国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于危險理論的自動入侵響應系統(tǒng)模型

2012-11-06 11:40:12彭凌西謝冬青付穎芳熊偉沈玉利
通信學報 2012年1期
關鍵詞:代價自體抗原

彭凌西,謝冬青,付穎芳,熊偉,沈玉利

(1. 廣州大學 計算機科學與教育軟件學院,廣東 廣州 510006;

2. 網(wǎng)絡與數(shù)據(jù)安全四川省重點實驗室,四川 成都 611731;

3. 北京工業(yè)大學 計算機學院,北京 100124;

4. 仲愷農(nóng)業(yè)工程學院 計算機科學與工程學院,廣東 廣州 510225)

1 引言

入侵響應系統(tǒng)的作用是在入侵檢測系統(tǒng) (IDS,intrusion detection system)對網(wǎng)絡活動進行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果后,進行適當?shù)娜肭猪憫猍1]。入侵響應技術是基于主動防御思想的新一代的網(wǎng)絡安全技術,在保護網(wǎng)絡安全上具有十分突出的意義,是目前網(wǎng)絡安全技術發(fā)展的重要方向。

現(xiàn)有對自動入侵響應的研究資料或文獻相對較少,在這些研究中,F(xiàn)isch最早對入侵響應分類進行了研究,提出了以入侵被檢測到的時機以及響應目標進行分類,該方法的缺點是考慮的因素不夠全面[2]。Curtis在此基礎上提出了更為全面的入侵響應方式分類方法,該方法綜合考慮了攻擊的進度、攻擊的類型、代價作為響應決策的依據(jù)[3]。Wenke L提出了一種基于響應代價作為響應決策的依據(jù),從而出現(xiàn)了基于成本敏感的響應決策模型,但方法中響應代價的量化方法過于粗糙[4]。Wu Y S等設計并實現(xiàn)了一種名為ADEPTS的自動響應系統(tǒng)模型,利用入侵有向圖對系統(tǒng)傳播風險進行建模,并根據(jù)具體的攻擊效果來進行適當?shù)捻憫猍5]。Mu C P等提出了一種基于層次任務網(wǎng)絡計劃的入侵響應決策模型,包括響應決策制定過程以及決策響應時間[6]。Cuppens等提出了一種基于上下文和本體方法入侵響應方法,并定義了一套規(guī)則來執(zhí)行這種基于策略的入侵響應[7]。張劍等提出了一種可回卷的自動入侵響應系統(tǒng),該方法根據(jù)IDS檢測到的攻擊行為進行響應,待判定攻擊會話結束后進行響應回卷[8]。穆成坡等提出了一種基于模糊認知圖的自動入侵響應決策推理機制[9]。吳姚睿等提出了一種通過關系圖建立攻擊群模型的方法,通過判斷攻擊序列重構協(xié)同入侵行為的攻擊過程,并對攻擊行為做出響應,從而達到最大程度地減少響應成本的目的[10]。

從總體上分析,當前自動入侵響應研究主要存在2個問題,首先是由于目前IDS普遍存在的高誤報率和漏報率,造成自動入侵響應系統(tǒng)難以判斷真正“危險”的入侵或者攻擊行為,因而影響了入侵響應決策的判斷。另外,目前國內(nèi)外提出的一些入侵響應模型或方法,大多缺乏嚴格、全面、定量的數(shù)學模型,進行動態(tài)響應策略調整,因而在具體應用中存在很大的局限性。

計算機安全問題與生物免疫系統(tǒng)(BIS, biological immune system)所遇到的問題具有驚人的相似性,兩者都要在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性。基于人工免疫(AIS, artificial immune system)的網(wǎng)絡安全技術具有多樣性、自適應、頑健性等特點,被認為是一條非常重要且有意義的研究方向[11,12]。目前,在人工免疫應用于網(wǎng)絡安全技術的研究中,Hofmeyr和Forrest等基于“自體—非自體”理論[13],提出了一種通用的人工免疫系統(tǒng)實現(xiàn)架構,并設計了一個計算機免疫系統(tǒng)(CIS, computer immune system)LISYS[14],LISYS對后來CIS的研究產(chǎn)生了深遠的影響,現(xiàn)今基本上所有的 CIS模型都是基于LISYS的結構。著名免疫學家Matzinger提出了著名的危險理論[15],危險理論指出,免疫系統(tǒng)中不只是進行“自體—非自體”的識別,而是對受侵害組織的“危險”發(fā)出危險信號。由于現(xiàn)有計算機免疫系統(tǒng)模型存在的因自體空間巨大而效率低下的問題[16],因此在相關的網(wǎng)絡安全技術研究中,有必要進一步引入危險理論,將識別原理從對“自體—非自體”的識別轉變?yōu)閷Α拔kU”的識別。

為使網(wǎng)絡信息系統(tǒng)能對真正具有“危險”的入侵攻擊進行響應,降低入侵響應系統(tǒng)響應代價和響應次數(shù),基于危險理論,本文在建立網(wǎng)絡安全環(huán)境下人工免疫系統(tǒng)的自體、非自體、免疫細胞等集合定義后,提出了一種新的基于網(wǎng)絡實時危險的自動入侵響應系統(tǒng)模型(AIRSDT, automated intrusion response system model based on danger theory),該模型首先對網(wǎng)絡入侵或攻擊進行實時危險評估,實時定量計算各類攻擊和總體網(wǎng)絡危險強度,然后據(jù)此自動調整入侵響應策略,解決了目前自動入侵響應研究中難以判斷真正“危險”的入侵或者攻擊行為的問題,從而降低了入侵響應次數(shù)和響應綜合代價,理論分析和實驗結果均表明,AIRSDT為自動入侵響應系統(tǒng)研究提供了一種有效的新方法。

2 模型理論

定義論域 D={0, 1}l,l為正整數(shù),抗原集合Ag?D,自體集合 self?Ag,非自體集合Nonself?Ag, 有 Self∪Nonself=Ag,Self∩Nonself=?,其中Ag表示通過從網(wǎng)絡IP數(shù)據(jù)分組中提取的IP地址,端口號或協(xié)議類型等網(wǎng)絡事務特征的二進制表示,Self集為正常網(wǎng)絡服務事務,Nonself集為來自網(wǎng)絡的攻擊。

用四元組<d, age, count, s>來描述免疫檢測器集合B,其中d為抗體基因,d∈D,age為抗體年齡,age∈N,count為匹配數(shù),count ∈N,s為模擬“危險理論”,檢測器受到攻擊后的“危險性”,s ∈R,N為自然數(shù)集合,R為實數(shù)集合。免疫檢測采用海明距離、歐式距離、r-連續(xù)比特(r-contiguous bites)匹配函數(shù)[13]等計算方式。記憶檢測器集Mb為不與自體匹配且與抗原匹配數(shù)不小于β的免疫檢測器組成。定義成熟免疫檢測器集合Tb,由不與自體匹配且與抗原匹配數(shù)未超過匹配數(shù)閾值β的免疫檢測器組成,β ∈N。類似地,用二元組<d, age>定義未成熟免疫檢測器集合 Ib,Ib由抗體基因庫產(chǎn)生以及隨機生成。Ib在通過自體耐受,通過α個耐受周期并刪除那些識別自體抗原的未成熟細胞后,成為成熟免疫細胞,α ∈N。

AIRSDT首先對入侵或攻擊行為進行檢測并評估,實時定量計算出主機和網(wǎng)絡所面臨的總體危險和各類攻擊危險,然后根據(jù)具體危險數(shù)值對網(wǎng)絡入侵或攻擊行為進行入侵自動響應或進行響應回滾。

2.1 入侵實時危險評估

對一個輸入的抗原集合Ag,分δ代(δ為正數(shù))進行訓練,每代選出一定數(shù)量的抗原組成sAg抗原集合,通過B集合的檢測把它分類為自體和非自體。具體過程分為以下3個階段。第一階段為0時刻到一個耐受期α結束的時刻,需要定義初始的自體集合Self(0)和未成熟細胞集合Ib(0),后者經(jīng)前者耐受后成為成熟細胞。第二階段從α+1時刻到記憶細胞產(chǎn)生的時刻,為自學習階段,成熟細胞通過克隆選擇產(chǎn)生能識別大量不同非自體抗原的記憶細胞,而通過檢測被分類為自體的抗原最后送給未成熟細胞進行耐受。第三階段從記憶細胞產(chǎn)生到系統(tǒng)終止,免疫系統(tǒng)各部件產(chǎn)生完畢,進行實際環(huán)境中的檢測:記憶細胞檢測,成熟細胞對剩下抗原的檢測,最后未成熟細胞以剩余抗原為自體進行耐受[12]。

每個記憶細胞對應檢測某種攻擊,主機或網(wǎng)絡中的記憶細胞對檢測到的入侵或者攻擊抗原進行實時危險評估。從時間t-1到t時刻的單位時間內(nèi),對每個記憶細胞x,如果與某個抗原g相匹配,即入侵或攻擊抗原,其危險值s按式(1)增加。如果檢測到多個同樣抗原,則按式(1)對其危險數(shù)值將進行累計計算,表明該類攻擊威脅在持續(xù)增加,其中η1(>0 的常數(shù))為初始的危險數(shù)值,η2(>0 的常數(shù))模擬獎勵因子。

反之,如果該記憶檢測器在該時間間隔內(nèi)沒有檢測到入侵或攻擊抗原,則其危險性按式(2)進行計算。

設危險指標0≤rk(t)≤1為主機k在t時刻所面臨的危險:rk(t)=1,表明當前系統(tǒng)極度危險;rk(t)=0,表明當前系統(tǒng)沒有危險。rk(t)值越大,表明當前系統(tǒng)面臨的危險越高??紤]到各種主機的資產(chǎn)權重以及各類攻擊的危險性不一樣,設定μi表示第i類攻擊的危險性,對于主機k,t時刻面臨的第i (1≤i≤I)類網(wǎng)絡攻擊的網(wǎng)絡安全危險rk,i由式(3)進行計算:

對于某個主機k,t時刻整個主機的整體網(wǎng)絡危險rk(t)通過式(4)進行計算:

對整體網(wǎng)絡,其面臨的第 i類攻擊的整體網(wǎng)絡危險 Ri(t),由所包含主機k(1≤k≤K)的分類危險及其資產(chǎn)權重ωk以及所包含的子網(wǎng)n(1≤n≤N)的分類子網(wǎng)危險 Rn,i和資產(chǎn)權重ξn按式(5)進行加權計算,而其中的子網(wǎng)還可以保護下一級子網(wǎng),依此類推。

類似地,整個網(wǎng)絡系統(tǒng)的整體安全危險R(t),由主機的整體危險rk、資產(chǎn)權重ωk以及所包含子網(wǎng)的整體網(wǎng)絡危險Rn(1≤n≤N)和資產(chǎn)權重ξn進行計算,如式(6)所示。

2.2 自動入侵響應與回滾

自動入侵響應取決于2個條件,即網(wǎng)絡實時危險與攻擊強度。當網(wǎng)絡實時危險低于給定閾值時,檢測到的一些無關報警信息和虛假警報被忽略,不進行響應,對于檢測的一些攻擊信息,也通過網(wǎng)絡實時危險評估關聯(lián)起來,根據(jù)具體的網(wǎng)絡實時危險進行響應;而攻擊強度條件大于 0,則是為了避免該時間段沒有檢測到攻擊,而由于前一時間段遭受攻擊后,網(wǎng)絡實時危險數(shù)值較高,但現(xiàn)在攻擊已經(jīng)停止,這種情形則不需要響應。

式(7)用于描述主機中入侵響應的產(chǎn)生,主要來自2個方面:對主機 k,當主機的整體危險 rk(t)大于kθ(0<kθ<1),并且主機遭遇所有的攻擊(假設主機中包含了i類攻擊)的攻擊強度大于Mk;當主機遭遇的第 i類攻擊的網(wǎng)絡實時危險 rk,i(t)大于 δk,i(0<δk,i<1),且主機遭遇的該類攻擊的攻擊強度大于Nk,i。

這2個方面所對應的具體意義是,如果主機的整體危險 rk(t)及被攻擊強度分別超過了給定閾值,表明主機遭遇所有攻擊的危險程度已經(jīng)影響了主機的安全運行;而主機遭遇的某類攻擊的網(wǎng)絡危險rk,i(t)且被攻擊強度分別超過了給定閾值,表明主機檢測到同類及變種網(wǎng)絡攻擊已經(jīng)具有“危險”。

對于整個網(wǎng)絡,響應動作來自2個方面:當網(wǎng)絡的整體危險 R(t)大于 θ’(0<θ’<1),并且網(wǎng)絡中遭遇所有的攻擊(假設網(wǎng)絡中包含了i類攻擊)的攻擊強度大于 M;當網(wǎng)絡遭遇的某類攻擊的網(wǎng)絡危險 Ri(t)大于 δi’(0<δi’<1),并且網(wǎng)絡中遭遇的該類攻擊(第i類攻擊)的攻擊強度大于Ni,具體定義如式(8)所示。

類似地,這2個方面所對應的具體意義是,如果網(wǎng)絡的整體危險R(t)且被攻擊強度分別超過了給定閾值,表明網(wǎng)絡遭遇所有攻擊的危險程度已經(jīng)影響了網(wǎng)絡的安全運行;而網(wǎng)絡的遭遇的某類攻擊的網(wǎng)絡危險 Ri(t)及被攻擊強度分別超過了給定閾值,表明網(wǎng)絡檢測到同類及變種網(wǎng)絡攻擊已經(jīng)具有“危險”。

在AIRSDT模型中,對于主機,只有在主機遭遇的整體網(wǎng)絡危險和某類攻擊危險,及被攻擊強度分別大于給定的閾值的時候才進行入侵響應;而對于整個網(wǎng)絡,只有在網(wǎng)絡遭遇的整體網(wǎng)絡危險和某類網(wǎng)絡攻擊危險,以及遭遇攻擊的攻擊強度大于給定的閾值的時候才進行入侵響應。由于模型通過計算網(wǎng)絡、主機以及分別的分類網(wǎng)絡攻擊的總體網(wǎng)絡危險和攻擊強度來判斷是否進行自動響應,因此模型能較好地解決Wenke L等提出的成本敏感模型[4]中難以應對協(xié)同攻擊的問題。

Curtis對所有響應方式進行了概括,并將響應方式分為基于主機的和基于網(wǎng)絡的響應方式[3],Curtis列出的11種基于網(wǎng)絡的響應方式,結合其他文獻提出來的6種響應方式,另外本文提出6種響應方式,較全面的自動入侵響應方式如表 1所示。

在全部響應方式中,1~4,12~13,17的響應措施比較溫和,8~11,14,16,20的響應措施比較嚴厲,其余的響應措施介于兩者之間。其中 1~4,12~13,21~22的響應措施屬于被動方式,其他屬于主動方式。8~11,14~15的響應方式一般受到法律等因素的約束,而 5~7,14~16,20的方式能有效地阻斷攻擊。

AIRSDT根據(jù)網(wǎng)絡或主機所面臨的定量總體網(wǎng)絡危險進行自動響應,網(wǎng)絡危險程度越高,響應策略就越嚴厲,反之響應策略相對溫和。在本文實驗中,根據(jù)具體網(wǎng)絡危險所采取的響應策略如表 2所示,從表中同時可看出,對所有的攻擊,AIRSDT模型均采取了記錄該安全事件的響應方式,另外在網(wǎng)絡危險高于0.1時,AIRSDT均產(chǎn)生報警信息。在實際過程中,可根據(jù)網(wǎng)絡安全需要來設定具體的響應策略。

表1 基于網(wǎng)絡的入侵響應方式

表2 網(wǎng)絡危險及建議采取的響應策略

自動響應模型根據(jù)網(wǎng)絡危險情況作出響應策略,并采用消息機制的方式,將具體的自動響應策略發(fā)送給執(zhí)行響應策略的主機或者網(wǎng)絡,其中發(fā)送的響應消息Message為一個5元組,如式(9)所示。對上述22種響應方式,對應操作Action和相應的回滾操作Action如表3所示,其中的字符“Φ”表示該操作為空操作。

在AIRSDT模型執(zhí)行自動入侵響應策略后,如果網(wǎng)絡或者主機的網(wǎng)絡危險呈現(xiàn)上升的趨勢,表明網(wǎng)絡或者主機所遭遇網(wǎng)絡危險越來越大,AIRSDT將采取更加嚴厲的響應措施,避免信息系統(tǒng)進入更加“危險”的狀態(tài),從而確保信息系統(tǒng)運行安全。

表3 響應操作及相應回滾操作

對于主機,式(10)對主機進行再次響應的過程進行了描述,其中Response (t+Δt)表示主機在t+Δt時刻再次進行響應,表明由于主機遭遇到更加嚴重的攻擊,系統(tǒng)將采取更加嚴厲的響應措施。

類似地,對于網(wǎng)絡,式(11)對網(wǎng)絡進行再次響應的過程進行了描述,其中Response’(t+Δt)表示網(wǎng)絡在t+Δt時刻再次進行響應,表明由于網(wǎng)絡遭遇到更加嚴重的攻擊,系統(tǒng)將采取更加嚴厲的響應措施。

當網(wǎng)絡危險低于給定的危險閾值后,AIRSDT則自動撤銷所采取的入侵響應策略,以免影響正常的網(wǎng)絡服務。

對于主機,式(12)對主機進行自動響應回滾的過程進行了描述,其中 Rollback(t+Δt’)表示主機在t+Δt’時刻進行響應回滾[8],μk表示主機所面臨整體危險進行自動響應回滾的閾值,而ωk,i表示主機對第i類攻擊危險進行自動響應回滾的閾值。

對于網(wǎng)絡,式(13)對網(wǎng)絡進行自動響應回滾的過程進行了描述,其中 Rollback’(t+Δt’)表示網(wǎng)絡在t+Δt’時刻進行響應回滾,μ’表示網(wǎng)絡或者子網(wǎng)所面臨整體危險進行自動響應回滾的閾值,而ωi’表示網(wǎng)絡對第 i類攻擊危險進行自動響應回滾的閾值。

對于自動響應回滾策略,同樣采用消息機制的方式,如式(9)所示,將要執(zhí)行的自動響應回滾策略發(fā)送給具體執(zhí)行的主機或者網(wǎng)絡。

由于AIRSDT模型通過計算出實時網(wǎng)絡危險和被攻擊判斷是否進行響應,因此具有響應速度較快的優(yōu)點,對拒絕式服務具有一定的抵抗能力;另外,可以與防火墻很便捷實現(xiàn)聯(lián)動,具有協(xié)同性較強的優(yōu)點;最后,在網(wǎng)絡實時危險低時,可以自動進行響應回滾,因此具有資源利用率高等特點。

3 仿真實驗

實驗在廣州大學信息安全研究所的網(wǎng)絡安全實驗室進行,實驗環(huán)境為100M的局域網(wǎng),其中有計算機20臺,通過一個C類IP地址202.192.87.*連接到Internet,服務器的操作系統(tǒng)為Red Hat 9.0,服務器提供WWW,E-mail以及FTP服務,抗原定義為定長為從IP分組中提取的包含IP地址、端口號、協(xié)議類型、數(shù)據(jù)分組內(nèi)容等網(wǎng)絡事務特征的128位二進制字符串。

3.1 自動入侵響應實驗

為驗證入侵響應子模型的有效性,對網(wǎng)絡進行了模擬的smurf攻擊實驗,其中網(wǎng)絡整體危險響應閾值和分類攻擊響應閾值θ’和δi’均分別設定為0.4。圖1和圖2分別給出了正常服務情況、通過AIRSDT進行入侵響應以及沒有響應情況下3個狀態(tài)下的網(wǎng)絡流量和CPU利用率的對比情況。

圖1 3個狀態(tài)下的網(wǎng)絡流量對比

圖2 3個狀態(tài)下的CPU利用率對比

從圖1可看出在,從0s到12s之間,在沒有進行入侵響應情況下,受網(wǎng)絡攻擊的影響,網(wǎng)絡流量持續(xù)增加,相應圖2中CPU利用率也隨之增高,而從12s到20s之間,隨著攻擊強度的繼續(xù)增加,網(wǎng)絡流量持續(xù)增高,相應圖2中CPU利用率也持續(xù)增高。而在進行入侵響應的情況下,網(wǎng)絡流量和CPU利用率雖然都有所增加,但都比較穩(wěn)定。

對照圖1和圖2看出,對AIRSDT進行自動響應與不進行響應情況進行比較,進行自動響應后的網(wǎng)絡流量要比不進行響應流量小很多,CPU利用率要低出很多,但均比正常情況下略大,這是因為進行響應后,發(fā)送響應消息增加了網(wǎng)絡通信量,而進行響應處理也略微提高了CPU利用率。

實驗結果顯示,AIRSDT通過自動入侵響應,有效減小了網(wǎng)絡流量,并降低了CPU利用率。

3.2 同類響應模型對比實驗

為證明AIRSDT有效降低了入侵響應代價,將AIRSDT與RARS模型[8]在入侵響應次數(shù),以及響應代價等進行綜合比較,RARS模型與自動入侵響應模型相比,已較好地降低了響應代價。

安排網(wǎng)絡安全專業(yè)人員對網(wǎng)絡進行一天的模擬攻擊,圖 3給出了檢測到的網(wǎng)絡攻擊強度與AIRSDT的網(wǎng)絡危險曲線,其中的危險曲線是傳統(tǒng)IDS和已有入侵響應系統(tǒng)均不具有的功能,而A、B、C 3個點為系統(tǒng)的自動入侵響應點。對圖3進行分析,從 8:30~9:30之間,系統(tǒng)遭遇了 portscan攻擊,盡管攻擊強度很大,但整體危險數(shù)值并不高,只有 0.098,但檢測到的 portscan攻擊危險數(shù)值為0.825,高于0.4,因此系統(tǒng)在A點進行了入侵響應。在11:00~11:30之間,系統(tǒng)遭遇了sshtrojan攻擊,盡管攻擊強度比較小,但由于該攻擊運行攻擊者登錄到受害主機,系統(tǒng)危險數(shù)值迅速增大到 0.488,故系統(tǒng)在 B點進行了入侵響應。而在 16:30~17:00之間,系統(tǒng)遭遇了appache2和smurf攻擊,這些攻擊屬于資源耗盡型攻擊,系統(tǒng)實時危險增到 0.7,因此系統(tǒng)在C點進行了入侵響應。

圖3 網(wǎng)絡攻擊強度與危險曲線

入侵響應系統(tǒng)中的代價類型包括響應撤銷代價RRCost、操作代價OCost、響應代價RCost、損失代價為Dcost,設入侵響應系統(tǒng)R的期望綜合代價為 TCost(R),TCost(R)為所有代價的總和,入侵事件類型集合為E,則得到:

各類響應代價的量化是一個難點,本實驗中結合了Wenke L提出[4]的方法,另外將AIRSDT模型與RARS進行響應次數(shù)n,以及各類響應代價的比較,得到的結果如表4所示。

表4 入侵響應次數(shù)及響應代價比較

表4的實驗結果表明,AIRSDT與RARS模型進行比較,由于AIRSDT能夠實時準確計算出系統(tǒng)面臨的“真正”危險,并進行自動響應,這樣不僅降低入侵響應的次數(shù),提高了入侵響應的質量,而且大大降低了入侵響應的綜合代價。

4 同類研究對比

在自動入侵響應研究中,如何判斷整個網(wǎng)絡系統(tǒng)所面臨的總體危險和各類攻擊的危險情況,判斷真正具有“危險”行為的網(wǎng)絡入侵或攻擊行為,進行自動入侵響應一直是研究中一個比較難以解決的問題,本文在網(wǎng)絡危險評估實時定量計算研究基礎上,提出了一種根據(jù)“危險”的自動入侵響應系統(tǒng)模型AIRSDT,表5給出了AIRSDT模型與引言中一些模型進行的比較。

從表5可看出,由于當前已有的入侵響應模型無法對系統(tǒng)面臨的整體危險進行計算,所指定的響應策略只能被預先靜態(tài)指定,而AIRSDT結合了對系統(tǒng)整體網(wǎng)絡危險進行實時定量計算方法,從而能根據(jù)“危險”情況進行響應決策,自動調整入侵響應策略進行響應回滾策略,這樣不但能夠降低響應次數(shù),而且達到了降低響應代價的目的,因此,AIRSDT模型具有良好的自適應性。

基于網(wǎng)絡危險的自動入侵響應技術屬于積極主動的網(wǎng)絡安全防御技術,當系統(tǒng)面臨較高的網(wǎng)絡危險時候,系統(tǒng)可以采用比較嚴厲的響應策略,例如斷開入侵者連接或者攻擊入侵者,與已有自動入侵響應技術相比較,由于AIRSDT能準確實時定量計算系統(tǒng)所面臨的危險并自動調整響應策略,所以AIRSDT是對已有自動入侵響應技術的突破,對克服傳統(tǒng)網(wǎng)絡安全信息系統(tǒng)的技術缺陷,具有一定的理論意義和實際應用價值。

表5 自動入侵響應同類研究對比

5 結束語

本文首次將生物免疫系統(tǒng)中的危險理論應用到自動入侵響應系統(tǒng)的研究中,提出了一種新的自動入侵響應系統(tǒng)模型AIRSDT,AIRSDT根據(jù)網(wǎng)絡危險程度自動調整響應策略,使得網(wǎng)絡信息系統(tǒng)只對具有“危險”的網(wǎng)絡入侵或者攻擊行為進行響應,這樣既保證了系統(tǒng)的運行性能,又大大降低了自動入侵響應系統(tǒng)的綜合代價,從而提高了系統(tǒng)運行的自適應性,但是,根據(jù)網(wǎng)絡信息系統(tǒng)重要性程度,所采取的自動入侵響應策略有待進一步的完善。

[1] 段雪濤, 賈春福, 劉春波. 基于層次隱馬爾科夫模型和變長語義模式的入侵檢測方法[J]. 通信學報, 2010, 31(3): 109-114.DUAN X T, JIA C F, LIU C B. Intrusion detection method based on hierarchical hidden Markov model and variable-length semantic pattern[J]. Journal on Communications, 2010, 31(3): 109-114.

[2] FISCH E A. Intrusion Damage Control and Assessment: a Taxonomy and Implementation of Automated Responses to Intrusive Behavior[D].Texas A&M University, College Station, TX, 1996.

[3] CURTIS A C. A methodology for using intelligent agents to provide automated intrusion response[A]. Proceedings of the IEEE Systems,Man, and Cybernetics Information Assurance and Security Workshop[C]. New York, USA, 2000. 110-116.

[4] WENKE L, WEI F, MATTHEW M, et al. Toward cost-sensitive modeling for intrusion detection and response[J]. Journal of Computer Security, 2002, 10(1/2): 5-22.

[5] WU Y S, FOO B, MAO Y C, et al. Automated adaptive intrusion containment in systems of interacting services[J]. Computer Networks,2007, 51(5): 1334-1360.

[6] MU C P, LI Y. An intrusion response decision-making model based on hierarchical task network planning[J]. Expert Systems with Applications, 2010, 37(3): 2465-2472.

[7] CUPPENGS B N, CUPPENS F, AUTREL F, et al. An ontology-based approach to react to network attacks[J]. International Journal of Information and Computer Security, 2009, 3(3): 280-305.

[8] 張劍, 龔儉.可回卷的自動人侵響應系統(tǒng)[J]. 電子學報,2004, 32(5):769-771.ZHANG J, GONG J. Rollbackable automated intrusion response system[J]. Acta Electronica Sinica, 2004, 32(5): 769-771.

[9] 穆成坡, 黃厚寬, 田盛豐. 基于模糊認知圖的自動入侵響應決策推理機制[J]. 北京交通大學學報, 2005, 29(2): 12-16.MU C P, HUANG H K, TIAN S F. Fuzzy cognitive maps for decision supporting automatic intrusion response mechanism[J]. Journal of Beijing Jiaotong University, 2005, 29(2): 12-16.

[10] 吳姚睿, 劉淑芬. 基于攻擊群模型的協(xié)同入侵的響應方法[J]. 電子學報, 2009, 37(11): 2416-2419.WU Y R, LIU S F. A response method for cooperative intrusions based on the attack group model[J]. Acta Electronica Sinica, 2009, 37(11):2416-2419.

[11] LI T. Dynamic detection for computer virus based on immune system[J]. Science in China, Series F: Information Science, 2008,51(10):1475-1486.

[12] 李濤. 計算機免疫學[M]. 北京:電子工業(yè)出版社, 2004.LI T. Computer Immunology[M]. Beijing: Publishing House of Electronic Industry, 2004.

[13] FORREST S, PERELSON A, ALLEN L, et al. Self-nonself discrimi-nation in a computer[A]. IEEE Computer Society Symposium on Research in Security and Privacy, Proceedings[C]. Los Alamitos, USA,1994. 202-212.

[14] HOFMEYR S, FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation, 2000, 8(4): 443-473.

[15] MATZINGER P. The danger model: a renewed sense of self[J]. Science, 2002, 296(5566): 301-305.

[16] ZENG J Q, LIU X J, LI T, et al. A self-adaptive negative selection algorithm used for anomaly detection[J]. Progress in Natural Science,2009, 19(2): 261-266.

[17] 張峰. 基于策略樹的網(wǎng)絡安全主動防御模型研究[D]. 成都: 電子科技大學, 2004.ZHANG F. Policy Tree Based Proactive Defense Model for Network Security[D]. Chengdu: University of Electronic Science and Technology, 2004.

[18] 王璐, 秦志光. 業(yè)務蜜網(wǎng)技術與應用[J]. 計算機應用, 2004, 24(3):43-45.WANG L, QIN Z G. Technology and application of production honeynet[J]. Computer Applications, 2004, 24(3): 43-45.

猜你喜歡
代價自體抗原
愛的代價
海峽姐妹(2017年12期)2018-01-31 02:12:22
代價
低損傷自體脂肪移植技術與應用
自體骨髓移植聯(lián)合外固定治療骨折不愈合
梅毒螺旋體TpN17抗原的表達及純化
自體脂肪顆粒移植治療面部凹陷的臨床觀察
結核分枝桿菌抗原Lppx和MT0322人T細胞抗原表位的多態(tài)性研究
成熟的代價
中學生(2015年12期)2015-03-01 03:43:53
APOBEC-3F和APOBEC-3G與乙肝核心抗原的相互作用研究
鹽酸克倫特羅人工抗原的制備與鑒定
遵化市| 金昌市| 塘沽区| 浙江省| 麻江县| 东乡族自治县| 元氏县| 正安县| 汤原县| 平泉县| 麻江县| 新巴尔虎右旗| 江都市| 大埔县| 横山县| 出国| 绥化市| 垦利县| 富宁县| 石嘴山市| 新沂市| 磐安县| 东海县| 确山县| 南丹县| 连平县| 罗平县| 湟源县| 内江市| 漳平市| 溧水县| 禄丰县| 怀来县| 清流县| 区。| 南康市| 洛南县| 西丰县| 江永县| 万州区| 梓潼县|