【正文】 還是不值。如果收獲大于付出，那就值得做；反之付出大于收獲，那就不值得做了。從網(wǎng)絡(luò)安全整體角度來看，這個問題就是目前領(lǐng)域內(nèi)最新提出的“適度安全”的概念?！斑m度安全”實際上是在信息安全的風(fēng)險與投入之間尋求一種平衡。 對響應(yīng)的成本分析進行深入研究是非常有意義和有必要的，接下來將主要討論響應(yīng)成本分析的基本原理，介紹入侵響應(yīng)成本分析的方法，并對原有方法進行改進，以使其適用于快速手動響應(yīng),彌補自動響應(yīng)的不足。 成本因素與成本量化對響應(yīng)成本進行分析，首先需要確定與入侵及響應(yīng)行為相關(guān)的成本因素。依據(jù)經(jīng)驗，這里我們考慮與響應(yīng)相關(guān)的成本主要包括：損失代價Dcost(Damage Cost)與響應(yīng)代價Rcost(Respond Cost)。損失代價Dcost，是假設(shè)IDS 不采取任何響應(yīng)措施的情況下，入侵行為對系統(tǒng)造成的損失，也就是潛在損失。響應(yīng)代價Rcost是指針對某次入侵行為，采取相應(yīng)的響應(yīng)措施需要付出的代價。在確定成本因素之后，成本分析的關(guān)鍵就是成本量化的問題。與此相關(guān)的研究，在網(wǎng)絡(luò)安全的一個分支——風(fēng)險評估中已有所涉及。所謂風(fēng)險評估，就是對一個企業(yè)或者組織網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)價值、安全缺陷、安全威脅進行確定的過程。確定的方法可以是定性的，也可以是定量的。從安全風(fēng)險評估已有的工作來看，完全的、精確的量化是相當(dāng)困難的，而將定性分析與定量分析相結(jié)合是一種不錯的選擇。另外，與風(fēng)險評估相似，我們的工作主要是給出一個成本量化的方法，具體的量化值應(yīng)該由用戶參與確定。因為同樣的入侵行為，給一個小的傳統(tǒng)企業(yè)帶來的損失可能是10萬，而給一個已經(jīng)實現(xiàn)信息化的大型企帶來的損失可能就是100萬。 (1) 損失代價(Dcost)入侵帶來的在損失可能取決于多個方面。這里我們主要從入侵目標(biāo)和入侵行為本身兩個方面考慮，即入侵目標(biāo)的重要性(Criticality)和入侵行為的致命性(Lethality)。目標(biāo)的重要性(Criticality)是指被攻擊或者入侵的目標(biāo)系統(tǒng)的重要程度,可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來。可以設(shè)定目標(biāo)重要性值域為(0，5)，5 為最高值。那么可以把防火墻、路由器、DNS 服務(wù)器的重要性值定義為5；web、Mail、FTP服務(wù)器可以定義為4；而普通UNIX 工作站可以定義為2，Windows 工作站可以定義為1，這樣不同的攻擊目標(biāo)的重要性(Criticality)就通過它的重要性值體現(xiàn)出來。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低。這個量與入侵所針對的目標(biāo)無關(guān)，只是對入侵行為本身的一個描述。比如，一個可以獲取root權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度。表31是根據(jù)經(jīng)驗量化了的幾類攻擊的危害性。我們在這里定義了4種不同種類的致命性描述。具體的攻擊行為所具有的危害性與某一攻擊分類相對應(yīng)。通過對捕獲的數(shù)據(jù)包進行分析可以知道他屬于那種攻擊行為,從而對應(yīng)其危害性分類。例如：對捕獲到的一個數(shù)據(jù)包，經(jīng)過解碼后得到目的端口80,數(shù)據(jù)包大小dsize128,則很可能是利用了Network Time Protocol Daemon (ntpd) 存在緩沖區(qū)溢出漏洞，攻擊目標(biāo)設(shè)備，攻擊者利用此漏洞能取得超級用戶特權(quán)，我們給出其攻擊行為為EXPLOIT ntpdx overflow，屬于U2R分類。表31 攻擊危害性與響應(yīng)代價分 類描 述成 本致命性響應(yīng)代價U2R非法獲取根權(quán)限10040R2L從外界獲得非法訪問5020DoS拒絕服務(wù)3010Probe獲取目標(biāo)系統(tǒng)的信息25有了上面描述的兩個量，就可以把入侵損失代價Dcost的值定義為：Dcost=CriticalityLethality。比如同樣是DoS攻擊，若攻擊目標(biāo)是防火墻，則Dcost=530=150。若攻擊目標(biāo)是Web服務(wù)器，則Dcost＝430＝120。 (2) 響應(yīng)代價(Rcost)入侵響應(yīng)代價主要包括兩部分內(nèi)容：執(zhí)行響應(yīng)措施的資源耗費和響應(yīng)措施執(zhí)行以后帶來的負面影響。響應(yīng)代價的完全量化是比較困難的，在此根據(jù)經(jīng)驗值將響應(yīng)代價的量化簡化，如(表31)。這樣，在確定了事件的潛在損失與響應(yīng)代價之后，我們就可以做出響應(yīng)決策：如果Rcost≤Dcost，即響應(yīng)代價小于或者等于損失代價，則進行響應(yīng)。如果RcostDcost,即響應(yīng)代價超過了損失代價，那就沒有必要響應(yīng)了。在此基礎(chǔ)上我們將給出快速手動響應(yīng)的兩個門限值——嚴重威脅門限值α與重要響應(yīng)門限值β，若：Dcost≥α|Rcost≥β說明出現(xiàn)了很嚴重的入侵行為或者需要執(zhí)行很嚴厲的響應(yīng)措施如斷開網(wǎng)絡(luò)或者入侵追蹤等。此時，需要進行快速手動響應(yīng)，以免因為漏響應(yīng)、誤響應(yīng)或響應(yīng)過度給系統(tǒng)帶來更嚴重的后果。當(dāng)可能發(fā)生的損失代價較大超過一定限度α?xí)r，響應(yīng)行為是否正確得當(dāng)變得十分重要，此時除系統(tǒng)自動采取的，如激活更詳細的日志審計，啟動更詳細的入侵檢測，以及估計事件范圍，收集事件相關(guān)信息，產(chǎn)生事件報告等響應(yīng)外，同時可以通過短信方式讓安全員在第一時間進行遠程遙控響應(yīng)。當(dāng)響應(yīng)代價超過門限值β時，即系統(tǒng)準備需要采取一些比較嚴厲的主動響應(yīng)措施如反向追蹤時，涉及技術(shù)以外的多方面因素，此時也應(yīng)由安全管理員做出決定，使用短信方式可以最小化手工響應(yīng)代價。以上分析了響應(yīng)過程中響應(yīng)代價評估的問題，說明了應(yīng)急響應(yīng)成本分析的方法。 資產(chǎn)管理子系統(tǒng)模塊設(shè)計與實現(xiàn) 根據(jù)前面提到的代價評估的算法，需要對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性(Criticality)進行設(shè)定。損失代價Dcost是對攻擊目標(biāo)屬性和攻擊行為屬性綜合計算的結(jié)果，資產(chǎn)管理子系統(tǒng)模塊對網(wǎng)絡(luò)中各種設(shè)備的屬性進行定義，通過重要級別來完成對每個設(shè)備Criticality值設(shè)定的功能。資產(chǎn)管理子系統(tǒng)可以完成設(shè)備的添加、刪除、瀏覽和修改功能。 資產(chǎn)管理子系統(tǒng)的實現(xiàn)是通過設(shè)計一個基于對話框的工程，添加列表控件，用以瀏覽當(dāng)前資產(chǎn)，通過編程實現(xiàn)數(shù)據(jù)的添加和刪除。如圖33所示：圖33 資產(chǎn)管理子系統(tǒng)由于涉及到數(shù)據(jù)庫的連接，我們引入ADO封裝類，建立本系統(tǒng)到后臺SQL Server 2000的連接，通過添加“添加”，“刪除”按鈕，實現(xiàn)設(shè)備的添加，刪除和修改。 響應(yīng)門限設(shè)定子模塊設(shè)計與實現(xiàn)根據(jù)本系統(tǒng)設(shè)計中的響應(yīng)代價評定方法，如果入侵的損失代價Dcost大于或等于α則表示發(fā)生了非常嚴重的入侵行為，如果入侵的響應(yīng)代價Rcost 大于或等于β則表示要進行非常嚴厲的響應(yīng)行為，如入侵跟蹤甚至反向攻擊等。α和β的值由安全管理員針對不同時期網(wǎng)絡(luò)的具體情況進行設(shè)定。門限值設(shè)定是通過對話框的形式，將我們設(shè)定的值寫入到配置文件中，如圖34。圖34 門限值設(shè)定 入侵行為屬性數(shù)據(jù)庫設(shè)計專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)對入侵損失代價進行評估時，對每一類攻擊行為本身的致命性(Lethality)和響應(yīng)代價Rcost都進行了預(yù)設(shè)。根據(jù)這些入侵行為的屬性值就可以實現(xiàn)對入侵損失代價Rcost和入侵響應(yīng)的代Rcost的比較，從而決定是否響應(yīng)以及如何響應(yīng)。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低，只是對入侵行為本身的一個描述。我們針對大量已知的和未知的入侵行為，根據(jù)他們的危害程度對其進行分類，對不同的分類我們給出其屬性值，根據(jù)這些入侵行為的屬性值就可以實現(xiàn)對入侵損失代價Dcost和入侵響應(yīng)的代價Rcost的比較，從而決定是否響應(yīng)以及如何響應(yīng)。對于一個入侵行為致命性的判斷，首先我們需要知道一種行為是否是入侵行為？這種入侵屬于什么入侵行為？我們怎么來判斷呢？我們通過snort所捕獲的數(shù)據(jù)包，得到網(wǎng)絡(luò)上的原始流量，根據(jù)數(shù)據(jù)包所具有的特征(signature)來分析數(shù)據(jù)包的行為，從而判斷數(shù)據(jù)包的行為是否時入侵行為，根據(jù)入侵行為分類得到入侵行為屬性值，從而建立入侵行為屬性數(shù)據(jù)庫。特征指數(shù)據(jù)包的包頭、數(shù)據(jù)包的數(shù)據(jù)字段內(nèi)容所具有的特征。根據(jù)這些數(shù)據(jù)包的特征信息來判斷一個數(shù)據(jù)包的行為屬于正常行為還是攻擊行為，屬于那一種攻擊行為。根據(jù)RFC正式標(biāo)準，網(wǎng)絡(luò)上的數(shù)據(jù)幀或是報文都具有固定的格式和默認的規(guī)范，顯然，如果捕獲到一個幀格式或報文格式異常的數(shù)據(jù)，則很可能就是網(wǎng)絡(luò)入侵或者是攻擊。我們來看另一個例子：我們在抓到一個發(fā)往目的主機端口為21的數(shù)據(jù)包，通過在包的數(shù)據(jù)段中搜索指定“USERroot”串時，當(dāng)匹配時，我們可以認為可能發(fā)生了“FTP root user access attempt”入侵。通過上面的例子，我們看到了基于特征的入侵行為的描述方法。我們將通過特征來標(biāo)識數(shù)據(jù)包的行為，建立入侵性為屬性數(shù)據(jù)庫，通過入侵屬性數(shù)據(jù)庫的定義來對網(wǎng)絡(luò)的數(shù)據(jù)包是否是入侵行為進行判斷。 響應(yīng)模塊與響應(yīng)代理模塊設(shè)計響應(yīng)模塊的主要功能是根據(jù)響應(yīng)代價評估模塊做出的決策，對安全事件進行自動響應(yīng)或者快速手動響應(yīng)，具體的響應(yīng)操作由各個響應(yīng)代理來完成，主要的入侵響應(yīng)方式有： (1) 記錄安全事件：將安全事件記錄下來有利于管理員的事后追查。 (2) 產(chǎn)生報警信息：在控制臺產(chǎn)生報警，或發(fā)送郵件給管理員。 (3) 記錄附加日志：為了能更好的分析攻擊，有時應(yīng)當(dāng)不僅限于記錄發(fā)現(xiàn)攻擊的報文，如對于堆棧溢出攻擊，記錄堆棧溢出之后的一些報文對管理員了解攻擊者的意圖是非常有幫助的。 (4) 激活附加的入侵檢測工具：入侵檢測系統(tǒng)為了將有限的資源集中于應(yīng)對更多的攻擊，一般使用計算復(fù)雜度較低的測度進行檢測，當(dāng)發(fā)現(xiàn)攻擊者對系統(tǒng)的潛在危害上升時，可以觸發(fā)更細致的檢測，這種檢測一般使用計算復(fù)雜度較高的測度，檢測精度非常高。 (5) 隔離入侵者IP：當(dāng)發(fā)現(xiàn)攻擊者對系統(tǒng)的威脅到達一定程度時，可以配置防火墻將攻擊者從受保護網(wǎng)絡(luò)隔離，這種響應(yīng)措施的選擇需要慎重考慮，特別是對于偽造IP的攻擊，這種響應(yīng)會傷害合法客戶的利益，所以可以采用快速手動響應(yīng)的方式 (6) 禁止被攻擊對象的特定服務(wù)：通過配置防火墻實現(xiàn)。 (7) 隔離被攻擊對象：這種措施實際上禁止了所有外網(wǎng)對被攻擊對象的訪問。 (8) 警告攻擊者：通過發(fā)警告消息給攻擊者。 (9) 跟蹤攻擊者：找到盡量接近攻擊發(fā)起的位置。 (10) 斷開危險連接：對于TCP連接發(fā)送RST報文將連接斷開。 (11) 攻擊入侵者：最嚴厲的響應(yīng)措施。 短信代理模塊設(shè)計短信代理的主要功能是根據(jù)SGIP協(xié)議規(guī)定向安全管理員傳送報警信息和等待接收安全管理員通過短信發(fā)送的快速手動響應(yīng)指令。主要分為短信發(fā)送子模塊、短信狀態(tài)記錄子模塊、短信接收子模塊、安全管理指令分析子模塊，分別承擔(dān)短信報警發(fā)送、短信發(fā)送狀態(tài)記錄、短信接收和短信管理指令分析等任務(wù)。 實驗結(jié)果及評述 通過以上的設(shè)計和實現(xiàn)，我們將專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)部署在如下的網(wǎng)絡(luò)環(huán)境里，我們通過在交換機的端口上做SPAN，將ARMIRS所連接的端口定義為端口