本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)服務(wù)器的預(yù)警方法及系統(tǒng)。

背景技術(shù)：

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展使得信息的傳遞和處理突破了時(shí)間和地域的限制，互連網(wǎng)的爆炸性發(fā)展更進(jìn)一步為人類的信息交互、科學(xué)、技術(shù)、文化、教育、生產(chǎn)的發(fā)展提供了極大的便利，信息網(wǎng)絡(luò)全球化的發(fā)展已經(jīng)成為不可抗拒的歷史潮流。然而，就在計(jì)算機(jī)網(wǎng)絡(luò)給人們的生活，工作帶來巨大便利的同時(shí)，其所帶來的安全問題同樣突出。由于系統(tǒng)的復(fù)雜性，協(xié)議設(shè)計(jì)的缺陷、終端分布的不均勻性、網(wǎng)絡(luò)的開放性、迷漫性和互連互通性等特征，致使網(wǎng)絡(luò)容易遭到黑客、惡意軟件的攻擊，國家、企業(yè)和個(gè)人的信息系統(tǒng)受到了極大的安全威脅。

隨著信息技術(shù)、計(jì)算機(jī)技術(shù)的飛速發(fā)展與廣泛應(yīng)用，人類已經(jīng)進(jìn)入了一個(gè)空前繁榮的信息化時(shí)代。大范圍內(nèi)的網(wǎng)絡(luò)服務(wù)應(yīng)用已經(jīng)廣泛深入到國防、電信、銀行、金融、政府、交通、電子商務(wù)、能源以及大眾商業(yè)等各個(gè)領(lǐng)域。作為提供對內(nèi)或?qū)ν夥?wù)的網(wǎng)絡(luò)服務(wù)器，在為各行各業(yè)提供著大量的網(wǎng)絡(luò)服務(wù)，他囊括了社會的各個(gè)方面：航空航天、軍品科研、導(dǎo)航系統(tǒng)、電信業(yè)務(wù)、客戶服務(wù)、電子商務(wù)、電子政務(wù)、web服務(wù)、ftp服務(wù)、mail服務(wù)、內(nèi)部oa服務(wù)等等。

不管是在關(guān)系著國家安全和社會穩(wěn)定的國防、核工業(yè)、航空航天系統(tǒng)，政府、交通、通信、能源行業(yè)，還是涉及商業(yè)和民用的大眾商業(yè)，網(wǎng)絡(luò)服務(wù)作為一種突破時(shí)間和地域限制的服務(wù)，廣泛和深入地應(yīng)用在社會的方方面面，電子時(shí)代帶給我們巨大的實(shí)惠和便利。但是，與此同時(shí)，與服務(wù)安全相關(guān)事件逐年上升，人們在得益于信息革命所帶來的巨大機(jī)遇和便利的同時(shí)，也不得不面對信息安全問題的嚴(yán)峻考驗(yàn)，安全問題已經(jīng)成為嚴(yán)重影響網(wǎng)絡(luò)發(fā)展、特別是商業(yè)應(yīng)用的主要問題，并直接威脅著國家安全和社會的穩(wěn)定。服務(wù)器的安全引起社會各個(gè)階層和行業(yè)的強(qiáng)烈關(guān)注和重視，針對服務(wù)器的安全實(shí)施了一系列的安全解決方案。服務(wù)器的安全問題有操作系統(tǒng)安全，還包括硬件安全、應(yīng)用安全和數(shù)據(jù)安全等。作為存儲數(shù)據(jù)、處理需求的核心，服務(wù)器安全涉及太多環(huán)節(jié)。

網(wǎng)絡(luò)服務(wù)器常遭受的網(wǎng)絡(luò)安全問題包括惡意的攻擊行為和惡意的入侵行為。攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓；入侵行為，這種行為更是會導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。如何保證網(wǎng)絡(luò)服務(wù)器的安全問題，現(xiàn)在已經(jīng)有很多技術(shù)應(yīng)用在網(wǎng)絡(luò)服務(wù)器的安全領(lǐng)域，防火墻、認(rèn)證技術(shù)、漏洞檢測評估、災(zāi)難恢復(fù)、反病毒軟件、vpn、安全路由、安全操作系統(tǒng)、安全web、加密等，這一系列技術(shù)和產(chǎn)品，為保護(hù)信息安全，做出了很大的貢獻(xiàn)。但盡管如此，信息安全問題仍是一年比一年嚴(yán)重。對于分布性越來越高的網(wǎng)絡(luò)應(yīng)用，攻擊是越來越無法避免的，并且會隨著防護(hù)技術(shù)的不斷改進(jìn)，攻擊也愈加尖銳。另一方面，從技術(shù)實(shí)現(xiàn)來說，世界上還沒有一個(gè)系統(tǒng)能夠強(qiáng)悍到可以保證沒有漏洞可以被用于攻擊的地步。

網(wǎng)絡(luò)服務(wù)器入侵和攻擊行為具備一定的復(fù)雜性和不確定性，并且各種網(wǎng)絡(luò)攻擊手段層出不窮，更新很快。目前，各種入侵檢測系統(tǒng)都無法實(shí)現(xiàn)及時(shí)準(zhǔn)確地檢測出所有已知和未知的攻擊并且根據(jù)網(wǎng)絡(luò)情況對所有攻擊做出最恰當(dāng)?shù)捻憫?yīng)行為。因此，及時(shí)報(bào)警，可使安全管理員能夠在入侵攻擊尚未造成更大危害前得到警報(bào)并做出反應(yīng)。

技術(shù)實(shí)現(xiàn)要素：

有鑒于現(xiàn)有技術(shù)的上述缺陷，本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)服務(wù)器的預(yù)警方法及系統(tǒng)，將短信技術(shù)與入侵檢測技術(shù)相結(jié)合，為網(wǎng)絡(luò)服務(wù)器提供及時(shí)快速的預(yù)警和報(bào)警，提高網(wǎng)絡(luò)服務(wù)器的安全水平。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種網(wǎng)絡(luò)服務(wù)器的預(yù)警方法，包括以下步驟：

步驟101、把經(jīng)過snort系統(tǒng)事件分析部件分析出來的安全事件按照成本分析方法進(jìn)行評估，從而決定系統(tǒng)是否要對此安全事件進(jìn)行響應(yīng)；

步驟102、如果需要對安全事件進(jìn)行響應(yīng)，則將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令；

步驟103、對可以進(jìn)行自動響應(yīng)的安全事件進(jìn)行自動響應(yīng)，同時(shí)接收由短信代理模塊傳送過來的快速手動響應(yīng)短信指令進(jìn)行響應(yīng)。

優(yōu)選的，所述步驟101中決定系統(tǒng)是否要對此安全事件進(jìn)行響應(yīng)后，如果進(jìn)行響應(yīng)還要確認(rèn)是自動采取響應(yīng)還是快速手動響應(yīng)。

優(yōu)選的，所述步驟101中的成本分析方法為：

對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性進(jìn)行設(shè)定，并對各種網(wǎng)絡(luò)設(shè)備評定出重要等級；

對各種網(wǎng)絡(luò)設(shè)備的損失代價(jià)和響應(yīng)代價(jià)進(jìn)行判斷，如果入侵的損失代價(jià)dcost大于或等于危險(xiǎn)門限α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價(jià)rcost大于或等于響應(yīng)門限β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為；

對入侵的損失代價(jià)dcost和入侵的響應(yīng)代價(jià)rcost作比較，決定是否響應(yīng)和如何響應(yīng)。

優(yōu)選的，所述根據(jù)sgip協(xié)議規(guī)定向安全管理員傳送報(bào)警信息和等待接收安全管理員通過短信發(fā)送的快速手動響應(yīng)指令。

優(yōu)選的，所述步驟102中將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令具體為：

根據(jù)sgip協(xié)議規(guī)定向安全管理員傳送報(bào)警信息，并等待接收安全管理員通過短信發(fā)送的快速手動響應(yīng)指令。

一種網(wǎng)絡(luò)服務(wù)器的預(yù)警系統(tǒng)，其特征在于，包括：

代理評價(jià)模塊201，用于把經(jīng)過snort系統(tǒng)事件分析部件分析出來的安全事件按照成本分析方法進(jìn)行評估，從而決定系統(tǒng)是否要對此安全事件進(jìn)行響應(yīng)；

短信代理模塊202，用于將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令；

響應(yīng)模塊與響應(yīng)代理模塊203，用于對可以進(jìn)行自動響應(yīng)的安全事件進(jìn)行自動響應(yīng)，同時(shí)接收由短信代理模塊傳送過來的快速手動響應(yīng)短信指令進(jìn)行響應(yīng)。

優(yōu)選的，所述代理評價(jià)模塊201包括：

資產(chǎn)管理子模塊2011，用于對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性進(jìn)行設(shè)定，并對各種網(wǎng)絡(luò)設(shè)備評定出重要等級；

響應(yīng)門限設(shè)定子模塊2012，用于對各種網(wǎng)絡(luò)設(shè)備的損失代價(jià)和響應(yīng)代價(jià)進(jìn)行判斷，如果入侵的損失代價(jià)dcost大于或等于嚴(yán)重威脅門限α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價(jià)rcost大于或等于重要響應(yīng)門限β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為；

入侵行為屬性數(shù)據(jù)庫2013，用于對入侵的損失代價(jià)dcost和入侵的響應(yīng)代價(jià)rcost作比較，決定是否響應(yīng)和如何響應(yīng)。

優(yōu)選的，所述短信代理模塊202包括：

短信發(fā)送子模塊2021，用于發(fā)送預(yù)警短信；

短信狀態(tài)記錄子模塊2022，用于對短信發(fā)送狀態(tài)進(jìn)行記錄；

短信接收子模塊2023，用于接收預(yù)警短信；

安全指令分析子模塊2024，用于短信管理指令分析。

優(yōu)選的，所述響應(yīng)模塊與響應(yīng)代理模塊203包括：

響應(yīng)決策專家數(shù)據(jù)庫2031，用于決策對安全事件進(jìn)行自動響應(yīng)或者快速手動響應(yīng)；

響應(yīng)工具庫2032，用于執(zhí)行響應(yīng)操作。

優(yōu)選的，所述資產(chǎn)管理子模塊2011還完成設(shè)備的添加、刪除、瀏覽和修改功能。

本發(fā)明的有益效果是：

本發(fā)明將短信技術(shù)與入侵檢測技術(shù)相結(jié)合，為網(wǎng)絡(luò)服務(wù)器提供及時(shí)快速的預(yù)警和報(bào)警，通過代價(jià)分析方法把快速手動響應(yīng)與自動入侵響應(yīng)緊密結(jié)合，發(fā)揮了人的主導(dǎo)作用，在重要事件發(fā)生時(shí)可以快速做出響應(yīng)決策，啟動應(yīng)急預(yù)案，減少漏響應(yīng)、誤響應(yīng)和過度響應(yīng)給系統(tǒng)帶來的損失，最大程度上保證了服務(wù)器系統(tǒng)的安全。

以下將結(jié)合附圖對本發(fā)明的構(gòu)思、具體結(jié)構(gòu)及產(chǎn)生的技術(shù)效果作進(jìn)一步說明，以充分地了解本發(fā)明的目的、特征和效果。

附圖說明

圖1是本發(fā)明的一種網(wǎng)絡(luò)服務(wù)器的預(yù)警方法流程圖。

圖2是本發(fā)明的一種網(wǎng)絡(luò)服務(wù)器的預(yù)警系統(tǒng)結(jié)構(gòu)框圖。

具體實(shí)施方式

如圖1所示，本發(fā)明提供了一種網(wǎng)絡(luò)服務(wù)器的預(yù)警方法，包括以下步驟：

步驟101、把經(jīng)過snort系統(tǒng)事件分析部件分析出來的安全事件按照成本分析方法進(jìn)行評估，從而決定系統(tǒng)是否要對此安全事件進(jìn)行響應(yīng)；

步驟102、如果需要對安全事件進(jìn)行響應(yīng)，則將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令；

步驟103、對可以進(jìn)行自動響應(yīng)的安全事件進(jìn)行自動響應(yīng)，同時(shí)接收由短信代理模塊傳送過來的快速手動響應(yīng)短信指令進(jìn)行響應(yīng)。

本實(shí)施例中，所述步驟101中決定系統(tǒng)是否要對此安全事件進(jìn)行響應(yīng)后，如果進(jìn)行響應(yīng)還要確認(rèn)是自動采取響應(yīng)還是快速手動響應(yīng)。

本實(shí)施例中，所述步驟101中的成本分析方法為：

對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性進(jìn)行設(shè)定，并對各種網(wǎng)絡(luò)設(shè)備評定出重要等級；

對各種網(wǎng)絡(luò)設(shè)備的損失代價(jià)和響應(yīng)代價(jià)進(jìn)行判斷，如果入侵的損失代價(jià)dcost大于或等于危險(xiǎn)門限α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價(jià)rcost大于或等于響應(yīng)門限β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為；

對入侵的損失代價(jià)dcost和入侵的響應(yīng)代價(jià)rcost作比較，決定是否響應(yīng)和如何響應(yīng)。

本實(shí)施例中，所述根據(jù)sgip協(xié)議規(guī)定向安全管理員傳送報(bào)警信息和等待接收安全管理員通過短信發(fā)送的快速手動響應(yīng)指令。

本實(shí)施例中，所述步驟102中將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令具體為：

根據(jù)sgip協(xié)議規(guī)定向安全管理員傳送報(bào)警信息，并等待接收安全管理員通過短信發(fā)送的快速手動響應(yīng)指令。

如圖2所示，一種網(wǎng)絡(luò)服務(wù)器的預(yù)警系統(tǒng)，其特征在于，包括：

代理評價(jià)模塊201，用于把經(jīng)過snort系統(tǒng)事件分析部件分析出來的安全事件按照成本分析方法進(jìn)行評估，從而決定系統(tǒng)是否要對此安全事件進(jìn)行響應(yīng)；

短信代理模塊202，用于將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令；

響應(yīng)模塊與響應(yīng)代理模塊203，用于對可以進(jìn)行自動響應(yīng)的安全事件進(jìn)行自動響應(yīng)，同時(shí)接收由短信代理模塊傳送過來的快速手動響應(yīng)短信指令進(jìn)行響應(yīng)。

本實(shí)施例中，所述代理評價(jià)模塊201包括：

資產(chǎn)管理子模塊2011，用于對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性進(jìn)行設(shè)定，并對各種網(wǎng)絡(luò)設(shè)備評定出重要等級；

響應(yīng)門限設(shè)定子模塊2012，用于對各種網(wǎng)絡(luò)設(shè)備的損失代價(jià)和響應(yīng)代價(jià)進(jìn)行判斷，如果入侵的損失代價(jià)dcost大于或等于嚴(yán)重威脅門限α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價(jià)rcost大于或等于重要響應(yīng)門限β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為；

入侵行為屬性數(shù)據(jù)庫2013，用于對入侵的損失代價(jià)dcost和入侵的響應(yīng)代價(jià)rcost作比較，決定是否響應(yīng)和如何響應(yīng)。

本實(shí)施例中，所述短信代理模塊202包括：

短信發(fā)送子模塊2021，用于發(fā)送預(yù)警短信；

短信狀態(tài)記錄子模塊2022，用于對短信發(fā)送狀態(tài)進(jìn)行記錄；

短信接收子模塊2023，用于接收預(yù)警短信；

安全指令分析子模塊2024，用于短信管理指令分析。

本實(shí)施例中，所述響應(yīng)模塊與響應(yīng)代理模塊203包括：

響應(yīng)決策專家數(shù)據(jù)庫2031，用于決策對安全事件進(jìn)行自動響應(yīng)或者快速手動響應(yīng)；

響應(yīng)工具庫2032，用于執(zhí)行響應(yīng)操作。

本實(shí)施例中，所述資產(chǎn)管理子模塊2011還完成設(shè)備的添加、刪除、瀏覽和修改功能。

本系統(tǒng)將系統(tǒng)設(shè)計(jì)劃分為三個(gè)模塊，其中包括：代價(jià)評估模塊、短信代理模塊和響應(yīng)模塊與響應(yīng)代理模塊。每個(gè)模塊又劃分為更小的子模塊，如2圖示。各個(gè)模塊功能實(shí)現(xiàn)的組合就是我們完整的專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報(bào)警系統(tǒng)。專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報(bào)警系統(tǒng)主要由以下三個(gè)部分構(gòu)成：

(1)代價(jià)評估模塊，代價(jià)評估模塊的主要作用是把經(jīng)過snort系統(tǒng)事件分析部件分析出來的安全事件按照成本分析方法進(jìn)行評估，從而決定系統(tǒng)是否要對此事件進(jìn)行響應(yīng)；如果進(jìn)行響應(yīng)是自動采取響應(yīng)還是快速手動響應(yīng)。為實(shí)現(xiàn)本系統(tǒng)中的響應(yīng)代價(jià)評估，設(shè)計(jì)了代價(jià)評估模塊。該模塊主要由資產(chǎn)管理子模塊、短信響應(yīng)門限值設(shè)定子模塊和入侵行為屬性數(shù)據(jù)庫構(gòu)成。

(2)短信代理模塊，短信代理可以實(shí)現(xiàn)下述功能：在安全事件經(jīng)過響應(yīng)代價(jià)評估模塊評定后，如確實(shí)需要立即告知安全管理員，則將警報(bào)通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令。

短信代理模塊根據(jù)中國聯(lián)通專有的短信通信sgip協(xié)議的規(guī)范進(jìn)行編寫，包括短信發(fā)送、短信狀態(tài)記錄、短信接收、安全指令分析四個(gè)子模塊。是本文針對當(dāng)前入侵檢測系統(tǒng)行為響應(yīng)中所存在的問題而引入的一種新的響應(yīng)方式，該方式實(shí)現(xiàn)了移動終端與入侵檢測系統(tǒng)的緊密結(jié)合，主要用于解決誤響應(yīng)、漏響應(yīng)和過度響應(yīng)等可能給系統(tǒng)帶來巨大損失的安全問題。

(3)響應(yīng)模塊與響應(yīng)代理，響應(yīng)模塊主要的功能是根據(jù)專家的設(shè)定，對可以進(jìn)行自動響應(yīng)的安全事件進(jìn)行自動響應(yīng)，同時(shí)可以接收由短信代理模塊傳送過來的快速手動響應(yīng)短信指令進(jìn)行響應(yīng)。響應(yīng)的具體執(zhí)行是由各個(gè)響應(yīng)代理來完成。響應(yīng)模塊與響應(yīng)代理主要由響應(yīng)決策專家數(shù)據(jù)庫和響應(yīng)工具庫構(gòu)成。需要自動響應(yīng)的事件通過與響應(yīng)模塊中的專家數(shù)據(jù)庫的對照，得到相應(yīng)的響應(yīng)方法，而具體的響應(yīng)行為則由各個(gè)響應(yīng)代理來完成。

其中，代價(jià)評估模塊的工作原理陳述如下：

對響應(yīng)成本進(jìn)行分析，首先需要確定與入侵及響應(yīng)行為相關(guān)的成本因素。依據(jù)經(jīng)驗(yàn)，這里我們考慮與響應(yīng)相關(guān)的成本主要包括：損失代價(jià)dcost(damagecost)與響應(yīng)代價(jià)rcost(respondcost)。損失代價(jià)dcost，是假設(shè)ids不采取任何響應(yīng)措施的情況下，入侵行為對系統(tǒng)造成的損失，也就是潛在損失。響應(yīng)代價(jià)rcost是指針對某次入侵行為，采取相應(yīng)的響應(yīng)措施需要付出的代價(jià)。

在確定成本因素之后，成本分析的關(guān)鍵就是成本量化的問題。與此相關(guān)的研究，在網(wǎng)絡(luò)安全的一個(gè)分支——風(fēng)險(xiǎn)評估中已有所涉及。所謂風(fēng)險(xiǎn)評估，就是對一個(gè)企業(yè)或者組織網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)價(jià)值、安全缺陷、安全威脅進(jìn)行確定的過程。確定的方法可以是定性的，也可以是定量的。從安全風(fēng)險(xiǎn)評估已有的工作來看，完全的、精確的量化是相當(dāng)困難的，而將定性分析與定量分析相結(jié)合是一種不錯(cuò)的選擇。另外，與風(fēng)險(xiǎn)評估相似，主要是給出一個(gè)成本量化的方法，具體的量化值應(yīng)該由用戶參與確定。

(1)損失代價(jià)(dcost)入侵帶來的在損失可能取決于多個(gè)方面。這里我們主要從入侵目標(biāo)和入侵行為本身兩個(gè)方面考慮，即入侵目標(biāo)的重要性(criticality)和入侵行為的致命性(lethality)。

目標(biāo)的重要性(criticality)是指被攻擊或者入侵的目標(biāo)系統(tǒng)的重要程度,可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來?？梢栽O(shè)定目標(biāo)重要性值域?yàn)?0，5)，5為最高值。那么可以把防火墻、路由器、dns服務(wù)器的重要性值定義為5；web、mail、ftp服務(wù)器可以定義為4；而普通unix工作站可以定義為2，windows工作站可以定義為1，這樣不同的攻擊目標(biāo)的重要性(criticality)就通過它的重要性值體現(xiàn)出來。

入侵的致命性(lethality)是指入侵行為本身所具有的危害性或者威脅性的高低。這個(gè)量與入侵所針對的目標(biāo)無關(guān)，只是對入侵行為本身的一個(gè)描述。比如，一個(gè)可以獲取root權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度。表1是根據(jù)經(jīng)驗(yàn)量化了的幾類攻擊的危害性。我們在這里定義了4種不同種類的致命性描述。具體的攻擊行為所具有的危害性與某一攻擊分類相對應(yīng)。通過對捕獲的數(shù)據(jù)包進(jìn)行分析可以知道他屬于那種攻擊行為,從而對應(yīng)其危害性分類。

例如：對捕獲到的一個(gè)數(shù)據(jù)包，經(jīng)過解碼后得到目的端口80,數(shù)據(jù)包大小dsize>128,則很可能是利用了networktimeprotocoldaemon(ntpd)存在緩沖區(qū)溢出漏洞，攻擊目標(biāo)設(shè)備，攻擊者利用此漏洞能取得超級用戶特權(quán)，我們給出其攻擊行為為exploitntpdxoverflow，屬于u2r分類。

表1

有了上面描述的兩個(gè)量，就可以把入侵損失代價(jià)dcost的值定義為：dcost＝criticality×lethality。比如同樣是dos攻擊，若攻擊目標(biāo)是防火墻，則dcost＝5×30＝150；若攻擊目標(biāo)是web服務(wù)器，則dcost＝4×30＝120。

(2)響應(yīng)代價(jià)(rcost)入侵響應(yīng)代價(jià)主要包括兩部分內(nèi)容：執(zhí)行響應(yīng)措施的資源耗費(fèi)和響應(yīng)措施執(zhí)行以后帶來的負(fù)面影響。

響應(yīng)代價(jià)的完全量化是比較困難的，在此根據(jù)經(jīng)驗(yàn)值將響應(yīng)代價(jià)的量化簡化，如(表1)。這樣，在確定了事件的潛在損失與響應(yīng)代價(jià)之后，我們就可以做出響應(yīng)決策：

如果rcost≤dcost，即響應(yīng)代價(jià)小于或者等于損失代價(jià)，則進(jìn)行響應(yīng)。

如果rcost>dcost,即響應(yīng)代價(jià)超過了損失代價(jià)，那就沒有必要響應(yīng)了。

在此基礎(chǔ)上我們將給出快速手動響應(yīng)的兩個(gè)門限值——嚴(yán)重威脅門限值α與重要響應(yīng)門限值β，若：

dcost≥α|rcost≥β說明出現(xiàn)了很嚴(yán)重的入侵行為或者需要執(zhí)行很嚴(yán)厲的響應(yīng)措施如斷開網(wǎng)絡(luò)或者入侵追蹤等。此時(shí)，需要進(jìn)行快速手動響應(yīng)，以免因?yàn)槁╉憫?yīng)、誤響應(yīng)或響應(yīng)過度給系統(tǒng)帶來更嚴(yán)重的后果。

當(dāng)可能發(fā)生的損失代價(jià)較大超過一定限度α?xí)r，響應(yīng)行為是否正確得當(dāng)變得十分重要，此時(shí)除系統(tǒng)自動采取的，如激活更詳細(xì)的日志審計(jì)，啟動更詳細(xì)的入侵檢測，以及估計(jì)事件范圍，收集事件相關(guān)信息，產(chǎn)生事件報(bào)告等響應(yīng)外，同時(shí)可以通過短信方式讓安全員在第一時(shí)間進(jìn)行遠(yuǎn)程遙控響應(yīng)。

當(dāng)響應(yīng)代價(jià)超過門限值β時(shí)，即系統(tǒng)準(zhǔn)備需要采取一些比較嚴(yán)厲的主動響應(yīng)措施如反向追蹤時(shí)，涉及技術(shù)以外的多方面因素，此時(shí)也應(yīng)由安全管理員做出決定，使用短信方式可以最小化手工響應(yīng)代價(jià)。

以上分析了響應(yīng)過程中響應(yīng)代價(jià)評估的問題，說明了應(yīng)急響應(yīng)成本分析的方法。根據(jù)前面提到的代價(jià)評估的算法，資產(chǎn)管理子模塊需要對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性(criticality)進(jìn)行設(shè)定。損失代價(jià)dcost是對攻擊目標(biāo)屬性和攻擊行為屬性綜合計(jì)算的結(jié)果，資產(chǎn)管理子系統(tǒng)模塊對網(wǎng)絡(luò)中各種設(shè)備的屬性進(jìn)行定義，通過重要級別來完成對每個(gè)設(shè)備criticality值設(shè)定的功能。資產(chǎn)管理子系統(tǒng)可以完成設(shè)備的添加、刪除、瀏覽和修改功能。

根據(jù)本系統(tǒng)設(shè)計(jì)中的響應(yīng)代價(jià)評定方法，響應(yīng)門限設(shè)定子模塊對各種網(wǎng)絡(luò)設(shè)備的損失代價(jià)和響應(yīng)代價(jià)進(jìn)行判斷，如果入侵的損失代價(jià)dcost大于或等于嚴(yán)重威脅門限α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價(jià)rcost大于或等于重要響應(yīng)門限β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為，如入侵跟蹤甚至反向攻擊等。α和β的值由安全管理員針對不同時(shí)期網(wǎng)絡(luò)的具體情況進(jìn)行設(shè)定。

最后，入侵行為屬性數(shù)據(jù)庫對入侵的損失代價(jià)dcost和入侵的響應(yīng)代價(jià)rcost作比較，決定是否響應(yīng)和如何響應(yīng)。對于一個(gè)入侵行為致命性的判斷，通過snort所捕獲的數(shù)據(jù)包，得到網(wǎng)絡(luò)上的原始流量，根據(jù)數(shù)據(jù)包所具有的特征來分析數(shù)據(jù)包的行為，從而判斷數(shù)據(jù)包的行為是否時(shí)入侵行為，根據(jù)入侵行為分類得到入侵行為屬性值，從而建立入侵行為屬性數(shù)據(jù)庫。

特征指數(shù)據(jù)包的包頭、數(shù)據(jù)包的數(shù)據(jù)字段內(nèi)容所具有的特征。根據(jù)這些數(shù)據(jù)包的特征信息來判斷一個(gè)數(shù)據(jù)包的行為屬于正常行為還是攻擊行為，屬于那一種攻擊行為。根據(jù)rfc正式標(biāo)準(zhǔn)，網(wǎng)絡(luò)上的數(shù)據(jù)幀或是報(bào)文都具有固定的格式和默認(rèn)的規(guī)范，顯然，如果捕獲到一個(gè)幀格式或報(bào)文格式異常的數(shù)據(jù)，則很可能就是網(wǎng)絡(luò)入侵或者是攻擊。

舉一個(gè)例子：抓到一個(gè)發(fā)往目的主機(jī)端口為21的數(shù)據(jù)包，通過在包的數(shù)據(jù)段中搜索指定“userroot”串時(shí)，當(dāng)匹配時(shí)，我們可以認(rèn)為可能發(fā)生了“ftprootuseraccessattempt”入侵。通過上面的例子，我們看到了基于特征的入侵行為的描述方法。我們將通過特征來標(biāo)識數(shù)據(jù)包的行為，建立入侵性為屬性數(shù)據(jù)庫，通過入侵屬性數(shù)據(jù)庫的定義來對網(wǎng)絡(luò)的數(shù)據(jù)包是否是入侵行為進(jìn)行判斷。

響應(yīng)模塊的主要功能是根據(jù)響應(yīng)代價(jià)評估模塊做出的決策，對安全事件進(jìn)行自動響應(yīng)或者快速手動響應(yīng)，具體的響應(yīng)操作由各個(gè)響應(yīng)代理來完成，主要的入侵響應(yīng)方式有：

(1)記錄安全事件：將安全事件記錄下來有利于管理員的事后追查。

(2)產(chǎn)生報(bào)警信息：在控制臺產(chǎn)生報(bào)警，或發(fā)送郵件給管理員。

(3)記錄附加日志：為了能更好的分析攻擊，有時(shí)應(yīng)當(dāng)不僅限于記錄發(fā)現(xiàn)攻擊的報(bào)文，如對于堆棧溢出攻擊，記錄堆棧溢出之后的一些報(bào)文對管理員了解攻擊者的意圖是非常有幫助的。

(4)激活附加的入侵檢測工具：入侵檢測系統(tǒng)為了將有限的資源集中于應(yīng)對更多的攻擊，一般使用計(jì)算復(fù)雜度較低的測度進(jìn)行檢測，當(dāng)發(fā)現(xiàn)攻擊者對系統(tǒng)的潛在危害上升時(shí)，可以觸發(fā)更細(xì)致的檢測，這種檢測一般使用計(jì)算復(fù)雜度較高的測度，檢測精度非常高。

(5)隔離入侵者ip：當(dāng)發(fā)現(xiàn)攻擊者對系統(tǒng)的威脅到達(dá)一定程度時(shí)，可以配置防火墻將攻擊者從受保護(hù)網(wǎng)絡(luò)隔離，這種響應(yīng)措施的選擇需要慎重考慮，特別是對于偽造ip的攻擊，這種響應(yīng)會傷害合法客戶的利益，所以可以采用快速手動響應(yīng)的方式。

(6)禁止被攻擊對象的特定服務(wù)：通過配置防火墻實(shí)現(xiàn)。

(7)隔離被攻擊對象：這種措施實(shí)際上禁止了所有外網(wǎng)對被攻擊對象的訪問。

(8)警告攻擊者：通過發(fā)警告消息給攻擊者。

(9)跟蹤攻擊者：找到盡量接近攻擊發(fā)起的位置。

(10)斷開危險(xiǎn)連接：對于tcp連接發(fā)送rst報(bào)文將連接斷開。

(11)攻擊入侵者：最嚴(yán)厲的響應(yīng)措施。

綜上所述，本發(fā)明的專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報(bào)警系統(tǒng)可以通過代價(jià)分析方法把快速手動響應(yīng)與自動入侵響應(yīng)緊密結(jié)合，發(fā)揮了人的主導(dǎo)作用，在重要事件發(fā)生時(shí)可以快速做出響應(yīng)決策，啟動應(yīng)急預(yù)案，減少漏響應(yīng)、誤響應(yīng)和過度響應(yīng)給系統(tǒng)帶來的損失，最大程度上保證了系統(tǒng)的安全。

以上詳細(xì)描述了本發(fā)明的較佳具體實(shí)施例。應(yīng)當(dāng)理解，本領(lǐng)域的普通技術(shù)人員無需創(chuàng)造性勞動就可以根據(jù)本發(fā)明的構(gòu)思做出諸多修改和變化。因此，凡本技術(shù)領(lǐng)域中技術(shù)人員依本發(fā)明的構(gòu)思在現(xiàn)有技術(shù)的基礎(chǔ)上通過邏輯分析、推理或者有限的實(shí)驗(yàn)可以得到的技術(shù)方案，皆應(yīng)在由權(quán)利要求書所確定的保護(hù)范圍內(nèi)。