返回
基于成本分析的自适应入侵响应系统

基于成本分析的自适应入侵响应系统

ID:21655156

大小:28.50 KB

页数:7页

时间:2018-10-23

基于成本分析的自适应入侵响应系统_第1页
基于成本分析的自适应入侵响应系统_第2页
基于成本分析的自适应入侵响应系统_第3页
基于成本分析的自适应入侵响应系统_第4页
基于成本分析的自适应入侵响应系统_第5页
资源描述:

《基于成本分析的自适应入侵响应系统》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、基于成本分析的自适应入侵响应系统[摘要]自动入侵响应是一种有效的对付入侵的手段。本文介绍了成本分析理论,并将该理论应用于自动入侵响应中,设计了基于成本分析的自适应入侵响应系统,简述了该系统中各个功能模块,详细介绍了分析代理和成本分析代理的功能应用。  [关键词]入侵响应自适应成本分析    随着计算机网络的不断普及和发展基于成本分析的自适应入侵响应系统[摘要]自动入侵响应是一种有效的对付入侵的手段。本文介绍了成本分析理论,并将该理论应用于自动入侵响应中,设计了基于成本分析的自适应入侵响应系统,简述了该系统中各个功能模块,详细介绍了分

2、析代理和成本分析代理的功能应用。  [关键词]入侵响应自适应成本分析    随着计算机网络的不断普及和发展,网络入侵日益猖獗,作为一种对抗入侵的有效方法——入侵响应对保护系统安全性显得越来越重要。目前的入侵响应大都只是在入侵检测系统中实现,响应方式多为手动响应,因而响应能力受到一定限制。为了能够快速及时的响应各种入侵,人们研究了多种自动响应技术来响应入侵。  美国得克萨斯A&M大学的Carver提出了一种基于代理的自适应入侵响应系统AAIRS,该系统能够快速及时的响应各种入侵攻击,并且考虑了各种环境因素并具有良好的自适应性,但不足之

3、处在于AAIRS在做出响应决策的时候并没有考虑到成本代价问题,即入侵值不值得响应的问题,使系统为此付出很多不必要的代价。  本文首先对广泛应用的成本分析理论做了简要介绍,并结合自动入侵响应的方法特点,将成本分析理论应用于AAIRS中,构架了一个基于成本分析的自适应入侵响应系统CAIRS,重点研究该模型中的分析模块和成本分析模块,并对系统做了简要分析。   一、成本分析理论  所谓成本分析,简单地说,就是考虑付出与收获之间的代价平衡。对于入侵响应来说,也面临着同样的问题,这就是入侵响应的成本分析问题。  入侵响应过程中涉及的成本因素可

4、以分为损失代价(Dcost),即在响应系统不做响应,攻击对系统造成的损失;响应代价(RCost),即系统对攻击做出响应所付出的代价。针对IDS检测到的具体入侵行为,如果其损失代价大于响应代价,即DCost≥RCost,则采取相应的响应措施;如果DCost  二、CAIRS系统结构  基于AAIRS系统和成本分析原理,本文设计了一个基于成本分析的自适应入侵响应系统CAIRS,系统结构如图所示。  在该CAIRS中,多个IDS监视一个计算机网络系统并生成入侵事件报告。接口代理把事件表示成为统一格式,并依据对IDS以往误报或漏报的统计,赋

5、予当前事件一个可信度值,将这个值与事件报告交给分析代理。为了生成一个比较合理的响应策略,分析代理会判定和分析该事件报告,并调用响应分类代理对攻击进行分类,同时调用策略规范以保证响应策略符合法律、道德、习俗以及资源等约束。成本分析代理接收分析代理传递的策略方案和响应分类代理传递的攻击分类,在此评估策略方案的响应代价和攻击造成的损失代价,比较代价大小,据此判定是对入侵不予响应,只传给记录器备份,还是将策略传给决策代理,调用响应工具库中的工具实施响应。在分析代理和决策代理中都引入了基于以往成功响应的自适应技术。   该系统结构中,分析代理

6、和成本分析代理是最主要的两个部分,下面详细介绍这两个代理模块的结构及功能。  1.分析代理  分析代理的功能是调用策略规范和响应分类生成合理的响应方案,它包括一个判定部件和多个分析部件。  (1)判定部件  判定部件根据事件报告的时间和攻击类型,判断入侵事件是新的攻击还是原有攻击的延续。如果该事件是一次新的攻击,就创建一个新的分析部件,并将事件报告和相关的可信度传送给它。如果该事件是已有攻击的延续,则仅向原攻击对应的分析部件传送事件报告和可信度。  (2)分析部件  分析部件的主要功能是根据判定部件结果,通过调用策略规范和响应分类代

7、理生成合理的响应方案。该方案包括一个或多个方案步骤(planstep),支持每个方案步骤的策略(tactic),以及支持每个策略的具体实施步骤(implementation),简称PTI。对应于新攻击的新建分析部件,必须建立一个新的方案;对应于原有攻击的已存在的分析部件,检查其成功度和可行性改进方案。2.成本分析代理  成本分析代理主要功能是估算攻击带来的损失代价和响应攻击的响应代价,比较二者大小,采取不同措施。  (1)损失代价的估算  要对代价进行准确的估算,必须制定合适的代价规则,而攻击分类对于制定有意义的代价规则必不可少,将

8、攻击分成不同的类别以便能把相似的攻击作为一类进行代价估算。Lindqvist使用入侵后果的严重性和被攻击目标的重要性来对攻击进行分类。SANS研究机构的主要负责人Northcutt便根据这种攻击分类,对一次入侵事件中的两个要素——攻击

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。