D0L:10.13374f.issn1001-053x.2011.11.021 第33卷第11期 北京科技大学学报 Vol.33 No.11 2011年11月 Journal of University of Science and Technology Beijing Nov.2011 一种基于节点关联的报警置信度计算方法 周芳”四于真2) 郑雪峰 1)北京科技大学计算机与通信工程学院，北京1000832)北京物资学院信息学院，北京101149 ☒通信作者，E-mail:zhoufang@ies.ustb.cdu.cn 摘要大部分入侵检测系统的实现都会产生大量的报警信息，在一定程度上影响了系统管理，误报率也较高，影响了入侵 检测的效果.针对这个问题，提出了一种基于节点关联的报警置信度计算方法，位于对等网络之上，节点在收到一系列入侵报 警之后，需要进行节点关联，从而对报警信息进行融合，提取有效报警信息.其中根据关联对象的不同，节点关联又包括报警 关联和信任关联两个层次，报警关联可用来判断入侵报警的有效性，信任关联可用来判断发起报警节点的可信性，给出了相 关算法.仿真实验表明，使用该报警置信度计算方法可以提高入侵报警的检测准确率. 关键词入侵检测：报警：关联方法；对等网络：网络安全 分类号TP393.0 Calculation method for alert credibility based on peer correlation ZHOU Fang,YU Zhen?,ZHENG Xue-feng 1)School of Computer and Communication Engineering,University of Science and Technology Beijing,Beijing 100083,China 2)School of Information,Beijing Wuzi University,Beijing 101149,China Corresponding author,E-mail:zhoufang@ies.ustb.edu.cn ABSTRACT Most intrusion detection systems produce large amounts of alert information,which affect system management to some extent and lead to high misstatement rate,and thereby influence the intrusion detection.To solve this problem,a calculation method for alert credibility based on the peer correlation is proposed over P2P overlay networks,where peers need the association after receiving a series of intrusion alarm to integrate the alarm information and extract the effective alarm information.According to different associated objects,the peer correlation includes the alert correlation and the trust correlation.The effectiveness of intrusion alert information can be judged through the alert correlation,and the credibility of the peer producing the alarm can be measured through the trust correla- tion.A correlation algorithm is also given.Simulations show that the dual correlation algorithm can improve the accuracy of intrusion detection alerts. KEY WORDS intrusion detection:alarm;correlation methods;peer-to-peer networks;network security 随着Internet技术的迅速发展，攻击方法日益 理员以利于后面的攻击.一些研究表明6-，对 增多并变得复杂，仅使用防火墙已经无法满足很多 大量报警信息进行适当融合，比如聚合、关联或其他 系统对安全的需要，因此入侵检测系统(intrusion 方法，可以从中提取有效的攻击事件，从而分析攻击 detection system,lIDS)i习己成为网络安全体系的重 者的真实意图，有效解决误报和漏报率偏高等问题， 要组成部分，并发挥了关键作用.分布式入侵检测 这对于大规模分布式DS有重要意义. 系统是目前入侵检测的一个重要发展方向，可以协 针对分布式DS报警的安全性，为了降低误报 同各DS节点来分析和处理入侵事件同，但是大部 率和提高检测率，本文提出了一种基于节点关联的 分入侵检测的实现都会产生大量的报警信息，使系 入侵报警置信度计算方法，位于P2P(peer-to-peer) 统管理人员难以及时做出正确反应0，此外还有大 覆盖IDS网络之上，其中节点关联又包括报警关联 量的恶意入侵者通过LIBNET等软件人为构造网络 和信任关联.仿真实验表明，该计算方法可以提高 数据包引起大量虚警，误报率较高，从而麻痹系统管 检测率，减少误报率，从而识别真正的攻击. 收稿日期：2010-1101第 33 卷 第 11 期 2011 年 11 月 北京科技大学学报 Journal of University of Science and Technology Beijing Vol． 33 No． 11 Nov． 2011 一种基于节点关联的报警置信度计算方法 周 芳1) 于 真2) 郑雪峰1) 1) 北京科技大学计算机与通信工程学院，北京 100083 2) 北京物资学院信息学院，北京 101149 通信作者，E-mail: zhoufang@ ies． ustb． edu． cn 摘 要 大部分入侵检测系统的实现都会产生大量的报警信息，在一定程度上影响了系统管理，误报率也较高，影响了入侵 检测的效果． 针对这个问题，提出了一种基于节点关联的报警置信度计算方法，位于对等网络之上，节点在收到一系列入侵报 警之后，需要进行节点关联，从而对报警信息进行融合，提取有效报警信息． 其中根据关联对象的不同，节点关联又包括报警 关联和信任关联两个层次，报警关联可用来判断入侵报警的有效性，信任关联可用来判断发起报警节点的可信性，给出了相 关算法． 仿真实验表明，使用该报警置信度计算方法可以提高入侵报警的检测准确率． 关键词 入侵检测; 报警; 关联方法; 对等网络; 网络安全 分类号 TP393. 0 Calculation method for alert credibility based on peer correlation ZHOU Fang1) ，YU Zhen2) ，ZHENG Xue-feng1) 1) School of Computer and Communication Engineering，University of Science and Technology Beijing，Beijing 100083，China 2) School of Information，Beijing Wuzi University，Beijing 101149，China Corresponding author，E-mail: zhoufang@ ies． ustb． edu． cn ABSTRACT Most intrusion detection systems produce large amounts of alert information，which affect system management to some extent and lead to high misstatement rate，and thereby influence the intrusion detection． To solve this problem，a calculation method for alert credibility based on the peer correlation is proposed over P2P overlay networks，where peers need the association after receiving a series of intrusion alarm to integrate the alarm information and extract the effective alarm information． According to different associated objects，the peer correlation includes the alert correlation and the trust correlation． The effectiveness of intrusion alert information can be judged through the alert correlation，and the credibility of the peer producing the alarm can be measured through the trust correla￾tion． A correlation algorithm is also given． Simulations show that the dual correlation algorithm can improve the accuracy of intrusion detection alerts． KEY WORDS intrusion detection; alarm; correlation methods; peer-to-peer networks; network security 收稿日期: 2010--11--01 随着 Internet 技术的迅速发展，攻击方法日益 增多并变得复杂，仅使用防火墙已经无法满足很多 系统对安全的需要，因此入侵检测系统( intrusion detection system，IDS) ［1--2］已成为网络安全体系的重 要组成部分，并发挥了关键作用． 分布式入侵检测 系统是目前入侵检测的一个重要发展方向，可以协 同各 IDS 节点来分析和处理入侵事件［3］，但是大部 分入侵检测的实现都会产生大量的报警信息，使系 统管理人员难以及时做出正确反应［4］，此外还有大 量的恶意入侵者通过 LIBNET 等软件人为构造网络 数据包引起大量虚警，误报率较高，从而麻痹系统管 理员以利于后面的攻击［5］． 一些研究表明［6--8］，对 大量报警信息进行适当融合，比如聚合、关联或其他 方法，可以从中提取有效的攻击事件，从而分析攻击 者的真实意图，有效解决误报和漏报率偏高等问题， 这对于大规模分布式 IDS 有重要意义． 针对分布式 IDS 报警的安全性，为了降低误报 率和提高检测率，本文提出了一种基于节点关联的 入侵报警置信度计算方法，位于 P2P( peer-to-peer) 覆盖 IDS 网络之上，其中节点关联又包括报警关联 和信任关联． 仿真实验表明，该计算方法可以提高 检测率，减少误报率，从而识别真正的攻击． DOI:10.13374/j.issn1001-053x.2011.11.021