CN102231743A - 一种基于攻击图的入侵响应方式 - Google Patents
一种基于攻击图的入侵响应方式 Download PDFInfo
- Publication number
- CN102231743A CN102231743A CN2011101815114A CN201110181511A CN102231743A CN 102231743 A CN102231743 A CN 102231743A CN 2011101815114 A CN2011101815114 A CN 2011101815114A CN 201110181511 A CN201110181511 A CN 201110181511A CN 102231743 A CN102231743 A CN 102231743A
- Authority
- CN
- China
- Prior art keywords
- response
- assailant
- attack
- irag
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 title claims abstract description 70
- 230000009471 action Effects 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 12
- 238000001514 detection method Methods 0.000 claims abstract description 10
- 101000852489 Homo sapiens Inositol 1,4,5-triphosphate receptor associated 1 Proteins 0.000 claims description 23
- 102100036344 Inositol 1,4,5-triphosphate receptor associated 1 Human genes 0.000 claims description 23
- 230000014509 gene expression Effects 0.000 claims description 10
- 230000002265 prevention Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 230000008901 benefit Effects 0.000 claims description 3
- 230000001364 causal effect Effects 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 238000013459 approach Methods 0.000 claims description 2
- 230000004186 co-expression Effects 0.000 claims description 2
- 238000011002 quantification Methods 0.000 claims description 2
- 230000000712 assembly Effects 0.000 claims 1
- 238000000429 assembly Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种基于攻击图的动态入侵响应方法:根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在考虑这三种代价基础上选择应对措施;任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的;建立两个信息集:攻击者的信息集和***的信息集;攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据***的响应信息,而***的信息集包含的信息则来自于***内包括IDS、防火墙、主机等各组件的报警、日志信息;参与方的行动空间:***在进行响应时,实际上会根据攻击类型的不同,确定一个响应集。
Description
技术领域
本发明涉及到网络入侵检测响应的方法。
背景技术
自从20世纪80年代James Anderson首次提出入侵检测概念以来,入侵检测***(IDS)作为网络安全的一个组件获得了极大的发展.但与防火墙、VPN等安全组件发挥着越来越重要的作用相比,IDS的作用没有真正能体现出来,主要原因是报警响应问题没能得到很好的解决.因为随着攻击手段的改进,攻击越来越朝向自动化、复杂化的方向发展,而目前的响应则主要以人工为主,这种不对称性使得入侵检测和响应领域的工作陷入了被动的局面,为了解决这个问题,人们开始了自动或半自动响应方式的研究。
如果考虑到首先从静态映射型响应方式开始的,即按一定的原则对攻击进行分类,并用人工的方式将每一报警映射到一个预先定义好的响应措施上,目前的很多入侵响应***(IRS)正是基于这种响应方式.静态映射型入侵响应很大程度上解决了人工响应时间过长、负担过重的问题,但是它也有一些很明显的缺点,一方面易于被攻击所利用,另一方面它没有充分考虑入侵响应的适应性,响应措施的选择应该随着网络环境的不同而不同。
发明内容
本发明目的是:根据受攻击关系的启发,提出了一种基于攻击图的动态入侵响应IRAG (Intrusion Response based on Attack Graph)模型,该模型基于“任一攻击都会有某些攻击作为后继”这样的特点,使用了攻击图来描述攻击者的攻击意图和策略,并提出一种改进的博弈理论算法来进行攻防双方的策略的推理.这种算法充分发挥了攻击图在进行攻击意图描述方面以及博弈理论在处理攻击者和***的收益、偏好和策略变化方面的优势,因而达到了比较好的响应效果和准确性。
本发明技术方案是:一种基于攻击图的动态入侵响应方法:根据入侵检测和响应的参考模型,先就入侵检测和响应提出了三种代价:操作代价、响应代价和损失代价,并在综合考虑这三种代价的基础上选择适当的应对措施。
1.IRAG模型
1)IRAG模型中的参与方
在报警响应中,参与方有***管理员、安全员、各安全机制、合法用户、攻击者等等.为了减少复杂度,因为一般情况下合法用户对博弈的影响很小,因此在本发明报警响应模型中其不作为参与方出现.另外***管理员、安全员、安全机制等利益几乎是一致的而且他们的策略可以统一起来,因此本发明将它们归结到一个参与方,统称***.故本发明报警响应博弈的参与方为:攻击者 
和***
。
2)IRAG模型中的参与方的类型空间
攻击者发出任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的.设攻击者类型
,其中
表示攻击者的类型空间,一般攻击者发起攻击的目的性很强,在安全尺度上常表现为对某种尺度的关心,如修改主页、删除***文件等主要是针对完整性,窃取文件、破解密码等主要是针对机密性,而DOS攻击、大多数蠕虫攻击等由主要针对可用性.因此攻击者典型的类型空间可分为在机密性、完整性和可用性方面的攻击偏好。
由于***必须同时拥有机密性、完整性和可用性才能正常工作,因此其类型不可能只针对某一尺度,但是不同的***对不同的尺度是有偏向的,比如主要从事网络服务提供的网络***,其偏向可用性要多些;机要部门的网络***对机密性偏向多一些;而电子商务类的网络***几乎在完整性、可用性、机密性上是同等重要的。
为了进行***和攻击者类型的计算,本发明建立了两个信息集:攻击者的信息集和***的信息集.攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据***的响应信息,而***的信息集包含的信息则来自于***内包括IDS、防火墙、主机等各组件的报警、日志信息.信息集对对方类型的概率推理过程可以用专家***、神经网络或模糊数学等方式进行,本发明使用的是产生式规则的方式,即对攻击者或***可能发现的每一信息,设置其对对方在各类型上先验概率的增加值作为一条产生式知识,当所有信息推理完之后,对得出的概率进行归一化处理即得出对方各类型的先验概率。
3) IRAG模型中的节点价值
节点价值是一个用来表示节点重要性的量化的一个值. 设节点价值度量的范围从1到N,其中1表示的是最低的重要性,而N表示最高的重要性,N的大小是根据***环境确定的.例如一些诸如不重要的匿名FTP服务器或者密罐***等节点的节点价值可能被赋予2,像生产服务器这样非常关键的节点可能被赋予一个比较高的节点价值比如15.网络中节点价值的度量范围和取值是根据整个***的具体情况由***管理员指定的.。
***的类型和节点价值共同表达了***在安全防护时的偏向性。
4) IRAG模型中的攻击图
攻击图的定义:攻击图是一个四元组
,其中S表示状态集,表示***中存在的一个个可能遭受的攻击,可由***中存在的漏洞推导出来;
是传递关系,指的是攻击之间的关系,由攻击间的因果联系及网络连接状态决定;
是开始状态集,表示攻击者首先发起的攻击,如扫描等;
是成功状态集,表示满足攻击者攻击目的的攻击状态,同时也是攻击者最后一步攻击。
5)IRAG模型中的参与方的行动空间
本发明有两处需要确定行动空间,一是***选择响应措施时的行动空间,记为
,另一个是攻击者发出下一步动作时的行动空间,记为
.***在进行响应时,实际上会根据攻击类型的不同,确定一个响应集。
而攻击者一般不会只发出一个单独的攻击,他们的攻击之间是有联系的,也就是说每个攻击之后的下一步攻击动作是有规律可循的.本发明根据攻击图来确定攻击者下一步攻击动作。
因为DOS攻击不一定需要特定的漏洞,所以攻击图中不完全能包括这个攻击,并且DOS攻击只针对攻击者已获取访问权限的服务器,如公共的Web服务器,因此本发明暂只计算针对Web服务器的DOS攻击,即DOS攻击的目的节点为攻击者能访问到的Web服务器。
6) IRAG模型中的响应措施对攻击的阻止率
响应措施阻止攻击的效果,本发明用它成功阻止攻击的概率来体现,因为与报警所报攻击有直接因果关系的后继攻击,如果报警所报攻击被阻止,它也不可能成功,因此计算响应措施阻止率的时候需要继承对前一攻击的阻止率。
7) IRAG模型中的参与方的收益
根据贝叶斯理性原则,如果人们进行决策时对与之相关的某种客体没有确定性了解,而且也不知道其发生的客观概率,那么人们将对其做出主观概率判断,并在决策中如同应用客观概率一样应用这种主观概率判断.因此,可以使用先验概率进行收益函数的计算.由于攻击者在博弈过程中可以观察到一次***的响应,因此可以根据观察的结果来改变其对***类型的判断,而***在博弈过程中不改变对攻击者类型的判断. 因此攻击者对***类型的信念就可以根据观察到的响应动作而做出调整,即形成后验信念。
因为本发明只考虑攻击者的攻击、***响应及攻击者下一步攻击的过程。因此,针对***的每一个响应动作,攻击者在下一步攻击的选择上,均会选择其收益最大的攻击动作。
根据纳什均衡的存在条件:任意有限策略型博弈至少存在一个混合策略纳什均衡.因为IRAG模型中各参与方在每个信息集上的可选行动数目是有限的,所以它的扩展型博弈是有限的,对应的策略型博弈也是有限的,因此IRAG模型至少存在一个混合策略纳什均衡.如果有限扩展型博弈是完美信息的,则它还存在纯策略纳什均衡.综上所述,IRAG模型至少存在一个纯策略纳什均衡。
对进行计算中存在多于一个均衡的情况(实际中这种情况很少),本发明提出了一个简单而有效的方法:预定义参照响应模式对报警响应的博弈搜索进行指导,即***预先定义一种响应方式,对出现的多个纳什均衡,使用最接近于预定义响应方式的措施(本发明根据响应措施的阻止率判断)进行响应,从而确定唯一的博弈结果,便于***自动响应的快速实施。
根据上述计算公式可以看出,***的响应动作是针对攻击者所有可能下一步动作做出的最优反应.根据均衡的定义:均衡时每个参与方选择的策略都是其它参与方所选策略的最佳反应,任何一方单方面改变策略就会使其利益受损,因此攻击者和***无论哪方都不会偏离均衡结果选择行动。
本发明有益效果是:由此可见,IRAG模型推导的***的响应决策,是充分考虑攻击者和***双方利益下的最优反应,其结果是稳定的.而单方面考虑***收益的模型,由于攻击者的策略未被考虑进去,当攻击者改变原有的攻击策略时,响应模型计算出的最优解将会失效。
另外本发明IRAG模型使用了攻击图来描述攻击者的攻击策略,一方面能将攻击之间的因果关系考虑进来,另一方面根据各节点之间的连通性对攻击关系进行限制,因而能较为准确地对攻击者的策略进行判断,也同时加强了***推理最佳响应动作的准确性。
具体实施方式
1、攻击p的后继攻击集
2、通过博弈局势计算***的获利和攻击者获利
3、计算攻击***预测的下一步攻击a、报警所报攻击p所造成***在各安全尺度上的损失
4、攻击者使用a作为下一步攻击动作时,攻击者和***的收益分别为
5、计算攻击者的最佳下一步攻击动作为
6、计算***的最佳响应
7、***最佳响应动作后,攻击者在整个博弈过程中的最佳响应下一步攻击动作为
Claims (1)
1.一种基于攻击图的动态入侵响应方法:其特征是根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在综合考虑这三种代价的基础上选择适当的应对措施;
1)IRAG模型中的参与方
报警响应博弈的参与方为:攻击者 
和***;
2)IRAG模型中的参与方的类型空间
攻击者发出任何攻击都是具有特定的目的,利用攻击者在各安全尺度上的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的.设攻击者类型
,其中
表示攻击者的类型空间,攻击者典型的类型空间可分为在机密性、完整性和可用性方面的攻击偏好;
建立两个信息集:攻击者的信息集和***的信息集;攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据***的响应信息,而***的信息集包含的信息则来自于***内包括IDS、防火墙、主机等各组件的报警、日志信息;
3) IRAG模型中的节点价值
节点价值是一个用来表示节点重要性的量化的一个值;设节点价值度量的范围从1到N,其中1表示的是最低的重要性,而N表示最高的重要性,N的大小是根据***环境确定的;***的类型和节点价值共同表达了***在安全防护时的偏向性;
4) IRAG模型中的攻击图
攻击图的定义:攻击图是一个四元组
,其中S表示状态集,表示***中存在的一个个可能遭受的攻击,可由***中存在的漏洞推导出来;
是传递关系,指的是攻击之间的关系,由攻击间的因果联系及网络连接状态决定;
是开始状态集,表示攻击者首先发起的攻击,如扫描等;是成功状态集,表示满足攻击者攻击目的的攻击状态,同时也是攻击者最后一步攻击;
5)IRAG模型中的参与方的行动空间
两处需要确定行动空间,一是***选择响应措施时的行动空间,记为
,另一个是攻击者发出下一步动作时的行动空间,记为;***在进行响应时,实际上会根据攻击类型的不同,确定一个响应集;
根据攻击图来确定攻击者下一步攻击动作;
只计算针对Web服务器的DOS攻击,即DOS攻击的目的节点为攻击者能访问到的Web服务器;
6) IRAG模型中的响应措施对攻击的阻止率
响应措施阻止攻击的效果,计算响应措施阻止率的时候需要继承对前一攻击的阻止率;
7) IRAG模型中的参与方的收益
使用先验概率进行收益函数的计算.由于攻击者在博弈过程中可以观察到一次***的响应,因此可以根据观察的结果来改变其对***类型的判断,而***在博弈过程中不改变对攻击者类型的判断. 因此攻击者对***类型的信念就可以根据观察到的响应动作而做出调整,即形成后验信念;
针对***的每一个响应动作,攻击者在下一步攻击的选择上,均会选择其收益最大的攻击动作;
IRAG模型至少存在一个纯策略纳什均衡;计算中存在多于一个均衡的情况,预定义参照响应模式对报警响应的博弈搜索进行指导,即***预先定义一种响应方式,对出现的多个纳什均衡,使用最接近于预定义响应方式的措施进行响应,从而确定唯一的博弈结果,便于***自动响应的快速实施;***的响应动作是针对攻击者所有可能下一步动作做出的最优反应.根据均衡的定义:均衡时每个参与方选择的策略都是其它参与方所选策略的最佳反应,任何一方单方面改变策略就会使其利益受损,因此攻击者和***无论哪方都不会偏离均衡结果选择行动。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101815114A CN102231743A (zh) | 2011-06-30 | 2011-06-30 | 一种基于攻击图的入侵响应方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101815114A CN102231743A (zh) | 2011-06-30 | 2011-06-30 | 一种基于攻击图的入侵响应方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102231743A true CN102231743A (zh) | 2011-11-02 |
Family
ID=44844276
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101815114A Pending CN102231743A (zh) | 2011-06-30 | 2011-06-30 | 一种基于攻击图的入侵响应方式 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102231743A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639638A (zh) * | 2015-02-10 | 2015-05-20 | 福州大学 | 基于动态博弈论与云服务分类的用户信念修正方法 |
| CN108289075A (zh) * | 2017-01-09 | 2018-07-17 | ***通信有限公司研究院 | 一种攻击识别方法和装置 |
| CN108809979A (zh) * | 2018-06-11 | 2018-11-13 | 中国人民解放军战略支援部队信息工程大学 | 基于Q-learning的自动入侵响应决策方法 |
| CN110233845A (zh) * | 2019-06-13 | 2019-09-13 | 中国科学院信息工程研究所 | 入侵响应措施确定方法及装置 |
| CN110708287A (zh) * | 2019-09-03 | 2020-01-17 | 浙江大学 | 一种基于攻击图和心理理论的入侵响应方法 |
| US10789367B2 (en) | 2014-04-18 | 2020-09-29 | Micro Focus Llc | Pre-cognitive security information and event management |
| CN117648689A (zh) * | 2024-01-29 | 2024-03-05 | 北京东方森太科技发展有限公司 | 基于人工智能的工控主机安全事件自动响应方法 |
-
2011
- 2011-06-30 CN CN2011101815114A patent/CN102231743A/zh active Pending
Non-Patent Citations (1)
| Title |
|---|
| 石进等: "一种基于攻击图的入侵响应方法", 《软件学报》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10789367B2 (en) | 2014-04-18 | 2020-09-29 | Micro Focus Llc | Pre-cognitive security information and event management |
| CN104639638A (zh) * | 2015-02-10 | 2015-05-20 | 福州大学 | 基于动态博弈论与云服务分类的用户信念修正方法 |
| CN104639638B (zh) * | 2015-02-10 | 2016-03-09 | 福州大学 | 基于动态博弈论与云服务分类的用户信念修正方法 |
| CN108289075A (zh) * | 2017-01-09 | 2018-07-17 | ***通信有限公司研究院 | 一种攻击识别方法和装置 |
| CN108289075B (zh) * | 2017-01-09 | 2020-10-02 | ***通信有限公司研究院 | 一种攻击识别方法和装置 |
| CN108809979A (zh) * | 2018-06-11 | 2018-11-13 | 中国人民解放军战略支援部队信息工程大学 | 基于Q-learning的自动入侵响应决策方法 |
| CN110233845A (zh) * | 2019-06-13 | 2019-09-13 | 中国科学院信息工程研究所 | 入侵响应措施确定方法及装置 |
| CN110708287A (zh) * | 2019-09-03 | 2020-01-17 | 浙江大学 | 一种基于攻击图和心理理论的入侵响应方法 |
| CN117648689A (zh) * | 2024-01-29 | 2024-03-05 | 北京东方森太科技发展有限公司 | 基于人工智能的工控主机安全事件自动响应方法 |
| CN117648689B (zh) * | 2024-01-29 | 2024-04-12 | 北京东方森太科技发展有限公司 | 基于人工智能的工控主机安全事件自动响应方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | Adaptive machine learning‐based alarm reduction via edge computing for distributed intrusion detection systems | |
| CN110191083B (zh) | 面向高级持续性威胁的安全防御方法、装置与电子设备 | |
| Shamshirband et al. | Cooperative game theoretic approach using fuzzy Q-learning for detecting and preventing intrusions in wireless sensor networks | |
| CN102231743A (zh) | 一种基于攻击图的入侵响应方式 | |
| Dilek et al. | Applications of artificial intelligence techniques to combating cyber crimes: A review | |
| Cook et al. | The industrial control system cyber defence triage process | |
| CN101808020B (zh) | 基于不完全信息动态博弈的入侵响应决策方法 | |
| CN106790294B (zh) | 一种5g网络安全风险评估方法 | |
| Halabi et al. | Trust-based cooperative game model for secure collaboration in the internet of vehicles | |
| Banković et al. | Detecting bad-mouthing attacks on reputation systems using self-organizing maps | |
| Li et al. | PMFA: toward passive message fingerprint attacks on challenge-based collaborative intrusion detection networks | |
| Chen et al. | FCM technique for efficient intrusion detection system for wireless networks in cloud environment | |
| Masarat et al. | A novel framework, based on fuzzy ensemble of classifiers for intrusion detection systems | |
| US11936677B2 (en) | System and method for assessing insider influence on enterprise assets | |
| CN110839031A (zh) | 一种基于强化学习的恶意用户行为智能检测方法 | |
| Li et al. | SOOA: exploring special on-off attacks on challenge-based collaborative intrusion detection networks | |
| Herrick | The social side of ‘cyber power’? Social media and cyber operations | |
| Karapistoli et al. | Srnet: a real-time, cross-based anomaly detection and visualization system for wireless sensor networks | |
| Venkateswaran et al. | An efficient neuro deep learning intrusion detection system for mobile adhoc networks | |
| Naseer et al. | Mobile ad-hoc network routing protocols: A simulation and performance analysis using multimedia traffic | |
| Franke et al. | Cyber situational awareness issues and challenges | |
| Gangula et al. | A comprehence study of DDoS attack detecting algorithm using GRU-BWFA classifier | |
| Poongothai et al. | A noncooperative game approach for intrusion detection in mobile adhoc networks | |
| Kantzavelou et al. | Detecting intrusive activities from insiders in a wireless sensor network using game theory | |
| Jafarian et al. | A Deception Planning Framework for Cyber Defense. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111102 |