基于网络风险评估的自动入侵响应系统的研究

第一章引言
1.1研究背景及意义
近年来，互联网在全球持续快速发展。图1-1显示了互联网在中国的普及增长情况，该统计数据是由CNNIC(中国互联网络信息中心)于2010年7月发布

挥着日益重要的作用，互联网作为日常使用工具，它的迅速发展使得人们的工作、生活、娱乐、学习等方面都与计算机、并在国民经济建设中发

研、且已成为关系到、社会稳定的重要因素，因此，保证网络安全的问题，已经成为经
济和技术发展中的关键技术问题之一。

网络系统的安全可靠性成为关注的焦点，网络安全技术的研究受到了高度的重视，全球全社会都对网络安全提出了越来越高的要求。

由于对网络安全需求的日益增加，不断地涌现出了各种各样的安全产品，其中包括杀毒软件、防火墙、入侵检测系统(IntrusionDetectionSystem，IDS)等等。但网络中的安全问题涉及多个方面，其中有很多是安全产品本身或者人为的安全问题，所以，网络中每天依然有着服务器被攻击或者网络被攻击的现象。这些攻击导致的经济损失是相当的严重，而解决这些问题，使用传统的防火墙或IDS便显得力不从心了，于是，一种更加强大的安全防御产品-入侵防御系统（IntrusionPrevention System，IPS）便应运而生了。

入侵防御系统（IPS）专注于提供前瞻性的主动安全防御技术，它融合了防火墙和IDS 的技术优点，设计 IPS的宗旨在于，能够检测、并且能预先拦截住入侵活动和具有攻击性的（疑似攻击性的）网络流量，一经分析出将会有入侵行为或可疑入侵现象后，此时系统会采取某种相应的响应手段，以达到及时、有效地阻止入侵的进一步发生，因而达到将入侵造 成的损失降到最小的目的。 IPS与 IDS 最大的区别就是IPS 具有前瞻性，而IDS只有在恶意流量传送时、或传送

后才发出报警。所以，IPS的安全解决方案，将成为网络安全技术的主流，并将会逐步整合

到信息系统的安全基础架构中。在IPS中，它的重要组成部分是入侵响应系统（IntrusionResponseSystem，IRS），它能根据入侵攻击的一些特征和网络的具体情况采取措施，针对入侵行为采取及时、自动和有效的响应。IRS的核心技术是响应决策技术，即对于当前发生的安全事件应该采取怎样的响应行为，对响应策略的选取是否及时、有效和合理，将是降低系统损失的关键。

对互联网而言，其最大的不安全因素来自网络本身，由于互联网对社会各方面的渗入，各种数据信息的传送得不到有效的安全保障，随时可能发生数据被截取或窃听等安全问题。

因此，为了避免这些网络安全问题所造成的损失，对网络安全的风险评估也成为网络安全技术研究的关键技术之一。

1.2国内外研究现状
论文研究的是基于网络风险评估的自动入侵响应系统，主要包括两个关键技术的研究，一是网络风险评估技术，二是自动入侵响应技术。

1.2.1网络风险评估技术研究现状
对网络信息系统的风险评估研究在国外有近30年的历史，一些IT发达的国家，如美国和加拿大等，早在上世纪七、八十年代就已建立用于研发评估技术及评估标准的风险评估认证体系，如今他们的风险评估体系和架构都已比较成熟。我国这方面的研究相比之下起步较晚，相应的评估体系、评估技术和架构等都还处于初级阶段，但随着网络和电子业务的发展，网络风险评估已得到、军事等各方面的重视，具有广阔的发展空间。

根据研究对象的变化，风险评估技术发展至今大致分为三个阶段：

信息的保密方面。 20 世纪80 年代和 90年代初的信息安全保护为第二阶段，研究的对象是计算机和网
20世纪 70年代的信息保密为第一阶段，研究的对象是计算机，以美国的研究为主。重点研究计算机系统的保密性， 该阶段评估技术仅体现在对

络，

逐步建立适应自己行业的信息安全评估体系，进入信息保障阶段，而其研究对象则是信息系统的关键基础设施。

目前对网络风险评估的研究，也是在第三阶段的基础上，主要针对安全事件难于防范的 在众多影响网络安全的风险因素中，比较多的是趋向于考虑网络攻击事件对网络安全特性，
性造成的影响。风险评估作为信息安全风险评估工作中的关键步骤之一，
是建立网络防护系统和信息系统维护体系的一项基础性工作，也一直是研究的热点。

1.2.2自动入侵响应技术研究现状
应该采取怎样的响应入侵响应技术的研究着重于当系统遭到攻击或疑似攻击的行为时，
措施，以达到此次响应的目的。如何应对来自IDS的事件报告，包括对其进行分析，以及选择适当的响应策略进行响应，当响应结果不理想时又怎样进行动态调整响应策略以保证响应的有效性等等问题都是入侵响应技术所要解决的问题。

国内这方面的研究还比较少，国外的研究主要包括：入侵响应的分类研究。分类是自动响应技术研究的基础，包括Fisch 的 DC&A 和Carver 的六维模型分类法，响应的效率和性能由分类方法的有效性和合理性决定；通过对响应代价（ResponseCost，RCost）和入侵引起的损失代价（DamageCost，DCost）的比较，WenkeLee 提出了基于代价（成本）分析的决策模型的研究；自适应技术的研究，如Curtis 提出的一种自适应系统AAIRS(Adaptive

Agent-based Intrusion Response System)，由于该系统能够适应环境的变化，因而响应更加有

效合理；其它的还有WayneJansen提出的嵌入移动代理的响应系统，Christopher和Robert

的意图识别运用以及Wangxinyuan提出的基于主动网络的响应框架等等。

就技术而言，目前对入侵响应的研究主要集中在两个方面：响应决策和响应机制。其中

前者是在体系结构、和标准的层次上进行的研究，而后者主要是指技术层面。初期的入

侵响应采取的响应方式大多为被动响应，它包括日志记录、告警提示等响应方式；但由于被

动响应存在的响应延时比较长，就像其名称一样，对攻击或疑似攻击的处理就显得非常被动，

不能达到及时有效地阻止攻击或最大程度减少损失的目的，因此，随后的IPS产品则以主

动响应的方式为主，它能对入侵行为或疑似入侵行为主动做出反应，包括阻断攻击源，对攻

击源的反击，引诱系统等等，相对被动响应，响应的延时得到了很好的控制，能产生及时有

效的响应措施。

1.3本文主要研究内容

南京市人力资源和社会保障公共服务平台作为“智慧南京”的有机组成部分，是南京市

信息惠民工程之一，系统受到全市百姓及各级领导的关注。公共服务平台目前注册企业用户

3万余家，个人用户10万余人，平均每日访问量达到2万余次。然而，作为网站，不

可避免的成为了黑客攻击的主要目标之一。为加强对攻击行为的主动防御，系统使用一款千

兆级网络入侵防御设备，是基于4核网络处理器的高性能设备，集成了深度网络数据包检

测和实时响应网络攻击，并能根据制定的响应策略采取相应的响应措施以防御网络攻击，采

用在线方式，串联在网络中。通过对入侵防御系统的性能和多核条件下的并行处理这两个方

面出发，主要研究内容如下：

1、研究网络风险评估技术，在结合定性与定量分析方法的基础上使用层次分析法，量

2、研究自动入侵响应技术，包括响应分类、特性，以及响应决策技术的研究；

3、通过分析、研究，加载基于风险评估的自动入侵响应策略。该策略能够将对网络风
化影响网络安全的各种因素，设计并实现网络风险评估模块；

第二章相关技术理论研究

2.1网络安全模型

2.1.1P2DR 安全模型

对网络动态安全过程的抽象描述就是指的网络安全模型。防火墙等的安全产品大多是采

用静态防御的防护策略，使用人工定期升级的方式提升其防御和检测的性能，由于这类产品

欠缺主动防御能力，一旦出现利用新的漏洞或者采取新的攻击方法，那么将无法进行自学习

而使系统受到攻击。

产生这些防御缺陷问题的根源就是忽略了网络的动态性，当有出现原本数据库中没有过

的攻击特征时便无法识别，由此产生了解决这些弱点的初期的网络安全模型，如图2-1所

示。

检测和响应（protection、detection、response，PDR）都受之于安全策略的管理控制，同时，P2DR模型具有动态自适应性，该模型由四个部分构成，其中，防护、

在对系统安全状态的动态检测上，不能全面对网络安全动态过程进行准确的描述。为了克服

这个缺陷，需要建立一个能够对网络安全动态性的本质进行抽象描述的模型。通过对

P2DR模型的补充完善，在其基础上设计了AP2DR2C模型，如图2-2所示。

AP2DR2C模型一共由七个部分构成：安全策略（Policy），风险评估（Assessment），

防护（Protection），检测（Detection），响应（Response），恢复（Recovery）和反击（Counterattack）。

与P2DR模型所相同的，都是以安全策略为管理控制核心，防护部分利用各种防护手段，

再加上由检测部分检测得到的系统的安全状态，响应部分就能在响应机制决策下采取适当的

响应；不同的有以下三点：

1）风险评估。P2DR模型动态环节仅在检测部分体现，AP2DR2C模型中增加的风险评

估部分能够对网络的安全状态进行动态评估，能够更加全面的掌握网络所将面临的风险信息。

2）恢复。指系统对入侵进行响应采取行动后，能够通过备份、升级和补丁等手段恢复

因入侵而受到影响的数据信息。恢复功能对降低入侵所带来的损失起着不可小觑的作用。

3）反击。反击在这里是指进行节制攻击行为，一般通过系统的自学习，以当前所收集

到的攻击特征等信息为基础，根据攻击程度的动态变化特性，攻击手段（即反击实现）采用

探测类和病毒类等。该模型的这些特性使得它能对网络安全进行自适应的动态防御，风险评

估作为该模型不可或缺的部分，是本文研究的重点。

2.2网络风险评估技术

2.2.1网络安全与风险评估

网络安全是指网络系统中的硬、软设备，如硬件、软件和数据等，受到保护，不因外界

蓄意的或是偶然的原因而遭到设备被破坏、数据泄漏或遭篡改以及系统遭受非授权的访问等

等，能够保证网络系统提供正常的服务并且能连续可靠的运行。

网络安全的目标是达到对所保护信息的真实性，机密性，完整性，可用性，可控性和不

1）真实性（Authenticity）：鉴别源信息是否是伪造，对源信息进行判断真伪。

2）机密性（Confidentiality）：保护网络中的数据信息不被窃听泄漏。

3）完整性（Integrity）：保护网络中的数据信息不被非法用户重放、篡改、伪造等破坏，
可抵赖性等不受破坏。具体要求如下：

和其传播的能力。

6）不可抵赖性（Non-Repudiation）：保证信息发送方不能否认其已发送的信息，主要

通过在信息交互过程中使用数字签名和认证等手段，来确认参与者身份真实性。

风险评估就是找出存在于网络系统中的威胁，当对网络系统具备了全面的评估分析、清

楚系统所潜在的风险并估计它们将会造成的影响之后，才能给网络安全解决方案提供有力的

依据，使得将系统可能遭受的风险降到最低的程度，也即达到风险评估的目的。

2.2.2风险评估原理

2.2.2.1评估原理

风险评估作为网络安全关键技术之一，评估的基本原理是，以网络系统及其本身存在的

弱点和漏洞作为输入，依据对它们进行检测所得到的检测结果，以风险评估分析报告等类似

的评估结果作为输出，并将其提供给管理员或是下一站网络设备（比如提供给入侵响应模块

作为响应决策的参加依据），以便采取适当的措施。具体包括以下四个方面，如图2-3所

示：

图2-3风险评估原理图2.2.2.2评估框架
现阶段的网络风险评估技术研究的评估对象主要是四个：

1)资产：系统中具有价值量的因素，如交换机、服务器等。评估过程中需要标注出重资产，这里指具有价值重的有形资产或者在整个系统运作中其安全属性产生着重要影响的无

形资产。

按其带来损失影响的强弱进行分类或是赋值。

2）威胁：可能会对系统带来损失的威胁。可以借助审计和漏洞模拟攻击等手段对威胁

3）漏洞：指网络系统自身所存在的缺陷，也称脆弱性，它是最容易被威胁利用来攻击

其中，风险因素是由前三者共同发生关系而产生的，所以实际上最主要的还是风险要素

为资产、威胁和漏洞，他们之间与风险的关系如图2-4所示：

这样风险评估的值就能由对资产、威胁和漏洞三者的评估结果，结合最后得到的风险级

别共同得出。基本框架如图2-5所示：

图2-5风险评估框架

该框架遵循风险评估原理，以网络系统及其本身存在的弱点和漏洞作为输入，依据对它

们进行检测所得到的检测结果，参考网络安全指标库，并且参照漏洞信息库，以风险评估分

析报告等类似的评估结果作为输出。

结构知识库以及漏洞信息库对系统进行扫描，得到中间产物，漏洞扫描结果，接下来评价指

标权重确定模块根据该中间结果，并参照评估指标信息库进行权重确定，将确定结果作为网从图中可以看出，整个框架呈现出反馈循环的格局。网络漏洞扫描模块参考网络安全和

至评价结果库。

同风险评估框架图类似，该模型图具体阐述了如何对一个网络系统进行评估得到风险分 图2-6 风险评估模型图

析报告。首先进行信息采集，利用攻击工具箱和漏洞扫描工具对被评估的网络系统进行威胁

和漏洞的识别，这部分即为对资产、威胁和漏洞的分析，接下来根据漏洞评估标准（如

2.2.2.3节的CVE标准）和所具有的攻击知识库对系统总体进行评估，得到风险分析报告，然后达到降低网络系统风险的目的。

现有的风险评估系统大多都是在图2-6所示的网络风险评估模型基础上进行改进，不论如何改变，目的都是结合实际网络系统构架和所要达到的安全指标，设计适合本系统的风

险评估方法，这在2.2.3节将具体讲述。

2.2.2.3CVE 标准
CVE（CommonVulnerabilities and Exposures），公共漏洞和暴露，为每个信息安全漏洞和

暴露出的弱点确定了标准化的描述和唯一的名称，该命名方案由MITRE公司主持，用来作为评价IDS和漏洞扫描工具等安全产品的基准。

CVE能成为信息安全共享的关键字，在于它规范了漏洞和弱点，使用一个共同的名字，这就好比一个字典表，即便是一些相互而且很难整合在一起的漏洞扫描工具，用户同样

可以进行数据共享。如果在某一安全产品的漏洞库中涉及到CVE标准，那么用户就能在其它任何具有CVE标准的漏洞库中查找到相应的漏洞信息。

例如一个非常著名的拒绝服务攻击的Land。Land的攻击原理是伪造源地址与目的地址相同的IP数据包，当主机存在相应的漏洞时，就会收到该攻击包，主机就会不断进行自我响应直至系统资源耗尽而崩溃。在CVE之前对它的描述有多种，比如Teardrop_land、ImpossibleIP packet 和LandLoopback Attack 等等，不同的漏洞数据库可能选用了不同的名称，使用户无法适从。有了CVE之后，漏洞均将对应到CVE字典中，而且只会出现一个名称和相应的描述，如表2-1所示。

入侵防御系统的攻击知识库正是基于CVE的命名方式而工作的，能够非常完美地与CVE兼容。这就意味着，任何一个工具、数据库或者其它使用CVE命名方式的安全产品能对其引用。

2.2.3风险评估方法
评估过程中方法的使用就如标准对于评估的指导一样，有着举足轻重的地位，它不仅渗

入到评估过程的各个环节，最重要的是选择不同的评估方法能直接第二章相关技术理论研

究影响评估结果的有效性。所以，针对不同的系统、所要达到的安全级别的不同，应该选择

与其相适应的风险评估方法。概括起来，风险评估方法有以下四类：

一般是将风险定义为系统某些状态的函数，用直观的数据对结果进行表述，清晰深刻、一目了然，而且也比较严密和科学。具有代表性的定量评估的方法如因子分析法、等风险图法和决策树法等等。

但也正因为定量分析法能用一个数字表示一大堆文字性的描述的这一特性，有时候却将复杂的网络安全问题给简单模糊化了，反而使得某些被量化后的风险因素遭到误解。

2）定性分析法：利用非量化资料对系统安全风险进行评估。非量化资料包括，研究者的知识经验、历史的经验教训和国家社会的客观及其趋势等等。

一般的定性分析方法流程如图2-7所示：

析对象进行剖析、去粗取精，以达到分析出其本质的目的。常用的定性分析方法有历史分析法、因素分析法和德尔菲法等等。
作为最基本的分析研究方法，定性分析运用推理和归纳演绎等非量化计算的手段，对分

3）综合评估法：将定量分析和定性分析相结合的风险评估方法。随着网络系统的不断
发展，它的庞大和复杂的程度也随之增加，必然存在某些风险因素是无法进行量化的，因此，
无论是定量分析法还是定性分析方法，都无法准确地评估出风险结果。此时，应采用将两者
把定量分析的量化结果作为依据提供给定性分析，
再结合无法量化结合使用的综合评估法，的风险因素进行分析，从而得出准确、全面而且有效的风险评估结果。常用的综合评估方法
有层次分析法和故障树法等等。

4）基于模型的评估法：指对系统所有可能的状态和行为进行抽象建模，通过对所建立的模型进行分析，进而评估出系统的风险状况。

常用的模型如2.1节所提到的P2DR模型，AP2DR2C模型，模拟有限状态机的状态转移模型和基于图论的网络安全模型等等。

2.3 自动入侵响应技术
2.3.1入侵响应技术
入侵响应(IntrusionResponse，IR)是指，对检测工具（如IDS）检测出的入侵行为采取适当的响应，达到阻止攻击和最大程度保护系统资源的安全目的。根据2.1节中介绍的安全模型可以看出，不管哪个模型，响应都是其中不可缺少而且尤为重要的环节。不仅如此，由检测部分传递过来的，除了大量的事件数据信息外，还有大量的告警信息，这些告警信息里

包括常规的和误报的。入侵响应系统（IRS）就是用来及时、高效地处理这些信息，并保护

好系统资源。

IRS的设计要求为：两小一少一好。

“两小”，一是指响应延时要小，检测出入侵产生报警到采取响应之间存在延时，这个时间窗口就给攻击者提供了可乘之机。表2为FredCohen通过实验模拟不同的时间窗口下，得到的入侵仍然成功的概率值。

表2-2响应延时与入侵成功率的关系

二是指的响应付出的代价要小。响应的目的是阻止攻击，将系统所受的损失降到最低，响应本身是有代价的、是要消耗系统资源给系统造成损失的。假如对于一个攻击而言，系统对它采取响应所付出的代价相比遭到入侵来说更多，那么这样的响应措施并没有达到降低系统所受损失的目的。

当误报已经不可避免时，“一少”是指误响应要少。误响应的产生源自检测部分的误报，
应该在响应部分作出优化，减少对这部分误报的误响应。

“一好”指的是响应策略要好。响应策略是入侵响应的核心，特别对自动入侵响应而言。一个好的响应策略不仅可以达到上文中一少的目的，而且还能防止入侵者通过学习等手段对响应进行躲避。

2.3.2 入侵响应技术分类 划分标准的不同，可以将现有的IRS 分为以下几类：
如果一个IRS 能满足以上四个要求，那么对网络系统来说，它无疑是一个忠实可靠的捍卫者。同时，这四个要求也指导着入侵响应技术的发展。

员）根据网络系统的实际情况采取响应措施。措施包括报警和陷阱等。

2）根据响应的速度，分为告警型、人工手动响应类型和自动响应类型。

告警型系统的工作方式主要是，管理员收到发送过来的入侵检测结果，然后定期的发送告警信息，并决定采取响应并执行。该系统最大的缺点是响应延时大，滑动时间窗口大，不符合理想IRS设计的要求。

人工手动响应系统采取了相比告警型而言比较有效的响应策略，该系统事先在响应决策库中放置了针对部分入侵行为的响应程序，当检测到入侵时，管理员可以选择适当的响应程序并执行。但由于需要管理员的挑选，还是存在比较大的响应延时，同样给入侵成功制造了机会。

该系统能自行对检测过来的信息进行分析，然后从自动响应系统则不需要用户的参与，
响应决策库中选择出适当的响应措施并执行，具体见2.3.3节。大大的减小了响应延时，给攻击者毫无翻身的机会。

表2-3是通过统计调查得到的在现有的安全防御产品中这三种类型的系统所占有的比例情况。

表 2-3 告警型、人工手动响应和自动响应所占比例情况

由表中数据可以看出，虽然告警型响应系统存在响应延时大的问题，但对它的使用率却是最高的，说明这类系统的实现是比较简单而且成本也比较低。但对于安全性而言，研究出具有高保障性的IRS才是真正的目标，而自动响应系统正符合各方面的要求，也是入侵响应技术研究的趋势和热点。

3）按照响应的地点，分为基于主机的响应和基于网络的响应两类。

基于主机的响应，其响应地点在目标主机上，主要防御的是对主机系统的攻击。响应措施包括时间的告警和记录、对用户的权限和关闭帐号以及数据备份等等。

基于网络的响应，其响应地点位于网络设备上，如路由器、防火墙和交换机等。该类响应的措施包括封闭交换机端口和入侵追踪等等。

4）根据响应的范围，可分为本地响应和协同响应两大类。

本地响应系统指，在本地设备（包括主机和网络设备）上，根据具体安全事件所进行的限于本地的响应。

协同响应系统，顾名思义，不限于本地的系统，而是整个网络的各个系统间对安全事件进行协同的响应。这类响应使得系统能共享安全事件的信息，使响应方案达到最优化，最后

2.3.3 自动入侵响应技术 自动入侵响应系统的模型如图2-8 所示：达到系统总损失最小、安全性最高的目标。

图2-8自动入侵响应模型图
由图2-8可知，响应决策模块对检测得到的安全事件进行分析，利用响应决策知识库作出响应策略，并将响应策略传递给响应执行模块，响应执行模块再调用响应工具库里的工具对选择的响应措施执行。这里的响应策略是用某一语言描述由响应执行模块解释并执行的。

对入侵行为采取怎样的及时、合理、高效的响应措施是设计入侵响应系统的关键，也即是说，在2-8所示的模型图中，响应决策模块是该系统的核心，也是本文在入侵响应设计要重点讨论的。

根据响应决策设计的不同，目前对自动入侵响应系统的设计模型可以分为采用映射方式的静态和动态映射模型；利用比较响应代价（也称响应成本）和损失代价（也称损失成本）的基于代价敏感的模型；从采取响应后对网络系统造成的负面影响的最小原则模型；以及基

于动态实时的入侵风险评估的模型等等。本文入侵响应的设计便是基于其中的代价（成本）

敏感模型和风险评估模型。这将在第三章和第四章中进行详细阐述。

为了能够使响应决策模块具有自学习的能力，还可以对上述模型进行改进，如图2-9所示，改进后的模型可以将本次策略执行的效果反馈回响应决策，使系统能更好的调整优化响应策略。

图2-9带反馈的自动入侵响应模型图

第三章网络风险评估设计
目前，不论是各个组织或是企业的网络都日趋庞大和复杂，这也同时使得对网络安全管理的要求达到了一个新的层次，网络安全管理者也正被网络安全产品所检测出的大量的安全事件而淹没。一些管理者试图通过降低这些网络安全产品的敏感度来减少安全事件的数量，然而，这样的方法却会丢失对这些低敏感度安全事件的信息收集。因此，需要一个更合理的处理这些大量安全事件的方法。

作为关键技术之一的风险评估则在信息安全保障方面起着越来越重要的作用，并在实时性应用中得到广泛的应用。

3.1静态风险评估及其弱点
3.1.1静态风险评估
传统的静态的风险评估方法主要关注于信息资产、系统的漏洞和系统采用的安全策略。

风险评估方法是一种静态的方法。图3-1所示的层次化风险评估模型就是一个典型的使用静态风险评估方法的模型。

容都是系统本身固定存在的，比如评估网络层和主机层，内容主要是该层里的所有配置信息，
包括网络中各节点间信息的传播率、主机的重要程度及其编号等等；主机的应用服务层则包
含报警数量和种类数、目标重要程度等等。

3.1.2静态风险评估的弱点
静态风险评估所考虑的因素一般都是在相当长的时间内保持不变，而且不会实时更新。

因此，这种静态的风险评估方法不能用在含有动态威胁因素的网络系统中。而通过网络检测 这样只是针出的威胁事件作为典型的动态威胁因素，则不能作为静态评估方法评估的依据。

对网络自身固有因素，而不考虑外界因素所带来的风险因素的风险评估方法，就等价于闭门造车，在互联网与安全事件均飞速发展的当下必然会被淘汰。

通过第二章中介绍网络风险评估技术的概念，可以采用综合考虑的方式来对网络风险状态进行评估。也即是说，比起仅只考虑针对信息资产、系统漏洞及安全策略的保护，还应该考虑到网络安全事件严重性和发生频率等的动态威胁因素，以及定制告警或是威胁程度时对网络中不同组件各自潜在威胁的更合理的量化机制。

一般来说，一个对网络系统完整的风险评估应当是实时、动态进行的，一旦这个系统的 本文设安全状态发生改变，比如已经过时或者升级时，也不会影响对该网络系统风险评估的进行。近年来，基于威胁事件分析的网络风险评估方法是网络风险评估技术发展新的趋势。

为了定义研究领域，本文考虑将网络安全领域中威胁定义为，被安置在网络中的安全产

品检测出的攻击。安全管理和内容的安全保障不在本文考虑的范围内，认为它们是信息安全

领域的思想。

3.2动态风险评估方法

目前国内外已经存在一些关于网络动态风险评估的研究。Arnes将从IDS得到的告警信

息作为风险评估系统的输入，并使用HiddenMarkov模型来计算网络系统当前可能的安全状

态，然后对每一安全状态而言可能遭受的损失进行累计，通过这些累计值来评估当前网络的

安全风险情况。Boyer首次将安全事件模拟为场景，并且使用SADL（SecurityAssessment

DeclareLanguage，安全评估声明语言）来对该场景风险进行描述。Teo则计算源地址的风险

并通过与防火墙的联动，将其作为防火墙的输入，然后相应地对防火墙的访问控制策略进行

动态调整。Butler则主要侧重于研究安全属性的估计值，并结合攻击事件出现频率的估计值

来计算网络系统的风险值。

从以上的研究可以得知，大多数的网络动态风险评估方法主要都是依赖于两个方面的分

析：

1）对威胁事件数据特征的分析

2）威胁发生时引起的威胁影响的分析

对威胁事件数据特征的分析主要是为了得到威胁事件发生的概率，因此，可以将某个威

胁事件风险的量化值表示为威胁事件发生的概率以及威胁发生后所造成的影响这两者的函

数，当然，整个网络系统的风险就是对所有威胁事件的风险值的求平均和，用公式（3-1）

表示动态风险评估的一般计算形式：

3.3.1 概要设计
通过2.2.2 节的介绍可以知道对网络系统风险评估最主要的是对三个因素的评估：资产

（asset）、威胁（threaten）和漏洞（vulnerability，即脆弱性），本文用字母A、T和V表示。根据ISO/IECTR 13335-1 对风险的定义：系统资产的脆弱性（安全漏洞）被特定的威胁

利用，所引起的资产受到损失或遭到破坏的潜在可能性。为了方便表示，本文用P（Probability）表示公式（3-1）中的Threat_Frequency，用I（Influence）表示Threat_Effect，那么式（3-1）可以表示为如下形式：

分别找到P和I就能计算出网络系统当前的风险评估值，N表示该时段威胁事件的总数。

P是指威胁事件发生的概率，传统的静态风险评估中对P的计算是通过单纯的统计得到，为了实现对网络进行动态的评估，本文设计了基于威胁事件流模型、采用对威胁事件自

身的特征信息进行分析的方法得出P。这将在 3.3.2节中的具体阐述。I是指威胁事件发生时对网络系统所造成的影响，影响是在威胁事件发生并对资产产生

了作用之后，即，系统资产的脆弱性（安全漏洞）被特定的威胁利用之后，所以影响的程度

不仅与资产的价值相关，还与安全漏洞和威胁有关。 图3-3所示为本文动态风险评估概要设计的过程。

图3-3动态风险评估设计过程
图中资产的潜在损坏度（CompromiseRating，本文用C表示）是参照ISO/IEC13335，并根据ISO/IEC13335 中定义为漏洞与威胁的组合，且有：

因此I同时与C和A相关，可以用公式（3-4）表示：

所有可能对网络造成影响引起风险的威胁事件的R 值求平均和，便能得到整个被评估网络 所以，确定了A、T 和V 就能得到整个网络系统的风险值。 这样一次完整的操作，就能得到单个威胁事件对网络系统可能引起的风险， 然后只要将

系统的风险值。

根据2.2.3章节中介绍的网络风险评估的流程，进行评估前首先要做信息的收集，为其后对资产、脆弱性和威胁的评估做准备。这是进行风险评估的首要步骤。只有具备了充分的且具有针对性的准备，才能对网络进行比较全面的评估。

这个阶段的准备工作多以定性分析为主，主要包括：对被评估的网络系统的组成及信息构架的分析，对构成系统的软硬件设施、系统的网络拓扑结构、系统的服务和运行流程、系统的人员配置和技术等等，以及这些要素在系统中起着怎样的作用、有着怎样的地位等等。这一步主要是为评估资产提供依据，此外，对系统而言，脆弱性也是涉及多个方面的，所以，充分的分析准备还能帮助发现系统的脆弱性。

除了收集以上信息外，在评估准备环节还应该考虑根据网络系统的实际需要确定出风险评估的实施范围和制定出评估方案。比如对于实时性要求较高的网络系统，那么在滑动时间窗口的设置上应该注意时间间隔应尽量小；对风险评估结果精确度要求较高的网络系统，在V和T的等级设定上应该注意尽量设置为多个等级的情况，等等。

3.3.1.2 评估V（脆弱性）值
脆弱性也称安全漏洞，指在网络系统环境和资产中的载体存在着的可能被威胁事件所利用的薄弱性的环节或者缺陷。这些载体包括系统的硬软件设施、系统服务和技术等。 对于脆弱性值的评估，本文在传统对脆弱性的评估算法上作了改进。

首先，找到网络系统中的漏洞。与传统的评估方法相同，利用漏洞扫描工具对网络系统

进行扫描，因为在漏洞扫描工具方面的技术已经是非常成熟，如ISS、Dbscaner和Nessus等等，使用这些扫描工具能够迅速发现存在于这些载体上的漏洞。

其次，对发现的漏洞确定其等级。参照ISO/IEC13335，传统的评估方法在这部分都设置为三个等级，高（3）、中（2）和低（1），括号内为参照ISO/IEC13335为各个等级所赋的值，本文为了达到对网络风险评估的精确性，将等级作了改变，有两类：三级和九级。

三级划分参照的标准还是ISO/IEC13335中的是否存在关键缺陷，具体如下：高：存在严重关键的缺陷，很容易被威胁利用，可以进行远程操作；
中：存在比较关键的缺陷，比较容易被威胁利用但无法远程执行；
低：存在非关键的缺陷，很难被威胁利用，无法远程操作。

九级则是同时考虑到现如今网络技术的发展，即便不存在关键缺陷，但如果非关键缺陷 （即通过成功利用一个个微小的漏洞一的数量却是很多，则有可能会给使用多阶段攻击手段
步步的达到攻击的目的）的攻击者提供机会，
所以本文在三级划分的基础上同时考虑存在漏洞的数量因素，便得到了九级划分。如表3-1所示。

表3-1脆弱性的等级划分

当对风险评估结果精确度要求较高时，系统可以选择九级划分。

性。 随着黑客攻击技术的复杂，他们利用网络系统里所存在的安全漏洞信息， 通过对这些漏 这样的定性与定量的方法虽然在对多阶段的攻击有着一定的防范作用，但并不具有针对

险情况。如图 3-4 所示。

不过由于该方法的核心也是关键部分的漏洞关联库，对它的研究及评估需要消耗大量的人力和物力，包括相关的专家、相应的设备设施，以及模拟各条攻击链攻击场景来分析其威胁程度并记录进漏洞关联库中等等。这将是本文下一步工作所应该研究的问题，即将漏洞之 在此基础上对网络系统间的关联性加入风险评估模块中，
对所扫描出的漏洞进行关联分析，的安全状况进行全面的风险评估。

3.3.1.3评估A（资产）值
在概要设计中可以知道，要得到影响I的值必须先知道资产的值。对资产A的评估，本文采取的方法是对资产先进行定性分析，然后在定性分析的基础上进行定量分析。对资产 不仅能够得到本网络系统的资产评估的评估过程也是管理员配置或清楚本网络系统的过程，
值A，还能在响应部分的成本评估中为系统资产重要性指标的评定提供依据。

进行评估时，首先对网络系统的资产进行分类，如图3-5所示。

图 3-5资产构成图
在分类上本文沿用传统的分类方法，将资产分为：主机、网络、物理、应用和数据五大
类，然后根据各类资产业务重要级别分别赋值。

各类资产所处的重要级别不同，因此在确定这些类别的资产由于在不同的网络系统中，
业务重要性时，需要系统管理员根据自己系统的实际情况，判别如果发生入侵，影响到这类资产的机密性、可用性和完整性时，是否会给网络系统带来严重的影响、破坏系统的正常运行造成损失等情况进行配置。具体如表3-2所示。

表3-2资产分类及重要性赋值

比如对某个网络系统来说，入侵对主机和数据会造成严重的影响，而对其它三类造成一般的影响，因此系统管理员的配置如表3-3 所示：表 3-3某系统资产业务重要性赋值

那么对于该网络的资产评估的值就应该是对各类的总和，也即（2+1+1+2+1）=7。在缺省的情况下，本文的评估系统将这几类的值默认为最高2，此时系统所有的资产都

是高重要性的，总的评估值为10。

当得到了资产A的值后，就能计算图3-2中的影响I。

3.3.1.4评估T（威胁）值
T值的评估是动态风险评估的基础、也是关键之处，本文在基于威胁事件流分析的基础

上利用OLAP模型中的超立方结构（Hypercube）对威胁事件流的各个特征进行分析，通过对威胁事件特征的分析来得到该威胁事件的威胁（T）值以及其发生的平均频率。
具体分析过程见3.3.2节。

3.3.2威胁流分析模型
3.3.2.1OLAP 模型
OLAP（On-LineAnalytical Processing，联机分析处理），最早是由E.F.Codd（关系数据库 在1993年提出的。该分析处理模型具有数据和分析的特征，它的提出是为之父）

了满足决策支持、对数据库进行大量计算以及对环境特定的查询和报表需求等等。

解并能快速地交互存取，达到更深层次了解数据的软件技术。

OLAP 的技术核心是维这个概念，因此OLAP 也可以说是数据分析工具的集合。
对联机分析处理的定义为（参考OLAP委员会定义）：一类通过对原始数据进行分析、处理，提炼出真实反映系统维特性的信息，使用户（包括分析、管理和执行人员）能够理

的主要应用。间，在考虑时间问题时它的属性有时、分和秒等，这些就是时间的属性，这些属性构成的集

合就是维；这里的数据可以指任意数据，“时间”可以类似为观察这些数据的某一个角度；

Level（维的层次）：指一个维里面各个属性之间可以有层次关系，即存在程度不同的细节描述，比如时间维除了时、分和秒外，更大的还有年、月等；Member（维的成员）：对维中某位置的具体描述，表示该维的一个取值，比如2011年3月15日星期二就是对由属性（年，月，日，星期）构成的时间维的一个取值；

Data-unit（数据单元）：与Member相对应的，但后者指的是在结构中的一个取值；

Hypercube(超立方结构)：指用三维或更多的维数来描述一个对象，每个维彼此垂直。数据的测量值发生在维的交叉点上，数据空间的各个部分都有相同的维属性。

比如对于一个三维的超立方结构，如图3-6所示，其三维为（时间维，地点维，事件维）。

图3-6三维立方数据举例
图中的A到H八个顶点为这三个维的交叉点，也就是所得到的测量值，即表示某时在某地发生了某事。

对OLAP超立方结构的主要操作是钻取（Drill），指改变维的层次，变换分析的粒度，钻取的深度与维所划分的层次相对应。包括向下钻取（Drill-down），指从汇总数据深入到细

威胁事件的威胁值（T） 由于本文是从威胁事件流的各个特征出发， ，所以本文所涉及到的操作均为上卷（Roll-up）通过建立威胁流分析模型， 。 最后得到关于该节数据进行观察或增加新维；向上钻取（Drill-up）,也称上卷(Roll-up)，指在某一维上较低层次的细节数据概括到高层次的汇总数据，或者减少维数。

3-6，Roll-up 之后的结果就应该表示为，在包括H 时刻在内的 E时段内，所有地点发生的所有事的汇总，如果E 已经是最高层了，那么就表示为所有地点发生的所有事的汇总，此
时时间维就消失了。

前面曾经介绍，传统的网络风险评估采用的多是静态评估的方法，它们注重于资产本身的值、系统的漏洞和系统采用的安全策略。这就导致评估结果与这些因素一样，通常都不会实时改变，会保持一段相当长的时间。虽然对网络系统静态风险评估技术的研究已经比较深入和成熟，然而，这些算法绝大多数依赖的是在系统设计中，或通过周期性的回顾和反复，来对网络系统进行人工风险分析，由于这样的分析过程忽略了通过网络安全产品所检测出的 本文的研究重点在于对网络系统的动态风安全事件本身的信息，因此是不具有自适应性的。

险评估上，主要考虑的动态因素是威胁事件信息本身的特征，然后对这些特征进行分析。为了实现这个目标，本文建立了利用OLAP超立方数据的基于威胁事件流的分析模型。

3.3.2.2威胁流模型建立
置于网络中的安全产品能够实时地检测出大量的威胁事件。这些威胁事件能够按照不同的特征进行划分，譬如，事件种类、源地址、目的地址和端口等等。某些特征举例如图3-7所示：

图3-7某些安全特征举例
这些不同的特征就对应于OLAP中不同的维，而维的层次则是对应于每一个特征所能抽象出的一些不同粒度的层次。由于对IDS传递来的威胁事件已采用林肯实验室的标准记录格式，如表3-4所示。

表3-4威胁事件标准记录格式

在图3-4列出的特征中，本文主要考虑的特征有 时间和种类。在建模时定义为（目

一层，端口为第二层；对时间维的层次分析，有（时间维：秒，分，时）对目的维的层次分析，参考表3-4，有（目的维：端口，目的IP），其中的目的IP为第；其中的时为第一的维，时间维，种类维），然后对各维的层次的分析。

图3-8威胁事件种类特征某些部分的层次树定义了维和维的层次之后，建立如图3-9所示的OLAP数据立方模型：

图3-9威胁流特征的数据立方模型对该模型的分析见3.3.3.2节。

3.3.2.3模型分析
在图3-9中，分别用字母A、B和C表示不同的维，其中，A表示目的维，B表示种类维，C表示时间维；而维的层次用字母加下标表示，比如图中所标注的A1，表示目的维的第一层，即表示的是攻击的目的IP；根据对维的层次的划分，且有（A1，B1，C1）的层次高于（A2，B2，C2）

到的威胁事件的总数及每一类威胁的数量。 对该威胁流模型进行分析的目的是为了得到被评估系统在一定的滑动时间窗口下， 。 因此在使用3.3.2节中介绍的Roll-up 操作时， 接收

要
这样设置可以得到各类威胁事件分别的发生情况，包括次数、威胁影响等。

比如将滑动时间窗口设置为默认值一小时，目的特征的IP设置为192.168.1.25，种类特征设置为DDoS，那么这样就能得到最近一小时内网络系统中IP值为192.168.1.25的DDoS攻击的情况。

（2）设置目的特征维：被评估网络系统内的所有IP，也即达到A1；
设置时间特征维：默认为一个小时的滑动时间窗口，具体调整见本小节后文介绍；

设置种类特征维：设置为如图3-8中的第一层次，即B1
这样设置可以得到针对被评估网络的所有发生的威胁事件总的情况。同样，比如将滑动

时间窗口设置为默认值一小时，目的特征的IP设置为192.168.1.25，种类特征设置为最高层，

这样就能得到最近一小时内IP值为192.168.1.25的所有攻击的情况。

通过这两种设置，就能得到滑动时间窗口下通过IDS的威胁事件的总数N，以及每一类威胁事件发生的总数n，那么就能得知该类威胁事件在此段时间内发生的概率为： P= n / N
时间特征维的设定主要是对滑动时间窗口大小的设定，系统对其默认值为一小时，也是

最大值，系统提供两种方式供用户选择：

（1）手工配置：用户或网络管理员根据自己网络的实际情况，比如，如果本网络系统

是新搭建的、或者对网络安全目标的要求比较高，那么可以人工的将滑动时间窗口的大小设

置为较小的值，这样可以比较准确地对网络的风险情况进行客观的有针对性的评估监测。

（2）自动方式：设置为自动方式时，系统首先给定滑动时间窗口一个初值，比如一个小时或者一分钟，然后每过一个时间粒度（一个时间粒度等于一个滑动时间窗口的长度）会得到一个网络风险的评估值，这个评估值会作为反馈值传递回评估系统，系统根据这一时段的网络风险情况动态的调整滑动时间窗口。

）与上一时段在调整的算法上，本文采用差值法，即用当前时段得到的风险评估值（R’
的风险评估值（R）作差，将得到的差值作为调整的依据。设定滑动时间窗口的上限为一个小时，表3-5显示了如何进行具体的调整，其中最大值即为一个小时。

表3-5差值法调整滑动时间窗口的大小

通过WenkeLee 根据Lindqvist和Jonson的攻击分类（详述见第四章），本文将图3-2中威胁事件的威胁值（T）定义为其攻击的影响力，也就是WenkeLee估算出的该威胁事件如果发生对网络系统造成损失代价的致命性指数，部分致命性指数如表3-6所示。

表3-6部分威胁事件的致命性指数

简单描述过程为：将这些致命性指数的最大值对应到3，最小值趋近于 0但不等于 0，然后其余各个值按照相应的比例嵌入到（0，3]中去。

这样回到图3-2，就能计算出网络系统总的风险评估值R：

所以，根据影响I的定义，有：I=A×C’，C’表示资产的潜在损坏度系数，也就是C值对应的百分比数（比如C=4，那么C’=80%），到此也就计算出网络的风险评估值R，同时它将作为调节评估T的反馈值，达到对网络系统动态评估的目的。

第四章自动入侵响应策略
一项对SARA（SurvivableAutonomic ResponseArchitecture，可存活的自动响应机制）比较有趣的研究是，这种自主响应机制与自主神经系统类似，它好比神经系统中的机体没有任何有意识的输入却能自主地控制特定的功能。另一个相关模型是EMERALD，是由Porras和Neumann提出的对网络进行监视、入侵检测和自动响应的分布式框架，该框架的响应部件还能分析攻击报告和协调响应效应。D.Schnackenberg和H.Holliday等提出的CITRA（CooperativeIntrusion Traceback and ResponseArchitecture，协同入侵追踪和响应机制）提供了一个基于代理合作系统的例子，这个构建利用相邻结构，使得关于检测得到的入侵信息可以通过这个相邻结构，从攻击源传播回所要提交的核心处理处，让发现协调器成为核心处理处器，并最后决策出一个适当的响应行为。Carver提出了一种响应分类的方法和AAIRS（AdaptiveIntrusion Response System，自适应入侵响应系统）。类似的基于反馈的自适应概念在ADEPTS中也被提出。在这些针对特定攻击的响应生效的情况下，响应行为会加强，反之则会减弱。

4.1策略研究
当前IDS最主要的缺点之一就是它们经常会针对同一入侵事件产生很多相同的或者类似的告警信息，这样对它们的响应处理便显得非常困惑，而且面对这么多的数据，还包括误报和漏报的告警信息，也是非常头疼的。为了解决这个问题，本文设计了对告警进行求和分类的方法。

一个万无一失的网络系统，理想上应该是能处理安全产品检测到的所有的威胁事件，但

是基于 Wenke Lee所提出的成本分析模型上的。 4.1.1人工响应与自动响应
是出于对资源有限和节省成本的考虑，实际当中自动入侵响应系统应该达到的目标是在最小付出代价（即响应代价）的基础上最大化实现安全目标。因此，在这个要求下，本文的模型

在前面2.3.1节中介绍过关于黑客入侵成功率的高低，在很大程度与发现攻击时间和实
施响应时间之间的延迟有关。如果适当的响应行为是在一检测出入侵就实施的，那么入侵成
功的概率将会大跌，甚至达到零。参照表2-2所示。

包括广泛使用的另一个强调需要自动响应的原因是，攻击者使用的技术在不断地改变，
自动脚本来产生分布式类型的攻击，这些都将进一步降低人工响应的能力，因为管理员几乎没有可用的时间延迟来判断作出决策，并将执行命令发送给响应执行模块。

4.1.2成本敏感模型
这些为了建立成本敏感模型，必须首先要明白相关的成本因素和定义这些因素的机制，在第二章中已经有过介绍。WenkeLee认为有以下几种主要的成本因素：运作成本（OperationalCost）、损失成本（DamageCost），和响应成本（ResponseCost）。

（1）OperationalCost（OpCost）：指分析网络行为的成本，即从最初的威胁数据流中提取并分析特征信息所需要的时间和系统资源的总和。

（2）DamageCost（DCost）：表示系统对威胁事件不作任何的处理措施、攻击发生时对系统资源所造成的损失的总和。

部分常见攻击目标的重要性指数如表4-1所示；另一个是用来衡量威胁发生后可能造成的危 DCost由两个指标来衡量，一个是用来衡量攻击目标重要性的严重性指标（Criticality） ，

表4-1部分常见攻击目标的重要性指数

因此，用公式（4-1）表示DCost为：DCost= Criticality * Lethality
比如DOS攻击，攻击目标是Unix工作站，那么DCost= 30×4=120，如果攻击目标是路由器，则DCost= 30×10=300。可见，攻击目标不同，同一威胁事件所造成的损失代价也不相同。

（3）ResponseCost（RCost）：是指针对一个显示为入侵或疑似入侵的告警信息而对其采取相应响应行为时所消耗的系统资源。包括响应执行造成的系统资源消耗以及执行后的

负面影响，主要依赖于系统的响应机制。本文使用WenkeLee提出的响应成本，如表4-2所示。

表 4-2 攻击种类及其响应成本

因为OpCost是不论有无防御系统、是否采取响应措施都存在的特定代价，所以在决定是否执行响应时，就只考虑DCost和RCost。

比如e为一个攻击事件，如果对资源r而言，攻击产生的损失DCost比RCost小，即当DCost（e） RCost（e）时，就不作响应而只是简单的将它的出现记录日志，此时的实施为DCost（e）；如果DCost(e)>RCost(e)，这时就应该采取响应措施，而损失就能降低为RCost(e)。实际上，然而如果在检测到攻击就立即采取响应，反倒会引起某些损失。

4.2RACAIRS 模型
4.2.1RACAIRS 原理
南京市人力资源和社会保障公共服务平台使用的入侵防御设备的软件系统是一种基于

风险评估、告警聚合与成本的自动入侵响应系统（RACAIRS,Risk Assessment，Aggregationand Cost Based Automatic Intrusion Response System）。RACAIRS的结构如图4-1所示：

图4-1RACAIRS原理图
从图中可以看出，检测出来的威胁事件首先通过网络风险评估模块进行评估，评估过程如3.3节所述；然后进入响应决策模块中。

时间段里是否是有相同或类似的告警信息，详述见4.2.2节的模型分析。 在响应决策模块中，首先威胁事件的告警信息需要通过告警聚合分类的判断， 判断当前

过程如 4.1.2 所述。如果得到的DCost（e）≤RCost（e）反之，如果DCost(e) > RCost(e)，系统将会采取适当的响应措施。

这部分主要存在的决策因素包括，前面风险评估模块评估出的网络风险值，并结合响应决策知识库和系统所采用的响应机制，然后确定出处理该威胁事件的响应策略。

并结合响应工具库，实施响响应执行模块对响应决策模块决策出的响应策略进行翻译，
应，将本次告警及其处理方式记录入响应日志数据库中。

系统执行了响应措施、处理完威胁事件后，会将此时的系统状态反馈回响应决策模块，响应决策模块根据本次响应执行的效果对响应决策知识库进行调整。

4.2.2 策略加载
4.2.2.1告警聚合（Aggregation）
所产生的结果分为四将在数据集中存在的入侵按照它们入侵成功后对系统造成的影响、
类为：
（1）DOS(Denial ofService)，拒绝服务攻击，主要是通过利用合法的服务请求占用并消耗过多的系统服务资源；
（2）U2R（User toRoot）
，非授权的访问攻击，指通过利用系统漏洞的普通权限用户 ，对远程主机非授权的访问攻击，指攻击者通过他没有用非法获得超级用户并进行攻击的行为，最具代表性的攻击为缓冲器溢出； （3）R2L（Remote to Local）

（4）PROBE（Probing），探测攻击，指通过扫描网络系统上的主机信息，搜集或发现其现有的漏洞。

在这四类的每一类里面，又可以根据入侵通常采用的实施入侵的技术进行进一步的划分。对于划分出的子类还能再根据攻击类型名称、目的IP地址和两个攻击开始时间的间隔进行更深层次的划分。

4.2.2.2响应决策
不论哪种结构的自动入侵响应系统，它的核心都是响应决策模块。从4-1的原理图可以得出，IDS检测到可疑入侵行为，并将告警信息发送到入侵响应系统后，系统会根据下一步就是考虑是否对其进行响应。来自IDS的警告信息包含了很多不仅仅重复的和相似的警告，而且还有对系统不受影响的警告，如图4-4所示：

图 4-4 警告矩阵

报，由图中可以看出，误报不仅很容易发生而且数量还是远大于正确告警的；Y子域表示没有对应于攻击类型 i的告警产生，这既是漏报；而 U子域则是没有攻击时却产生了告警
信息，这也属于错误的告警。

所以，在进行响应处理时，应该判断哪些告警信息是错误产生应该被忽略的，为了明白哪种告警是应该被忽略的，或者说哪种告警是该使用哪个策略来对其进行响应。本文需要某些要素来协助进行决策，因此在响应决策中引入一下辅助决策的：
（1）响应紧急（RI，ResponseImminence）
RI代表了对威胁事件采取响应的紧急程度。同告警聚合分析一样，本文也给RI设置了一个阈值，RI越大，说明响应越急迫，应该立即采取响应；如果RI小于该特定的阈值，那么就忽略这条告警信息。

影响RI值最主要的因素是网络风险评估值和该威胁事件的致命性指数，除此之外，RI值还受以下多种因素的影响：
，包括一些关于本地受保护网络设备的信息等，它不辅助信息（assistantinformation）
仅能够随着RI的值进行调整，而且还能够把攻击目标已不可用的入侵结果信息提供给响应执行模块。

它们最近的更新。通过了解这些已建立的操作系统，RI就能决定该系统对于攻击是脆弱的操作系统：这个因素包含建立在目标资源上的一系列的操作系统，它们的版本信息还有

还是不易受攻击的。

系统漏洞：系统漏洞定义了所有到目前为止发布的操作系统的漏洞，这些都是攻击时企图攻破的入口。通过识别相关漏洞，响应执行模块将能够估计出哪种响应措施能以最小化的代价最大化地实现系统的安全目标。

：系统重要性主要是指出攻击目标是主机、服务器还是路由器，不同的目标系统重要性
拥有不同的重要性程度。比如，一个路由器的RI高于一个主机，因为如果一个路由器受到攻击，那么将会有很多主机一并牵连受到威胁。

响应成本：这是影响RI值的另一个关键因素，响应成本太大的其RI值反而小，因为当需要消耗大部分系统资源去实施一个响应时，这对系统造成的损失无疑等同于一次入侵所要付出的代价。

能影响RI值的因素有很多，但由于网络风险评估值和威胁事件的致命性因素是对RI起最主要的影响作用，所以本文为了研究方便暂且只考虑这两个主要因素，也即是说，RI是由当前所评估出的网络风险值和和该威胁事件本身的致命性指数决定。

（2）响应类型
本文中的响应类型由两部分组成：被动响应和主动响应。

被动响应：忽略，记录日志，警告管理员，发动电子邮件；
搜集更多的信息，保护资源，用户行为权限，终止网络链接，通过防火主动响应：
墙来阻塞网络流量。

每一个响应行为的类型都是上述类型的其中之一。

（3）选择合适的策略

采取怎样的响应行为。然而，选择一个合适的响应策略是非常重要和必要的。表4-3为本文所设计系统中的部分规则： 表4-3规则举例
响应来源于在定义规则之前，规则是用来在特定环境条件下针对某特定的入侵事件考虑

如果DCostRCost 或者RI比阈值小，那么就仅将其记录日志而不用采取响应行为。否则，在DCost>RCost的条件下，如果RI比较高而且系统类型是服务器，将通过采取用户行为权限和警告管理员的响应措施。如果系统没有很好的得到从网络的反馈，应该提醒管理员来做好这个工作。另外，如果入侵类型是DOS，则采取阻塞网络流量是最好的响应方式，因为DOS会使系统遭受很严重的伤害。

响应执行模块使得所有的部件一起工作，它是RACAIRS的核心。当选择好响应策略后，响应执行模块将在响应工具库中选择适当的响应工具，并使其根据规则执行响应行为。

通过对大量策略的研究，有选择地加载安全防御策略，使得入侵防御设备最大限度地充 大大提升了南京市人力资源和社会保障公共服务平台的整体安全性，使之分发挥自身性能，
能够更好地服务百姓。