入侵檢測報(bào)警相關(guān)性及評(píng)測數(shù)據(jù)集研究

 收稿日期：2007-11-03；

修回日期：2008-01-11

基金項(xiàng)目：國家科技支撐計(jì)劃資助項(xiàng)目(2006BAF01A21)； 甘肅省自然科學(xué)基金資助項(xiàng)目（2007GS04066）



作者簡介：劉密霞（1976-），女，博士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全(liumx@lut.cn).

(蘭州理工大學(xué) 計(jì)算機(jī)與通信學(xué)院 蘭州 730050)

摘要：

首先對(duì)報(bào)警相關(guān)性技術(shù)和方法進(jìn)行深入的研究，分析各種報(bào)警相關(guān)性方法的優(yōu)缺點(diǎn)；在此基礎(chǔ)上提出了基于多源數(shù)據(jù)融合的報(bào)警相關(guān)性功能模型；然后對(duì)報(bào)警相關(guān)性的評(píng)測數(shù)據(jù)集進(jìn)行了討論，分析它們適用的范圍和存在的問題；最后指出了報(bào)警相關(guān)性的發(fā)展方向。

關(guān)鍵詞：入侵檢測； 報(bào)警相關(guān)性； 數(shù)據(jù)集； 數(shù)據(jù)融合

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2008)10-3108-04

Survey of alerts correlation and testing dataset of intrusion detection system

LIU Mi-xia ZHANG Qiu-yu ZHAO Hong YU Dong-mei

(College of Computer Communication Lanzhou University of Technology Lanzhou 730050 China)

Abstract:

At first this paper studied technology and method of alert correlation for analyzing their advantages and disadvantages. Then presented alert correlation model based on multi-sources data fusion. After that discussed evaluation dataset for analyzing their used scope and existent problems. At last described future research and development.

Key words：intrusion detection; alert correlation; dataset; data fusion

0引言

在動(dòng)態(tài)網(wǎng)絡(luò)安全模型P2DR中，IDS是其中一個(gè)重要的組成部分，扮演著數(shù)字空間預(yù)警機(jī)的角色[1]。IDS根據(jù)它的檢測機(jī)制可分為誤用檢測和異常檢測；根據(jù)它們所分析的審計(jì)數(shù)據(jù)源可分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。依據(jù)特征進(jìn)行檢測的網(wǎng)絡(luò)IDS因?yàn)榱己玫臋z測性能而被廣泛使用，但是它們是根據(jù)每一個(gè)惡意包進(jìn)行報(bào)警的，而且容易檢測到許多復(fù)雜攻擊的單步行為，因此會(huì)產(chǎn)生大量的、重復(fù)的報(bào)警。此外，IDS的誤報(bào)率和漏報(bào)率都很高[2]。當(dāng)產(chǎn)生大量的報(bào)警或是很多錯(cuò)誤報(bào)警時(shí)，網(wǎng)絡(luò)安全管理員將被這些無用的報(bào)警所淹沒。更為嚴(yán)重的是，由于報(bào)警的大量到達(dá)，安全管理員不能及時(shí)地作出決策并進(jìn)行響應(yīng)。

為了解決IDS所帶來的問題，許多研究人員從2000年開始進(jìn)行入侵檢測報(bào)警相關(guān)性的研究。目前提出了大量的分析方法，如報(bào)警聚類[3~6]、規(guī)劃識(shí)別[7~9]、因果推理等[10~13]。Tim Bass提出了下一代網(wǎng)際空間的入侵檢測系統(tǒng)需要融合來自多種異構(gòu)分布式網(wǎng)絡(luò)傳感器的數(shù)據(jù)來有效地創(chuàng)建網(wǎng)際空間的態(tài)勢意識(shí)[14~15]。文獻(xiàn)[16~19]討論了來自不同安全工具（如IDS、防火墻、系統(tǒng)檢測工具、脆弱性掃描工具等）的多源數(shù)據(jù)的相關(guān)性處理。

進(jìn)行報(bào)警相關(guān)性研究可以實(shí)現(xiàn)如下目標(biāo)：a)通過報(bào)警聚類來減少報(bào)警的數(shù)量；b)通過管理、分析和解釋報(bào)警數(shù)據(jù)流，可以提高報(bào)警的有效性[3]；c)通過相關(guān)獨(dú)立的報(bào)警來構(gòu)建攻擊場景并從其他安全工具獲得入侵證據(jù)以減少誤報(bào)和漏報(bào)；d)在攻擊發(fā)生之后發(fā)現(xiàn)入侵者的攻擊策略，識(shí)別下一步的入侵行為，并進(jìn)行入侵響應(yīng)；e)通過融合來自不同網(wǎng)絡(luò)級(jí)別的IDS報(bào)警來擴(kuò)大IDS的檢測范圍；f)進(jìn)行有效的威脅分析和網(wǎng)絡(luò)安全態(tài)勢評(píng)估。

1報(bào)警相關(guān)性技術(shù)與方法

報(bào)警相關(guān)性處理是指對(duì)IDS所產(chǎn)生的大量報(bào)警進(jìn)行精簡、提取、驗(yàn)證、推測大量報(bào)警背后發(fā)生的攻擊意圖，其一般處理過程如圖1所示。首先通過報(bào)警聚類減少報(bào)警的數(shù)量，再對(duì)這些元報(bào)警進(jìn)行相關(guān)，過濾掉錯(cuò)誤的報(bào)警；最后根據(jù)報(bào)警之間的因果關(guān)系構(gòu)建攻擊場景。

1.1基于聚類的報(bào)警相關(guān)性

報(bào)警聚類通常處理的是合并由一個(gè)或多個(gè)IDS所產(chǎn)生的報(bào)警，如果這些報(bào)警針對(duì)的是某一個(gè)攻擊，就把它們?nèi)诤蠟橐粋€(gè)稱做元報(bào)警的高級(jí)報(bào)警信息，它概括了所檢測攻擊的特征。文獻(xiàn)[6]根據(jù)攻擊類型、IP地址、TCP/UDP源和目的端口以及時(shí)間等特性來計(jì)算相似度，并定義了報(bào)警聚類的權(quán)重函數(shù)。文獻(xiàn)[4]提出了一個(gè)在線的報(bào)警聚類算法，除了減少報(bào)警數(shù)量外主要目的是提取攻擊類型所屬的攻擊描述。文獻(xiàn)[3]采用概念聚類和分層抽象的方法進(jìn)行分類，在實(shí)踐中取得了較好的效果。報(bào)警聚類的主要目的是通過報(bào)警分類減少報(bào)警的數(shù)量，在某種程度上降低了誤報(bào)率，但這種方法是用一個(gè)相似函數(shù)來判斷兩個(gè)報(bào)警之間的相似性，并不能發(fā)現(xiàn)報(bào)警之間的本質(zhì)關(guān)系。

1.2基于已知攻擊場景庫的報(bào)警相關(guān)性

基于已知攻擊場景庫的報(bào)警關(guān)聯(lián)方法在擁有一個(gè)完整的已知攻擊場景庫的基礎(chǔ)上，通過一系列關(guān)聯(lián)分析技術(shù)來識(shí)別報(bào)警流中包含的攻擊場景。Petri網(wǎng)被用來構(gòu)造和檢測攻擊場景，它需要對(duì)每一種復(fù)合攻擊過程建模，并將建立的模型存入攻擊模型庫。攻擊場景的檢測即為與模型庫中模型的匹配過程[20]。Honeywell Lab的Geib等人首次應(yīng)用規(guī)劃識(shí)別技術(shù)來解決入侵檢測中的報(bào)警關(guān)聯(lián)問題[8]，提出了基于攻擊規(guī)劃執(zhí)行模型的報(bào)警關(guān)聯(lián)算法。該方法的問題是需要建立的模型數(shù)目相當(dāng)龐大，造成工作量大、易出錯(cuò)，而且攻擊場景庫的準(zhǔn)確性和完備性難以得到檢驗(yàn)。同時(shí)，新攻擊方法的不斷出現(xiàn)，以及攻擊動(dòng)作的多樣性和隨意性勢必給及時(shí)更新補(bǔ)充模型庫增加難度。為此，文獻(xiàn)[21]提出了基于攻擊意圖的攻擊檢測方法，不是以攻擊動(dòng)作建立攻擊場景庫，而是以攻擊動(dòng)作背后對(duì)應(yīng)的攻擊意圖來構(gòu)建攻擊場景庫。這樣可以減少攻擊場景庫的數(shù)量，但是卻需要建立報(bào)警信息與攻擊意圖的一一對(duì)應(yīng)關(guān)系。

1.3基于推理的報(bào)警相關(guān)性

在一個(gè)由多步攻擊組成的入侵過程中，一個(gè)攻擊的后果就是下一個(gè)攻擊的前因。基于這一思想，Cuppens等人開發(fā)了報(bào)警關(guān)聯(lián)模塊CRIM[10]，Ning等人開發(fā)了TIAA系統(tǒng)[11]。這種報(bào)警關(guān)聯(lián)方法不需要對(duì)所有可能的攻擊場景進(jìn)行描述和存儲(chǔ)，只需要對(duì)單個(gè)攻擊行為動(dòng)作進(jìn)行建模，準(zhǔn)確定義每個(gè)攻擊的前提和所引起的后果，因此攻擊場景庫的構(gòu)建和維護(hù)較為可行。同時(shí)，可以識(shí)別和報(bào)告不同攻擊組合形成的新攻擊過程。如果新的攻擊步驟之間不具有因果關(guān)系，就不能進(jìn)行有效的關(guān)聯(lián)。此外，由于關(guān)聯(lián)時(shí)搜索空間較大、處理時(shí)間長，對(duì)計(jì)算資源消耗大，不適合實(shí)時(shí)在線操作。Qin等人采用一種時(shí)序因果分析算法GCT(granger causality test)，通過計(jì)算報(bào)警事件之間的GCI (granger causality index)指數(shù)實(shí)現(xiàn)報(bào)警關(guān)聯(lián)[22]。這種方法可以發(fā)現(xiàn)新的攻擊過程或報(bào)警關(guān)聯(lián)序列，不需要攻擊行為的先驗(yàn)知識(shí)。但是在確定Bayes網(wǎng)絡(luò)節(jié)點(diǎn)CPT的報(bào)警優(yōu)先級(jí)計(jì)算，以及GCT關(guān)聯(lián)所產(chǎn)生的候選因果報(bào)警的檢驗(yàn)都是依據(jù)經(jīng)驗(yàn)來進(jìn)行的。

1.4可視報(bào)警相關(guān)性

許多研究者通過可視化來解決復(fù)雜的數(shù)據(jù)問題。近年來許多安全會(huì)議和權(quán)威期刊中報(bào)告了攻擊可視化的研究工作。一些可視化的研究只是網(wǎng)絡(luò)中的數(shù)據(jù)流，將源和目的IP地址、源和目的TCP/UDP端口，以及所應(yīng)用的協(xié)議通過二維或三維的形式顯示，如NvisionIP[23]、VisFlowConnect[24]。可視化IDS Spinning Cube of Potential Doom[25]和Secure Decision’s Secure Scope[19]在三維空間中盡可能多地顯示網(wǎng)絡(luò)中實(shí)時(shí)存在的信息，但是它們并不提供包數(shù)據(jù)的相關(guān)性處理。Portall[26]把發(fā)送或接收包的主機(jī)與每個(gè)包進(jìn)行可視化的相關(guān)性處理，主要使網(wǎng)絡(luò)管理員可以看到網(wǎng)絡(luò)連接是如何與運(yùn)行的主機(jī)相關(guān)的。

VisAlert[27，28]提供了一個(gè)可視化的報(bào)警比較平臺(tái)，將報(bào)警的類型、時(shí)間與發(fā)生報(bào)警的節(jié)點(diǎn)進(jìn)行比較，主要是報(bào)警聚類的可視化表示。它們把網(wǎng)絡(luò)報(bào)警在兩個(gè)域中顯示，一個(gè)域表示節(jié)點(diǎn)屬性，一個(gè)二維域表示時(shí)間和類型屬性。如圖2所示，把節(jié)點(diǎn)域映射為一個(gè)包含網(wǎng)絡(luò)拓?fù)鋱D的中心圓，類型屬性是覆蓋在中心圓外面的環(huán)，時(shí)間屬性是從中心圓引出的半徑。但是它依賴于安全管理員的經(jīng)驗(yàn)，通過觀測從中心圓的網(wǎng)絡(luò)節(jié)點(diǎn)到報(bào)警類型連接線的密度來觀測可疑行為，并且對(duì)多步攻擊不能進(jìn)行有效的關(guān)聯(lián)。

1.5基于多源數(shù)據(jù)報(bào)警相關(guān)性

上面的報(bào)警相關(guān)性方法可以減少報(bào)警的數(shù)量、降低誤報(bào)率、發(fā)現(xiàn)復(fù)雜的攻擊。但是這些方法僅依靠IDS所產(chǎn)生的報(bào)警，它受到IDS所放的位置、規(guī)則集以及網(wǎng)絡(luò)帶寬的影響。同時(shí)，這些方法又過多地依靠專家知識(shí)。因此，許多研究人員提出了多源數(shù)據(jù)的報(bào)警相關(guān)性研究。Morin等人提出了一個(gè)M2D2概念模型，主要考慮四種類型的信息：所檢測系統(tǒng)的屬性、脆弱性、安全工具、所觀測到的事件[17]。Siaterlis等人融合Snort和Netflow收集的數(shù)據(jù)來推理DDoS攻擊[29]。Zhai等人使用Bayesian網(wǎng)絡(luò)來構(gòu)建入侵過程，并從脆弱性掃描工具和系統(tǒng)檢測工具處獲得入侵的證據(jù)[16]。

這些方法可以在一定程度上提高報(bào)警質(zhì)量，并沒有真正應(yīng)用數(shù)據(jù)融合的方法進(jìn)行報(bào)警相關(guān)性處理，對(duì)網(wǎng)絡(luò)安全管理員來說還是不能了解網(wǎng)絡(luò)的態(tài)勢，也就是理解網(wǎng)絡(luò)當(dāng)前的狀態(tài)，并預(yù)測網(wǎng)絡(luò)下一階段的安全狀況。本文在分析現(xiàn)有工作的基礎(chǔ)上提出了基于多源數(shù)據(jù)融合的報(bào)警相關(guān)性框架。

2基于多源數(shù)據(jù)融合的報(bào)警相關(guān)性模型

數(shù)據(jù)融合一詞出現(xiàn)在20世紀(jì)70年代，并于80年代發(fā)展成為一項(xiàng)專門技術(shù)，它是人類模仿自身信息處理能力的結(jié)果。數(shù)據(jù)融合從軍事應(yīng)用角度而言，是將來自多傳感器和信息源的數(shù)據(jù)及信息加以聯(lián)合、相關(guān)和組合，獲得精確的位置估計(jì)和身份估計(jì)，以及對(duì)戰(zhàn)場情況和威脅及其重要程度進(jìn)行實(shí)時(shí)的完整評(píng)價(jià)[30]。隨著數(shù)據(jù)融合和計(jì)算機(jī)應(yīng)用技術(shù)的發(fā)展，根據(jù)國內(nèi)外的研究成果，多傳感器數(shù)據(jù)融合是指充分利用不同時(shí)間與空間的多傳感器數(shù)據(jù)資源，利用計(jì)算機(jī)技術(shù)對(duì)按時(shí)間序列獲得的多傳感器觀測數(shù)據(jù)，在一定準(zhǔn)則下進(jìn)行分析、綜合、支配和使用，獲得對(duì)被測對(duì)象的一致性解釋與描述，進(jìn)而實(shí)現(xiàn)相應(yīng)的決策和估計(jì)，使系統(tǒng)獲得比它的各組成部分更充分的信息。JDL(joint directors of laboratories)數(shù)據(jù)融合模型促進(jìn)系統(tǒng)管理人員、理論研究者、設(shè)計(jì)人員、評(píng)估人員相互之間更好的溝通和理解，從而使得整個(gè)系統(tǒng)的設(shè)計(jì)、開發(fā)和實(shí)施過程得以高效順利地進(jìn)行。

Tim Bass根據(jù)JDL提出基于數(shù)據(jù)融合的入侵檢測框架，但卻沒有實(shí)現(xiàn)具體的原型系統(tǒng)[14]。本文在此基礎(chǔ)上提出的基于數(shù)據(jù)融合的報(bào)警相關(guān)性功能模型如圖3所示。對(duì)報(bào)警相關(guān)性處理分為三個(gè)層次進(jìn)行：第一級(jí)為多源數(shù)據(jù)輸入層，數(shù)據(jù)源不僅有IDS報(bào)警，還包括防火墻、防病毒軟件、漏洞掃描器以及網(wǎng)絡(luò)流數(shù)據(jù)等；第二級(jí)為報(bào)警提煉層，首先對(duì)IDS報(bào)警進(jìn)行聚類，接著從其他數(shù)據(jù)源處驗(yàn)證報(bào)警的真實(shí)性并產(chǎn)生攻擊動(dòng)作，然后對(duì)攻擊動(dòng)作進(jìn)行相關(guān)并構(gòu)建攻擊場景；第三級(jí)為態(tài)勢輸出層，根據(jù)報(bào)警提煉出的信息產(chǎn)生假設(shè)，由數(shù)據(jù)庫中的態(tài)勢分類信息推理網(wǎng)絡(luò)當(dāng)前的態(tài)勢，并對(duì)下一步的網(wǎng)絡(luò)安全狀況進(jìn)行預(yù)測。

由于報(bào)警和攻擊動(dòng)作不是一一對(duì)應(yīng)的關(guān)系，在報(bào)警提煉級(jí)使用擴(kuò)展的CPN（colored Petri net）增加報(bào)警集，并根據(jù)系統(tǒng)狀態(tài)的信息和從其他安全工具處獲得證據(jù)來構(gòu)建攻擊場景的ECPN模型。態(tài)勢輸出層是對(duì)報(bào)警提煉層的延伸，這一過程可記做在已知攻擊知識(shí)A=（A1，A2，…，Am）和實(shí)時(shí)報(bào)警信息Alert=（Alert1，Alert2，…，Alertl）的情況下得到態(tài)勢H=（H1，H2，…，Hn）的假設(shè)結(jié)果P（H|K，D），P表示每個(gè)備選假設(shè)（態(tài)勢）有一個(gè)不確定的概率關(guān)聯(lián)值或置信度。問題的關(guān)鍵在于對(duì)網(wǎng)絡(luò)安全態(tài)勢的分類，以及推理出網(wǎng)絡(luò)安全的等級(jí)。最后安全管理員根據(jù)安全等級(jí)和攻擊的情況快速地進(jìn)行決策與響應(yīng)。

3報(bào)警相關(guān)性評(píng)測數(shù)據(jù)集

許多安全機(jī)構(gòu)每天會(huì)收集到大量的防火墻日志、系統(tǒng)日志和入侵檢測報(bào)警，從中獲得有價(jià)值的數(shù)據(jù)是所面臨的挑戰(zhàn)之一。利用評(píng)測數(shù)據(jù)集對(duì)報(bào)警關(guān)聯(lián)算法進(jìn)行評(píng)測可以證實(shí)關(guān)聯(lián)算法的有效性，同時(shí)也能反映關(guān)聯(lián)算法的缺陷與不足。當(dāng)前DARPA 2000[31]數(shù)據(jù)集被廣泛應(yīng)用于報(bào)警相關(guān)性的評(píng)測，但是還沒有統(tǒng)一的標(biāo)準(zhǔn)和參數(shù)。Ning等人的TIAA系統(tǒng)給出了有關(guān)此數(shù)據(jù)集的完整實(shí)驗(yàn)結(jié)果[11]，Yu等人[13]給出了詳細(xì)的評(píng)測參數(shù)。文獻(xiàn)[32]第一次給出了報(bào)警相關(guān)器系統(tǒng)的實(shí)驗(yàn)驗(yàn)證。

3.1MIT Lincoln Lab數(shù)據(jù)集

MIT LL數(shù)據(jù)集不僅是IDS評(píng)測測試的典范，也是目前為止學(xué)術(shù)界最具影響力的入侵檢測評(píng)測研究。MIT LL公開發(fā)布的評(píng)測數(shù)據(jù)集有MIT 1998、MIT 1999、MIT 2000。1998年和1999年的評(píng)測中有很多種類的攻擊實(shí)例，可以認(rèn)為是一種廣度測試，以測試出入侵檢測系統(tǒng)對(duì)攻擊檢測的覆蓋度，也就是能夠準(zhǔn)確檢測出多少種攻擊。

DARPA 2000攻擊場景測試數(shù)據(jù)集LLDOS 1.0和LLDOS 2.0.2被廣泛應(yīng)用于入侵報(bào)警關(guān)聯(lián)算法的有效性驗(yàn)證。LLDOS 1.0包含一系列的攻擊，攻擊者先通過IPSweep進(jìn)行活動(dòng)主機(jī)的探測；然后進(jìn)行端口掃描查找有Sadmind漏洞的主機(jī)后，進(jìn)行緩沖區(qū)溢出攻擊該漏洞；再通過Rsh登錄到攻擊源主機(jī)上安裝DDoS攻擊的木馬軟件，利用被控主機(jī)對(duì)目標(biāo)發(fā)起DDoS攻擊。LLDOS 2.0.2的攻擊過程與LLDOS 1.0類似，區(qū)別是漏洞探測采用了更加隱蔽的方式，而拷貝攻擊代理軟件采用了FTP上傳的方法。2000年所采用的這種方案，可以認(rèn)為是一種深度測試，集中地測試入侵檢測系統(tǒng)對(duì)于某一種攻擊的檢測效果，對(duì)檢測算法和檢測機(jī)制可以進(jìn)行深入的分析。GCP（grand challenge problem）的攻擊場景由DARPA Cyber Panel Program提供，也被應(yīng)用于報(bào)警相關(guān)性測試，但是對(duì)原始GCP數(shù)據(jù)集的訪問是非常嚴(yán)格的。

3.2Scan of the month數(shù)據(jù)集

Scan of the month[33]是Honeynet Project為了增強(qiáng)研究人員的安全能力而設(shè)置的三項(xiàng)挑戰(zhàn)活動(dòng)之一，主要鍛煉安全研究人員的日志分析能力。由于是每個(gè)月舉辦一次，故稱為scan of the month(SOTM)。SOTM所分析的數(shù)據(jù)來自各種攻擊場景，涉及多種操作系統(tǒng)及其漏洞。Scan of the month 27是有關(guān)關(guān)聯(lián)分析的數(shù)據(jù)，是Azusa Pacific University Honeynet Project的一臺(tái)Windows 2000密罐（honeypot）所捕獲的關(guān)于botnet的一個(gè)二進(jìn)制數(shù)據(jù)包記錄。該記錄主要反映了一個(gè)使用IRC服務(wù)器作為黑客指揮中心，僵尸主機(jī)通過IRC客戶端接收指令的僵尸網(wǎng)絡(luò)的活動(dòng)情況。為了驗(yàn)證報(bào)警關(guān)聯(lián)算法在實(shí)際環(huán)境中的有效性，可以在互聯(lián)網(wǎng)上部署的蜜網(wǎng)環(huán)境中捕獲的實(shí)際僵尸網(wǎng)絡(luò)攻擊場景數(shù)據(jù)對(duì)報(bào)警關(guān)聯(lián)算法進(jìn)行測試。

3.3Defcon數(shù)據(jù)集

Defcon數(shù)據(jù)集是由網(wǎng)絡(luò)安全專家聯(lián)會(huì)Shmoo Group免費(fèi)提供的在Defcon大會(huì)上的一系列黑客競賽的數(shù)據(jù)集，主要為研究者提供數(shù)據(jù)，促進(jìn)更安全軟件的開發(fā)[34]。參賽隊(duì)伍進(jìn)行“奪旗”（capture the flag）比賽，在這場電腦安全大戰(zhàn)中，參賽者的目標(biāo)是進(jìn)攻對(duì)手的網(wǎng)絡(luò)，但同時(shí)又得看好自己的地盤，所以這個(gè)數(shù)據(jù)集的攻防實(shí)力是相當(dāng)?shù)摹efcon 8 CTF數(shù)據(jù)集可用于報(bào)警關(guān)聯(lián)算法的性能測試。

MIT的數(shù)據(jù)集分為訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集。訓(xùn)練數(shù)據(jù)集中攻擊被標(biāo)記出來可以調(diào)整IDS的工作狀態(tài)為最佳，再利用評(píng)測數(shù)據(jù)集進(jìn)行測試。但是MIT數(shù)據(jù)集的內(nèi)容已經(jīng)陳舊，并且網(wǎng)絡(luò)應(yīng)用環(huán)境帶寬是10 Mbps以太網(wǎng)。為此，文獻(xiàn)[35]提出了數(shù)據(jù)評(píng)測集的改進(jìn)方案。Scan of the month和Defcon數(shù)據(jù)集中的攻擊數(shù)據(jù)可以反映當(dāng)前新的攻擊行為，可用于黑客行為和攻擊模式的研究，但是卻沒有攻擊標(biāo)記。Scan of the month數(shù)據(jù)集防御方比較弱，甚至沒有防御；而Defcon數(shù)據(jù)集的攻防兩方是勢均力敵的，因此Defcon數(shù)據(jù)集更符合實(shí)際情況。

4結(jié)束語

入侵檢測在大規(guī)模分布式系統(tǒng)中的應(yīng)用越來越受到關(guān)注，分布式系統(tǒng)的異構(gòu)性和自治性以及傳統(tǒng)入侵檢測系統(tǒng)自身的缺陷使得重復(fù)的、不完善的或不完整的報(bào)警數(shù)據(jù)大量泛濫，系統(tǒng)管理員難以控制和管理報(bào)警數(shù)據(jù)，導(dǎo)致漠視報(bào)警，產(chǎn)生極高的誤報(bào)率和漏報(bào)率，入侵意圖的識(shí)別也變得更加困難，從而不能及時(shí)對(duì)入侵作出相應(yīng)反應(yīng)，給系統(tǒng)帶來巨大的損失。報(bào)警關(guān)聯(lián)技術(shù)是解決上述問題的一種有效方法。目前的報(bào)警關(guān)聯(lián)技術(shù)雖然取得了一定的進(jìn)展，但需要從以下幾個(gè)方面進(jìn)行改進(jìn)：

a）為了提高報(bào)警的質(zhì)量，數(shù)據(jù)源應(yīng)該從單一的IDS報(bào)警向多源數(shù)據(jù)包括防火墻、系統(tǒng)日志、漏洞掃描工具和系統(tǒng)檢測工具等轉(zhuǎn)變；需要進(jìn)行多傳感器相關(guān)性算法的研究，以提高識(shí)別重大安全違反模式的檢測準(zhǔn)確率和降低漏報(bào)和誤報(bào)率。

b）因?yàn)榫W(wǎng)絡(luò)安全評(píng)估是復(fù)雜網(wǎng)絡(luò)中安全防范和風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，所以應(yīng)該進(jìn)行網(wǎng)絡(luò)態(tài)勢分析的研究。網(wǎng)絡(luò)態(tài)勢不僅反映網(wǎng)絡(luò)的當(dāng)前狀態(tài)，而且根據(jù)各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所引起的網(wǎng)絡(luò)狀態(tài)的下一步變化趨勢，判斷網(wǎng)絡(luò)的威脅狀況。

c）就像人類的大腦可以把來自五官中的各種信息融合在一起，使人們得到一個(gè)完整視圖一樣，應(yīng)用可視化處理可以得到整個(gè)網(wǎng)絡(luò)安全狀態(tài)的“big picture”。傳統(tǒng)的對(duì)報(bào)警的文字或表格表示可以很好地按序列研究報(bào)警事件，但是卻不能同時(shí)看到這些安全事件，因此應(yīng)用可視化方式對(duì)復(fù)雜數(shù)據(jù)源進(jìn)行相關(guān)性表達(dá)是一項(xiàng)重要的研究內(nèi)容。

參考文獻(xiàn)：

[1]卿斯?jié)h，蔣建春，馬恒太，等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報(bào)，2004，25(7):19-29.

[2]JULISCH K DACIER M. Mining intrusion detection alarms for actionable knowledge[C]//Proc of the 8th ACM International-Con-ference on Knowledge Discovery and Data Mining. 2002:366-375.

[3]穆成坡，黃厚寬，田盛豐.入侵檢測系統(tǒng)報(bào)警信息聚合與關(guān)聯(lián)技術(shù)研究綜述[J].計(jì)算機(jī)研究與發(fā)展，2006，43(1):1-8.

[4]PERDISCI R GIACINTO G ROLI F. Alarm clustering for intrusion detection systems in computer networks[J]. Engineering Applications of Artificial Intelligence 2006，19:429-438.

[5]DEBAR H WESPI A. Aggregation and correlation of intrusion detection alerts[C]//Proc of the 4th International Symposium on Recent Advances in Intrusion Detection 2001. London: Springer-Verlag 2001:85-103.

[6]VALDES A SKINNER K. Probabilistic alert correlation[C]//Proc of the 4th International Symposium on Recent Advances in Intrusion Detection.[S.l.]:Springer-Verlag 2001:54-68.

[7]諸葛建偉，韓心慧，葉志遠(yuǎn)，等.基于擴(kuò)展目標(biāo)規(guī)劃圖的網(wǎng)絡(luò)攻擊規(guī)劃識(shí)別算法[J]. 計(jì)算機(jī)學(xué)報(bào)，2006，29(8):1356-1366.

[8]GEIB C W GOLDMAN R P. Plan recognition in intrusion detection system[C]//Proc of DARPA Information Survivability Conference and Exposition(DISCEX Ⅱ’01). 2001.

[9]XU Hui FENG Jin-wen PAN Ai-min. A novel temporal scenario recognition algorithm and its application in intrusion detection alert fusion[J]. Journal of Peking University 2005，41(3):448-459.

[10]CUPPENS F MIEGE A. Alert correlation in a cooperative intrusion detection framework[C]//Proc of 2002 IEEE Symposium on Security and Privacy. 2002.

[11]NING P CUI Y REEVES D S. Constructing attack scenarios through correlation of intrusion alerts[C]//Proc of the 9th ACM Conference on Computer and Communications Security. New York: ACM 2002:245-254.

[12]NING P XU D HEALEY C et al. Building attack scenarios through integration of complementary alert correlation methods[C]//Proc of the 11th Annual Network and Distributed System Security Symposium(NDSS’04). 2004:97-111.

[13]YU Dong FRINCKE D. Improving the quality of alerts and predicting intruder’s next goal with hidden colored Petri-net[J]. Computer Networks 2007，51(3):632-654.

[14]BASS T. Intrusion systems and multisensor data fusion: creating cyberspace situational awareness[J]. Communications of the ACM 2000，43(4):99-105.

[15]BASS T. Multisensor data fusion for next generation distributed intrusion detection systems[C]//Proc of 1999 IRIS National Symp on Sensor and Data Fusion. 1999:24-27.

[16]ZHAI Y NING P IYER P et al. Reasoning about complementary intrusion evidence[C]//Proc of the 20th Annual Computer Security Applications Conference. 2004:39-48.

[17]MORIN B M′E L DEBAR H et al. M2D2: a formal data model for IDS alert correlation[C]//Proc of the 5th International Symposium on Intrusion Detection(RAID 2002). 2002:115-137.

[18]PORRAS P A FONG M W VALDES A. A mission-impact-based approach to INFOSEC alarm correlation[C]//Proc of the 5th International Symposium on Recent Advances in Intrusion Detection(RAID 2002). 2002:95-114.

[19]D′AMICO A. Cyber defense situational awareness[C]//Proc of Brookhaven National Laboratory Conference on Computer Security in a Collaborative Science Environment. 2000.

[20]KUMAr S SPAFFORD E H. A pattern matching model for misuse intrusion detection[C]//Proc of the 17th National Computer Security Conference. Maryland:[s.n.] 1994:11-21.

[21]嚴(yán)芬，黃皓，殷新春.基于CTPN的復(fù)合攻擊檢測方法研究[J]. 計(jì)算機(jī)學(xué)報(bào)，2006，29(8):1383-1391.

[22]QIN Xin-zhou LEE W. Statistical causality analysis of INFOSEC-alert data[C]//Proc of the 6th International Symposium on Intrusion Detection. Pittsburgh:[s.n.] 2003:73-94.

[23]BEARAVOLU R LAKKARAJU K YURCIK W. NVisionIP: an animate state analysis tool for visualizing netFlows[C]//Proc of FLOCON Network Flow Analysis Workshop(Network Flow Analysis for Security Situational Awareness). 2005.

[24]YIN Xiao-xin YURCIK W SLAGELL A. The design of VisFlowConnect -IP: a link analysis system for IP security situational awareness[C]//Proc of the 3rd IEEE International Workshop on Information Assurance (IWIA). 2005.

[25]LAU S. The spinning cube of potential doom[J]. Communications of the ACM 2004，47(6):25-26.

[26]FINK G A MUESSIG P NORTH C. Visual correlation of host processes and network traffic[C]//Proc of VizSec. 2005:11-19.

[27]LIVNAT Y，AGUTTER J，MOON S，et al. Visual correlation for situational awareness[C]//Proc of IEEE Symposium on Information-Vi-sualization(INFO VIS’05). 2005:95-102.

[28]FORESTI S AGUTTER J LIVNAT Y et al. Visual correlation of network alerts[J]. IEEE Computer Graphics and Applications 2006，26(2):48-59.

[29]SIATERLIS C MAGLARIS B. Towards multisensor data fusion for DoS detection[C]//Proc of 2004 ACM Symposium on Applied Computing. 2004:439-446.

[30]韓崇昭，朱洪艷，段戰(zhàn)勝，等.多源信息融合[M].北京:清華大學(xué)出版社，2006.

[31]MIT Lincoln Lab. 2000 DARPA intrusion detection scenario-specific datasets[EB/OL].(2000).http://www.ll.mit.edu/ IST/ ideval/data/2000/2000 data index.html.

[32]HAINES J，RYDER D K，TINNEL L，et al.Validation of sensor alert correlators[J]. IEEE Security Privacy 2003，1(1):46-56.

[33][EB/OL].(2000).http://www.honeynet.org/scans/index.html.

[34][EB/OL].http://cctf.shmoo.com.

[35]史美林，錢俊，許超.入侵檢測系統(tǒng)數(shù)據(jù)集評(píng)測研究[J]. 計(jì)算機(jī)科學(xué)，2006，33(8):1-8.