【正文】 還是不值。如果收獲大于付出，那就值得做；反之付出大于收獲，那就不值得做了。從網(wǎng)絡(luò)安全整體角度來看，這個(gè)問題就是目前領(lǐng)域內(nèi)最新提出的“適度安全”的概念?！斑m度安全”實(shí)際上是在信息安全的風(fēng)險(xiǎn)與投入之間尋求一種平衡。 對(duì)響應(yīng)的成本分析進(jìn)行深入研究是非常有意義和有必要的，接下來將主要討論響應(yīng)成本分析的基本原理，介紹入侵響應(yīng)成本分析的方法，并對(duì)原有方法進(jìn)行改進(jìn)，以使其適用于快速手動(dòng)響應(yīng),彌補(bǔ)自動(dòng)響應(yīng)的不足。 成本因素與成本量化對(duì)響應(yīng)成本進(jìn)行分析，首先需要確定與入侵及響應(yīng)行為相關(guān)的成本因素。依據(jù)經(jīng)驗(yàn)，這里我們考慮與響應(yīng)相關(guān)的成本主要包括：損失代價(jià)Dcost(Damage Cost)與響應(yīng)代價(jià)Rcost(Respond Cost)。損失代價(jià)Dcost，是假設(shè)IDS 不采取任何響應(yīng)措施的情況下，入侵行為對(duì)系統(tǒng)造成的損失，也就是潛在損失。響應(yīng)代價(jià)Rcost是指針對(duì)某次入侵行為，采取相應(yīng)的響應(yīng)措施需要付出的代價(jià)。在確定成本因素之后，成本分析的關(guān)鍵就是成本量化的問題。與此相關(guān)的研究，在網(wǎng)絡(luò)安全的一個(gè)分支——風(fēng)險(xiǎn)評(píng)估中已有所涉及。所謂風(fēng)險(xiǎn)評(píng)估，就是對(duì)一個(gè)企業(yè)或者組織網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)價(jià)值、安全缺陷、安全威脅進(jìn)行確定的過程。確定的方法可以是定性的，也可以是定量的。從安全風(fēng)險(xiǎn)評(píng)估已有的工作來看，完全的、精確的量化是相當(dāng)困難的，而將定性分析與定量分析相結(jié)合是一種不錯(cuò)的選擇。另外，與風(fēng)險(xiǎn)評(píng)估相似，我們的工作主要是給出一個(gè)成本量化的方法，具體的量化值應(yīng)該由用戶參與確定。因?yàn)橥瑯拥娜肭中袨椋o一個(gè)小的傳統(tǒng)企業(yè)帶來的損失可能是10萬，而給一個(gè)已經(jīng)實(shí)現(xiàn)信息化的大型企帶來的損失可能就是100萬。 (1) 損失代價(jià)(Dcost)入侵帶來的在損失可能取決于多個(gè)方面。這里我們主要從入侵目標(biāo)和入侵行為本身兩個(gè)方面考慮，即入侵目標(biāo)的重要性(Criticality)和入侵行為的致命性(Lethality)。目標(biāo)的重要性(Criticality)是指被攻擊或者入侵的目標(biāo)系統(tǒng)的重要程度,可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來?？梢栽O(shè)定目標(biāo)重要性值域?yàn)?0，5)，5 為最高值。那么可以把防火墻、路由器、DNS 服務(wù)器的重要性值定義為5；web、Mail、FTP服務(wù)器可以定義為4；而普通UNIX 工作站可以定義為2，Windows 工作站可以定義為1，這樣不同的攻擊目標(biāo)的重要性(Criticality)就通過它的重要性值體現(xiàn)出來。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低。這個(gè)量與入侵所針對(duì)的目標(biāo)無關(guān)，只是對(duì)入侵行為本身的一個(gè)描述。比如，一個(gè)可以獲取root權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度。表31是根據(jù)經(jīng)驗(yàn)量化了的幾類攻擊的危害性。我們?cè)谶@里定義了4種不同種類的致命性描述。具體的攻擊行為所具有的危害性與某一攻擊分類相對(duì)應(yīng)。通過對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析可以知道他屬于那種攻擊行為,從而對(duì)應(yīng)其危害性分類。例如：對(duì)捕獲到的一個(gè)數(shù)據(jù)包，經(jīng)過解碼后得到目的端口80,數(shù)據(jù)包大小dsize128,則很可能是利用了Network Time Protocol Daemon (ntpd) 存在緩沖區(qū)溢出漏洞，攻擊目標(biāo)設(shè)備，攻擊者利用此漏洞能取得超級(jí)用戶特權(quán)，我們給出其攻擊行為為EXPLOIT ntpdx overflow，屬于U2R分類。表31 攻擊危害性與響應(yīng)代價(jià)分 類描 述成 本致命性響應(yīng)代價(jià)U2R非法獲取根權(quán)限10040R2L從外界獲得非法訪問5020DoS拒絕服務(wù)3010Probe獲取目標(biāo)系統(tǒng)的信息25有了上面描述的兩個(gè)量，就可以把入侵損失代價(jià)Dcost的值定義為：Dcost=CriticalityLethality。比如同樣是DoS攻擊，若攻擊目標(biāo)是防火墻，則Dcost=530=150。若攻擊目標(biāo)是Web服務(wù)器，則Dcost＝430＝120。 (2) 響應(yīng)代價(jià)(Rcost)入侵響應(yīng)代價(jià)主要包括兩部分內(nèi)容：執(zhí)行響應(yīng)措施的資源耗費(fèi)和響應(yīng)措施執(zhí)行以后帶來的負(fù)面影響。響應(yīng)代價(jià)的完全量化是比較困難的，在此根據(jù)經(jīng)驗(yàn)值將響應(yīng)代價(jià)的量化簡(jiǎn)化，如(表31)。這樣，在確定了事件的潛在損失與響應(yīng)代價(jià)之后，我們就可以做出響應(yīng)決策：如果Rcost≤Dcost，即響應(yīng)代價(jià)小于或者等于損失代價(jià)，則進(jìn)行響應(yīng)。如果RcostDcost,即響應(yīng)代價(jià)超過了損失代價(jià)，那就沒有必要響應(yīng)了。在此基礎(chǔ)上我們將給出快速手動(dòng)響應(yīng)的兩個(gè)門限值——嚴(yán)重威脅門限值α與重要響應(yīng)門限值β，若：Dcost≥α|Rcost≥β說明出現(xiàn)了很嚴(yán)重的入侵行為或者需要執(zhí)行很嚴(yán)厲的響應(yīng)措施如斷開網(wǎng)絡(luò)或者入侵追蹤等。此時(shí)，需要進(jìn)行快速手動(dòng)響應(yīng)，以免因?yàn)槁╉憫?yīng)、誤響應(yīng)或響應(yīng)過度給系統(tǒng)帶來更嚴(yán)重的后果。當(dāng)可能發(fā)生的損失代價(jià)較大超過一定限度α?xí)r，響應(yīng)行為是否正確得當(dāng)變得十分重要，此時(shí)除系統(tǒng)自動(dòng)采取的，如激活更詳細(xì)的日志審計(jì)，啟動(dòng)更詳細(xì)的入侵檢測(cè)，以及估計(jì)事件范圍，收集事件相關(guān)信息，產(chǎn)生事件報(bào)告等響應(yīng)外，同時(shí)可以通過短信方式讓安全員在第一時(shí)間進(jìn)行遠(yuǎn)程遙控響應(yīng)。當(dāng)響應(yīng)代價(jià)超過門限值β時(shí)，即系統(tǒng)準(zhǔn)備需要采取一些比較嚴(yán)厲的主動(dòng)響應(yīng)措施如反向追蹤時(shí)，涉及技術(shù)以外的多方面因素，此時(shí)也應(yīng)由安全管理員做出決定，使用短信方式可以最小化手工響應(yīng)代價(jià)。以上分析了響應(yīng)過程中響應(yīng)代價(jià)評(píng)估的問題，說明了應(yīng)急響應(yīng)成本分析的方法。 資產(chǎn)管理子系統(tǒng)模塊設(shè)計(jì)與實(shí)現(xiàn) 根據(jù)前面提到的代價(jià)評(píng)估的算法，需要對(duì)網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性(Criticality)進(jìn)行設(shè)定。損失代價(jià)Dcost是對(duì)攻擊目標(biāo)屬性和攻擊行為屬性綜合計(jì)算的結(jié)果，資產(chǎn)管理子系統(tǒng)模塊對(duì)網(wǎng)絡(luò)中各種設(shè)備的屬性進(jìn)行定義，通過重要級(jí)別來完成對(duì)每個(gè)設(shè)備Criticality值設(shè)定的功能。資產(chǎn)管理子系統(tǒng)可以完成設(shè)備的添加、刪除、瀏覽和修改功能。 資產(chǎn)管理子系統(tǒng)的實(shí)現(xiàn)是通過設(shè)計(jì)一個(gè)基于對(duì)話框的工程，添加列表控件，用以瀏覽當(dāng)前資產(chǎn)，通過編程實(shí)現(xiàn)數(shù)據(jù)的添加和刪除。如圖33所示：圖33 資產(chǎn)管理子系統(tǒng)由于涉及到數(shù)據(jù)庫(kù)的連接，我們引入ADO封裝類，建立本系統(tǒng)到后臺(tái)SQL Server 2000的連接，通過添加“添加”，“刪除”按鈕，實(shí)現(xiàn)設(shè)備的添加，刪除和修改。 響應(yīng)門限設(shè)定子模塊設(shè)計(jì)與實(shí)現(xiàn)根據(jù)本系統(tǒng)設(shè)計(jì)中的響應(yīng)代價(jià)評(píng)定方法，如果入侵的損失代價(jià)Dcost大于或等于α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價(jià)Rcost 大于或等于β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為，如入侵跟蹤甚至反向攻擊等。α和β的值由安全管理員針對(duì)不同時(shí)期網(wǎng)絡(luò)的具體情況進(jìn)行設(shè)定。門限值設(shè)定是通過對(duì)話框的形式，將我們?cè)O(shè)定的值寫入到配置文件中，如圖34。圖34 門限值設(shè)定 入侵行為屬性數(shù)據(jù)庫(kù)設(shè)計(jì)專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報(bào)警系統(tǒng)對(duì)入侵損失代價(jià)進(jìn)行評(píng)估時(shí)，對(duì)每一類攻擊行為本身的致命性(Lethality)和響應(yīng)代價(jià)Rcost都進(jìn)行了預(yù)設(shè)。根據(jù)這些入侵行為的屬性值就可以實(shí)現(xiàn)對(duì)入侵損失代價(jià)Rcost和入侵響應(yīng)的代Rcost的比較，從而決定是否響應(yīng)以及如何響應(yīng)。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低，只是對(duì)入侵行為本身的一個(gè)描述。我們針對(duì)大量已知的和未知的入侵行為，根據(jù)他們的危害程度對(duì)其進(jìn)行分類，對(duì)不同的分類我們給出其屬性值，根據(jù)這些入侵行為的屬性值就可以實(shí)現(xiàn)對(duì)入侵損失代價(jià)Dcost和入侵響應(yīng)的代價(jià)Rcost的比較，從而決定是否響應(yīng)以及如何響應(yīng)。對(duì)于一個(gè)入侵行為致命性的判斷，首先我們需要知道一種行為是否是入侵行為？這種入侵屬于什么入侵行為？我們?cè)趺磥砼袛嗄?？我們通過snort所捕獲的數(shù)據(jù)包，得到網(wǎng)絡(luò)上的原始流量，根據(jù)數(shù)據(jù)包所具有的特征(signature)來分析數(shù)據(jù)包的行為，從而判斷數(shù)據(jù)包的行為是否時(shí)入侵行為，根據(jù)入侵行為分類得到入侵行為屬性值，從而建立入侵行為屬性數(shù)據(jù)庫(kù)。特征指數(shù)據(jù)包的包頭、數(shù)據(jù)包的數(shù)據(jù)字段內(nèi)容所具有的特征。根據(jù)這些數(shù)據(jù)包的特征信息來判斷一個(gè)數(shù)據(jù)包的行為屬于正常行為還是攻擊行為，屬于那一種攻擊行為。根據(jù)RFC正式標(biāo)準(zhǔn)，網(wǎng)絡(luò)上的數(shù)據(jù)幀或是報(bào)文都具有固定的格式和默認(rèn)的規(guī)范，顯然，如果捕獲到一個(gè)幀格式或報(bào)文格式異常的數(shù)據(jù)，則很可能就是網(wǎng)絡(luò)入侵或者是攻擊。我們來看另一個(gè)例子：我們?cè)谧サ揭粋€(gè)發(fā)往目的主機(jī)端口為21的數(shù)據(jù)包，通過在包的數(shù)據(jù)段中搜索指定“USERroot”串時(shí)，當(dāng)匹配時(shí)，我們可以認(rèn)為可能發(fā)生了“FTP root user access attempt”入侵。通過上面的例子，我們看到了基于特征的入侵行為的描述方法。我們將通過特征來標(biāo)識(shí)數(shù)據(jù)包的行為，建立入侵性為屬性數(shù)據(jù)庫(kù)，通過入侵屬性數(shù)據(jù)庫(kù)的定義來對(duì)網(wǎng)絡(luò)的數(shù)據(jù)包是否是入侵行為進(jìn)行判斷。 響應(yīng)模塊與響應(yīng)代理模塊設(shè)計(jì)響應(yīng)模塊的主要功能是根據(jù)響應(yīng)代價(jià)評(píng)估模塊做出的決策，對(duì)安全事件進(jìn)行自動(dòng)響應(yīng)或者快速手動(dòng)響應(yīng)，具體的響應(yīng)操作由各個(gè)響應(yīng)代理來完成，主要的入侵響應(yīng)方式有： (1) 記錄安全事件：將安全事件記錄下來有利于管理員的事后追查。 (2) 產(chǎn)生報(bào)警信息：在控制臺(tái)產(chǎn)生報(bào)警，或發(fā)送郵件給管理員。 (3) 記錄附加日志：為了能更好的分析攻擊，有時(shí)應(yīng)當(dāng)不僅限于記錄發(fā)現(xiàn)攻擊的報(bào)文，如對(duì)于堆棧溢出攻擊，記錄堆棧溢出之后的一些報(bào)文對(duì)管理員了解攻擊者的意圖是非常有幫助的。 (4) 激活附加的入侵檢測(cè)工具：入侵檢測(cè)系統(tǒng)為了將有限的資源集中于應(yīng)對(duì)更多的攻擊，一般使用計(jì)算復(fù)雜度較低的測(cè)度進(jìn)行檢測(cè)，當(dāng)發(fā)現(xiàn)攻擊者對(duì)系統(tǒng)的潛在危害上升時(shí)，可以觸發(fā)更細(xì)致的檢測(cè)，這種檢測(cè)一般使用計(jì)算復(fù)雜度較高的測(cè)度，檢測(cè)精度非常高。 (5) 隔離入侵者IP：當(dāng)發(fā)現(xiàn)攻擊者對(duì)系統(tǒng)的威脅到達(dá)一定程度時(shí)，可以配置防火墻將攻擊者從受保護(hù)網(wǎng)絡(luò)隔離，這種響應(yīng)措施的選擇需要慎重考慮，特別是對(duì)于偽造IP的攻擊，這種響應(yīng)會(huì)傷害合法客戶的利益，所以可以采用快速手動(dòng)響應(yīng)的方式 (6) 禁止被攻擊對(duì)象的特定服務(wù)：通過配置防火墻實(shí)現(xiàn)。 (7) 隔離被攻擊對(duì)象：這種措施實(shí)際上禁止了所有外網(wǎng)對(duì)被攻擊對(duì)象的訪問。 (8) 警告攻擊者：通過發(fā)警告消息給攻擊者。 (9) 跟蹤攻擊者：找到盡量接近攻擊發(fā)起的位置。 (10) 斷開危險(xiǎn)連接：對(duì)于TCP連接發(fā)送RST報(bào)文將連接斷開。 (11) 攻擊入侵者：最嚴(yán)厲的響應(yīng)措施。 短信代理模塊設(shè)計(jì)短信代理的主要功能是根據(jù)SGIP協(xié)議規(guī)定向安全管理員傳送報(bào)警信息和等待接收安全管理員通過短信發(fā)送的快速手動(dòng)響應(yīng)指令。主要分為短信發(fā)送子模塊、短信狀態(tài)記錄子模塊、短信接收子模塊、安全管理指令分析子模塊，分別承擔(dān)短信報(bào)警發(fā)送、短信發(fā)送狀態(tài)記錄、短信接收和短信管理指令分析等任務(wù)。 實(shí)驗(yàn)結(jié)果及評(píng)述 通過以上的設(shè)計(jì)和實(shí)現(xiàn)，我們將專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報(bào)警系統(tǒng)部署在如下的網(wǎng)絡(luò)環(huán)境里，我們通過在交換機(jī)的端口上做SPAN，將ARMIRS所連接的端口定義為端口