PDF《可回卷的自动入侵响应系统1》

另一种不存在动作效果相反的元操作或不会改变响应主体的状态,称为不可逆元 操作,记可逆元操作为 on,其逆元操作为on=φ.φ表示空操作. 例如 add、delete 等操作称为可逆元操作,而send、kill 则是不可逆元操作.Run 的逆元 操作集合为{hangup,kill}.而kill 虽然是 run 的逆元操作,但它没有逆元操作. 下表是常用元操作的意义和相应的逆元操作:

3 表1常用元操作意义及逆元操作 意义 逆元操作集 实例 Add 向响应主体添加操作数 {remove} 阻塞攻击源地址 (路由器响应) Create 创建响应主体 {delete} 创建系统备份 Run 运行程序 {hangup,kill} 运行其他入侵检测工具 Send 向响应主体发送信息 φ 向安全管理员发出警报 Enable 使响应主体参数生效 {disable} 额外日志生效 Lock 封锁响应主体 {unlock} 锁住用户帐户,使其不可用 Shutdown 关闭响应主体 {startup} 关闭主机 Kill 中止程序运行 φ 中断用户会话 定义

3 操作数 Ou 是对响应主体施加的动作内容,操作数为空记为 null. 例如在路由器的访问控制列表中增加某条访问控制规则,该规则就是操作数. 定义

4 元响应是具有以下形式的三元组 UR: UR= 其中 Op 是元操作,RS 是响应主体,Ou 是操作数.元响应是最基本的响应动作,逆元响应 是与元响应动作效果相反的元响应,记元响应 UR 的逆元响应为UR,则UR=<

Op,RS,Ou>

,若Op=φ,则UR=φ,称为空响应. 定义

5 响应 R 是一个元响应序列.其形式为: R=,n=0,1,2,… 响应回卷是与某响应动作效果相反的响应, 记为R, 则R=. 响应定义的意义在于: 每个具体的响应都可以分解成元响应序列, 响应回卷则是从最后 一个元响应开始取逆元响应,如果其中某些逆元响应为φ,则不执行这些逆元响应. 2.2 误报的检测 并非所有的误报都可被检测,在下列情况下可以发现误报: (1)基于非单调逻辑的 IDS 可以自动检测误报. 文献[5]提出建立一种基于非单调逻辑的 IDS, 该系统的入侵检测模块不是遵循传统的命 题逻辑推理规则, 而是基于模糊默认逻辑的推理方式. 这种推理方法能在不充分证据的前提 下推出有一定可信度的安全结论,不但提高了 IDS 的灵敏度和海量数据的分析处理能力, 还能发现误报,从而推翻原来做出的安全结论判断,然后向响应系统提出响应回卷请求. (2)由入侵意图识别模块发出的入侵警报 入侵意图识别技术能根据当前的入侵状况预测未来的入侵趋势, 然后发出预警, 从而指 示响应系统做出有预见性的响应.但这也可能产生误报,这时候应该撤销原有的响应,而根 据当前状态重新做出响应. (3)人为干预 安全管理员可能通过各种途径发现误报,在这种情况下安全管理员可发起响应回卷. 2.3 入侵停止的自动检测 入侵会话过程是指由多个步骤组成的的复合攻击方式的入侵过程, 它通常表现为一个入 侵事件序列,该序列中的每个事件都为了实现某个子目标. 入侵会话过程的入侵事件序列很难事先确定, 因为该入侵方式可能是未知的, 也可能它 存在多种入侵事件序列. 然而属于同一入侵会话过程的入侵事件之间必然存在某些相似的特 征值,这些特征称为本质特征.因此如果能找到本质特征,就能将属于同一入侵会话过程的 入侵事件聚合在一起. 设某入侵事件序列 IS=,本质特征集 EC={c1,c2,…,ck},n,k=1,2,…,IS 是入侵会话过程当且仅当 Ei.cu=Ej.cv,u,v=1,2,…k,i,j=1,2,…,n,且TIi=Ti+1-Ti≤τ,其4中Ti 代表 i 事件发生的事件,TIi 代表相邻事件的时间间隔,τ是相邻事件到达间隔阀值. 最常见的本质特征集是{源地址,目标地址}.但这不是绝对的.例如对于 DDOS 攻击, 本质特征就只有目标地址;