第11期 周芳等：一种基于节点关联的报警置信度计算方法 ·1425· 的功能，为各类P2P应用提供支持.P2P覆盖IDS 1 相关工作 网络可以提供必要的两项服务一接收传入节点的 对报警信息进行融合己有很多研究成果，较多 消息和发送各节点传出的消息，从而保证覆盖DS 集中在报警关联、报警聚合等研究领域.随着2000 的功能网 年第一次大规模分布式拒绝服务攻击(distributed 2.1节点关联 denial of service)的发生，报警关联(alert correlation). 本文在处理入侵报警信息时，根据关联对象的 技术受到了越来越多的关注.报警关联主要是指对 不同，在处理方法上划分为两个层次：一个层次是针 入侵报警信息进行组合、解释和分析，从而识别攻 对某次入侵报警信息进行关联，所关联的对象是自 击，其中入侵报警信息可以是来自同一个DS的，也 身和其他发起本次入侵报警的节点：另一个层次是 可以是来自不同的DS甚至异构的DS回.研究人 针对某个发起入侵报警的节点i进行关联，所关联 员从不同方面提出了许多报警关联算法，比如一类 的对象是一个节点集合，该集合包括所有曾接收过 方法称为攻击场景或攻击图的重构，该方法针对大 节点发起的报警信息的节点.下面分别进行描 规模网络的复杂攻击，可以构造超报警的关联图，即 述.首先，针对某次入侵报警信息时，衡量的是这次 攻击场景，通过图示来表示一个攻击的过程，从而实 入侵报警信息的有效程度，从而使管理者可以做出 现攻击再现0-；另一类方法是聚类关联算法四， 防御决策，需要关联自身以及某些发出这次入侵报 通过关联具有相同或相近特征的报警，从而构成报 警的节点.另外，针对某个发起入侵报警节点时，衡 警簇；还有一类因果关联算法，是根据各攻击的前提 量的是该节点的可信程度，是对其发起入侵报警的 条件和攻击后果的依赖关系进行报警关联6,1)，此 可信程度的一种预期，需要关联自身的主观信任 外，考虑DS的节点间信任关系也是对报警信息进 (也称直接信任)和其他节点的推荐信任，其中直接 行融合的一个有效途径，比如文献14]提出了一种 信任依据的是节点自身的直接经验，是对某节点能 基于自适应信任报警关联的方法，构造了对等覆盖 提供的报警能力的一种直接评价，而推荐信任是来 入侵检测系统，描述了体系结构及报警关联机制，但 自于其他节点的直接经验 该系统只考虑了局部信任，均是依赖自身的经验，没 2.2节点关联相关定义 有考虑其他DS的推荐，具有局部片面性.通过各 本文是基于节点关联提出的报警置信度计算方 DS的报警历史，使用信任模型s-对各DS节点 法，节点关联包括报警关联和信任关联两个层次 的报警行为进行评估，可以衡量节点的入侵预警能 报警关联是指自身发出的报警信息和收到的其他节 力，并能识别真实的入侵事件，是保障分布式DS安 点的报警信息的关联.信任关联是指在计算发起报 全性的有效手段之一.信任模型通常可分为全局信 警节点的可信度时，需要关联自身和其他一些节点 任模型和局部信任模型，其中全局信任模型的是从 (即推荐节点)对发起报警节点的看法（即直接信 网络的角度来评价节点的可信任程度，节点拥有一 任值) 个全局一致的信任评价值：而局部信任模型的是指 本文首先采用式(1)来计算报警关联： 通过询问有限的其他节点来获取某个节点的可信 1-WT s,=w,C:+n六 (1) 度，各类基于推荐的信任模型是其中重要的研究 成果 式中：S:为对节点i和其收到的来自于其他节点的 报警信息进行关联后得到的该次报警信息的有效 2 基于节点关联的报警置信度 值：W:∈D,1]为节点i自身的报警所占的权重，节 本文提出了一种基于节点关联的入侵报警置信 点可以根据自身的实际情况来设置权重，有些节点 度计算方法，位于P2P覆盖DS网络上，其中节点关 对自身发起的报警更加信任，那么就可以为W设置 联包括报警关联和信任关联.节点在收到一系列入 一个较大值：C:表示节点i自身发起的报警的可信 侵报警之后，需要进行节点关联，从而对报警信息进 度，来源于节点自身的历史经验：T表示在节点i看 行融合，提取有效报警信息.P2P系统本质上是一 来节点j发起报警的可信任程度；n表示节点i进行 种分布式系统，没有中心服务器，节点既是客户机又 关联的节点个数，节点i可以选择报警可信度最高 是服务器，地位是对等的，主要功能有分布式计算、 的n个节点来进行关联，本文算法中设n为1，即选 数据共享、交流和协作等，P2P系统中的各节点互连 择报警可信度最高的节点来与自身进行关联.经过 形成了一种自组织的虚拟覆盖网络，可以实现特定 对多个节点之间报警信息的关联，可以得到一个对第 11 期 周 芳等: 一种基于节点关联的报警置信度计算方法 1 相关工作 对报警信息进行融合已有很多研究成果，较多 集中在报警关联、报警聚合等研究领域． 随着 2000 年第一次大规模分布式拒绝服务攻击( distributed denial of service) 的发生，报警关联( alert correlation) 技术受到了越来越多的关注． 报警关联主要是指对 入侵报警信息进行组合、解释和分析，从而识别攻 击，其中入侵报警信息可以是来自同一个 IDS 的，也 可以是来自不同的 IDS 甚至异构的 IDS ［9］． 研究人 员从不同方面提出了许多报警关联算法，比如一类 方法称为攻击场景或攻击图的重构，该方法针对大 规模网络的复杂攻击，可以构造超报警的关联图，即 攻击场景，通过图示来表示一个攻击的过程，从而实 现攻击再现［10--11］; 另一类方法是聚类关联算法［12］， 通过关联具有相同或相近特征的报警，从而构成报 警簇; 还有一类因果关联算法，是根据各攻击的前提 条件和攻击后果的依赖关系进行报警关联［6，13］． 此 外，考虑 IDS 的节点间信任关系也是对报警信息进 行融合的一个有效途径，比如文献［14］提出了一种 基于自适应信任报警关联的方法，构造了对等覆盖 入侵检测系统，描述了体系结构及报警关联机制，但 该系统只考虑了局部信任，均是依赖自身的经验，没 有考虑其他 IDS 的推荐，具有局部片面性． 通过各 IDS 的报警历史，使用信任模型［15--16］对各 IDS 节点 的报警行为进行评估，可以衡量节点的入侵预警能 力，并能识别真实的入侵事件，是保障分布式 IDS 安 全性的有效手段之一． 信任模型通常可分为全局信 任模型和局部信任模型，其中全局信任模型［15］是从 网络的角度来评价节点的可信任程度，节点拥有一 个全局一致的信任评价值; 而局部信任模型［16］是指 通过询问有限的其他节点来获取某个节点的可信 度，各类基于推荐的信任模型是其中重要的研究 成果． 2 基于节点关联的报警置信度 本文提出了一种基于节点关联的入侵报警置信 度计算方法，位于 P2P 覆盖 IDS 网络上，其中节点关 联包括报警关联和信任关联． 节点在收到一系列入 侵报警之后，需要进行节点关联，从而对报警信息进 行融合，提取有效报警信息． P2P 系统本质上是一 种分布式系统，没有中心服务器，节点既是客户机又 是服务器，地位是对等的，主要功能有分布式计算、 数据共享、交流和协作等，P2P 系统中的各节点互连 形成了一种自组织的虚拟覆盖网络，可以实现特定 的功能，为各类 P2P 应用提供支持． P2P 覆盖 IDS 网络可以提供必要的两项服务———接收传入节点的 消息和发送各节点传出的消息，从而保证覆盖 IDS 的功能［14］． 2. 1 节点关联 本文在处理入侵报警信息时，根据关联对象的 不同，在处理方法上划分为两个层次: 一个层次是针 对某次入侵报警信息进行关联，所关联的对象是自 身和其他发起本次入侵报警的节点; 另一个层次是 针对某个发起入侵报警的节点 i 进行关联，所关联 的对象是一个节点集合，该集合包括所有曾接收过 节点 i 发起的报警信息的节点． 下面分别进行描 述． 首先，针对某次入侵报警信息时，衡量的是这次 入侵报警信息的有效程度，从而使管理者可以做出 防御决策，需要关联自身以及某些发出这次入侵报 警的节点． 另外，针对某个发起入侵报警节点时，衡 量的是该节点的可信程度，是对其发起入侵报警的 可信程度的一种预期，需要关联自身的主观信任 ( 也称直接信任) 和其他节点的推荐信任，其中直接 信任依据的是节点自身的直接经验，是对某节点能 提供的报警能力的一种直接评价，而推荐信任是来 自于其他节点的直接经验． 2. 2 节点关联相关定义 本文是基于节点关联提出的报警置信度计算方 法，节点关联包括报警关联和信任关联两个层次． 报警关联是指自身发出的报警信息和收到的其他节 点的报警信息的关联． 信任关联是指在计算发起报 警节点的可信度时，需要关联自身和其他一些节点 ( 即推荐节点) 对发起报警节点的看法( 即直接信 任值) ． 本文首先采用式( 1) 来计算报警关联: Sij = WiCi + 1 － Wi n ∑ n j = 1 Tij ( 1) 式中: Sij为对节点 i 和其收到的来自于其他节点的 报警信息进行关联后得到的该次报警信息的有效 值; Wi∈［0，1］为节点 i 自身的报警所占的权重，节 点可以根据自身的实际情况来设置权重，有些节点 对自身发起的报警更加信任，那么就可以为 Wi 设置 一个较大值; Ci 表示节点 i 自身发起的报警的可信 度，来源于节点自身的历史经验; Tij表示在节点 i 看 来节点 j 发起报警的可信任程度; n 表示节点 i 进行 关联的节点个数，节点 i 可以选择报警可信度最高 的 n 个节点来进行关联，本文算法中设 n 为 1，即选 择报警可信度最高的节点来与自身进行关联． 经过 对多个节点之间报警信息的关联，可以得到一个对 ·1425·