基于信息論的入侵檢測最佳響應方案

田有亮，吳雨龍，李秋賢

（1.貴州大學計算機科學與技術學院，貴州 貴陽 550025；2.貴州省公共大數據重點實驗室，貴州 貴陽 550025；3.貴州大學密碼學與數據安全研究所，貴州 貴陽 550025）

1 引言

隨著互聯網的飛速發展，網絡安全面臨的威脅也呈現爆發式增長。面對更多樣、復雜且數量更龐大的安全威脅，傳統的安全預防手段（如防火墻、加密、身份認證等技術）已經不足以保證網絡系統的安全性[1]。為彌補這些預防手段的不足，入侵檢測系統（IDS,intrusion detection system）被引入當前的網路安全技術體系結構中，并且發揮著越來越重要的作用，但是IDS 的檢測結果并不是完全準確的。受當前研究水平和應用環境等因素的制約，IDS 總是不可避免地出現兩類錯誤：誤警錯誤、漏警錯誤。誤警錯誤將正常用戶檢測為入侵者，可能會造成IDS 產生大量無用且超過管理員處理能力的錯誤警報，從而造成資源浪費；漏警錯誤將入侵者檢測為正常用戶，使管理員無法預防真正的攻擊，從而使網絡安全受到威脅。

誤警錯誤和漏警錯誤嚴重影響了IDS 的安全性和準確性。雖然已經存在相關研究能夠在一定程度上降低IDS 的誤警率和漏警率，但是目前還不存在一種方法能夠完全消除IDS 的誤警錯誤和漏警錯誤，因此有必要考慮在IDS 不可避免發生錯誤的情況下，如何對警報進行響應以降低其對系統安全性帶來的影響。目前常用的做法是系統管理員對發生警報的事件/用戶及未發生警報的事件/用戶按照一定概率進行檢查[2]。關于如何設置檢查的執行概率，Rhee 等[3]提出借助一種關于誤警率和檢測率的雙向圖，利用ROC（receiver operating characteristic）曲線來權衡調整系統管理員的2 種檢查的執行概率。Cavusoglu 等[4]提出，通過刻畫系統的開銷，以使系統開銷最小為目的來設置2 種檢查的執行概率。從整體上看，當前方案主要存在以下問題：1) 盲目地提高2 種檢測的執行概率，會增大系統因誤警而產生的開銷；2) 方案中存在難以實現的前提假設。

針對現有方案中前提假設難以實現，系統開銷增大等不足，本文基于信息論提出了一種入侵檢測最佳響應方案。本文的主要貢獻如下。1) 本文將入侵檢測過程中入侵者和IDS 抽象為隨機變量，考慮雙方采取不同行動的概率，進一步確定入侵者和IDS 的隨機變量的概率分布，并結合雙方不同行動下的對抗結果，建立了攻防模型。2) 根據攻防模型和盲自評思想設計結果隨機變量，并以IDS 的隨機變量作為輸入，結果隨機變量作為輸出，建立了IDS 的防守信道，將IDS 的正確檢測問題轉換為防守信道成功傳輸1 bit 信息問題。3) 結合信息論中通信信道的特性及信道容量的定義，通過分析防守信道的信道容量來衡量系統的防守能力。當防守信道的互信息量等于信道容量時，系統的防守能力達到極限，此時的策略分布就是系統的防守能力最優響應策略。4) 在分析系統開銷的約束條件下，提出了降低兩類錯誤造成的安全隱患和損失的入侵檢測最佳響應方案。

2 研究現狀

傳統的安全措施主要采用預防技術，如防火墻、加密、身份認證[5]等。然而，這些傳統的預防技術都存在一定限制。例如，防火墻一般對內部發起連接的攻擊（如木馬等）束手無策；身份認證則可能因為用戶的密碼強度較弱而被攻破。大量研究及已經發現的安全問題表明，單獨使用預防技術無法保證系統的安全[6]。為彌補傳統安全措施的不足，Anderson[7]在1980 年提出了入侵檢測。他把入侵行為分為內部攻擊、外部入侵、越權操作/誤操作，并提出了一種追蹤審計的方法來監視檢測入侵行為。自Denning[8]提出入侵檢測模型以來，大量的研究致力于尋找一種準確且有效的入侵檢測方法，希望性能良好的IDS 具有較高檢測率和較低誤警率[9]。

入侵檢測根據采用技術的不同，分為2 種類型[10]：特征檢測和異常檢測。特征檢測[11]將已知的攻擊特征存入數據庫中，當一個事件行為與數據庫中的一個或多個攻擊特征匹配時發出警報。一般而言，特征檢測的準確率是比較高的，但是新的攻擊手段層出不窮，對于未知的攻擊，特征檢測會出現大量的漏警錯誤。異常檢測[12]利用系統和網絡的特性對正常的網絡行為進行建模，再運用這些模型監督網絡，并將任何與行為模型存在偏差的行為視為攻擊。但是基于異常檢測的IDS 在部署前，需要大量的數據進行學習和訓練，而獲取適用的數據集是十分困難的，系統進行學習和訓練的計算代價也是十分高昂的。同時，如果基于異常檢測的IDS 沒有獲得足夠的數據進行學習和訓練，則會在運行中產生大量的誤警錯誤。

IDS 采用特殊的分析技術來檢測攻擊行為，識別其攻擊源頭并對系統管理員發出警報[13]。IDS 對于網絡嗅探、拒絕服務攻擊（DoS,denial of service）、注入攻擊等傳統的攻擊手段都具有良好的效果，但是高級持續性威脅（APT,advanced persistent threat）則效果不佳。由于APT 具有隱蔽性強、潛伏期長、持續性長等特點，使其難以檢測和抵御，從而對政府和企業的系統及數據安全造成嚴重威脅[14]。目前，針對APT 的主要防御解決方案大致分為四類[15-16]。1) 惡意代碼檢測：根據行為異常特征的邊界，以沙盒模式來運行程序，根據程序行為特征來判斷其合法性。2) 主機應用保護：設置白名單，只允許白名單上的應用運行。3) 網絡入侵檢測：通過建立IDS，檢測網絡流量，檢測APT 命令和控制通道的特征，及時發現和預警APT 攻擊。4) 大數據分析檢測：通過對APT 攻擊產生的海量數據進行收集、處理、監控，及時準確地發現APT 攻擊。為應對APT 帶來的安全威脅，許多學者和相關安全機構的研究圍繞以上4 個方面展開。Rubio 等[17]指出，由于APT暴露的攻擊特征是多樣的，必須在不同的級別組合多個安全解決方案。從這個意義上說，IDS 是安全防御的第一道防線。例如，Luh 等[18]提出一種高級入侵檢測及解釋系統（AIDIS,advanced intrusion detection and interpretation system），通過一組基線過程圖來計算核心事件的偏離程度，從而識別用戶行為的異常，并通過一組圖匹配偏差模板及隨機森林和線性支持向量機的方法來智能分辨該異常是否是潛在的APT 異常。Moon 等[19]提出了一種基于決策樹的IDS（DTB-IDS,decision tree based on IDS），該系統利用對行為信息的分析來檢測入侵系統后不斷變化的APT 攻擊。Vries 等[20]提出了一種高級IDS，該系統使用來自智能數據分析領域的特征和異常檢測方法，通過分析多個網絡位置的網絡流量和客戶端數據來檢測APT 攻擊。此外，國內的互聯網企業及網絡安全公司通過對IDS 進行優化擴充或者對IDS/IPS 等各種安全技術手段進行集成，并推出了多種APT 檢測系統。

許多研究工作通過使用統計方法、控制圖表、機器學習、時間序列等提供多種解決方案來處理誤警錯誤。例如，Pietraszek[21]提出了一種自適應學習警報分類器（ALAC,adaptive learner for alert classification），根據自適應的學習規則來建立和完善用于識別正確和錯誤警報的規則。但是，該方法需要一個龐大的訓練數據集，并且訓練開銷十分高昂。而對于IDS 的漏警問題，相關研究卻比較少。由于識別IDS 漏警是十分困難的，為解決這一問題，Hachmi 等[22]提出了一種多目標優化方法，用于從多個IDS 生成的警報中識別漏警和誤警錯誤，但是混合使用不同的IDS 可能會造成一些沖突。

由前述可見，盡管目前已經有許多研究試圖減少IDS 的漏警錯誤和誤警錯誤，并且在不同方面取得了一定成效，但是這兩類錯誤仍然無法完全消除。在這種情況下，有必要考慮如何對IDS 的警報進行響應，從而降低兩類錯誤對IDS 準確性和系統安全性的影響。Zonouz 等[23]提出了一種利用博弈論和馬爾可夫決策樹來尋找長期收益最優策略的方式來對入侵進行響應。Cuppens 等[24]則提出一種將警報映射到攻擊上下文的方法，用來制定響應網絡威脅的策略。吳姚睿等[25]提出了一種通過關系圖建立攻擊群模型的方法來最大程度地降低響應成本。總體上看，目前國內外入侵檢測響應方案的研究容易忽略當前IDS 的高漏警和誤警問題，從而影響響應策略的準確制定。另外，相關研究缺少定量的數學模型，從而影響方案的應用。針對這一問題，本文參考了Tian 等[5,26]利用信息論在委托計算方面對于雙方攻防能力進行刻畫的方法，以及在公鑰密碼方面對密碼抗攻擊能力進行衡量的理論，在權衡系統自身開銷的前提下，結合信息論提出了一種基于信息論的入侵檢測最佳響應方案。

3 基礎知識

本文在建模及分析過程中運用到的信息論及相關背景知識如下。

定義1盲對抗[27]。參與攻防對抗的雙方，在每次攻防回合結束后，雙方都會對自身在本回合的結果產生一個評價，由于這個評價是只有自己知道的，因此雙方都不必作假。以隨機變量X Y、分別代表攻防雙方的自評結果。當攻擊方認為他在一次攻防對抗中取得成功時，記為X=1 ；當認為失敗時，記為X=0 。同理，當防守方認為他在一次攻防對抗中取得成功的，記為Y=1 ；當認為失敗時，記為Y=0 。

定義2信道。信道是通信系統的組成部分，它的輸出信號依賴于輸入信號，其依賴關系由轉移概率矩陣P(y|x)決定。

定義3互信息量。互信息量可以被視為一個隨機變量因已知另一個隨機變量而減少的不確定性。p(x)、p(y)分別表示隨機變量X、Y的概率分布函數，p(x,y)表示隨機變量X和Y的聯合概率分布函數，則隨機變量X和Y的互信息量

定義4信道容量。信道容量反映了信道所能傳輸的最大信息量。對于輸入信號為X、輸出信號為Y的信道，其信道容量為

引理1紅客守衛能力極限定理[31]。設由隨機變量（Y,Z）組成的防守信道F的信道容量是C，如果防守方想真正地抵御k次入侵，那么一定有某種技巧，使其能夠在次防守中，以任意接近于1 的概率達到目的；如果經過n次防守，防守方獲得了S次真正成功的防守，那么一定有S≤nC。

4 入侵檢測最佳響應方案

入侵檢測最佳響應方案是結合信息論思想，參考盲對抗方法并依據各種事件發生的概率因素，將攻防雙方的對抗結果定義為按照一定概率分布的隨機變量，并通過攻防隨機變量來建立防守信道。然后，利用防守信道的信道容量來刻畫系統當前的防守能力，在權衡系統開銷的前提下，調整對IDS警報執行兩類檢測錯誤的概率來調整防守信道的信道容量，從而尋找最優的響應方案。

入侵檢測最佳響應模型包括形式化定義、攻防模型構建、防守信道構建、防守期望開銷和響應策略分析五部分。

4.1 形式化定義

本文所提的基于信息論的入侵檢測最佳響應方案是一個八元組(ρ1,ρ2,X,Y,F,C,cost1,cost2)，具體含義如下。

1)1ρ表示系統對報警事件及其用戶采取審查的比例，ρ1∈ [ 0，1]。

2)2ρ表示系統對未報警事件及其用戶采取抽查措施的比例，ρ2∈ [ 0，1]。

3) 隨機變量X表示攻擊者在一次攻防回合對自身的評價。X=1 表示攻擊者自評為成功；X=0表示攻擊者自評為失敗。

4) 隨機變量Y表示防守方在一次攻防回合對自身的評價。Y=1 表示防守方自評為成功；Y=0 表示防守方自評為失敗。

5) 防守信道F表示根據雙方自評結果建立的信道模型。

6) 防守信道容量C為防守信道的信道容量，用于刻畫系統的防守能力。

7) cost1為系統管理員對一次事件執行檢查的期望開銷。

8) cost2為系統管理員對一次事件不作為的期望開銷。

4.2 攻防模型構建

在一次攻防對抗過程中，對于攻擊者而言有2 種行動策略，即發動攻擊（記為A1）和不發動攻擊（記為A2）。對于防守方而言也有2 種行動策略，即執行檢查（記為D1）和不執行檢查（記為D2）。將攻防雙方的行動策略進行兩兩組合，可以得到攻防雙方的所有策略組合，如矩陣S所示。

防守方在一次對抗回合中是否執行檢查需要參考IDS 的檢測結果，由于IDS 不是完全可靠的，因此防守方對于IDS 發出警報和不發出警報的回合都會按一定概率執行檢查。根據攻防雙方的所有行動策略和IDS 是否報警，可以組成8 種不同的事件，如表1 所示。

當IDS 在其應用環境中運行足夠長的時間后，其保護的系統遭受入侵的平均概率是可以統計的。令PC表示IDS 正確檢測出一次入侵的概率，那么1-PC代表IDS 的漏警率。PF表示IDS 將一次正常事件檢測為入侵的概率，φ表示系統在一定時間內遭受攻擊的平均概率，得到以下事件的發生概率，具體如下。

P1=P(攻擊者入侵,IDS報警)=φPC

P2=P(攻擊者入侵,IDS未報警)=φ(1-PC)

P3=P(攻擊者未入侵,IDS報警)=(1 -φ)PF

P4=P(攻擊者未入侵,IDS未報警)=(1 -φ)(1-PF)

不同的事件發生，將導致IDS 和入侵者之間的攻防對抗產生不同的結果。結合定義1，從信息論的角度看，IDS 和入侵者依據其盲自評可以被視為按照一定概率分布的隨機變量。根據前文所述，系統管理員會按照概率ρ1手動地檢查IDS 發出警報的日志文件，并跟蹤審查相關用戶，從而確認或者排除入侵。與此同時，為避免遺漏，系統管理員會按照概率ρ2檢查未報警的日志文件和相關用戶。在本文假設系統管理員執行檢查時，能夠正確地識別并處理事件。那么系統管理員對一個事件是否執行檢查響應，將直接影響攻防雙方對當次對抗的自評成敗。其中在攻擊者未入侵的情況下，系統管理員檢查了相應事件，則代表其誤警率對維護系統安全產生了不良影響，從而防守方自評為失敗，即Y=0。對于攻擊者而言，其目的一般是獲取額外資源，在未發動攻擊的情況下，則代表其放棄了本次攻防對抗，則攻擊者自評為X=0 。針對不同事件，攻防自評隨機變量X、Y的取值及系統的防守開銷如表1 所示。其中，c表示系統管理員對一次事件進行檢查的開銷，d表示系統管理員未對一次攻擊執行響應的損失，?表示防守方對一次攻擊執行了響應后能減少損失的比例。顯然存在c≤d?，否則系統不會為任何事件花費代價請系統管理員進行檢查。

表1 針對不同事件攻防雙方自評取值及防守開銷

根據表1 可得，攻防自評隨機變量X、Y的概率分布如下。

4.3 防守信道構建

由于防守方的目的是抵御攻擊方的入侵以保證系統安全，那么是否真正防守成功，不能由防守方的盲自評決定，而應該由對手的盲自評決定。也就是說，當攻擊者盲自評為失敗時，防守方才真正的取得了一次防守成功。此時本文定義第三個隨機變量Z=(X+Y)mod2，當Z=0 時，表示攻防雙方同時認為自己在本次對抗中取得了成功或者失敗的事件，即雙方自評相同的事件。當Z=1 時，表示當攻擊方認為自己在本次對抗中成功且防守方認為自己失敗的事件，與攻擊方認為自己在本次對抗中失敗且防守方認為自己成功的事件的并集，即雙方自評不同的事件。其概率分布為

在信息論當中，任意2 個隨機變量都可以組成一個通信信道。據此，以隨機變量Y作為輸入、隨機變量Z作為輸出，構成一個防守信道F。那么防守方一次真正防守成功的定義為

{防守方某次真正成功}={防守本次盲自評成功∩攻擊方盲自評失敗}∪{防守方盲自評失敗∩攻擊方盲自評失敗}={Y=1,X=0}∪{Y=0,X=0}={Y=1,Z=1}∪{Y=0,Z=0}={1 bit 信息成功地從防守信道的發送端傳輸到輸出端}

當防守信道建立起來后，防守方和攻擊方在入侵中的攻防對抗問題就轉換為在防守信道上傳輸信息的問題。當信道傳輸信息的能力越強時，防守方的防守能力就越強（防守信道的信道容量就代表著防守方的防守能力）。與此類似，如果以隨機變量X作為輸入，隨機變量Z作為輸出，就構成了一個攻擊信道G。那么對于攻擊方而言，一次成功的入侵同樣可以被定義為1 bit 信息從攻擊信道G的發送端傳輸到輸出端，而攻擊信道的信道容量則代表著攻擊方的攻擊能力。由于本文的主要工作是研究并尋找防守方的響應策略，因此不對攻擊信道做進一步展開討論。

4.4 防守期望開銷

當IDS 在其工作場景運行了足夠長的時間后，其潛在的攻防環境是已知的。也就是說，系統遭到攻擊的可能性、管理員執行檢查的開銷、遭到攻擊所承受的損失等都是可以預估的。雖然這些因素的確切值不太容易獲取，但是仍然可以從系統以往的運行日志文件和系統管理員的經驗中得到。系統管理員對不同事件采用不同響應時的防守期望開銷如表1 所示。根據表1，可以得到對一次事件執行檢查的期望開銷cost1和對一次事件不作為的期望開銷cost2，計算方式如下。

顯然，對一次事件執行檢查的期望開銷不應大于對該事件不作為的期望開銷，否則系統管理員在任何情況下都不會執行檢查。即

式(1)中只有ρ1和ρ2是未知的，因此可以解出ρ1和ρ2的取值范圍。

4.5 響應策略分析

4.3 節已經建立了防守信道，根據第3 節的定義4 和引理1，只要得到防守信道的信道容量，那么防守方的防守能力就確定了。下面將繼續計算防守信道F的信道容量。首先，隨機變量(Y,Z) 的聯合概率分布為

防守信道F由隨機變量Y和Z構成，它的二階轉移概率為

那么，隨機變量Y和Z的互信息量為

根據前文所述，決定隨機變量X和Y概率分布的參數中，大部分是穩定的，可以將其視為常量，只有2 個參數（ρ1和ρ2）是變化的。于是，以Y為輸入、Z為輸出的防守信道F的信道容量為。也就是說，防守信道的信道容量C是參數ρ1和ρ2的函數。結合引理1，當ρ1和ρ2取值越大時，防守信道的互信息量越大，防守能力越強，當ρ1=ρ2=1時，防守信道的互信息量和防守能力達到最大值。此時防守方對每一個事件都執行了檢查，在這種情況下攻擊方的所有入侵都會被發現，所以系統的安全性是最高的。然而這種響應策略顯然是不可取的，首先防守方的能力顯然不可能是無限的，使其無法對網絡系統中的海量事件進行逐一檢查；其次防守方即使能夠對事件執行逐條檢查，也會使系統的防御開銷變得非常大，這會嚴重影響網絡的可用性和生命周期。因此，對于ρ1和ρ2的設置應該限定在系統可以接受的防守開銷范圍內。由4.4 節可知，對于任何一個可取的響應策略ρ1和ρ2而言，系統在當前策略下的系統開銷不應大于系統不執行任何操作的開銷。當系統選擇了某一個響應策略，使系統執行檢查的開銷與系統不執行任何操作的開銷相等時，系統不會因為執行檢查而獲得額外收益，但是由于系統采取了很高的比例對未報警事件和報警事件進行檢查，因此系統的安全性是在系統開銷約束范圍內的最佳點；當系統選擇了某一個響應策略，使系統執行檢查的開銷最小時，系統因執行檢查而獲得最大收益，但是由于此時系統沒有花費代價去盡可能地執行檢查，系統的安全性較弱。因此在實際對抗當中，應該在系統開銷允許的范圍內，根據系統對于安全性和系統收益的重要程度來調整對報警事件及其用戶的審查比例ρ1，對未報警事件及其用戶采取抽查措施的比例ρ2，從而調整信道容量C，使自身的防守能力在當前情況下達到最大。

5 模型理論分析

通過本文方案，可以利用信道通信來形式化攻防過程，也可以利用信道容量來刻畫攻防雙方的對抗能力。在此基礎上，得到如下理論結果。

定理1在入侵檢測過程中，防守方進行一次成功的防守，等價于在防守信道F中1 bit 信息成功地從發送端傳輸到接收端。

證明由于防守方是否防守成功，不能由其主觀的盲自評決定，因此防守方是否取得一次防守成功，應該由攻擊方的盲自評決定。當攻擊方自評失敗，即X=0時，防守方才取得一次防守成功。那么在入侵檢測過程中防守方進行一次成功的防守的情況為

{防守方取得一次防守成功}={防守本次盲自評成功∩攻擊方盲自評失敗}∪{防守方盲自評失敗∩攻擊方盲自評失敗}={Y=1,X=0}∪{Y=0,X=0}={Y=1,Z=1}∪{Y=0,Z=0}={1 bit 信息成功地從防守信道F發送端傳輸到輸出端}

若1 bit 信息成功地從防守信道F的發送端傳輸到輸出端，則信道的兩端取值相等，即Y=Z。滿足此條件的情況只有2 種，即Y=Z=1，Y=Z=0。由于Z=(X+Y)mod2，在以上條件下，可得X=0，此時攻擊者自評失敗，相當于防守方取得一次防守成功。

令隨機變量X為輸入，隨機變量Z為輸出，構建信道容量為R的攻擊信道G，那么適用于防守方的定義，定理同樣適用于攻擊方。證畢。

定理2入侵檢測中，當攻擊信道容量大于防守信道容量，即R＞C時，入侵者的攻擊能力大于IDS的防守能力，此時的對抗中入侵者占優勢，其更容易成功入侵系統；當攻擊信道容量小于防守信道容量，即R＜C時，入侵者的攻擊能力小于IDS 的防守能力，此時的對抗中IDS 占優勢，其更容易成功抵抗入侵。

證明根據定理1，在防守信道（攻擊信道）上每成功傳輸1 bit 信息，相當于IDS（入侵者）取得了一次防守（攻擊）成功；而根據定義2、定義4、引理1 及香農定理可知，信道容量是在信息率一定時，信道所能傳輸的最大比特數。那么從整體上來看，防守信道（攻擊信道）的信道容量就是其防守能力（攻擊能力）的最大值，顯而易見，在對抗過程中能力強的那一方更容易取得成功。證畢。

6 仿真實驗

6.1 實驗參數

由于本文更加關注于對IDS 警報的響應策略，因此并沒有對IDS 進行建模而將其視作一個黑盒。在實驗中，借鑒文獻[28]對IDS(Snort)進行配置，并使用UNSW-NB15 數據集[29]作為輸入。其中，UNSW-NB15是澳大利亞網絡安全中心用于入侵檢測評估的數據集，該數據集包含了現代正常的數據流量和8 種不同的攻擊類型的數據流量。UNSW-NB15 數據集包含了2 540 044 條數據樣本，共100 GB。由于原始數據集過于龐大且存在許多冗余[30]，本文采用部分數據集UNSW-NB15 testing set，它是原始數據集經過處理后不包含任何冗余，專門用來進行入侵檢測測試的數據集。表2 總結了該數據集的分布情況。

表2 UNSW-NB15 testing set 數據分布情況

根據本文的實驗配置，IDS 檢測率保持在51.5%左右，誤檢率保持在30.7%左右。可以看到，Snort 在當前配置下對于該數據集的表現不是很好，但這并不違背本文不改進IDS 精度而是調整響應策略來提高系統安全性并平衡開銷的初衷。為方便分析和研究，本文將系統未對一次攻擊進行響應的損失設置為50，對一次攻擊進行了響應則可以挽回80%的損失，管理員執行一次響應需要花費的開銷為20。相關參數如表3 所示。

表3 相關參數

6.2 結果分析

如前文所述，對事件執行響應的期望開銷不應大于不對事件執行響應的期望開銷，將表3 中的響應參數代入式(1)，得到ρ1和ρ2取值范圍如圖1 所示，其中z軸表示對事件執行檢查響應的期望開銷減去對事件不作為的期望開銷的差值。在最極端的情況下，系統采用很大的概率令系統管理員進行檢查，這將導致系統用于檢查事件的開銷大大增加，使此時對事件執行檢查的期望開銷和對事件不作為的期望開銷相等。這種極端情況的ρ1和ρ2取值如圖2 所示。在這種情況下，系統并不會因對事件執行檢查而獲得比對事件不作為更高的收益，但是由于系統對事情采取很高的概率執行檢查，此時的系統防守能力是更強的，因此這種極端取值是被允許的。

圖1 ρ1和ρ2取值范圍

圖2 極端情況 ρ1和ρ2的取值

隨后將ρ1和ρ2代入式(2)中，尋找在允許范圍內的防守信道的信道容量最大值，即是允許范圍內的防守能力最大點，其結果如圖3 所示。由圖3 可知，當ρ1=0.72、ρ2=0.64時，隨機變量Y和Z的互信息量達到最大，也就是防守信道的信息傳輸率達到最大并等于當前防守信道的信道容量。此時，系統的防守能力達到最強。但是值得注意的是，此時ρ1和ρ2取值的點是落在圖2 上的，也就是說，此時對某一事件進行處理的期望開銷和不處理的期望開銷是一樣的。系統在不同響應策略下的防守能力（防守信道的信道容量）及系統開銷如圖4 所示。由于響應策略是對于報警和不報警事件按一定概率抽查，為避免偶然性，所有的開銷都是在對應策略下重復運行10 次的標準差。

圖3 防守信道的信道容量

圖4 不同防守能力下系統開銷

從圖4 中可以看到，當防守信道的信道容量為0 時，此時不對任何事件做出響應，系統因遭受入侵而造成大量損失，此時的系統開銷是最大的。隨著系統調整響應策略，開始恢復對警報和未報警事件的抽查，防守信道容量持續增大，系統防守能力逐漸增大，系統開銷逐漸降低，當防守信道容量達到0.421 時，系統開銷降到最低，此時ρ1=0.58、ρ2=0.46。而當系統的防守能力繼續增大時，系統的開銷也開始持續上升，當系統達到允許的最大防守能力，即防守信道容量達到0.793 時，系統開銷已經與不進行響應時的情況十分接近，此時ρ1=0.72、ρ2=0.64。這是由于系統為了獲得更高的安全性，花費了更多的代價對事件進行了響應。針對不同的應用環境，相關系統管理員可以根據自身應用需求對系統的安全性和開銷進行考慮和權衡，在系統開銷最小和防守能力最大的響應策略中選擇最符合自身利益的響應方案。

下面，將本文方案與文獻[3]方案、文獻[4]方案、完全信任IDS 方案等進行對比。在此，本文定義評價指標響應準確率為

各方案在運行過程中的響應準確率如圖5 所示，表4從各個方案關于響應準確率和系統開銷方面進行了比較。文獻[3]方案需要依賴于IDS 對每個事件的總體預期風險進行評估，因此當IDS 的準確率不足夠高時，方案的準確率和系統開銷的表現都不是十分良好。文獻[4]方案由于忽視了提高執行檢查的概率而造成誤警成本的增加，因此其方案沒有達到預期的最優效果。完全信任IDS 方案則只對IDS 報警的事件進行響應，對未報警的事件則信任，此方案受到IDS 準確率的嚴重制約，使系統開銷極大時，響應準確率卻最差。本文方案是根據IDS 運行過程中各種相關安全參數在嚴格的數學模型和信息論方法下得到的基于信息論的最優響應方案。實驗結果表明，本文方案能夠在合理的系統開銷前提下，獲得更高的響應準確率。

圖5 各方案在運行過程中的響應準確率

表4 各方案關于響應準確率和系統開銷的對比

本文方案是將攻防雙方抽象成攻防隨機變量，并利用IDS 的檢測率、漏警率、誤警率、系統在一段時間內遭受攻擊的概率等參數來計算雙方不同行動策略下，產生不同結果的概率分布，并以此建立防守信道，在系統開銷的約束條件下尋找防守信道的最大信道容量，而在此情況下的響應策略就是本文所需要的基于信息論的最優響應方案。根據實驗結果顯示，本文方案相較于傳統的方法[22]而言，擁有嚴格定量的數學模型，能夠更準確地幫助安全人員或者自動入侵響應模塊[31]對入侵進行響應而非對部分入侵選擇忽略，同時也能幫助系統以更小的代價獲得更高的安全性。所提策略既可以幫助系統管理員應對和處理相關的網絡事件，也可以應用于各種自動入侵響應系統或模塊。對于初次上線的系統而言，可以通過業內認可且較全面的公開數據集對其IDS 進行測試，同時可以結合正在運營的同類系統的日志文件作為參考來獲取相關參數。對于正在運營的系統，則可以直接利用歷史日志文件對其IDS 性能和運行環境進行分析，從而獲取所需的相關參數。

7 結束語

本文基于信息論，研究了IDS 漏警和誤警錯誤的響應問題，并提出了基于信息論的入侵檢測響應方案，詳細分析了IDS 運行中各種事件發生的概率和采取不同響應的結果，并以此建立攻防對抗模型；結合信息論建立防守信道模型，將攻防對抗問題轉換為信道上信息傳輸的問題；最后通過防守信道的信道容量來刻畫系統防守能力，在研究IDS 防守能力的同時，討論了系統采取不同行動策略時的開銷，并且給出了IDS 響應策略的系統開銷最小點和防守能力最優點。

由于IDS 或入侵者都能調整自身的行動策略，因此在尚未穩定的應用場景中，雙方為使對抗結果更符合自身目標會不斷調整自身策略，直到攻防對抗過程達到平衡。顯然，這一攻防過程是一種非合作博弈，而當博弈達到均衡時，攻防對抗達到平衡狀態。關于這一博弈的討論，將是下一步的研究工作。由于APT 具有隱蔽性強、潛伏期長、持續性長等特點，因此其成為當前入侵檢測技術面臨的嚴峻挑戰。利用信息論對APT 攻擊的攻擊行為進行抽象提取，并進一步研究其攻擊能力，同樣是下一步的研究工作。