自动入侵响应系统的研究

第30卷 Vo|．30 第11期 №ll 计算机工程 ComputerEngineering 2004年6月 June2004 ·发展趋壹y热点技术· 文章缱号：1000---3428(2004)!I—m001—m3文献撂tR码：A 中圈分类号。TP309 自动入侵响应系统的研究 张运凯。‘2，张玉帮，王长广‘，王方伟。，马建蜂 (1 ti,j'．1L师范大学网络信息·扣心，石家庄050016；2西安电子科技大学计算机学院，西安710071， 3中科院研究生院国家计算机网络入侵防范中心，北京100039) 摘要：面对大量网络攻击事件，自动入侵响应系统能够在入侵发生后主动采取措施阻击入侵的延续和降低系统的损失．保护受害系统。珐 文给出了自动入侵响应的结构和简单分类，分析了基于自适应技术、移动代理技术、IDIP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 和主动网络的自动入侵响应系统的技术和疗 法。指出r自动入侵响应系统目前存在的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 和今后的研究方向。 关健诃：入侵响应；自适应；移动代理；IDIP；主动网络 ResearchontheAutomatedIntrusionResoonseSystems ZHANGYunkai。‘2sZHANGYuqin93，WANGChangguang。，WANGFangwei。，MaJianfengz NetwotkCenterofHebeiNormalUniversity，Shijiazhuang050016，2SchoolofComputmScienceandEngineering，XidianUniversity， Xi’aft710071．3NationalComputmNetworkIntrusionProtectionCenter．GSCAS．Bering100039) ]Abstract]withalargeamountofnetworkattacksthein“usionresponsesystemscanactivel)‘protectthecompromisedsystemsandi／1inimizetheloss olthesystemafletheIntrusionhappenedThispaperptcsentsanautomatedintrusionresponsemodelanditssimplecategoliesthenanalyzesthe automatedintrusionresponsetechniquesthataJ℃basedOllselt=adaptation，mobileagenttechniques，[DIPandactivefletWOlks，andtinallydiscussesthe existingproblemsandli]tulcresearchdircclioninthisIicld ’ [Keywords]Intrusionresponse；SellLadaplalion；MobiIcagent；ID【P：Activenetworks 随着计算机网络的不断发展和普及，安全问题日益严 重，已成为当今研究的重点。现有防范网络入侵的方法可分 为4类，即入侵预防、入侵检测、容忍入侵和入侵响应。入 侵预防系统利用认证、加密和防火墙技术来保护系统不被入 侵者攻击和破坏。但是，实践证明入侵预防系统并不能防止 所有的入侵。入侵检测系统(IDS)是根据分析采集的主机系 统或网络的活动来检测入侵行为，入侵检测系统分为基于主 机的入侵检测系统和基于网络的入侵检测系统。有些入侵检 测系统只有有限的响应功能，当检测到入侵行为时，它们可 以采取报警、 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 系统管理员或断开本地连接等多种方式。 然而，这砦方式大多是被动的，也很难知道入侵者来自何 方。人们已经认识到没有任何的系统可以保证绝对不被入 侵，所麒为了建立一个可生存系统，人们提出r容忍入侵的 矗、祛。入侵预防、入侵检测和容忍入侵在解决网络入侵问题 f：都发挥了很大的作用，但这些方法都是被动地解决入侵闸 题。而入侵响应系统在入侵发生后能够主动保护受害系统， 阻击入侵者。目前，入侵防范研究的重点还是在入侵预防和 入侵检测匕，入侵响应火都只是在IDS系统中实现，其响应 力．式和响应能力受到一定限制。国外已经在入侵响应系统的 技术方法和模型上进行r研究，我国在入侵响应方面的研究 刚蹦起步。 1自动入侵响应系统的模型和分类 1．1自动入侵晌应系统的模型 自动入侵响应系统的模型如图1。系统的输入是入侵检 测系统输出的安全事件；响应决策模块依据响应决策知识 库，决定对于输入的安全事件作出什么响应，产生响应策 略；响应策略用某种中间语言描述，然后由响应执行模块解 释执行，并调刚响应工具库中预先编制好的响应工具；响应 评估模块对作出的响应进行评估，评估结果再反馈到响应决 策模块，调整和改进响应决策机制。在自动入侵响应中，响 应决策模块是整个系统的核心，因为及时、有效、合理的响 应策略是提高系统响应性能的关键。 圈l皂砖入侵响盅系统蚺模量 1．2自动入侵响应系统的分类 自动入侵响应系统从响应方式可分为基于主机的入侵响 应系统和基于网络的入侵响应系统。基于主机的入侵响应系 统主要针对主机系统的入侵，其响应主要在受害主机上进 行，其响应方式有记录安全事件、限制用户权限、暂停用户 进程、封锁用户账号、建立箭份系统等。基1二网络的入侵响 基金理目：国家信息关肪与网络安全保障持续发展计划、国家 “863”高技术研究发展汁划项目(2002AAl42151)；中国科学院知 识创新工程方向性项目(KGCX2一106)；北京市科技计划项 目(H020(20090530) 柞者倚介：张运凯(1965一)，男。副教授、博士生，研究方向：网 络蚤全；张玉清，副研究受、博士后；王托广，讲师、博士啦；王 方伟，硕士；马建峰，教授、博导 收薯日期：2003—06-24E-mail：zhyk@mailhebtucducn ——l—— 万方数据 应系统针对网络的入侵，其响应主要在防火墙、网络设备和 网管工作站上进行，其响应方式主要有记录安全事件、隔离 入侵者IP、追踪入侵、断开危险连接、反击攻击者掣”。 自动入侵响应系统从响应范围可分为本地响应系统和协 同响应系统。本地响应系统是根据本地的安全事件信息，在 本地主机或网络设备上进行局限于本地的响应。协同响应系 统是在大规模网络中，各响应系统之间在整十网络内的主机 或网络设备上共享安全事件信息、协同响应，使响应系统作 出更合理的响应，使系统总的损失达到最小。 2自动入侵响应系统的分析 从自动入侵响应采用的技术角度来分析，自动入侵响应 系统目前采用自适应技术”、移动代理技爿F’、IDIP协议 (IntruderDetectionandIsolationPmtec01)、入侵者检浏与隔离 协谢11和主动网络拉荆1等多种技术，下面分别分析采用这 些技术的自动入侵响应系统o 2．I基于自遗廖使术魄入侵_l应熏糖 在入侵响应系统中，响应决策应该具有一定的自适应 性。自适应性就是要能够处理各种不确定因素，自动调整响 应方式。Curtis提出了一种基于代理的自适应技术入侵响应 系统的框架结构AAIRS(AdaptiveAgent—basedIntrusion ResponseSystem)，其结构如图2所示。AAIRS系统的优点在 于它良好的自适应性，而且在响应决策中考虑了环境约束， 使得响应更加台理、有效。 町AAI％∞莆■ 在AAIRS中，IDS监视系统并产生安全事件报告a接口 代理把事件统一表示为CIDF(CommonIntrusionDetection Form甜)格式，并依据对IDS以往误报率的统计，赋予当前事 件一个可信度值，可信度由专家赋值，并在检测过程中采用 自学习方式动态更新，将这个值与事件报告交给主分析代理 (MasterAnalysisagent)。主分析代理首先判断当前事件是一 个新的攻击，还是一个原有攻击的延续；若是一个新的攻 击，则创建一个新的分析代理来进行响应分析；如果是一个 已有攻击的延续，则将事件报告和可信度交给与原有攻击相 对应的分析代理进行处理。分析代理将会调用响应分类代理 对事件进行洋细分类，据此产生相应的响应策略；分析代理 还会调用策略 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 代理以保证响应策略符合道德、法律、系 统安全政策以及资源和环境等约束；最后分析代理将决策产 生的响应策略传给响应决策代理。响应决策代理将响应策略 分解为具体的响应步骤，并调用响应工具库中相应的程序来 执行响应。在分析代理对响应策略决策的过程中和响应决策 代理对具体响应动作的决策过程中，都引入了自适应技术； 一2 系统记录每次响应的结果，统计不同策玮和具体响应措施在 以往事件中成功响应的概率，并据此优化响应的决策过程。 从lRs系统在以下两方面处理不确定因素，实现了系统 的自适应。 (1)检测的不确定性。IDS检测列的原始安全事件有一定的误报 率．AAIRS为每一十安全事件赋予一十可信度．每个安全事件有多 种不同的响应方式，对于可信度大的事件采甩较严厉的方式，对可 信座小柏事件采用较温和的的方式- (2)响应的不确定性。响应系统对于接到的安全事件报告必须能 够判断是新的事件还是原来安全事件的一部分．两者的响应方式是 不同的；另外，系统根据响应措施执行的成功与否．殛时更换响应 方式。 2．2基手移磅代理曲自葫响应秉筑 移动代理是一段官邑在网络中传播的智能程序，它能接受 用户的指令．在网络中漫游并完成所赋予的任务。要使代理 能够正常运行，需要特殊的结构来执行操作或传送代理。移 动代理这种机制定义了3个属性，即移动性、可执行性、自 治性。移动性是指代码在网络中从一台主机移动到另一主机 的能力。可执行性是指作为一程序可以被执行的能力。自治 性是可以自我独立运行并作出决定的能力。 移动代理技术已经用于各种网络应用中，特别是在网络 管理和入侵检测系统更为广泛。WayneJansen在他的论文中 提出了把移动代理技术应用于入侵响应．并指出移动代理在 入侵响应中应用的潜力比在入侵检测中大得多pI。由于入侵 响应可能从网络的任何地方发起，因此基于移动代理的入侵 响应秉统比普通的IDS处理入侵更有优势。由于移动代理的 移动特性，移动代理入侵响应系统能够实现以下功能： (1)跟踪入侵者o．入侵者经过一系列主机到达目的主机，而 且经常伪造源地址。为了发现入侵者，移动代理可以描^侵路径反 向跟踪来找到真正的攻击壕o (2)在受害主机上响应。当橙测到入侵以后，在受窨主帆上 迅速作出响应是至关重要的。快速响应可以防止入侵者进一步控制 主机，扩大攻击范围．从而可以减少^侵所造成的损失。 (3)在人侵蔼端响应。在^侵蔼主机上响应能够有力地限制 入侵者行为，这要求入侵者主机上要有移动代理运行平白，实现起 来有一定困难，但其有效性还是使其直用具有一定措力。 (4)搜集证据。移动代理能够在任何地点、任何时问执行特 定任务，它能謦从不同的硬件平台、不同的操作系统甚至不同的应 用程序收集信息。所以移动代理能档实现入侵证据的搜集。 (51隔离入侵者和受害主机。在八侵源和受害主机上的响应失 败后，移动代理技术可以在网络级阻断入侵源或受害主机的连接。 2．3基于mIP静墩曲自莉晌应摹筑 DSehnackenberg提出了一种协同入侵跟踪和响应结构 ClTRA(CooperativeIntrusionTracebackandResportse Architecture)。C[TRA采用lDIP协议，使用入侵检测系统、 路由器、防火墙、网络安全管理系统和其它部分相互配合以 实现下列目的： (I)穿越网络边界，追踪网络入侵。 (2)入侵发生后，防止或减轻后续破坏和损失。 (3)向协调管理器报告入侵括动。 (4)协调入侵响应。 cITRA分两级结构，见图3所示。一是ClTRA共同 体，每一个共同俸是一个管理域，该域内所有的入侵检测 和响应系统被发现协调器管理；二是共同俸由多个邻居组 成，这些邻居由边界控制器相互连接，每个邻居内都有入侵 检测和响应系统，入侵跟踪就是从一个邻居通过边界控制器 追踪到另一个邻居。 万方数据 -．÷-_-__⋯一一+J．．．． 啊3IDIP共日体 髓4IDIP入侵响应 CITRA的主要部分是lDIP协议，IDIP协议定义了CITRA 各部件的信息交换的方式。IDIP协议有3种信息类型，即 trace、report和directive。 IDIP协议主要提供一种大规模网络环境下的协同响应方 法。IDIP的响应如图4所示。对于一次攻击(如图4中曲线箭 头所示)，首先检测到入侵的IDIP节点会向它所有的邻居节 点发送一个事件报告，接收到的节点会首先判断自己是否在 攻击路径上，如果是，它将会继续发送这个事件报告给其它 的邻居节点。所有在攻击路径上的IDlP节点在向邻居节点发 送事件报告的同时，会把这份报告和它已采取的响应发送给 发现协调器，发现协调器综合各节点的信息，协调各节点的 响应，从而达到全局最优的响应。 2．4基于主葫冈络的自动响应系统 根据文献[6】关于主动网络的概念，主动网络由一组称 为主动节点的网络节点构成。每个主动节点可以是路由器或 交换机，这些主动节点共同构成了主动网络的执行环境。主 动网络中的报文，内嵌“小程序”，当其流经主动节点时， 报文中的程序被激活执行，从而改变消息自身的内容或改变 主动节点的环境状态。例如，一个用户可以向某些路由器发 送“trace”程序，以便在数据包经过这些节点时执行该 “trace”程序，处理该数据包，以实现路由跟踪。 当发现入侵后，及时找到入侵源就可以更好地作出有效 响应，如果不能有效地追踪到入侵源，入侵响应只能被动地 限制在受害主机附近。例如，当发现DDoS攻击时，越是在 入侵源附近采取阻断、隔离等措施，响应的效果就越好。所 以，入侵跟踪在网络入侵响应中非常重要。根据主动网络的 特点，如果采用基于主动网络的入侵响应，可以很好地实现 入侵跟踪和自动响应。图5和圈6比较了被动的本地响应和主 动的远程响应o ， 匝圃臣互口 圈5麓曲本地响应 圈6主动近程响应 采用基于主动网络的入侵响应系统，在主动节点上能够 实现以下功能： (1)远程监视。当成功跟踪入侵者后，接近入侵者的主动节 点可以监视入侵者的行为并报告被攻击目标。 (2)远程诱骗：在主动节点上，可以动态建立类似干陷阱的 应用。设置陷阱给入侵者造成响应延时，让入侵者觉得仍和受害主 机保持连接，但实际上连接已经断开，这样可进一步监控入侵者。 (3)远程阻塞和围堵：当成功地实施了入侵追踪，就能够沿 入侵路径主动网络节点上实现对入侵者的远程阻塞。远程阻塞与现 有的本地阻塞不同，因为远程阻塞发生在朝向入侵者的一系列主动 节点上。远程阻塞可以和远程陷阱合在一起来诱骗入侵者，实现对 入侵者的围堵，入侵者将被封闭起来。 (4)远程隔离：在对入侵源的迫踪和响应期间，主动网络节 点能够将被入侵者控制的用作“跳板”的主机隔离出来。 (5)动态边界防御：通过实现上述主动网络响应，可建立起 一个动态的防御边界。 通过对上述几个自动入侵响应系统的分析，基于自适应 和移动代理技术的入侵响应是基于主机的入侵响应。AAIRS 只能在本地主机对入侵进行响应，其响应方法和能力受到一 定限制，移动代理技术能在通过其移动性在入侵者主机及其 附近响应，但受其运行平台和移动代理本身安全性限制，响 应系统的实用性有一定问题。基于IDIP协议和主动网络妁入 侵响应系统主要是基于主机和网络的混合协同响应系统。 CITRA能够把路由器、IDS、安全网络管理器等网络和主机 设备利用IDIP协议共同响应入侵，文献【7】中实验证明它能 对DDoS攻击达到了很好的效果。采用主动网络技术的入侵 响应系统，特别是主动网络和IDIP协议结合的入侵响应系 统，能够在大规模网络范围内实施功能更强的、更有效的入 侵响应。 3结柬语 随着网络攻击的复杂化、自动化，给网络入侵检测和响 应带来了很大的挑战，自动入侵响应系统在保证系统安全方 (下转第42页) 一3一 万方数据 [：：jji芦ss吖t耻掩制器部分 ≤≥≯萱≤漉 南灞}鬻I蒋(sosHi椭¨”／n=·．‘蟛”¨ 分眦蓟J第m4将此脂并请求分眦剑 ⋯篓筑4l。 ?(_+I)个}蝌(m+1)个sⅢ代P”敉块?oj‘掣婴 模块的1}1_’I‘处州 扶1111’裂 务 囟面：分 圈3SSLl屯曩■棹藏程 3．3ssU锶的性曲和安全分析 从对ssL代理结构分析可知，这种SSbft理在一定程度 上解决了SSL的性能问题。 对于SSL的安全问题，采取以下一些措施： (1)利用已经验收的PKI(PublicKeyInfrastructure，公钥基础设 施)课题(注：中国科学院知识创新工程重大项目“网络核心技术 和保障体系”的课题“PKI技术研究与应用”)的研究成果——入 侵容忍的CA系统，给SSL代理和客户端颁发X509v3证书，解决了 服务器端认证和证书链长度的问题，从而解决了引用完整性问题。 在安全级别要求较高的情况下，建议SSL协议要进行客户端认证。 (21在SSL代理的实现中，选择RSA的密钥长度为1024bit，加 密算法为3DES，master_secret在SSL会话恢复机制中昀有效期为 12h。从目前的情况看，算法安全强度能够保证n (3)在SSL代理的实现中，采用内存锁定保存master—secret和文 件加密保存服务器端的私钥的方法。由于SSI。代理控制器能将内外 两隔离的作用，这些常见的方法是比较安全的，对于maIster—secret 的查询和存储开销也较少。总之，通过SSL代理控制器的隔离作 用，使内部密钥信息的存储安全问题得到一定的缓解。 引入的SSL代理控制器可能会成为敌手攻击的目标。由 于SSL代理模块是真正处理SSL会话的部分，它与客户端之 间建立起加密的安全通道。即使SSL代理控制器被攻占，敌 手在控制器上能获取的有效信息并不比在公开信道上获取的 多。对SSL代理控制器的攻击往往不是直接针对SSL协议本 身的攻击，而是针对ssL代理控制器的整个计算机系统(如 操作系统)的攻击。敌手攻击ssL代理控制器会对整个系统 产生的威胁有两类：(I)通过攻占SSL代理控制器，进而攻 击SSL代理模块；(2)通过攻击sst,代理控制器，大大降低其 性能，从而降低整个系统的有效性。我们也注意到SSL代理 控制器的整个计算机系统可能会成为敌手攻击目标这个问 题。我们有一个“863”计划的在研课题——坚固网关项 目，由于SSL&理控制器也是网关，今后可以把入侵检测等 功能引入上来。 4盛结 在网上公开的openssll61工具包的基础上，在Windows 2000和Linux两个平台上通过局部修改实现了这一 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。今 后将进一步对SSL的算法函数进行替换和扩充。实践证明这 一方案是安全的、高效的、透明的ssL代理方案。 参考文献 l RescorlaE崔 凯译SSL与TLSDesigningandBuildingSecure Systems北京：中国电力出版社，2002 2ViegaJ．MessierM，ChandraPNetworkSecuritywithOponssl Publisher：O’Reilly＆As．sociates，2002 3WagnerD，SehneierBAnalysisoftheSSL3．0ProtocolTheSecond UsenixWorkshoponElectronicCommerceProceedings，UsenixPress， 1996一II：29-40 4RFC2246：TheTLSProtocol(Version1 0lhttp：／／wwwfaqsorWrfc'“ m2246html 5SSL3．0Specificationhtlp：Uwp．netscapocom／enWssl3／ 6OpenSSLTheOpenSourceToolkitforSSL-TLShttp：／／wwwopenssl org／ ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ (上接第3页) 面将起到重要作用。近年来，一些新的方法也应用到自动入 侵响应中，比如风险评估、遗传算涮81等。今后自动入侵响 应的研究将集中在入侵响应新的方法和策略、协同自动入侵 响应、主动网络响应等几方面。 自动入侵响应系统还处在初步研究阶段，系统的实用性 研究还有很长的路要走。在我国，自动入侵响应的研究几乎 还是空自，我们应加快这方面的研究。 参考文献 l CarverCAIntrusionResponseSystems：ASurveyhttp：#faeultyes lamuedu／ 2SchnackenbergD．DjahandariK，SterneDInfrastructurelbrIntrusion DetectionandResponseIn：ProceedingsoftheDARPAInformation SurvivabiIRyConferenceandExposition(DISCEX),HiltonHead， SouthCarolina，2000-0I 3 CarverJrCA，HillJ MD，PoochUAMethodologyforUsing IntelligentAgentstoProvideAutomatedIntrusionResponseNew —42一 York：lEEESystems．Man，andCyberneticslnformationAssuraneeand SecurityWorkshop，WestPoint，2000-06—06 4JansenW．MelIP．KarygiannisT．etalApplyingMobileAgentsto IntrusionDetectionandResponseNISTInterimReport(IR)6416， 1999．10 5 WangXY．ReevesDS．WuSF，etal SleepyWatermarkTracing： AnAetiveIntrusionResponseFrameworkParis，France[n：theProee- edingsofl日“InternationalConFerenceofInformationSecurity(IFIP／ SECOJk200】 6TennenhouseDLASurveyofActiveNetworkResearchIEEE CommunicationsMagazinei1997，35(1)：80-86 7SterneD，DjahandariK．SchnackenbergDAutonomicResponseto DistributedDenialofServiceAtracksNAILABS．AdvancedSecurity ResearchJournal，2002，4(1) 8DasguplaD，GonzalezFAAnIntelligentDecisionSupportSystemfor IntrusionDetectionandResponseStPetersburg,R0ssia：In：Proce— edingsofInternationalWorkshop013MathematieaIMethods．Models andArchitecturesforComputerNetworksSecurityfMMM-ACNS)， 200l-05—2l 万方数据 自动入侵响应系统的研究 作者： 张运凯， 张玉清， 王长广， 王方伟， 马建峰 作者单位： 张运凯(河北师范大学网络信息中心,石家庄,050016;西安电子科技大学计算机学院,西安 ,710071)， 张玉清(中科院研究生院国家计算机网络入侵防范中心,北京,100039)， 王长广 ,王方伟(河北师范大学网络信息中心,石家庄,050016)， 马建峰(西安电子科技大学计算机 学院,西安,710071) 刊名： 计算机工程 英文刊名： COMPUTER ENGINEERING 年，卷(期)： 2004,30(11) 被引用次数： 5次 参考文献(8条) 1.Dasgupta D;Gonzalez F A An Intelligent Decision Support System for Intrusion Detection and Response. St. Petersburg, Russia 2001 2.Sterne D;Djahandari K;Schnackenberg D Autonomic Response to Distributed Denial of Service Attacks 2002(01) 3.Tennenhouse D L A Survey of Active Network Research[外文期刊] 1997(01) 4.Wang X Y;Reeves D S;Wu S F Sleepy Watermark Tracing: An Active Intrusion Response Framework 2001 5.Jansen W;Mell P;Karygiannis T Applying Mobile Agents to Intrusion Detection and Response 1999 6.Carver Jr C A;Hill J M D;Pooch U A Methodology for Using Intelligent Agents to Provide Automated Intrusion Response 2000 7.Schnackenberg D;Djahandari K;Sterne D Infrastructure for Intrusion Detection and Response 2000 8.Carver C A Intrusion Response Systems: A Survey 引证文献(5条) 1.罗运.陈蜀宇 网络安全联动系统研究[期刊论文]-西华大学学报（自然科学版） 2007(1) 2.吴庆佺 入侵检测和防火墙联动技术研究[学位论文]硕士 2006 3.何小东.梁小丽 网络入侵免疫系统研究的新进展[期刊论文]-电子技术应用 2005(10) 4.李红霞 串匹配型入侵检测系统的改进研究[学位论文]硕士 2005 5.张亚平 基于分布智能代理的自保护系统研究[学位论文]博士 2005 本文链接：http://d.g.wanfangdata.com.cn/Periodical_jsjgc200411001.aspx