D0L:10.13374f.issn1001-053x.2011.11.021 第33卷第11期 北京科技大学学报 Vol.33 No.11 2011年11月 Journal of University of Science and Technology Beijing Nov.2011 一种基于节点关联的报警置信度计算方法 周芳”四于真2) 郑雪峰 1)北京科技大学计算机与通信工程学院,北京1000832)北京物资学院信息学院,北京101149 ☒通信作者,E-mail:zhoufang@ies.ustb.cdu.cn 摘要大部分入侵检测系统的实现都会产生大量的报警信息,在一定程度上影响了系统管理,误报率也较高,影响了入侵 检测的效果.针对这个问题,提出了一种基于节点关联的报警置信度计算方法,位于对等网络之上,节点在收到一系列入侵报 警之后,需要进行节点关联,从而对报警信息进行融合,提取有效报警信息.其中根据关联对象的不同,节点关联又包括报警 关联和信任关联两个层次,报警关联可用来判断入侵报警的有效性,信任关联可用来判断发起报警节点的可信性,给出了相 关算法.仿真实验表明,使用该报警置信度计算方法可以提高入侵报警的检测准确率. 关键词入侵检测:报警:关联方法;对等网络:网络安全 分类号TP393.0 Calculation method for alert credibility based on peer correlation ZHOU Fang,YU Zhen?,ZHENG Xue-feng 1)School of Computer and Communication Engineering,University of Science and Technology Beijing,Beijing 100083,China 2)School of Information,Beijing Wuzi University,Beijing 101149,China Corresponding author,E-mail:zhoufang@ies.ustb.edu.cn ABSTRACT Most intrusion detection systems produce large amounts of alert information,which affect system management to some extent and lead to high misstatement rate,and thereby influence the intrusion detection.To solve this problem,a calculation method for alert credibility based on the peer correlation is proposed over P2P overlay networks,where peers need the association after receiving a series of intrusion alarm to integrate the alarm information and extract the effective alarm information.According to different associated objects,the peer correlation includes the alert correlation and the trust correlation.The effectiveness of intrusion alert information can be judged through the alert correlation,and the credibility of the peer producing the alarm can be measured through the trust correla- tion.A correlation algorithm is also given.Simulations show that the dual correlation algorithm can improve the accuracy of intrusion detection alerts. KEY WORDS intrusion detection:alarm;correlation methods;peer-to-peer networks;network security 随着Internet技术的迅速发展,攻击方法日益 理员以利于后面的攻击.一些研究表明6-,对 增多并变得复杂,仅使用防火墙已经无法满足很多 大量报警信息进行适当融合,比如聚合、关联或其他 系统对安全的需要,因此入侵检测系统(intrusion 方法,可以从中提取有效的攻击事件,从而分析攻击 detection system,lIDS)i习己成为网络安全体系的重 者的真实意图,有效解决误报和漏报率偏高等问题, 要组成部分,并发挥了关键作用.分布式入侵检测 这对于大规模分布式DS有重要意义. 系统是目前入侵检测的一个重要发展方向,可以协 针对分布式DS报警的安全性,为了降低误报 同各DS节点来分析和处理入侵事件同,但是大部 率和提高检测率,本文提出了一种基于节点关联的 分入侵检测的实现都会产生大量的报警信息,使系 入侵报警置信度计算方法,位于P2P(peer-to-peer) 统管理人员难以及时做出正确反应0,此外还有大 覆盖IDS网络之上,其中节点关联又包括报警关联 量的恶意入侵者通过LIBNET等软件人为构造网络 和信任关联.仿真实验表明,该计算方法可以提高 数据包引起大量虚警,误报率较高,从而麻痹系统管 检测率,减少误报率,从而识别真正的攻击. 收稿日期:2010-1101
第 33 卷 第 11 期 2011 年 11 月 北京科技大学学报 Journal of University of Science and Technology Beijing Vol. 33 No. 11 Nov. 2011 一种基于节点关联的报警置信度计算方法 周 芳1) 于 真2) 郑雪峰1) 1) 北京科技大学计算机与通信工程学院,北京 100083 2) 北京物资学院信息学院,北京 101149 通信作者,E-mail: zhoufang@ ies. ustb. edu. cn 摘 要 大部分入侵检测系统的实现都会产生大量的报警信息,在一定程度上影响了系统管理,误报率也较高,影响了入侵 检测的效果. 针对这个问题,提出了一种基于节点关联的报警置信度计算方法,位于对等网络之上,节点在收到一系列入侵报 警之后,需要进行节点关联,从而对报警信息进行融合,提取有效报警信息. 其中根据关联对象的不同,节点关联又包括报警 关联和信任关联两个层次,报警关联可用来判断入侵报警的有效性,信任关联可用来判断发起报警节点的可信性,给出了相 关算法. 仿真实验表明,使用该报警置信度计算方法可以提高入侵报警的检测准确率. 关键词 入侵检测; 报警; 关联方法; 对等网络; 网络安全 分类号 TP393. 0 Calculation method for alert credibility based on peer correlation ZHOU Fang1) ,YU Zhen2) ,ZHENG Xue-feng1) 1) School of Computer and Communication Engineering,University of Science and Technology Beijing,Beijing 100083,China 2) School of Information,Beijing Wuzi University,Beijing 101149,China Corresponding author,E-mail: zhoufang@ ies. ustb. edu. cn ABSTRACT Most intrusion detection systems produce large amounts of alert information,which affect system management to some extent and lead to high misstatement rate,and thereby influence the intrusion detection. To solve this problem,a calculation method for alert credibility based on the peer correlation is proposed over P2P overlay networks,where peers need the association after receiving a series of intrusion alarm to integrate the alarm information and extract the effective alarm information. According to different associated objects,the peer correlation includes the alert correlation and the trust correlation. The effectiveness of intrusion alert information can be judged through the alert correlation,and the credibility of the peer producing the alarm can be measured through the trust correlation. A correlation algorithm is also given. Simulations show that the dual correlation algorithm can improve the accuracy of intrusion detection alerts. KEY WORDS intrusion detection; alarm; correlation methods; peer-to-peer networks; network security 收稿日期: 2010--11--01 随着 Internet 技术的迅速发展,攻击方法日益 增多并变得复杂,仅使用防火墙已经无法满足很多 系统对安全的需要,因此入侵检测系统( intrusion detection system,IDS) [1--2]已成为网络安全体系的重 要组成部分,并发挥了关键作用. 分布式入侵检测 系统是目前入侵检测的一个重要发展方向,可以协 同各 IDS 节点来分析和处理入侵事件[3],但是大部 分入侵检测的实现都会产生大量的报警信息,使系 统管理人员难以及时做出正确反应[4],此外还有大 量的恶意入侵者通过 LIBNET 等软件人为构造网络 数据包引起大量虚警,误报率较高,从而麻痹系统管 理员以利于后面的攻击[5]. 一些研究表明[6--8],对 大量报警信息进行适当融合,比如聚合、关联或其他 方法,可以从中提取有效的攻击事件,从而分析攻击 者的真实意图,有效解决误报和漏报率偏高等问题, 这对于大规模分布式 IDS 有重要意义. 针对分布式 IDS 报警的安全性,为了降低误报 率和提高检测率,本文提出了一种基于节点关联的 入侵报警置信度计算方法,位于 P2P( peer-to-peer) 覆盖 IDS 网络之上,其中节点关联又包括报警关联 和信任关联. 仿真实验表明,该计算方法可以提高 检测率,减少误报率,从而识别真正的攻击. DOI:10.13374/j.issn1001-053x.2011.11.021
第11期 周芳等:一种基于节点关联的报警置信度计算方法 ·1425· 的功能,为各类P2P应用提供支持.P2P覆盖IDS 1 相关工作 网络可以提供必要的两项服务一接收传入节点的 对报警信息进行融合己有很多研究成果,较多 消息和发送各节点传出的消息,从而保证覆盖DS 集中在报警关联、报警聚合等研究领域.随着2000 的功能网 年第一次大规模分布式拒绝服务攻击(distributed 2.1节点关联 denial of service)的发生,报警关联(alert correlation). 本文在处理入侵报警信息时,根据关联对象的 技术受到了越来越多的关注.报警关联主要是指对 不同,在处理方法上划分为两个层次:一个层次是针 入侵报警信息进行组合、解释和分析,从而识别攻 对某次入侵报警信息进行关联,所关联的对象是自 击,其中入侵报警信息可以是来自同一个DS的,也 身和其他发起本次入侵报警的节点:另一个层次是 可以是来自不同的DS甚至异构的DS回.研究人 针对某个发起入侵报警的节点i进行关联,所关联 员从不同方面提出了许多报警关联算法,比如一类 的对象是一个节点集合,该集合包括所有曾接收过 方法称为攻击场景或攻击图的重构,该方法针对大 节点发起的报警信息的节点.下面分别进行描 规模网络的复杂攻击,可以构造超报警的关联图,即 述.首先,针对某次入侵报警信息时,衡量的是这次 攻击场景,通过图示来表示一个攻击的过程,从而实 入侵报警信息的有效程度,从而使管理者可以做出 现攻击再现0-;另一类方法是聚类关联算法四, 防御决策,需要关联自身以及某些发出这次入侵报 通过关联具有相同或相近特征的报警,从而构成报 警的节点.另外,针对某个发起入侵报警节点时,衡 警簇;还有一类因果关联算法,是根据各攻击的前提 量的是该节点的可信程度,是对其发起入侵报警的 条件和攻击后果的依赖关系进行报警关联6,1),此 可信程度的一种预期,需要关联自身的主观信任 外,考虑DS的节点间信任关系也是对报警信息进 (也称直接信任)和其他节点的推荐信任,其中直接 行融合的一个有效途径,比如文献14]提出了一种 信任依据的是节点自身的直接经验,是对某节点能 基于自适应信任报警关联的方法,构造了对等覆盖 提供的报警能力的一种直接评价,而推荐信任是来 入侵检测系统,描述了体系结构及报警关联机制,但 自于其他节点的直接经验 该系统只考虑了局部信任,均是依赖自身的经验,没 2.2节点关联相关定义 有考虑其他DS的推荐,具有局部片面性.通过各 本文是基于节点关联提出的报警置信度计算方 DS的报警历史,使用信任模型s-对各DS节点 法,节点关联包括报警关联和信任关联两个层次 的报警行为进行评估,可以衡量节点的入侵预警能 报警关联是指自身发出的报警信息和收到的其他节 力,并能识别真实的入侵事件,是保障分布式DS安 点的报警信息的关联.信任关联是指在计算发起报 全性的有效手段之一.信任模型通常可分为全局信 警节点的可信度时,需要关联自身和其他一些节点 任模型和局部信任模型,其中全局信任模型的是从 (即推荐节点)对发起报警节点的看法(即直接信 网络的角度来评价节点的可信任程度,节点拥有一 任值) 个全局一致的信任评价值:而局部信任模型的是指 本文首先采用式(1)来计算报警关联: 通过询问有限的其他节点来获取某个节点的可信 1-WT s,=w,C:+n六 (1) 度,各类基于推荐的信任模型是其中重要的研究 成果 式中:S:为对节点i和其收到的来自于其他节点的 报警信息进行关联后得到的该次报警信息的有效 2 基于节点关联的报警置信度 值:W:∈D,1]为节点i自身的报警所占的权重,节 本文提出了一种基于节点关联的入侵报警置信 点可以根据自身的实际情况来设置权重,有些节点 度计算方法,位于P2P覆盖DS网络上,其中节点关 对自身发起的报警更加信任,那么就可以为W设置 联包括报警关联和信任关联.节点在收到一系列入 一个较大值:C:表示节点i自身发起的报警的可信 侵报警之后,需要进行节点关联,从而对报警信息进 度,来源于节点自身的历史经验:T表示在节点i看 行融合,提取有效报警信息.P2P系统本质上是一 来节点j发起报警的可信任程度;n表示节点i进行 种分布式系统,没有中心服务器,节点既是客户机又 关联的节点个数,节点i可以选择报警可信度最高 是服务器,地位是对等的,主要功能有分布式计算、 的n个节点来进行关联,本文算法中设n为1,即选 数据共享、交流和协作等,P2P系统中的各节点互连 择报警可信度最高的节点来与自身进行关联.经过 形成了一种自组织的虚拟覆盖网络,可以实现特定 对多个节点之间报警信息的关联,可以得到一个对
第 11 期 周 芳等: 一种基于节点关联的报警置信度计算方法 1 相关工作 对报警信息进行融合已有很多研究成果,较多 集中在报警关联、报警聚合等研究领域. 随着 2000 年第一次大规模分布式拒绝服务攻击( distributed denial of service) 的发生,报警关联( alert correlation) 技术受到了越来越多的关注. 报警关联主要是指对 入侵报警信息进行组合、解释和分析,从而识别攻 击,其中入侵报警信息可以是来自同一个 IDS 的,也 可以是来自不同的 IDS 甚至异构的 IDS [9]. 研究人 员从不同方面提出了许多报警关联算法,比如一类 方法称为攻击场景或攻击图的重构,该方法针对大 规模网络的复杂攻击,可以构造超报警的关联图,即 攻击场景,通过图示来表示一个攻击的过程,从而实 现攻击再现[10--11]; 另一类方法是聚类关联算法[12], 通过关联具有相同或相近特征的报警,从而构成报 警簇; 还有一类因果关联算法,是根据各攻击的前提 条件和攻击后果的依赖关系进行报警关联[6,13]. 此 外,考虑 IDS 的节点间信任关系也是对报警信息进 行融合的一个有效途径,比如文献[14]提出了一种 基于自适应信任报警关联的方法,构造了对等覆盖 入侵检测系统,描述了体系结构及报警关联机制,但 该系统只考虑了局部信任,均是依赖自身的经验,没 有考虑其他 IDS 的推荐,具有局部片面性. 通过各 IDS 的报警历史,使用信任模型[15--16]对各 IDS 节点 的报警行为进行评估,可以衡量节点的入侵预警能 力,并能识别真实的入侵事件,是保障分布式 IDS 安 全性的有效手段之一. 信任模型通常可分为全局信 任模型和局部信任模型,其中全局信任模型[15]是从 网络的角度来评价节点的可信任程度,节点拥有一 个全局一致的信任评价值; 而局部信任模型[16]是指 通过询问有限的其他节点来获取某个节点的可信 度,各类基于推荐的信任模型是其中重要的研究 成果. 2 基于节点关联的报警置信度 本文提出了一种基于节点关联的入侵报警置信 度计算方法,位于 P2P 覆盖 IDS 网络上,其中节点关 联包括报警关联和信任关联. 节点在收到一系列入 侵报警之后,需要进行节点关联,从而对报警信息进 行融合,提取有效报警信息. P2P 系统本质上是一 种分布式系统,没有中心服务器,节点既是客户机又 是服务器,地位是对等的,主要功能有分布式计算、 数据共享、交流和协作等,P2P 系统中的各节点互连 形成了一种自组织的虚拟覆盖网络,可以实现特定 的功能,为各类 P2P 应用提供支持. P2P 覆盖 IDS 网络可以提供必要的两项服务———接收传入节点的 消息和发送各节点传出的消息,从而保证覆盖 IDS 的功能[14]. 2. 1 节点关联 本文在处理入侵报警信息时,根据关联对象的 不同,在处理方法上划分为两个层次: 一个层次是针 对某次入侵报警信息进行关联,所关联的对象是自 身和其他发起本次入侵报警的节点; 另一个层次是 针对某个发起入侵报警的节点 i 进行关联,所关联 的对象是一个节点集合,该集合包括所有曾接收过 节点 i 发起的报警信息的节点. 下面分别进行描 述. 首先,针对某次入侵报警信息时,衡量的是这次 入侵报警信息的有效程度,从而使管理者可以做出 防御决策,需要关联自身以及某些发出这次入侵报 警的节点. 另外,针对某个发起入侵报警节点时,衡 量的是该节点的可信程度,是对其发起入侵报警的 可信程度的一种预期,需要关联自身的主观信任 ( 也称直接信任) 和其他节点的推荐信任,其中直接 信任依据的是节点自身的直接经验,是对某节点能 提供的报警能力的一种直接评价,而推荐信任是来 自于其他节点的直接经验. 2. 2 节点关联相关定义 本文是基于节点关联提出的报警置信度计算方 法,节点关联包括报警关联和信任关联两个层次. 报警关联是指自身发出的报警信息和收到的其他节 点的报警信息的关联. 信任关联是指在计算发起报 警节点的可信度时,需要关联自身和其他一些节点 ( 即推荐节点) 对发起报警节点的看法( 即直接信 任值) . 本文首先采用式( 1) 来计算报警关联: Sij = WiCi + 1 - Wi n ∑ n j = 1 Tij ( 1) 式中: Sij为对节点 i 和其收到的来自于其他节点的 报警信息进行关联后得到的该次报警信息的有效 值; Wi∈[0,1]为节点 i 自身的报警所占的权重,节 点可以根据自身的实际情况来设置权重,有些节点 对自身发起的报警更加信任,那么就可以为 Wi 设置 一个较大值; Ci 表示节点 i 自身发起的报警的可信 度,来源于节点自身的历史经验; Tij表示在节点 i 看 来节点 j 发起报警的可信任程度; n 表示节点 i 进行 关联的节点个数,节点 i 可以选择报警可信度最高 的 n 个节点来进行关联,本文算法中设 n 为 1,即选 择报警可信度最高的节点来与自身进行关联. 经过 对多个节点之间报警信息的关联,可以得到一个对 ·1425·
·1426· 北京科技大学学报 第33卷 于该次报警信息有效性的综合评价值,节点对综合 是推荐经验表,存放了其他节点(曾接收过该节点 评价值进行判断,若大于采纳阈值则认为该次报警 发起的报警)对该节点发起的报警信息的看法,体 信息有效并进行相应处理. 现了该节点发起报警的准确度.本地经验表和推荐 信任关联计算方法如下,在分布式入侵检测系 经验表可以通过DHT方式放置于P2P覆盖IDS网 统中,节点i对于发起报警的节点j的可信度可通过 络中 下式计算: 2.3报警置信度计算方法 T=AD:+(1-入)rg (2) 本文提出的报警置信度计算可用以下算法实 式中:入∈D,1],j≠i,通过计算T,来衡量报警节点 现,具体描述如下. 的可信任程度:D为节点i对报警节点j的直接信任 算法前提条件:节点i收到了若干入侵报警 值;T为来自其他节点的间接信任值:入为节点对于 首先给出算法的几个原语及其语义. 自身经验和间接经验的侧重程度,其大小可以调节 A(i):节点i的推荐经验表Recom_.table; D计算方法如下: B(i):节点i的本地经验表Local_.table; Gi (3) Alert(i):节点i的入侵报警节点集合; Dy=Cy+By I():从节点i收到过入侵报警的节点集合: 式中:G:为在节点i看来,节点j的成功发起报警次 Set Weight(W,W,):设置报警关联中自身和其 数;B,为失败发起报警次数.由定义可知,D,为节点 他节点的权重: i与节点的直接信任值(即直接经验),直观地表现 GetMeAlert(D:,C,):取得自身的报警可信度; 了节点i对节点广所发出报警信息的直接看法.若 GetMaxAlert(Alet(i),lD,T):在Alert(i)中查 两节点间没有直接经验,即G,与B:均为0,则D, 找报警可信度最高的节点: 为0. AlertCorrelate(D,ID,):根据权重W和W,来 T计算方法如下: 关联节点D,和D,得到此次报警的综合可信度; rg=- 1∑DR (4 GetDirectTrust(D:,ID,Da):从节点i的Local ∑R, table中读取节点i对节点j的直接信任值D: re7分 式中:r∈D,1],I()为曾经从节点j收到入侵报警 Get Val(D,Dn,R,):从服务节点j的Recom_ 的节点集合,iI(),j主I(),可称为推荐节点集 table中读取推荐节点r对节点j的直接信任值D,并 合,该集合的节点可以提供入侵参考;D,为推荐节 取得推荐节点的推荐可信度R,: 点集合中的节点r对发起报警节点j的直接信任值, GetTrust Val(ID,ID,Dg,T,T):取得节点i 来源于节点r的直接经验:R,为节点r所提供的推 对节点j的综合信任评价T: 荐的可信程度,称为推荐可信度,在网络中有唯一 UpdateLocal(ID,ID,G,B,B(i)):根据入 值,R∈D,1],与节点发起报警的准确度无关,只 侵结果更新节点i的本地经验表; 反映该节点在整个P2P覆盖IDS网络中提供推荐的 UpdateRecommend(ID:,ID,Gg,B,A()):根 可信程度,评估后可对推荐节点的推荐可信度进行 据入侵结果更新节点j的推荐经验表. 更新,可以识别一些恶意推荐节点,从而保证网络的 (1)节点i收到入侵报警后执行的算法如下: 整体安全性 ProcedureDualCorrelate(ID,,Alert(i)) 通过入侵报警中的节点关联,接收报警的节点 SetWeight(W,W,); 最后可以得到一个综合评价值,并根据该评价值的 GetMeAlert (ID,,C); 大小决定是否采纳该报警.在每次决策完毕后,该 for(anyj∈Alert(i)≠i) 接收报警节点要根据实际入侵是否发生作为依据, TrustCorrelate (ID:,ID,) 更新自身的本地经验和发起报警节点的推荐信息. endfor 任何一个节点i在P2P覆盖DS网络中,都具有两 GetMaxAlert (Alert (i),ID,,T); 种功能,一种是可以向别的节点发出入侵报警信息, AlertCorrelate (ID,,ID,); 另外还可以接收其他节点发来的报警信息.因此网 End 络中的每个节点都拥有两个表来存放本地经验和推 Procedure TrustCorrelate(ID:,ID,) 荐信息:一个是本地经验表,存放了对自身接收到的 GetDirectTrust (ID:,ID,D); 报警信息(来自于其他若干节点)的评价:另外一个 for(any rel(U)!=i)
北 京 科 技 大 学 学 报 第 33 卷 于该次报警信息有效性的综合评价值,节点对综合 评价值进行判断,若大于采纳阈值则认为该次报警 信息有效并进行相应处理. 信任关联计算方法如下,在分布式入侵检测系 统中,节点 i 对于发起报警的节点 j 的可信度可通过 下式计算: Tij = λDij + ( 1 - λ) rij ( 2) 式中: λ∈[0,1],j≠i,通过计算 Tij来衡量报警节点 的可信任程度; Dij为节点 i 对报警节点 j 的直接信任 值; rij为来自其他节点的间接信任值; λ 为节点对于 自身经验和间接经验的侧重程度,其大小可以调节. Dij计算方法如下: Dij = Gij Gij + Bij ( 3) 式中: Gij为在节点 i 看来,节点 j 的成功发起报警次 数; Bij为失败发起报警次数. 由定义可知,Dij为节点 i 与节点 j 的直接信任值( 即直接经验) ,直观地表现 了节点 i 对节点 j 所发出报警信息的直接看法. 若 两节点间没有直接经验,即 Gij 与 Bij 均为 0,则 Dij 为 0. rij计算方法如下: rij = 1 r ∑∈I( j) Rrr ∑∈I( j) Drj Rr ( 4) 式中: rij∈[0,1],I( j) 为曾经从节点 j 收到入侵报警 的节点集合,iI( j) ,jI( j) ,可称为推荐节点集 合,该集合的节点可以提供入侵参考; Drj为推荐节 点集合中的节点 r 对发起报警节点 j 的直接信任值, 来源于节点 r 的直接经验; Rr 为节点 r 所提供的推 荐的可信程度,称为推荐可信度,在网络中有唯一 值,Rr∈[0,1],与节点发起报警的准确度无关,只 反映该节点在整个 P2P 覆盖 IDS 网络中提供推荐的 可信程度,评估后可对推荐节点的推荐可信度进行 更新,可以识别一些恶意推荐节点,从而保证网络的 整体安全性. 通过入侵报警中的节点关联,接收报警的节点 最后可以得到一个综合评价值,并根据该评价值的 大小决定是否采纳该报警. 在每次决策完毕后,该 接收报警节点要根据实际入侵是否发生作为依据, 更新自身的本地经验和发起报警节点的推荐信息. 任何一个节点 i 在 P2P 覆盖 IDS 网络中,都具有两 种功能,一种是可以向别的节点发出入侵报警信息, 另外还可以接收其他节点发来的报警信息. 因此网 络中的每个节点都拥有两个表来存放本地经验和推 荐信息: 一个是本地经验表,存放了对自身接收到的 报警信息( 来自于其他若干节点) 的评价; 另外一个 是推荐经验表,存放了其他节点( 曾接收过该节点 发起的报警) 对该节点发起的报警信息的看法,体 现了该节点发起报警的准确度. 本地经验表和推荐 经验表可以通过 DHT 方式放置于 P2P 覆盖 IDS 网 络中. 2. 3 报警置信度计算方法 本文提出的报警置信度计算可用以下算法实 现,具体描述如下. 算法前提条件: 节点 i 收到了若干入侵报警. 首先给出算法的几个原语及其语义. A( i) : 节点 i 的推荐经验表 Recom_table; B( i) : 节点 i 的本地经验表 Local_table; Alert( i) : 节点 i 的入侵报警节点集合; I( i) : 从节点 i 收到过入侵报警的节点集合; SetWeight( Wi,Wj) : 设置报警关联中自身和其 他节点的权重; GetMeAlert( IDi,Ci ) : 取得自身的报警可信度; GetMaxAlert( Alert( i) ,IDj ,Tij ) : 在 Alert( i) 中查 找报警可信度最高的节点 j; AlertCorrelate( IDi,IDj) : 根据权重 Wi 和 Wj 来 关联节点IDi 和IDj ,得到此次报警的综合可信度; GetDirectTrust( IDi,IDj ,Dij ) : 从节点 i 的 Local _table 中读取节点 i 对节点 j 的直接信任值 Dij ; GetVal( IDr,Drj ,Rr ) : 从服务节点 j 的 Recom_ table 中读取推荐节点 r 对节点 j 的直接信任值 Drj并 取得推荐节点的推荐可信度 Rr; GetTrustVal( IDi,IDj ,Dij ,rij ,Tij) : 取得节点 i 对节点 j 的综合信任评价 Tij ; UpdateLocal( IDi,IDj ,Gij ,Bij ,B( i) ) : 根据入 侵结果更新节点 i 的本地经验表; UpdateRecommend( IDi,IDj ,Gij ,Bij ,A( j) ) : 根 据入侵结果更新节点 j 的推荐经验表. ( 1) 节点 i 收到入侵报警后执行的算法如下: ProcedureDualCorrelate( IDi,Alert( i) ) SetWeight( Wi,Wj ) ; GetMeAlert( IDi,Ci ) ; for ( any j∈Alert( i) ≠i) TrustCorrelate( IDi,IDj ) ; endfor GetMaxAlert( Alert( i) ,IDj ,Tij ) ; AlertCorrelate( IDi,IDj ) ; End Procedure TrustCorrelate( IDi,IDj ) GetDirectTrust( IDi,IDj ,Dij ) ; for ( any r∈I( j) ! = i) ·1426·
第11期 周芳等:一种基于节点关联的报警置信度计算方法 ·1427· GetVal (ID,,D,R,); 表1仿真环境设置 endfor Table 1 Simulation settings 1-∑DR, 拓扑构造 Power-aw = ∑R, 节点规模 100个 r7 网络 最少邻居数目 3 GetTrustVal (ID:,ID,DT) End 查询消总的TTL4 A类节点 30% 50% 70% 通过执行该算法,节点i可以计算出入侵报警 节点 的综合评价值,并根据该评价值来进行判断报警的 B类节点 70% 50% 30% 可信任程度,从而采取入侵决策 仿真 仿真周期 500次 (2)入侵决策完毕后,节点i需要对入侵报警节 点列表进行入侵报警结果的更新,评估及更新算法 如下: Procedure EvalAlert(ID,,Alert (i)) for(anyj∈Alert(i)) if (Intrusion =True)then G=G+1; else B:=B:+1; UpdateLocal (ID:,ID,,G,B,B(i)) UpdateRecommend (ID:,ID:,G,B:,A () endfor End 图1仿真拓扑结构 3仿真实验 Fig.1 Simulation topology 本文在Linux操作系统下构造了一个P2P覆盖 (Non-Col)两种情况下的入侵报警效果,评价指标为 DS网络仿真系统,使用Java语言实现.每次仿真 入侵报警的检测准确率(成功检测次数/报警总次 由若干个仿真周期组成-.在每个仿真周期中, 数),实验中如果评价结果为入侵而且实际确实为 网络中按照一定的概率发起对目标系统的入侵行为 入侵行为,或者评价结果为正常且实际确实为正常 和正常行为,检测到入侵行为的节点可以向其他邻 行为,那么就认为该次评价是成功的,否则认为此次 居节点发起入侵报警消息,消息以类似Gnutella的 评价失败 方式进行广播,通过TTL控制消息的规模.节点可 图2、图3和图4分别表示了在不同比例的A 以分为A类节点和B类节点,其中A类节点为易发 类节点和B类节点下,采用本文提出的报警置信度 起入侵报警的节点,B类节点为能较准确地发起入 算法和无节点关联情况下的检测准确率,三幅图中 侵报警的节点,接收到一系列入侵报警的节点根据 的横坐标均表示仿真周期,纵坐标均表示入侵检测 报警关联来确定入侵决策,并根据实际入侵是否发 准确率.从实验结果可以看出,加入了报警置信度 生来评估发起入侵报警的节点的可信程度.仿真中 算法后,检测准确率得到了提高.如图2所示,当网 初始设置W:为0.5,入为0.5.仿真环境设置如表1 络中存在30%A类节点,70%B类节点时,效果较 所示.仿真拓扑结构如图1所示,灰色区域内为A 好,检测准确率基本能保持在80%以上.但是,当网 类节点,比例为30%:白色区域内为B类节点,比例 络中存在大量的易发报警节点,即当A类节点的比 为70%. 例增大时,算法的检测准确率略有下降,但仍高于无 本文对三种情况下进行了仿真实验,A类节点 关联情况下的检测准确率,这是由于各易发报警节 和B类节点的比例分别为(30%,70%)、(50%, 点的信任值较低,若仍按照同样的采纳阈值来处理, 50%)和(70%,30%).针对这两类节点,对比了加 则容易造成漏警,因此应该根据网络的实际情况进 入本文节点关联算法(Peer-Col)和没有节点关联时 行平衡处理,来设定合适的采纳阈值
第 11 期 周 芳等: 一种基于节点关联的报警置信度计算方法 GetVal( IDr,Drj ,Rr) ; endfor rij = 1 r ∑∈I( j) Rr r ∑∈I( j) Drj Rr; GetTrustVal( IDi,IDj ,Dij ,rij ,Tij ) ; End 通过执行该算法,节点 i 可以计算出入侵报警 的综合评价值,并根据该评价值来进行判断报警的 可信任程度,从而采取入侵决策. ( 2) 入侵决策完毕后,节点 i 需要对入侵报警节 点列表进行入侵报警结果的更新,评估及更新算法 如下: Procedure EvalAlert( IDi,Alert( i) ) for ( any j∈Alert( i) ) if ( Intrusion = True) then Gij = Gij + 1; else Bij = Bij + 1; UpdateLocal( IDi,IDj ,Gij ,Bij ,B( i) ) ; UpdateRecommend( IDi,IDj ,Gij ,Bij ,A( j) ) ; endfor End 3 仿真实验 本文在 Linux 操作系统下构造了一个 P2P 覆盖 IDS 网络仿真系统,使用 Java 语言实现. 每次仿真 由若干个仿真周期组成[17--18]. 在每个仿真周期中, 网络中按照一定的概率发起对目标系统的入侵行为 和正常行为,检测到入侵行为的节点可以向其他邻 居节点发起入侵报警消息,消息以类似 Gnutella 的 方式进行广播,通过 TTL 控制消息的规模. 节点可 以分为 A 类节点和 B 类节点,其中 A 类节点为易发 起入侵报警的节点,B 类节点为能较准确地发起入 侵报警的节点. 接收到一系列入侵报警的节点根据 报警关联来确定入侵决策,并根据实际入侵是否发 生来评估发起入侵报警的节点的可信程度. 仿真中 初始设置 Wi 为 0. 5,λ 为 0. 5. 仿真环境设置如表 1 所示. 仿真拓扑结构如图 1 所示,灰色区域内为 A 类节点,比例为 30% ; 白色区域内为 B 类节点,比例 为 70% . 本文对三种情况下进行了仿真实验,A 类节点 和 B 类节点的比例分别为 ( 30% ,70% ) 、( 50% , 50% ) 和( 70% ,30% ) . 针对这两类节点,对比了加 入本文节点关联算法( Peer-Col) 和没有节点关联时 表 1 仿真环境设置 Table 1 Simulation settings 拓扑构造 Power-law 网络 节点规模 100 个 最少邻居数目 3 查询消息的 TTL 4 节点 A 类节点 30% 50% 70% B 类节点 70% 50% 30% 仿真 仿真周期 500 次 图 1 仿真拓扑结构 Fig. 1 Simulation topology ( Non-Col) 两种情况下的入侵报警效果,评价指标为 入侵报警的检测准确率( 成功检测次数/报警总次 数) ,实验中如果评价结果为入侵而且实际确实为 入侵行为,或者评价结果为正常且实际确实为正常 行为,那么就认为该次评价是成功的,否则认为此次 评价失败. 图 2、图 3 和图 4 分别表示了在不同比例的 A 类节点和 B 类节点下,采用本文提出的报警置信度 算法和无节点关联情况下的检测准确率,三幅图中 的横坐标均表示仿真周期,纵坐标均表示入侵检测 准确率. 从实验结果可以看出,加入了报警置信度 算法后,检测准确率得到了提高. 如图 2 所示,当网 络中存在 30% A 类节点,70% B 类节点时,效果较 好,检测准确率基本能保持在 80% 以上. 但是,当网 络中存在大量的易发报警节点,即当 A 类节点的比 例增大时,算法的检测准确率略有下降,但仍高于无 关联情况下的检测准确率,这是由于各易发报警节 点的信任值较低,若仍按照同样的采纳阈值来处理, 则容易造成漏警,因此应该根据网络的实际情况进 行平衡处理,来设定合适的采纳阈值. ·1427·
·1428· 北京科技大学学报 第33卷 1.0 参考文献 [1]Yu Z W,Tsai JJ P,Weigert T.An adaptive automatically tuning 0.8 intrusion detection system.ACM Trans Auton Adapt Syst,2008,3 0h (3):10 Xu LS.Extending equation-ased congestion control to high-peed 三04 and long-distance networks.Comput Netcorks,2007,51 (7): +基于节点关联 1847 0.2 ·一无节点关联 B]Hu H P,Zhang Y,Chen HT,et al.The study of large scale net- works intrusion detection and waming system.J Natl Unit Def Technol,2003,25(1):21 100 200300400500 (胡华平,张怡,陈海涛,等.面向大规模网络的入侵检测与 查询周期/次 预警系统研究.国防科技大学学报,2003,25(1):21) 图2A类节点30%、B类节点70%时的检测准确率 [4]Bao X H,Dai Y X,Feng P H,et al.A detection and forecast al- Fig.2 Detection accuracy with 30%A and 70%B gorithm for multi-step attack based on intrusion intention.Sof- eae,2005,16(12):2132 1.0r (鲍旭华,戴英侠,冯萍慧,等.基于入侵意图的复合攻击检 测和预测算法.软件学报,2005,16(12):2132) 08 [5]Yan Q.Yu J P,Xie WX.Creditability problems in intrusion de- tection systems.J Comput Res Der,2003,40(8):1203 06 (闫巧,喻建平,谢维信.入侵检测系统的可信问题.计算机 研究与发展,2003,40(8):1203) 04 型 [6] Mu C P,Huang H K,Tian S F.Survey of intrusion-detection alert 基于节点关联 02 ·一无节点关联 aggregation and correlation techniques.Comput Res Dev,2006, 43(1):1 (穆成坡,黄厚宽,田盛丰.入侵检测系统报警信息聚合与关 100 200 300 400500 联技术研究综述.计算机研究与发展,2006,43(1):1) 查询周阴/次 [] Mu C P,Huang H K,Tian S F,et al.Intrusion-detection alerts 图3A类节点50%、B类节点50%时的检测准确率 processing based on fuzzy comprehensive evaluation.J Comput Res Fig.3 Detection accuracy with 50%A and 50%B De,2005,42(10):1679 (穆成坡,黄厚宽,田盛丰,等.基于模糊综合评判的入侵检 1.0 测报警信息处理.计算机研究与发展,2005,42(10):1679) [8]Duan H X,Yu X L,Wang L J.Algorithm of alert correlation 0.8 based on address correlation graph in distributed intrusion detec- tion system.J Dalian Univ Technol,2005,45(Suppl):126 16 (段海新,于雪丽,王兰佳.基于地址关联图的分布式DS报 警关联算法.大连理工大学学报,2005,45(增刊):S126) ⑨) Zhang Y D,Zeng Q K,Wang J D.Studies of network coordinative +基于节点关联 02 ·无节点关联 forensics computing.Chin J Comput,2010,33(3):504 (张有东,曾庆凯,王建东网络协同取证计算研究。计算机 学报,2010,33(3):504) 100 200 300 400 500 [10]Dain O M,Cuningham R K.Building scenarios from a heteroge- 查询周期/次 neous alert stream//Proceedings of the 2001 IEEE Workshop on 图4A类节点70%、B类节点30%时的检测准确率 Information Assurance and Security.West Point,2001:231 Fig.4 Detection accuracy with 70%A and 30%B [11]Ning P,Xu D B,Healey CC,et al.Building attack scenarios through integration of complementary alert correlation methods// 4结论 Proceedings of the 11th Annual Netork and Distributed System Security Symposium (NDSS).San Diego,2004:97 本文对入侵报警信息进行了融合,提出了一种 [12]Valdes A,Skinner K.Probabilistic alert correlation//The 4th 基于节点关联的报警置信度计算方法,包括报警关 Int'I Symposium on Recent Adances in Intrusion Detection (RAD2001).Daris,2001 联和信任关联,并提出了相应算法,并通过仿真实验 [13]Bao X H,Dai Y X,Lian Y F,et al.Correlation determine algo- 证明了该算法的有效性.下一步将研究网络中存在 rithm for implied restriction.J Comput Res Dev,2007,44(12): 更复杂恶意节点时的报警信息融合 2028
北 京 科 技 大 学 学 报 第 33 卷 图 2 A 类节点 30% 、B 类节点 70% 时的检测准确率 Fig. 2 Detection accuracy with 30% A and 70% B 图 3 A 类节点 50% 、B 类节点 50% 时的检测准确率 Fig. 3 Detection accuracy with 50% A and 50% B 图 4 A 类节点 70% 、B 类节点 30% 时的检测准确率 Fig. 4 Detection accuracy with 70% A and 30% B 4 结论 本文对入侵报警信息进行了融合,提出了一种 基于节点关联的报警置信度计算方法,包括报警关 联和信任关联,并提出了相应算法,并通过仿真实验 证明了该算法的有效性. 下一步将研究网络中存在 更复杂恶意节点时的报警信息融合. 参 考 文 献 [1] Yu Z W,Tsai J J P,Weigert T. An adaptive automatically tuning intrusion detection system. ACM Trans Auton Adapt Syst,2008,3 ( 3) : 10 [2] Xu L S. Extending equation-based congestion control to high-speed and long-distance networks. Comput Networks,2007,51 ( 7 ) : 1847 [3] Hu H P,Zhang Y,Chen H T,et al. The study of large scale networks intrusion detection and warning system. J Natl Univ Def Technol,2003,25( 1) : 21 ( 胡华平,张怡,陈海涛,等. 面向大规模网络的入侵检测与 预警系统研究. 国防科技大学学报,2003,25( 1) : 21) [4] Bao X H,Dai Y X,Feng P H,et al. A detection and forecast algorithm for multi-step attack based on intrusion intention. J Software,2005,16( 12) : 2132 ( 鲍旭华,戴英侠,冯萍慧,等. 基于入侵意图的复合攻击检 测和预测算法. 软件学报,2005,16( 12) : 2132) [5] Yan Q,Yu J P,Xie W X. Creditability problems in intrusion detection systems. J Comput Res Dev,2003,40( 8) : 1203 ( 闫巧,喻建平,谢维信. 入侵检测系统的可信问题. 计算机 研究与发展,2003,40( 8) : 1203) [6] Mu C P,Huang H K,Tian S F. Survey of intrusion-detection alert aggregation and correlation techniques. J Comput Res Dev,2006, 43( 1) : 1 ( 穆成坡,黄厚宽,田盛丰. 入侵检测系统报警信息聚合与关 联技术研究综述. 计算机研究与发展,2006,43( 1) : 1) [7] Mu C P,Huang H K,Tian S F,et al. Intrusion-detection alerts processing based on fuzzy comprehensive evaluation. J Comput Res Dev,2005,42( 10) : 1679 ( 穆成坡,黄厚宽,田盛丰,等. 基于模糊综合评判的入侵检 测报警信息处理. 计算机研究与发展,2005,42( 10) : 1679) [8] Duan H X,Yu X L,Wang L J. Algorithm of alert correlation based on address correlation graph in distributed intrusion detection system. J Dalian Univ Technol,2005,45( Suppl) : 126 ( 段海新,于雪丽,王兰佳. 基于地址关联图的分布式 IDS 报 警关联算法. 大连理工大学学报,2005,45( 增刊) : S126) [9] Zhang Y D,Zeng Q K,Wang J D. Studies of network coordinative forensics computing. Chin J Comput,2010,33( 3) : 504 ( 张有东,曾庆凯,王建东. 网络协同取证计算研究. 计算机 学报,2010,33( 3) : 504) [10] Dain O M,Cuningham R K. Building scenarios from a heterogeneous alert stream/ /Proceedings of the 2001 IEEE Workshop on Information Assurance and Security. West Point,2001: 231 [11] Ning P,Xu D B,Healey C G,et al. Building attack scenarios through integration of complementary alert correlation methods/ / Proceedings of the 11th Annual Network and Distributed System Security Symposium ( NDSS) . San Diego,2004: 97 [12] Valdes A,Skinner K. Probabilistic alert correlation / /The 4th Int’l Symposium on Recent Advances in Intrusion Detection ( RAID2001) . Daris,2001 [13] Bao X H,Dai Y X,Lian Y F,et al. Correlation determine algorithm for implied restriction. J Comput Res Dev,2007,44( 12) : 2028 ·1428·
第11期 周芳等:一种基于节点关联的报警置信度计算方法 ·1429· (鲍旭华,戴英侠,连一峰,等.针对隐含约束条件的报警关 of 12th Int'I World Wide Web Conference.Budapest,2003:640 联判别算法.计算机研究与发展,2007,44(12):2028) [16]Wang Y,Vassileva J.Bayesian network trust model in Peerto- [14]Wu J Y,Ping L D,Fan R,et al.Study on adaptive trust alert Peer networks /Proceedings of the 2nd International Workshop correlation P2P overlay IDS.J PLA Unir Sci Technol Nat Sci Ed, on Agents and Peer-o-Peer Computing.Melboume,2004:23 2008,9(5):455 [17]Query Cycle Simulator [EB/OL].[2010-09-0]http://p2p. (吴吉义,平玲娣,范容,等.基于自适应信任报警关联的 stanford.edu/www/demos.htm P2P覆盖DS.解放军理工大学学报:自然科学版,2008,9 [18]Schlosser M,Condie T,Kamvar S.Simulating a file-sharing P2P (5):455) network Proceedings of the Ist Workshop on Semantics in P2P [15]Kamvar S,Scholsser M,Garcia-Molina H.The eigentrust algo- and Grid Computing (SemPGRid2003).Budapest,2003:69 rithm for reputation management in P2P networks /Proceedings
第 11 期 周 芳等: 一种基于节点关联的报警置信度计算方法 ( 鲍旭华,戴英侠,连一峰,等. 针对隐含约束条件的报警关 联判别算法. 计算机研究与发展,2007,44( 12) : 2028) [14] Wu J Y,Ping L D,Fan R,et al. Study on adaptive trust alert correlation P2P overlay IDS. J PLA Univ Sci Technol Nat Sci Ed, 2008,9( 5) : 455 ( 吴吉义,平玲娣,范容,等. 基于自适应信任报警关联的 P2P 覆盖 IDS. 解放军理工大学学报: 自然科学版,2008,9 ( 5) : 455) [15] Kamvar S,Scholsser M,Garcia-Molina H. The eigentrust algorithm for reputation management in P2P networks / / Proceedings of 12th Int’l World Wide Web Conference. Budapest,2003: 640 [16] Wang Y,Vassileva J. Bayesian network trust model in Peer-toPeer networks / / Proceedings of the 2nd International Workshop on Agents and Peer-to-Peer Computing. Melbourne,2004: 23 [17] Query Cycle Simulator [EB /OL]. [2010-09-10] http: / /p2p. stanford. edu /www /demos. htm [18] Schlosser M,Condie T,Kamvar S. Simulating a file-sharing P2P network / / Proceedings of the 1st Workshop on Semantics in P2P and Grid Computing ( SemPGRid2003) . Budapest,2003: 69 ·1429·