第11期 周芳等：一种基于节点关联的报警置信度计算方法 ·1427· GetVal (ID,,D,R,); 表1仿真环境设置 endfor Table 1 Simulation settings 1-∑DR, 拓扑构造 Power-aw = ∑R, 节点规模 100个 r7 网络 最少邻居数目 3 GetTrustVal (ID:,ID,DT) End 查询消总的TTL4 A类节点 30% 50% 70% 通过执行该算法，节点i可以计算出入侵报警 节点 的综合评价值，并根据该评价值来进行判断报警的 B类节点 70% 50% 30% 可信任程度，从而采取入侵决策 仿真 仿真周期 500次 (2)入侵决策完毕后，节点i需要对入侵报警节 点列表进行入侵报警结果的更新，评估及更新算法 如下： Procedure EvalAlert(ID,,Alert (i)) for(anyj∈Alert(i)） if (Intrusion =True)then G=G+1; else B:=B:+1; UpdateLocal (ID:,ID,,G,B,B(i)) UpdateRecommend (ID:,ID:,G,B:,A () endfor End 图1仿真拓扑结构 3仿真实验 Fig.1 Simulation topology 本文在Linux操作系统下构造了一个P2P覆盖 (Non-Col)两种情况下的入侵报警效果，评价指标为 DS网络仿真系统，使用Java语言实现.每次仿真 入侵报警的检测准确率（成功检测次数/报警总次 由若干个仿真周期组成-.在每个仿真周期中， 数)，实验中如果评价结果为入侵而且实际确实为 网络中按照一定的概率发起对目标系统的入侵行为 入侵行为，或者评价结果为正常且实际确实为正常 和正常行为，检测到入侵行为的节点可以向其他邻 行为，那么就认为该次评价是成功的，否则认为此次 居节点发起入侵报警消息，消息以类似Gnutella的 评价失败 方式进行广播，通过TTL控制消息的规模.节点可 图2、图3和图4分别表示了在不同比例的A 以分为A类节点和B类节点，其中A类节点为易发 类节点和B类节点下，采用本文提出的报警置信度 起入侵报警的节点，B类节点为能较准确地发起入 算法和无节点关联情况下的检测准确率，三幅图中 侵报警的节点，接收到一系列入侵报警的节点根据 的横坐标均表示仿真周期，纵坐标均表示入侵检测 报警关联来确定入侵决策，并根据实际入侵是否发 准确率.从实验结果可以看出，加入了报警置信度 生来评估发起入侵报警的节点的可信程度.仿真中 算法后，检测准确率得到了提高.如图2所示，当网 初始设置W:为0.5，入为0.5.仿真环境设置如表1 络中存在30%A类节点，70%B类节点时，效果较 所示.仿真拓扑结构如图1所示，灰色区域内为A 好，检测准确率基本能保持在80%以上.但是，当网 类节点，比例为30%：白色区域内为B类节点，比例 络中存在大量的易发报警节点，即当A类节点的比 为70%. 例增大时，算法的检测准确率略有下降，但仍高于无 本文对三种情况下进行了仿真实验，A类节点 关联情况下的检测准确率，这是由于各易发报警节 和B类节点的比例分别为(30%，70%)、(50%， 点的信任值较低，若仍按照同样的采纳阈值来处理， 50%)和(70%，30%).针对这两类节点，对比了加 则容易造成漏警，因此应该根据网络的实际情况进 入本文节点关联算法(Peer-Col)和没有节点关联时 行平衡处理，来设定合适的采纳阈值第 11 期 周 芳等: 一种基于节点关联的报警置信度计算方法 GetVal( IDr，Drj ，Rr) ; endfor rij = 1 r ∑∈I( j) Rr r ∑∈I( j) Drj Rr; GetTrustVal( IDi，IDj ，Dij ，rij ，Tij ) ; End 通过执行该算法，节点 i 可以计算出入侵报警 的综合评价值，并根据该评价值来进行判断报警的 可信任程度，从而采取入侵决策． ( 2) 入侵决策完毕后，节点 i 需要对入侵报警节 点列表进行入侵报警结果的更新，评估及更新算法 如下: Procedure EvalAlert( IDi，Alert( i) ) for ( any j∈Alert( i) ) if ( Intrusion = True) then Gij = Gij + 1; else Bij = Bij + 1; UpdateLocal( IDi，IDj ，Gij ，Bij ，B( i) ) ; UpdateRecommend( IDi，IDj ，Gij ，Bij ，A( j) ) ; endfor End 3 仿真实验 本文在 Linux 操作系统下构造了一个 P2P 覆盖 IDS 网络仿真系统，使用 Java 语言实现． 每次仿真 由若干个仿真周期组成［17--18］． 在每个仿真周期中， 网络中按照一定的概率发起对目标系统的入侵行为 和正常行为，检测到入侵行为的节点可以向其他邻 居节点发起入侵报警消息，消息以类似 Gnutella 的 方式进行广播，通过 TTL 控制消息的规模． 节点可 以分为 A 类节点和 B 类节点，其中 A 类节点为易发 起入侵报警的节点，B 类节点为能较准确地发起入 侵报警的节点． 接收到一系列入侵报警的节点根据 报警关联来确定入侵决策，并根据实际入侵是否发 生来评估发起入侵报警的节点的可信程度． 仿真中 初始设置 Wi 为 0. 5，λ 为 0. 5． 仿真环境设置如表 1 所示． 仿真拓扑结构如图 1 所示，灰色区域内为 A 类节点，比例为 30% ; 白色区域内为 B 类节点，比例 为 70% ． 本文对三种情况下进行了仿真实验，A 类节点 和 B 类节点的比例分别为 ( 30% ，70% ) 、( 50% ， 50% ) 和( 70% ，30% ) ． 针对这两类节点，对比了加 入本文节点关联算法( Peer-Col) 和没有节点关联时 表 1 仿真环境设置 Table 1 Simulation settings 拓扑构造 Power-law 网络 节点规模 100 个 最少邻居数目 3 查询消息的 TTL 4 节点 A 类节点 30% 50% 70% B 类节点 70% 50% 30% 仿真 仿真周期 500 次 图 1 仿真拓扑结构 Fig． 1 Simulation topology ( Non-Col) 两种情况下的入侵报警效果，评价指标为 入侵报警的检测准确率( 成功检测次数/报警总次 数) ，实验中如果评价结果为入侵而且实际确实为 入侵行为，或者评价结果为正常且实际确实为正常 行为，那么就认为该次评价是成功的，否则认为此次 评价失败． 图 2、图 3 和图 4 分别表示了在不同比例的 A 类节点和 B 类节点下，采用本文提出的报警置信度 算法和无节点关联情况下的检测准确率，三幅图中 的横坐标均表示仿真周期，纵坐标均表示入侵检测 准确率． 从实验结果可以看出，加入了报警置信度 算法后，检测准确率得到了提高． 如图 2 所示，当网 络中存在 30% A 类节点，70% B 类节点时，效果较 好，检测准确率基本能保持在 80% 以上． 但是，当网 络中存在大量的易发报警节点，即当 A 类节点的比 例增大时，算法的检测准确率略有下降，但仍高于无 关联情况下的检测准确率，这是由于各易发报警节 点的信任值较低，若仍按照同样的采纳阈值来处理， 则容易造成漏警，因此应该根据网络的实际情况进 行平衡处理，来设定合适的采纳阈值． ·1427·