PDF《可回卷的自动入侵响应系统1》

90104031 资助.

2 方式.其中入侵时间是指响应相对于入侵的时间,可分为入侵前、入侵进行中和入侵后;

攻 击意义是指攻击目标的关键度;

环境制约是指响应要考虑到法律、 伦理和系统资源等的限制. 在其响应分类的基础上,Curtis 进一步提出了一个自动入侵响应的系统框架.Christopher[2] 提出将意图识别技术应用到入侵响应中,根据当前攻击者的行为推断其下一步动作或意图, 从而做出具有预见性的响应.DARPA 的 自动入侵追踪和响应 项目[3][4]研究将入侵检测 系统和防火墙、路由器和主机等结合在一起建立企业内部局域网范围内的自动防御系统技 术. 其核心是建立一个入侵检测和隔离协议 (Intrusion detection and isolation protocol, IDIP) , 系统的各组件通过该协议协同检测入侵、 交换入侵行为信息和动态地配置防火墙、 路由器和 主机以自动做出响应.上述的自动响应技术都是针对 存在 入侵事件而做出响应,而无法 对 不存在 入侵事件的情形而做出响应.这样会导致: (1)当IDS 发现某个事件是误报时,无法撤销对该事件的响应. (2)当IDS 察觉采取响应后入侵已经停止时,不能自动解除响应,而该响应会产生一 定的负面影响,例如造成用户不能访问服务,因为该服务已作为响应的一部分被挂起. 本文提出一种响应回卷(Response Rollback)方法和基于这种响应回卷方法的的自动入 侵响应系统(Rollbackable Automatic Response System,RARS),响应回卷可自动判别响应命 令的可回卷性, 然后将可回卷的响应命令转化为响应回卷命令, 响应回卷命令进一步被编译 为某种响应执行脚本, 该脚本可自动执行响应回卷动作. RARS 据此可检测到入侵事件的 不 存在 ,然后完成响应回卷功能,从而有效地弥补传统响应系统的缺陷. 本文的

第二节讨论响应回卷形式化描述和误报及入侵中止的检测问题,

第三节讨论建立 可回卷的自动入侵响应系统,

第四节给出相应的试验结果,最后是总结. 二.响应回卷 响应回卷的基本思想是撤销多余的甚至有负面影响的入侵响应. 最常见的情形是当入侵 检测系统发现误报和入侵行为已经停止时, 应该撤销对这些入侵行为的响应, 否则可能会增 加IDS 的负荷或负面影响.响应回卷的实现涉及两个关键技术: (1)响应和响应回卷的形式化定义.由于响应回卷是建立在已有响应的基础上的,因 此如果不能完整和正确地描述响应, 就不能有效地实现响应回卷;

另外在自动入侵响应系统 中,要求自动地将响应转化为响应回卷,这就需要一种形式化方法来支持该功能. (2)误报和入侵中止的自动检测.如果不能发现误报和入侵停止,那么响应回卷就无 从实施.这一点对以往的 IDS 来说是无能为力的. 本节以下内容将围绕这两个关键技术展开讨论. 2.1 响应回卷的形式化定义 定义

1 响应主体是可唯一标识的对象,它是一个具有如下形式的 RS: RS := [![!…]] 其中 domain 和Sub-domain 是响应主体的定位符,Domain?Sub-domain1?Sub-domain2?…, ! 是域间的分割符. 例如路由器 192.168.2.1 中的访问控制列表 AL 可表示为:192.168.2.1!AL 定义

2 元操作是对响应主体施加的最基本和独立的动作类型.元操作可分为两类,一 类存在某种元操作与其效果相反,且会改变响应主体的状态,这种元操作称为可逆元操作, 该动作效果相反的元操作称为该可逆元操作的逆元操作, 记可逆元操作为 or, 其逆元操作集 合为or;