PDF《可回卷的自动入侵响应系统1》

而对于扫描攻击,本质特征只有源地址.因此在入侵事件聚合时 应先识别事件类型. 定义

6 中止检测算法是指发现入侵会话过程已经停止的检测算法.它可描述为: 对入侵事件序列 IS=,若()kiTI c E c E i E n i n i ,...,

2 ,

1 , )

0 ( ) . '

. ( '

= ≤ <

∧ = ? ?? τ ,则宣 称该入侵会话过程已经停止;

否则 En+1=E'

,IS= . 中止检测算法的基本思想是当在相邻事件到达间隔阀值内没有新的入侵事件到达, 则认 为当前入侵会话过程已经停止. 三.响应回卷的实现模型 3.1 依赖平台的自动响应执行脚本 不同响应是在响应设备不同的操作系统平台之中执行的, 响应设备通常包括路由器、 防 火墙和主机等.由于响应设备分散在网络中,要做到自动响应,必须将响应命令通过某种方 式传递给响应设备,有两种方法可以做到这一点: (1)设计一种自动响应协议,该协议负责在 IDS 和响应设备之间传递响应命令,响应 设备一旦接收到响应命令, 即自动运行响应脚本或修改自身相关配置. 这种做法的典型例子 就是 IDIP, IDIP 不仅能传递响应命令, 还可以在 IDS 的各组件中进行协同入侵检测等工作. (2)利用某种自动交互脚本,该脚本能够自动登录到响应设备中,执行响应程序或配 置系统相关参数.这种方法类似于人工响应,人工响应动作对应于脚本中的语句,但自动交 互脚本完全由其解释器解释执行.Expect 正是这种自动交互工具,目前对其应用主要用于 IDS 评估中. 两种方法的优劣比较如表

2 所示: 表2自动响应实现方式比较 自动响应协议方式 自动响应脚本方式 通用性 好.通过一种独立于平台的协议在 IDS 和响应设备之间通信,但是响应设备必 须支持该协议. 不好.对不同平台的相同响应, 必须编写不同的自动交互脚本. 响应设备不需要理解该脚本 实用性 不好. 就IDIP 而言, 它目前已被实现而 处于测试阶段,功能还待完善.而且它 要求每种响应设备都要支持 IDIP 协议, 从而不能与目前使用的路由器兼容. 较好. 自动响应脚本以文件的形 式存储于响应系统中, 只需由一 个解释器解释执行, 响应设备不 需要做任何修改就与该技术兼 容;

要增加新的响应方式, 只需 编写相应的自动响应脚本. 扩展性 取决于协议制订得是否完善.但就响应 方式而言,是无法定义完全的,不同的 环境有不同的可用响应方式集;

就网络 规模而言,其扩展性较好. 一般. 要增加新的响应方式, 只 需编写相应的自动响应脚本;

但 当网络规模扩大时, 要维护的响 应脚本将大大增加. 对响应回卷 的支持 很难支持.即使能支持,协议的复杂度 也必然大大增加. 支持. 响应脚本只需做轻微的修 改便可变为响应回卷脚本. 从表

2 可以看出, 交互协议的弱点主要体现在兼容性和复杂性, 而本文的重点是研究响 应回卷技术,不是制订自动响应协议,因此不采用该技术.自动响应脚本具有简单易于实现 的优点,而且与现有响应设备兼容,易于做试验,并且支持响应回卷,因此尽管它有通用性 和扩展性的问题,本文还是采用该技术来实现自动响应和响应回卷. 3.2 响应回卷触发时机

5 响应状态的改变有两种情况, 第一是当前的响应状态回退到过去的状态, 这种情况可以 通过响应回卷来实现;

第二是当前的响应状态迁移到从来未出现的新状态. 第一种情况引发 响应回卷,其原因有: (1)入侵检测进程检测到误报后 典型的情况是入侵检测进程支持非单调逻辑推理机制, 当它采集到的数据推翻其原有的 安全结论时,它发出响应回卷命令,要求响应系统回卷以前做出的响应. (2)入侵意图识别进程取消预警后 当前的安全状态与先前预测的不一致时, 应该取消原有的预警, 通知响应系统回卷先前 的响应. (3)中止检测模块检测到入侵已停止后 中止检测模块采........