文獻標識碼: A
文章編號: 0258-7998(2013)07-0060-03
現有的入侵檢測系統中存在虛假報警、報警量巨大、不相關報警多等問題,極大地限制了它的應用。因此,報警信息的關聯是目前入侵檢測領域一個重要的發展方向。在這些研究中,HU W M等[1]提出了一種基于AdaBoost算法通過機器學習進行報警的方法。GIACINTO G等[2]提出了一種基于多個分類系統的方法,降低了誤報率并提高了檢測率。TSANG C H等[3]提出了一種基于基因和模型規則的方法,取得了較好的檢測率,并降低了誤報率。SHON T等[4]提出了一種基于支持向量機以及遺傳算法的混合異常檢測算法。劉利軍等[5]提出了一種基于二級決策進行報警過濾從而消除誤報、濫報問題的方法,設計實現了一種基于報警緩沖池的報警優化過濾算法。肖云等[6]提出了一種基于粗糙集、支持向量機理論的過濾誤報警的方法。穆成坡等[7]提出了一種基于模糊綜合評判的方法來處理入侵檢測系統的報警信息、關聯報警事件,并引入有監督的確信度學習方法,通過確信度來對報警信息進行進一步的過濾。
總體說來,現有絕大多數入侵檢測關聯模型或方法都是在所有的事件發生后再對所有的事件進行報警關聯分析,相當于“事后諸葛亮”。另外,這些模型或算法難以判斷或計算所面臨的網絡危險,因此實際應用中受到了一定的限制。目前,超過90%商業運營的入侵檢測系統都是在Snort檢測引擎的基礎上進行二次開發而來。盡管Snort獲得了巨大的成功,但作為通過攻擊特征進行檢測的入侵檢測系統,Snort存在傳統入侵檢測系統的缺陷。
目前,基于人工免疫AIS(Artificial Immune System)的網絡安全技術具有多樣性、自適應、魯棒性等特點,并被認為是一條非常重要且有意義的研究方向[8]。參考文獻[8]依據人體發燒時抗體濃度增加的原理,提出了一種基于免疫的網絡安全危險檢測模型。該方法能對網絡系統所面臨的攻擊進行準確的實時危險評估,被證實了為網絡安全風險在線檢測提供了一種有效的新途徑。基于人工免疫原理,本文提出一種基于Snort的入侵檢測關聯報警模型(A Snort-based Associated Intrusion Alarm model,SAIM),理論分析和實驗結果均表明,SAIM模型為網絡入侵關聯報警提供了一種有效的新途徑。
在主機實時危險計算過程中,先統計出每類攻擊的總危險性,然后與對應的該類攻擊的危險權重進行乘積和運算,據此分別計算出主機的分類攻擊和主機整體危險性。
1.4 危險報警模型
基于實時網絡的“危險”報警模型依據2個條件進行報警,即網絡實時危險與攻擊強度。對主機中報警信號的產生,主要來自2個方面:對主機m,(1)主機的整體危險rm(t)大于γ1(0<γ1<1),并且主機遭遇的所有的攻擊(假設主機中包含了I類攻擊)的攻擊強度大于n;(2)主機遭遇的某類攻擊的網絡危險rm,t(t)大于ω1,i(0<ω1,i<1),并且主機遭遇的該類攻擊(第i類攻擊)的攻擊強度大于Ni。對于檢測的一些報警信息,例如入侵者對所有端口進行的掃描探測活動,當網絡危險達到一定數值時,模型就進行報警,SAIM將所有的報警信息關聯起來,這有助于解決當前入侵檢測系統模型中海量的報警信息關聯的問題。
2 報警實驗
為證明SAIM能有效減少虛假警報、提高報警質量,采用1999年DARPA入侵檢測系統測試數據集[9]對模型進行了測試。該數據集是麻省理工學院的林肯實驗室在實際網絡環境中進行攻擊而產生的真實數據,用于評估入侵檢測系統的性能。DARPA 1999年評測數據包括覆蓋了Probe、DoS、R2L、U2R和Data等五大類攻擊,是目前最為全面的攻擊測試數據集。測試過程中使用的Snort規則庫中有5 991條規則,采用第4周周五為試驗數據。
圖1給出了Snort在檢測過程中的報警數。其中總報警數3 496條,虛警2 814條(80.5%),真實報警682條(19.5%)。采用SAIM模型,當主機總體實時危險報警閾值取值為0.3時,報警數共20個,虛警率為45%,檢測結果表明了本文所提出的報警模型在減小虛假報警、合并同類無關報警、提高報警質量上是可行的。
實驗結果表明,SAIM模型能實時定量地計算出主機當前所面臨攻擊的類別、數量、強度及危險數值等;另外,模型根據檢測的網絡實時危險強度進行報警,有助于減小入侵檢測的誤報率和報警數量,從而提高報警質量。
與同類報警相關研究[1-7]相比,本文所提出的報警方法不需要先驗報警知識訓練,更不是事后根據所有的報警記錄來進行分析,同時可查看主機和網絡當前所面臨的攻擊類別、數量、強度及具體的網絡實時危險數值數據,這有助于網絡安全管理員掌握實時的網絡安全態勢,因此本文所提出的方法具有一定的實用價值。
參考文獻
[1] HU W M,HU W,MAYBANK S.AdaBoost-based algorithm for network intrusion detection[J].IEEE Transactions on Systems Man and Cybernetics Part B-Cybernetics,2008,38(2):577-583.
[2] GIORGIO G,ROBERTO P,MAURO D,et al.Intrusion detection in computer networks by a modular ensemble of one-class classifiers[J].Information Fusion,2008,9(1):69-82.
[3] TSANG C H,KWONG S,WANG H L.Genetic-fuzzy rule mining approach and evaluation of feature selection techniques for anomaly intrusion detection[J].Pattern Recognition,2007,40(9):2373-2391.
[4] SHON T,MOON J.A hybrid machine learning approach to network anomaly detection[J].Information Sciences,2007,177(18):3799-3821.
[5] 劉利軍,懷進鵬.一種IDS報警過濾算法及實現架構研究[J].高技術通訊,2005,15(6):1-4.
[6] 肖云,韓崇昭,鄭慶華,等.基于粗糙集-支持向量機理論的過濾誤報警方法[J].電子與信息學報,2007,29(12):3011-3014.
[7] 穆成坡,黃厚寬,田盛豐,等.基于模糊綜合評判的入侵檢測報警信息處理[J].計算機研究與發展,2005,42(10):1679-1685.
[8] LI T.An immunity based network security risk estimation[J].Science in China Series F-Information Sciences,2005,48(5):557-578.
[9] HAINES J W,LPPMANN R P,FRIED D J,et al.DARPA intrusion detection system evaluation:design and procedures[R].Lexington:MIT Lincoln Laboratory,1999.