方 玲 仲偉俊 梅姝娥

(東南大學(xué)經(jīng)濟(jì)管理學(xué)院，南京211189)

信息系統(tǒng)安全指在既定密級(jí)條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力.在信息系統(tǒng)安全防護(hù)過程中，組織通常選擇各種安全技術(shù)對(duì)相應(yīng)的信息系統(tǒng)安全威脅加以防范，其中入侵檢測系統(tǒng)(IDS)是最常見的安全技術(shù)之一.對(duì)IDS的研究主要分為2類.一類從技術(shù)角度出發(fā)，研究各種IDS結(jié)構(gòu)與組織.如Liao等[1]對(duì)IDS技術(shù)方面的研究進(jìn)行系統(tǒng)綜述，主要包括IDS檢測方法[2]、檢測途徑[3]、技術(shù)類型[4]等方面.也有部分研究[5]針對(duì) IDS整體框架展開，旨在分析和優(yōu)化IDS工作原理和編程.另一類研究則從經(jīng)濟(jì)與管理角度出發(fā)，主要圍繞IDS配置與效率展開.如Cavusoglu等[6-7]利用博弈論對(duì)單個(gè)IDS部署與配置展開研究，將IDS與人工調(diào)查技術(shù)相結(jié)合，得出優(yōu)化的IDS配置策略和人工調(diào)查策略.Liu等[8]通過不斷校正檢測目標(biāo)以優(yōu)化IDS工作效果.Chen等[9]利用博弈論研究了異質(zhì)網(wǎng)絡(luò)的入侵檢測問題，得出相關(guān)均衡以指導(dǎo)IDS設(shè)計(jì)和部署.Elshoush[10]研究了合作式IDS中各種警報(bào)關(guān)聯(lián)性，從而為提高IDS正報(bào)率和降低其誤報(bào)率提供幫助.此類研究中研究對(duì)象多為單個(gè)IDS和分布式IDS.?ˇgüt[11]也深入探討了信息安全系統(tǒng)配置與檢測策略.近年來，隨著信息安全縱深防御要求不斷提高，學(xué)者們開始關(guān)注信息系統(tǒng)安全技術(shù)組合，特別是將IDS與其他安全技術(shù)組合使用，研究各技術(shù)組合的最優(yōu)配置與部署[12-14].較常見的是將IDS與防火墻組合使用，而多個(gè)IDS組合使用的文獻(xiàn)在國內(nèi)外還很少見，較相近的研究是針對(duì)機(jī)場安檢問題優(yōu)化設(shè)計(jì)和部署1～2個(gè)行李檢測系統(tǒng)以提高檢測率[15].作為縱深防御方式之一，多個(gè)IDS組合使用可在一定程度上提高入侵檢測率，但同時(shí)誤報(bào)率提高，導(dǎo)致組織人工調(diào)查成本上升.因此本文將借助博弈模型對(duì)IDS的管理與配置展開分析，以期為組織制定相應(yīng)安全技術(shù)管理策略提供幫助，從而使信息系統(tǒng)安全防護(hù)更具效率和效用.

1 ⅠDS技術(shù)原理

IDS用于監(jiān)視特定環(huán)境下的行為，并判定該行為是否為破壞信息資源完整性、保密性和可用性等惡意行為[16].如圖1所示，IDS通常具有如下功能:數(shù)據(jù)收集、數(shù)據(jù)預(yù)處理、入侵識(shí)別、報(bào)告以及報(bào)警[11].IDS 一般以串聯(lián)形式接入網(wǎng)絡(luò)[7]，通過監(jiān)視網(wǎng)絡(luò)訪問并對(duì)可疑入侵行為作出響應(yīng)和警報(bào)來保證網(wǎng)絡(luò)可用性和數(shù)據(jù)完整性[12].

圖1 一般入侵檢測系統(tǒng)的組成

多個(gè)IDS的部署是指基于上述單個(gè)IDS工作原理，在一定網(wǎng)絡(luò)拓?fù)渲写?lián)多個(gè)IDS.它與分布式IDS的主要區(qū)別在于每個(gè)IDS都是獨(dú)立的具有檢測和報(bào)警功能的個(gè)體，而分布式IDS中每個(gè)檢測與報(bào)警部件都相互關(guān)聯(lián).

2 模型構(gòu)建與分析

利用博弈論分析使用單個(gè)和多個(gè)IDS保護(hù)信息系統(tǒng)時(shí)入侵者和組織的最優(yōu)策略，以指導(dǎo)組織在信息系統(tǒng)安全防護(hù)中合理制定IDS配置策略和人工調(diào)查策略.博弈模型涉及三方參數(shù)與變量:入侵者、組織和單個(gè)或多個(gè)IDS.

2.1 部署單個(gè) ⅠDS

入侵者占信息系統(tǒng)用戶總數(shù)比例為λ，其入侵率為ψ，入侵成功收益為μ，若入侵被防御者檢測到，入侵者將受到一定懲罰(如法律制裁或社會(huì)羞辱[6])β，其中μ－β≤0，這表示入侵者被檢測到時(shí)收益不為正，否則其將總是選擇入侵.

組織信息系統(tǒng)用戶分為合法用戶和非法用戶，其中合法用戶給組織帶來的收益為ω.由于人工調(diào)查成本較高，組織通常只對(duì)一定比例的用戶訪問進(jìn)行人工調(diào)查.若配置IDS，其發(fā)出警報(bào)和沒有發(fā)出警報(bào)時(shí)，組織的人工調(diào)查比例分別為ρ1和ρ2，人工每調(diào)查一次成本為cM.當(dāng)組織未檢測到入侵，其將遭受損失d，當(dāng)其檢測到入侵，實(shí)施相應(yīng)恢復(fù)策略，則能挽回一定比例損失φd，其中φ≤1.由于組織只有在期望收益不為負(fù)時(shí)，才會(huì)實(shí)施人工調(diào)查，因此可假設(shè) φd≥c[6，13].

入侵者可選策略為攻擊H與不攻擊NH，其策略集為{H，NH}.組織可選策略主要包括:IDS發(fā)出警報(bào)時(shí)調(diào)查I與不調(diào)查NI，IDS沒有發(fā)出警報(bào)時(shí)調(diào)查I與不調(diào)查NI，共4種選擇，其策略集為{(I，I)，(I，NI)，(NI，I)，(NI，NI)}，其中圓括號(hào)中前者代表組織在IDS發(fā)出警報(bào)時(shí)的策略，后者代表其在IDS沒有發(fā)出警報(bào)時(shí)的策略.

根據(jù)上述參數(shù)與變量設(shè)置，該博弈模型中組織收益包括IDS發(fā)出警報(bào)情形下期望收益FA和IDS沒有發(fā)出警報(bào)情形下期望收益FNA分別為

組織總期望收益為

入侵者的收益為

式中，PD為IDS能夠檢測出入侵行為的概率;PF為IDS將合法訪問誤當(dāng)作入侵作為的概率;PAlarm為IDS對(duì)黑客入侵的警報(bào)率，PAlarm=ψPD+(1－ψ)PF;PNo-Alarm為IDS對(duì)未入侵事件的警報(bào)率，PNo-Alarm=1－ψPD－(1－ψ)PF;PH|Alarm為IDS發(fā)出警報(bào)時(shí)入侵事件的概率，PH|Alarm=ψPD/PAlarm;PNH|Alarm為IDS發(fā)出警報(bào)時(shí)黑客未入侵的概率，PNH|Alarm=(1－ψ)PD/PAlarm;PH|No-alarm為IDS沒有發(fā)出警報(bào)時(shí)黑客的入侵率，PH|No-alarm=ψ(1－PD)/(1－PAlarm);PNH|No-alarm為IDS沒有發(fā)出警報(bào)時(shí)黑客也未入侵的概率，PNH|No-alarm=(1－ψ)(1－PF)/(1－PAlarm).由此可計(jì)算推導(dǎo)出組織與入侵者的均衡策略.

定理1 當(dāng)組織部署單個(gè)IDS對(duì)其信息系統(tǒng)進(jìn)行防護(hù)時(shí)，博弈的均衡為:當(dāng)時(shí)，當(dāng)

證明 組織若部署單個(gè)IDS保護(hù)其信息系統(tǒng)，其在發(fā)出警報(bào)情形和沒有發(fā)出警報(bào)情形下的期望收益分別為

入侵者入侵的期望收益為

對(duì)式(1)的變量ρ1和式(2)的變量ρ2分別一階求導(dǎo)如下:

對(duì)式(3)的變量ψ求一階導(dǎo)數(shù)，即

令式(6)等于0時(shí)，可使入侵者收益最大化.

令式(4)、(5)等于0時(shí)，可使組織收益最大化，但由于對(duì)同一個(gè)ψ，式(4)、(5)無法同時(shí)為0，且可證明證明過程如下:

根據(jù)各參數(shù)和變量的取值范圍，分析得式(7)大于等于 0，即因此博弈模型的均衡分別在和處.解得2處均衡為:當(dāng)當(dāng)證畢.

2.2 部署多個(gè) ⅠDS

為了達(dá)到更高的安全水平，組織可選擇多個(gè)IDS組合保護(hù)信息系統(tǒng).一般而言，多個(gè)IDS的入侵檢測率較單個(gè)IDS更高，但同時(shí)其誤報(bào)率也將提高.由于過高的誤報(bào)率不僅會(huì)降低系統(tǒng)效率，還會(huì)給組織帶來更高的人工調(diào)查成本，因此如何部署和配置這些IDS成為重要問題.

設(shè)組織部署多個(gè)IDS后檢測率為P'D，誤報(bào)率為P'F.部署多個(gè)IDS比只部署單個(gè)IDS可提高入侵檢測率，假設(shè)，η∈[P，1]，η 為檢測D率提高程度的倒數(shù)，同時(shí)也將導(dǎo)致更高誤報(bào)率，假設(shè)為誤報(bào)率提高程度的倒數(shù).組織在IDS發(fā)出警報(bào)和沒有發(fā)出警報(bào)情形下人工調(diào)查率分別記為和，入侵者入侵率記為ψ'，博弈雙方其他參數(shù)同部署單個(gè)IDS時(shí)相同.

此時(shí)，組織在IDS發(fā)出警報(bào)和沒有發(fā)出警報(bào)情形下的期望收益分別為

入侵者的期望收益為

博弈均衡如下:

證明同定理1.

定理2 當(dāng)組織部署多個(gè)IDS對(duì)其信息系統(tǒng)進(jìn)行防護(hù)時(shí)，博弈的均衡為:當(dāng)

2.3 部署單個(gè)ⅠDS與多個(gè)ⅠDS的比較

在該入侵防御博弈模型中，組織需根據(jù)情況決定部署單個(gè)IDS還是部署多個(gè)IDS.為了更好地幫助組織制定信息系統(tǒng)安全技術(shù)策略，對(duì)部署單個(gè)IDS和多個(gè)IDS時(shí)最優(yōu)策略和最大收益進(jìn)行比較.

推論1 當(dāng)組織部署多個(gè)IDS時(shí)，其在警報(bào)與沒有警報(bào)情形下的人工調(diào)查率都相應(yīng)得到降低.

證明 警報(bào)條件下，組織部署多個(gè)IDS時(shí)與部署單個(gè)IDS時(shí)的人工調(diào)查率差值為

沒有發(fā)出警報(bào)條件下，組織部署多個(gè)IDS時(shí)與部署單個(gè)IDS時(shí)的人工調(diào)查率差值為

證畢.

由于人工調(diào)查成本高昂，一般組織(資源豐富、安全要求極高的組織除外)通常是在保證一定安全基礎(chǔ)上更大限度地降低人工調(diào)查成本.根據(jù)推論1，組織部署多個(gè)IDS的重要優(yōu)勢之一在于降低人工調(diào)查率，從而減少人工調(diào)查期望成本.

分析式(12)各個(gè)因子可知，最終決定其符號(hào)方向的因子為(η －γ)和((dφ －cM)(1－cM)μ/β+cMω+cMd)(其他因子均為正).欲使部署多IDS后組織獲得高檢測率同時(shí)也取得高收益，上述2個(gè)因子應(yīng)保持相反的符號(hào).

進(jìn)一步地，當(dāng)cM≤1時(shí)，因子((dφ－cM)(1－cM)μ/β+cMω +cMd)＞0，此時(shí)(η－γ)＜0即可使部署多IDS更優(yōu)，當(dāng)cM＞1時(shí)，因子((dφ－cM)(1－cM)μ/β+cMω+cMd)的符號(hào)方向不確定，此時(shí)，因子(η － γ)和((dφ －cM)(1－cM)μ/β+cMω +cMd)需保持異號(hào)即可使部署多IDS更優(yōu).證畢.

由推論2可發(fā)現(xiàn)，IDS并非數(shù)量越多越好，組織需根據(jù)人工調(diào)查成本高低，選擇部署單個(gè)IDS還是多個(gè)IDS.

3 數(shù)值模擬與討論

為了比較組織配置單個(gè)IDS和多個(gè)IDS時(shí)的最優(yōu)策略，揭示相關(guān)變量與參數(shù)對(duì)組織策略的影響，本節(jié)將對(duì)定理1和推論1進(jìn)行數(shù)值模擬.參數(shù)設(shè)置如下:μ=100，β=200.借助Matlab數(shù)學(xué)工具，可得IDS檢測率PD和人工調(diào)查率ρ的一系列變化關(guān)系.

圖2給出了只配置單個(gè)IDS時(shí)，組織在警報(bào)時(shí)調(diào)查率ρ1與沒有警報(bào)時(shí)調(diào)查率ρ2隨單個(gè)IDS檢測率變化的情況.圖2進(jìn)一步證明了定理1，即若IDS檢測率較高，組織對(duì)警報(bào)事件人工調(diào)查率ρ1會(huì)隨IDS檢測率PD的增高而減小;若IDS檢測率較低，組織在沒有發(fā)出警報(bào)時(shí)的人工調(diào)查率ρ2也會(huì)隨IDS檢測率PD的增高而減小.從曲線ρ1和ρ2的凹凸可看出組織在警報(bào)時(shí)的人工調(diào)查率隨入侵檢測率提高而提高的幅度逐漸變小，而在沒有發(fā)出警報(bào)時(shí)則反之.

圖2 人工調(diào)查率與單個(gè)ⅠDS檢測率之間的變化關(guān)系

圖3比較了配置單個(gè)和多個(gè)IDS情形下組織的人工調(diào)查策略.圖中，ρ'1表示部署多個(gè)IDS且η=0.9情形下組織在警報(bào)時(shí)的人工調(diào)查率，而ρ'2表示部署多個(gè)IDS且η=0.9情形下組織在沒有發(fā)出警報(bào)時(shí)的人工調(diào)查率.由圖可看出，當(dāng)IDS檢測率較高時(shí)，組織配置多個(gè)IDS可提高系統(tǒng)檢測率，減少人工調(diào)查;而當(dāng)入侵檢測率較低時(shí)，部署多個(gè)IDS同樣可在一定程度上降低組織對(duì)沒有警報(bào)事件的人工調(diào)查率.

圖3 配置單個(gè)和多個(gè)ⅠDS情形下人工調(diào)查策略比較

為了進(jìn)一步說明多個(gè)IDS檢測率較單個(gè)IDS檢測率提高程度1/η對(duì)人工調(diào)查率的影響，設(shè)μ，β不變，η=0.8，此時(shí)PD和ρ的變化關(guān)系以及其同η=0.9情形的比較如圖4所示.其中，ρ″1表示η=0.8情形下組織在警報(bào)時(shí)的人工調(diào)查率，ρ″2則表示η=0.8情形下組織在沒有發(fā)出警報(bào)時(shí)的人工調(diào)查率.圖4說明IDS檢測率提高程度不同，其對(duì)人工調(diào)查率影響程度也不同，入侵檢測率提高程度1/η越高，組織在警報(bào)和沒有發(fā)出警報(bào)情形下的人工調(diào)查都將越少.從推論1角度出發(fā)，組織可盡其所能通過增加IDS數(shù)量來提高IDS檢測率，從而減少高成本的人工調(diào)查.但根據(jù)上文分析，盡管多個(gè)IDS可提高系統(tǒng)檢測率，但同時(shí)其也會(huì)提高系統(tǒng)誤報(bào)率，增加組織信息系統(tǒng)安全防護(hù)成本，因此多IDS的效率高低還取決于期望收益是否得到提高.

圖4 不同檢測率提高程度對(duì)人工調(diào)查率與ⅠDS檢測率關(guān)系的影響

4 結(jié)語

本文將IDS與人工調(diào)查技術(shù)相組合，重點(diǎn)研究了IDS數(shù)量的選擇與配置.組織可通過增加IDS數(shù)量來提高入侵檢測率，從而威懾入侵者降低入侵率.無論是在有警報(bào)還是沒有發(fā)出警報(bào)條件下，部署多個(gè)IDS都可使組織人工調(diào)查率降低，只是降低程度不同.進(jìn)一步地，與部署單個(gè)IDS相比，多IDS只有在一定條件下才能同時(shí)為組織信息系統(tǒng)安全帶來較高檢測率和較高期望收益.對(duì)于IDS具體數(shù)量的確定還有待進(jìn)一步結(jié)合具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)展開研究.

References)

[1] Liao H J，Lin C H R，Lin Y C，et al.Intrusion detection system:a comprehensive review[J].Journal of Network＆ Computer Applications，2013，36(1):16-24.

[2] Xenakis C，Panos C，Stavrakakis I.A comparative evaluation of intrusion detection architectures for mobile ad hoc networks[J].Computers ＆ Security，2011，30(1):63-80.

[3] Farooqi A H，Khan F A，Wang J，et al.A novel intrusion detection framework for wireless sensor networks[J].Personal and Ubiquitous Computing，2013，17(5):907-919.

[4] Modi C，Patel D，Borisaniya B，et al.A survey of intrusion detection techniques in Cloud[J].Journal of Network and Computer Applications，2013，36(1):42-57.

[5] Wu S X，Banzhaf W.The use of computational intelligence in intrusion detection systems:a review[J].Applied Soft Computing，2010，10(1):1-35.

[6] Cavusoglu H，Mishra B，Raghunathan S.The value of intrusion detection systems information technology security architecture[J].Information Systems Research，2005，16(1):28-46.

[7] 李天目，仲偉俊，梅姝娥.入侵防御系統(tǒng)管理和配置的檢查博弈分析[J].系統(tǒng)工程學(xué)報(bào)，2008，23(5):589-595.Li Tianmu，Zhong Weijun，Mei Shu’e.Inspection game analysis of intrusion prevention system management and configuration[J].Journal of Systems Engineering，2008，23(5):589-595.(in Chinese)

[8] Liu S，Zhang D Y，Chu X，et al.A game theoretic approach to optimize the performance of host-based IDS[C]//IEEE International Conference on Wireless ＆MobileComputing， Networking ＆ Communication.Avignon，F(xiàn)rance，2008:448-453.

[9] Chen L，Leneutre J.A game theoretical framework on intrusion detection in heterogeneous networks[J].IEEE Transactions on Information Forensics and Security，2009，4(2):165-178.

[10] Elshoush H T，Osman I M.Alert correlation in collaborative intelligent intrusion detection systems—a survey[J].Applied Soft Computing，2011，11(7):4349-4365.

[11] ?ˇgüt H.The configuration and detection strategies for information security systems[J].Computers ＆ Mathematics with Applications，2013，65(9):1234-1253.

[12] Cavusoglu H，Raghunathan S，Cavusoglu H.Configuration of and interaction between information security technologies:the case of firewalls and intrusion detection systems[J]. Information SystemsResearch，2009，20(2):198-217.

[13] Zhao L R，Mei S E，Zhong W J.Optimal configuration of firewall，IDS and vulnerability scan by game theory[J].Journal of Southeast University:English Edition，2011，27(2):144-147.

[14] 趙柳榕，梅姝娥，仲偉俊.基于風(fēng)險(xiǎn)偏好的兩種信息安全技術(shù)配置策略[J].系統(tǒng)工程學(xué)報(bào)，2014，29(3):324-333.Zhao Liurong，Mei Shu’e，Zhong Weijun.Configuration strategy of two information security technologies based on risk preference[J].Journal of Systems Engineering，2014，29(3):324-333.(in Chinese)

[15] Feng Q M，Sahin H D，Kapur K C.Designing airport checked-baggage-screening strategies considering system capability and reliability[J].Reliability Engineering and System Safety，2009，94(2):618-627.

[16] Toosi A N，Kahani M.A new approach to intrusion detection based on an evolutionary soft computing model using neuro-fuzzy classifiers[J].Computer Communications，2007，30(10):2201-2212.