扩展型博弈是有限的,对应的策略型博弈也是有限的,因此IRAG模型至少存在一个混合策略纳什均衡.如果有限扩展型博弈是完美信息的,则它还存在纯策略纳什均衡.综上所述,IRAG模型至少存在一个纯策略纳什均衡。对进行计算中存在多于一个均衡的情况(实际中这种情况很少),本发明提出了一个简单而有效的方法预定义参照响应模式对报警响应的博弈搜索进行指导,即系统预先定义一种响应方式,对出现的多个纳什均衡,使用最接近于预定义响应方式的措施(本发明根据响应措施的阻止率判断)进行响应,从而确定唯一的博弈结果,便于系统自动响应的快速实施。根据上述计算公式可以看出,系统的响应动作是针对攻击者所有可能下一步动作做出的最优反应.根据均衡的定义均衡时每个参与方选择的策略都是其它参与方所选策略的最佳反应,任何一方单方面改变策略就会使其利益受损,因此攻击者和系统无论哪方都不会偏离均衡结果选择行动。本发明有益效果是由此可见,IRAG模型推导的系统的响应决策,是充分考虑攻击者和系统双方利益下的最优反应,其结果是稳定的.而单方面考虑系统收益的模型,由于攻击者的策略未被考虑进去,当攻击者改变原有的攻击策略时,响应模型计算出的最优解将会失效。另外本发明IRAG模型使用了攻击图来描述攻击者的攻击策略,一方面能将攻击之间的因果关系考虑进来,另一方面根据各节点之间的连通性对攻击关系进行限制,因而能较为准确地对攻击者的策略进行判断,也同时加强了系统推理最佳响应动作的准确性。
具体实施例方式1、攻击ρ的后继攻击集
权利要求
1. 一种基于攻击图的动态入侵响应方法其特征是根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价操作代价、响应代价和损失代价,并在综合考虑这三种代价的基础上选择适当的应对措施;1)IRAG模型中的参与方报警响应博弈的参与方为攻击者!J,和系统;2)IRAG模型中的参与方的类型空间攻击者发出任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的.设攻击者类型,其中表示攻击者的类型空间,攻击者典型的类型空间可分为在机密性、完整性和可用性方面的攻击偏好;建立两个信息集攻击者的信息集和系统的信息集;攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息;3)IRAG模型中的节点价值节点价值是一个用来表示节点重要性的量化的一个值;设节点价值度量的范围从1到 N,其中1表示的是最低的重要性,而N表示最高的重要性,N的大小是根据系统环境确定的;系统的类型和节点价值共同表达了系统在安全防护时的偏向性;4)IRAG模型中的攻击图攻击图的定义攻击图是一个四元组G =,其中S表示状态集,表示系统中存在的一个个可能遭受的攻击,可由系统中存在的漏洞推导出来;reh〃是传递关系,指的是攻击之间的关系,由攻击间的因果联系及网络连接状态决定;是开始状态集,表示攻击者首先发起的攻击,如扫描等;A Ef是成功状态集,表示满足攻击者攻击目的的攻击状态,同时也是攻击者最后一步攻击;5)IRAG模型中的参与方的行动空间两处需要确定行动空间,一是系统选择响应措施时的行动空间,记为,另一个是攻击者发出下一步动作时的行动空间,记为;系统在进行响应时,实际上会根据攻击类型的不同,确定一个响应集;根据攻击图来确定攻击者下一步攻击动作;只计算针对Web服务器的DOS攻击,即DOS攻击的目的节点为攻击者能访问到的Web 服务器;6)IRAG模型中的响应措施对攻击的阻止率响应措施阻止攻击的效果,计算响应措施阻止率的时候需要继承对前一攻击的阻止率;7)IRAG模型中的参与方的收益使用先验概率进行收益函数的计算.由于攻击者在博弈过程中可以观察到一次系统的响应,因此可以根据观察的结果来改变其对系统类型的判断,而系统在博弈过程中不改变对攻击者类型的判断.因此攻击者对系统类型的信念就可以根据观察到的响应动作而做出调整,即形成后验信念;针对系统的每一个响应动作,攻击者在下一步攻击的选择上,均会选择其收益最大的攻击动作;IRAG模型至少存在一个纯策略纳什均衡;计算中存在多于一个均衡的情况,预定义参照响应模式对报警响应的博弈搜索进行指导,即系统预先定义一种响应方式,对出现的多个纳什均衡,使用最接近于预定义响应方式的措施进行响应,从而确定唯一的博弈结果, 便于系统自动响应的快速实施;系统的响应动作是针对攻击者所有可能下一步动作做出的最优反应.根据均衡的定义均衡时每个参与方选择的策略都是其它参与方所选策略的最佳反应,任何一方单方面改变策略就会使其利益受损,因此攻击者和系统无论哪方都不会偏离均衡结果选择行动。
全文摘要
一种基于攻击图的动态入侵响应方法根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在考虑这三种代价基础上选择应对措施;任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的;建立两个信息集:攻击者的信息集和系统的信息集;攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息;参与方的行动空间系统在进行响应时,实际上会根据攻击类型的不同,确定一个响应集。
文档编号H04L29/06GK102231743SQ20111018151
公开日2011年11月2日 申请日期2011年6月30日 优先权日2011年6月30日
发明者刘建邦, 张辰, 潘健翔, 石进, 高为 申请人:南京大学, 江苏南大苏富特科技股份有限公司