入侵檢測報警相關性及評測數據集研究

 收稿日期：2007-11-03；

修回日期：2008-01-11

基金項目：國家科技支撐計劃資助項目(2006BAF01A21)； 甘肅省自然科學基金資助項目（2007GS04066）



作者簡介：劉密霞（1976-），女，博士研究生，主要研究方向為網絡安全(liumx@lut.cn).

(蘭州理工大學 計算機與通信學院 蘭州 730050)

摘要：

首先對報警相關性技術和方法進行深入的研究，分析各種報警相關性方法的優缺點；在此基礎上提出了基于多源數據融合的報警相關性功能模型；然后對報警相關性的評測數據集進行了討論，分析它們適用的范圍和存在的問題；最后指出了報警相關性的發展方向。

關鍵詞：入侵檢測； 報警相關性； 數據集； 數據融合

中圖分類號：TP393

文獻標志碼：A

文章編號：1001-3695(2008)10-3108-04

Survey of alerts correlation and testing dataset of intrusion detection system

LIU Mi-xia ZHANG Qiu-yu ZHAO Hong YU Dong-mei

(College of Computer Communication Lanzhou University of Technology Lanzhou 730050 China)

Abstract:

At first this paper studied technology and method of alert correlation for analyzing their advantages and disadvantages. Then presented alert correlation model based on multi-sources data fusion. After that discussed evaluation dataset for analyzing their used scope and existent problems. At last described future research and development.

Key words：intrusion detection; alert correlation; dataset; data fusion

0引言

在動態網絡安全模型P2DR中，IDS是其中一個重要的組成部分，扮演著數字空間預警機的角色[1]。IDS根據它的檢測機制可分為誤用檢測和異常檢測；根據它們所分析的審計數據源可分為基于主機的IDS和基于網絡的IDS。依據特征進行檢測的網絡IDS因為良好的檢測性能而被廣泛使用，但是它們是根據每一個惡意包進行報警的，而且容易檢測到許多復雜攻擊的單步行為，因此會產生大量的、重復的報警。此外，IDS的誤報率和漏報率都很高[2]。當產生大量的報警或是很多錯誤報警時，網絡安全管理員將被這些無用的報警所淹沒。更為嚴重的是，由于報警的大量到達，安全管理員不能及時地作出決策并進行響應。

為了解決IDS所帶來的問題，許多研究人員從2000年開始進行入侵檢測報警相關性的研究。目前提出了大量的分析方法，如報警聚類[3~6]、規劃識別[7~9]、因果推理等[10~13]。Tim Bass提出了下一代網際空間的入侵檢測系統需要融合來自多種異構分布式網絡傳感器的數據來有效地創建網際空間的態勢意識[14~15]。文獻[16~19]討論了來自不同安全工具（如IDS、防火墻、系統檢測工具、脆弱性掃描工具等）的多源數據的相關性處理。

進行報警相關性研究可以實現如下目標：a)通過報警聚類來減少報警的數量；b)通過管理、分析和解釋報警數據流，可以提高報警的有效性[3]；c)通過相關獨立的報警來構建攻擊場景并從其他安全工具獲得入侵證據以減少誤報和漏報；d)在攻擊發生之后發現入侵者的攻擊策略，識別下一步的入侵行為，并進行入侵響應；e)通過融合來自不同網絡級別的IDS報警來擴大IDS的檢測范圍；f)進行有效的威脅分析和網絡安全態勢評估。

1報警相關性技術與方法

報警相關性處理是指對IDS所產生的大量報警進行精簡、提取、驗證、推測大量報警背后發生的攻擊意圖，其一般處理過程如圖1所示。首先通過報警聚類減少報警的數量，再對這些元報警進行相關，過濾掉錯誤的報警；最后根據報警之間的因果關系構建攻擊場景。

1.1基于聚類的報警相關性

報警聚類通常處理的是合并由一個或多個IDS所產生的報警，如果這些報警針對的是某一個攻擊，就把它們融合為一個稱做元報警的高級報警信息，它概括了所檢測攻擊的特征。文獻[6]根據攻擊類型、IP地址、TCP/UDP源和目的端口以及時間等特性來計算相似度，并定義了報警聚類的權重函數。文獻[4]提出了一個在線的報警聚類算法，除了減少報警數量外主要目的是提取攻擊類型所屬的攻擊描述。文獻[3]采用概念聚類和分層抽象的方法進行分類，在實踐中取得了較好的效果。報警聚類的主要目的是通過報警分類減少報警的數量，在某種程度上降低了誤報率，但這種方法是用一個相似函數來判斷兩個報警之間的相似性，并不能發現報警之間的本質關系。

1.2基于已知攻擊場景庫的報警相關性

基于已知攻擊場景庫的報警關聯方法在擁有一個完整的已知攻擊場景庫的基礎上，通過一系列關聯分析技術來識別報警流中包含的攻擊場景。Petri網被用來構造和檢測攻擊場景，它需要對每一種復合攻擊過程建模，并將建立的模型存入攻擊模型庫。攻擊場景的檢測即為與模型庫中模型的匹配過程[20]。Honeywell Lab的Geib等人首次應用規劃識別技術來解決入侵檢測中的報警關聯問題[8]，提出了基于攻擊規劃執行模型的報警關聯算法。該方法的問題是需要建立的模型數目相當龐大，造成工作量大、易出錯，而且攻擊場景庫的準確性和完備性難以得到檢驗。同時，新攻擊方法的不斷出現，以及攻擊動作的多樣性和隨意性勢必給及時更新補充模型庫增加難度。為此，文獻[21]提出了基于攻擊意圖的攻擊檢測方法，不是以攻擊動作建立攻擊場景庫，而是以攻擊動作背后對應的攻擊意圖來構建攻擊場景庫。這樣可以減少攻擊場景庫的數量，但是卻需要建立報警信息與攻擊意圖的一一對應關系。

1.3基于推理的報警相關性

在一個由多步攻擊組成的入侵過程中，一個攻擊的后果就是下一個攻擊的前因。基于這一思想，Cuppens等人開發了報警關聯模塊CRIM[10]，Ning等人開發了TIAA系統[11]。這種報警關聯方法不需要對所有可能的攻擊場景進行描述和存儲，只需要對單個攻擊行為動作進行建模，準確定義每個攻擊的前提和所引起的后果，因此攻擊場景庫的構建和維護較為可行。同時，可以識別和報告不同攻擊組合形成的新攻擊過程。如果新的攻擊步驟之間不具有因果關系，就不能進行有效的關聯。此外，由于關聯時搜索空間較大、處理時間長，對計算資源消耗大，不適合實時在線操作。Qin等人采用一種時序因果分析算法GCT(granger causality test)，通過計算報警事件之間的GCI (granger causality index)指數實現報警關聯[22]。這種方法可以發現新的攻擊過程或報警關聯序列，不需要攻擊行為的先驗知識。但是在確定Bayes網絡節點CPT的報警優先級計算，以及GCT關聯所產生的候選因果報警的檢驗都是依據經驗來進行的。

1.4可視報警相關性

許多研究者通過可視化來解決復雜的數據問題。近年來許多安全會議和權威期刊中報告了攻擊可視化的研究工作。一些可視化的研究只是網絡中的數據流，將源和目的IP地址、源和目的TCP/UDP端口，以及所應用的協議通過二維或三維的形式顯示，如NvisionIP[23]、VisFlowConnect[24]。可視化IDS Spinning Cube of Potential Doom[25]和Secure Decision’s Secure Scope[19]在三維空間中盡可能多地顯示網絡中實時存在的信息，但是它們并不提供包數據的相關性處理。Portall[26]把發送或接收包的主機與每個包進行可視化的相關性處理，主要使網絡管理員可以看到網絡連接是如何與運行的主機相關的。

VisAlert[27，28]提供了一個可視化的報警比較平臺，將報警的類型、時間與發生報警的節點進行比較，主要是報警聚類的可視化表示。它們把網絡報警在兩個域中顯示，一個域表示節點屬性，一個二維域表示時間和類型屬性。如圖2所示，把節點域映射為一個包含網絡拓撲圖的中心圓，類型屬性是覆蓋在中心圓外面的環，時間屬性是從中心圓引出的半徑。但是它依賴于安全管理員的經驗，通過觀測從中心圓的網絡節點到報警類型連接線的密度來觀測可疑行為，并且對多步攻擊不能進行有效的關聯。

1.5基于多源數據報警相關性

上面的報警相關性方法可以減少報警的數量、降低誤報率、發現復雜的攻擊。但是這些方法僅依靠IDS所產生的報警，它受到IDS所放的位置、規則集以及網絡帶寬的影響。同時，這些方法又過多地依靠專家知識。因此，許多研究人員提出了多源數據的報警相關性研究。Morin等人提出了一個M2D2概念模型，主要考慮四種類型的信息：所檢測系統的屬性、脆弱性、安全工具、所觀測到的事件[17]。Siaterlis等人融合Snort和Netflow收集的數據來推理DDoS攻擊[29]。Zhai等人使用Bayesian網絡來構建入侵過程，并從脆弱性掃描工具和系統檢測工具處獲得入侵的證據[16]。

這些方法可以在一定程度上提高報警質量，并沒有真正應用數據融合的方法進行報警相關性處理，對網絡安全管理員來說還是不能了解網絡的態勢，也就是理解網絡當前的狀態，并預測網絡下一階段的安全狀況。本文在分析現有工作的基礎上提出了基于多源數據融合的報警相關性框架。

2基于多源數據融合的報警相關性模型

數據融合一詞出現在20世紀70年代，并于80年代發展成為一項專門技術，它是人類模仿自身信息處理能力的結果。數據融合從軍事應用角度而言，是將來自多傳感器和信息源的數據及信息加以聯合、相關和組合，獲得精確的位置估計和身份估計，以及對戰場情況和威脅及其重要程度進行實時的完整評價[30]。隨著數據融合和計算機應用技術的發展，根據國內外的研究成果，多傳感器數據融合是指充分利用不同時間與空間的多傳感器數據資源，利用計算機技術對按時間序列獲得的多傳感器觀測數據，在一定準則下進行分析、綜合、支配和使用，獲得對被測對象的一致性解釋與描述，進而實現相應的決策和估計，使系統獲得比它的各組成部分更充分的信息。JDL(joint directors of laboratories)數據融合模型促進系統管理人員、理論研究者、設計人員、評估人員相互之間更好的溝通和理解，從而使得整個系統的設計、開發和實施過程得以高效順利地進行。

Tim Bass根據JDL提出基于數據融合的入侵檢測框架，但卻沒有實現具體的原型系統[14]。本文在此基礎上提出的基于數據融合的報警相關性功能模型如圖3所示。對報警相關性處理分為三個層次進行：第一級為多源數據輸入層，數據源不僅有IDS報警，還包括防火墻、防病毒軟件、漏洞掃描器以及網絡流數據等；第二級為報警提煉層，首先對IDS報警進行聚類，接著從其他數據源處驗證報警的真實性并產生攻擊動作，然后對攻擊動作進行相關并構建攻擊場景；第三級為態勢輸出層，根據報警提煉出的信息產生假設，由數據庫中的態勢分類信息推理網絡當前的態勢，并對下一步的網絡安全狀況進行預測。

由于報警和攻擊動作不是一一對應的關系，在報警提煉級使用擴展的CPN（colored Petri net）增加報警集，并根據系統狀態的信息和從其他安全工具處獲得證據來構建攻擊場景的ECPN模型。態勢輸出層是對報警提煉層的延伸，這一過程可記做在已知攻擊知識A=（A1，A2，…，Am）和實時報警信息Alert=（Alert1，Alert2，…，Alertl）的情況下得到態勢H=（H1，H2，…，Hn）的假設結果P（H|K，D），P表示每個備選假設（態勢）有一個不確定的概率關聯值或置信度。問題的關鍵在于對網絡安全態勢的分類，以及推理出網絡安全的等級。最后安全管理員根據安全等級和攻擊的情況快速地進行決策與響應。

3報警相關性評測數據集

許多安全機構每天會收集到大量的防火墻日志、系統日志和入侵檢測報警，從中獲得有價值的數據是所面臨的挑戰之一。利用評測數據集對報警關聯算法進行評測可以證實關聯算法的有效性，同時也能反映關聯算法的缺陷與不足。當前DARPA 2000[31]數據集被廣泛應用于報警相關性的評測，但是還沒有統一的標準和參數。Ning等人的TIAA系統給出了有關此數據集的完整實驗結果[11]，Yu等人[13]給出了詳細的評測參數。文獻[32]第一次給出了報警相關器系統的實驗驗證。

3.1MIT Lincoln Lab數據集

MIT LL數據集不僅是IDS評測測試的典范，也是目前為止學術界最具影響力的入侵檢測評測研究。MIT LL公開發布的評測數據集有MIT 1998、MIT 1999、MIT 2000。1998年和1999年的評測中有很多種類的攻擊實例，可以認為是一種廣度測試，以測試出入侵檢測系統對攻擊檢測的覆蓋度，也就是能夠準確檢測出多少種攻擊。

DARPA 2000攻擊場景測試數據集LLDOS 1.0和LLDOS 2.0.2被廣泛應用于入侵報警關聯算法的有效性驗證。LLDOS 1.0包含一系列的攻擊，攻擊者先通過IPSweep進行活動主機的探測；然后進行端口掃描查找有Sadmind漏洞的主機后，進行緩沖區溢出攻擊該漏洞；再通過Rsh登錄到攻擊源主機上安裝DDoS攻擊的木馬軟件，利用被控主機對目標發起DDoS攻擊。LLDOS 2.0.2的攻擊過程與LLDOS 1.0類似，區別是漏洞探測采用了更加隱蔽的方式，而拷貝攻擊代理軟件采用了FTP上傳的方法。2000年所采用的這種方案，可以認為是一種深度測試，集中地測試入侵檢測系統對于某一種攻擊的檢測效果，對檢測算法和檢測機制可以進行深入的分析。GCP（grand challenge problem）的攻擊場景由DARPA Cyber Panel Program提供，也被應用于報警相關性測試，但是對原始GCP數據集的訪問是非常嚴格的。

3.2Scan of the month數據集

Scan of the month[33]是Honeynet Project為了增強研究人員的安全能力而設置的三項挑戰活動之一，主要鍛煉安全研究人員的日志分析能力。由于是每個月舉辦一次，故稱為scan of the month(SOTM)。SOTM所分析的數據來自各種攻擊場景，涉及多種操作系統及其漏洞。Scan of the month 27是有關關聯分析的數據，是Azusa Pacific University Honeynet Project的一臺Windows 2000密罐（honeypot）所捕獲的關于botnet的一個二進制數據包記錄。該記錄主要反映了一個使用IRC服務器作為黑客指揮中心，僵尸主機通過IRC客戶端接收指令的僵尸網絡的活動情況。為了驗證報警關聯算法在實際環境中的有效性，可以在互聯網上部署的蜜網環境中捕獲的實際僵尸網絡攻擊場景數據對報警關聯算法進行測試。

3.3Defcon數據集

Defcon數據集是由網絡安全專家聯會Shmoo Group免費提供的在Defcon大會上的一系列黑客競賽的數據集，主要為研究者提供數據，促進更安全軟件的開發[34]。參賽隊伍進行“奪旗”（capture the flag）比賽，在這場電腦安全大戰中，參賽者的目標是進攻對手的網絡，但同時又得看好自己的地盤，所以這個數據集的攻防實力是相當的。Defcon 8 CTF數據集可用于報警關聯算法的性能測試。

MIT的數據集分為訓練數據集和測試數據集。訓練數據集中攻擊被標記出來可以調整IDS的工作狀態為最佳，再利用評測數據集進行測試。但是MIT數據集的內容已經陳舊，并且網絡應用環境帶寬是10 Mbps以太網。為此，文獻[35]提出了數據評測集的改進方案。Scan of the month和Defcon數據集中的攻擊數據可以反映當前新的攻擊行為，可用于黑客行為和攻擊模式的研究，但是卻沒有攻擊標記。Scan of the month數據集防御方比較弱，甚至沒有防御；而Defcon數據集的攻防兩方是勢均力敵的，因此Defcon數據集更符合實際情況。

4結束語

入侵檢測在大規模分布式系統中的應用越來越受到關注，分布式系統的異構性和自治性以及傳統入侵檢測系統自身的缺陷使得重復的、不完善的或不完整的報警數據大量泛濫，系統管理員難以控制和管理報警數據，導致漠視報警，產生極高的誤報率和漏報率，入侵意圖的識別也變得更加困難，從而不能及時對入侵作出相應反應，給系統帶來巨大的損失。報警關聯技術是解決上述問題的一種有效方法。目前的報警關聯技術雖然取得了一定的進展，但需要從以下幾個方面進行改進：

a）為了提高報警的質量，數據源應該從單一的IDS報警向多源數據包括防火墻、系統日志、漏洞掃描工具和系統檢測工具等轉變；需要進行多傳感器相關性算法的研究，以提高識別重大安全違反模式的檢測準確率和降低漏報和誤報率。

b）因為網絡安全評估是復雜網絡中安全防范和風險評估的重要環節，所以應該進行網絡態勢分析的研究。網絡態勢不僅反映網絡的當前狀態，而且根據各種網絡設備的運行狀況、網絡行為以及用戶行為等因素所引起的網絡狀態的下一步變化趨勢，判斷網絡的威脅狀況。

c）就像人類的大腦可以把來自五官中的各種信息融合在一起，使人們得到一個完整視圖一樣，應用可視化處理可以得到整個網絡安全狀態的“big picture”。傳統的對報警的文字或表格表示可以很好地按序列研究報警事件，但是卻不能同時看到這些安全事件，因此應用可視化方式對復雜數據源進行相關性表達是一項重要的研究內容。

參考文獻：

[1]卿斯漢，蔣建春，馬恒太，等.入侵檢測技術研究綜述[J].通信學報，2004，25(7):19-29.

[2]JULISCH K DACIER M. Mining intrusion detection alarms for actionable knowledge[C]//Proc of the 8th ACM International-Con-ference on Knowledge Discovery and Data Mining. 2002:366-375.

[3]穆成坡，黃厚寬，田盛豐.入侵檢測系統報警信息聚合與關聯技術研究綜述[J].計算機研究與發展，2006，43(1):1-8.

[4]PERDISCI R GIACINTO G ROLI F. Alarm clustering for intrusion detection systems in computer networks[J]. Engineering Applications of Artificial Intelligence 2006，19:429-438.

[5]DEBAR H WESPI A. Aggregation and correlation of intrusion detection alerts[C]//Proc of the 4th International Symposium on Recent Advances in Intrusion Detection 2001. London: Springer-Verlag 2001:85-103.

[6]VALDES A SKINNER K. Probabilistic alert correlation[C]//Proc of the 4th International Symposium on Recent Advances in Intrusion Detection.[S.l.]:Springer-Verlag 2001:54-68.

[7]諸葛建偉，韓心慧，葉志遠，等.基于擴展目標規劃圖的網絡攻擊規劃識別算法[J]. 計算機學報，2006，29(8):1356-1366.

[8]GEIB C W GOLDMAN R P. Plan recognition in intrusion detection system[C]//Proc of DARPA Information Survivability Conference and Exposition(DISCEX Ⅱ’01). 2001.

[9]XU Hui FENG Jin-wen PAN Ai-min. A novel temporal scenario recognition algorithm and its application in intrusion detection alert fusion[J]. Journal of Peking University 2005，41(3):448-459.

[10]CUPPENS F MIEGE A. Alert correlation in a cooperative intrusion detection framework[C]//Proc of 2002 IEEE Symposium on Security and Privacy. 2002.

[11]NING P CUI Y REEVES D S. Constructing attack scenarios through correlation of intrusion alerts[C]//Proc of the 9th ACM Conference on Computer and Communications Security. New York: ACM 2002:245-254.

[12]NING P XU D HEALEY C et al. Building attack scenarios through integration of complementary alert correlation methods[C]//Proc of the 11th Annual Network and Distributed System Security Symposium(NDSS’04). 2004:97-111.

[13]YU Dong FRINCKE D. Improving the quality of alerts and predicting intruder’s next goal with hidden colored Petri-net[J]. Computer Networks 2007，51(3):632-654.

[14]BASS T. Intrusion systems and multisensor data fusion: creating cyberspace situational awareness[J]. Communications of the ACM 2000，43(4):99-105.

[15]BASS T. Multisensor data fusion for next generation distributed intrusion detection systems[C]//Proc of 1999 IRIS National Symp on Sensor and Data Fusion. 1999:24-27.

[16]ZHAI Y NING P IYER P et al. Reasoning about complementary intrusion evidence[C]//Proc of the 20th Annual Computer Security Applications Conference. 2004:39-48.

[17]MORIN B M′E L DEBAR H et al. M2D2: a formal data model for IDS alert correlation[C]//Proc of the 5th International Symposium on Intrusion Detection(RAID 2002). 2002:115-137.

[18]PORRAS P A FONG M W VALDES A. A mission-impact-based approach to INFOSEC alarm correlation[C]//Proc of the 5th International Symposium on Recent Advances in Intrusion Detection(RAID 2002). 2002:95-114.

[19]D′AMICO A. Cyber defense situational awareness[C]//Proc of Brookhaven National Laboratory Conference on Computer Security in a Collaborative Science Environment. 2000.

[20]KUMAr S SPAFFORD E H. A pattern matching model for misuse intrusion detection[C]//Proc of the 17th National Computer Security Conference. Maryland:[s.n.] 1994:11-21.

[21]嚴芬，黃皓，殷新春.基于CTPN的復合攻擊檢測方法研究[J]. 計算機學報，2006，29(8):1383-1391.

[22]QIN Xin-zhou LEE W. Statistical causality analysis of INFOSEC-alert data[C]//Proc of the 6th International Symposium on Intrusion Detection. Pittsburgh:[s.n.] 2003:73-94.

[23]BEARAVOLU R LAKKARAJU K YURCIK W. NVisionIP: an animate state analysis tool for visualizing netFlows[C]//Proc of FLOCON Network Flow Analysis Workshop(Network Flow Analysis for Security Situational Awareness). 2005.

[24]YIN Xiao-xin YURCIK W SLAGELL A. The design of VisFlowConnect -IP: a link analysis system for IP security situational awareness[C]//Proc of the 3rd IEEE International Workshop on Information Assurance (IWIA). 2005.

[25]LAU S. The spinning cube of potential doom[J]. Communications of the ACM 2004，47(6):25-26.

[26]FINK G A MUESSIG P NORTH C. Visual correlation of host processes and network traffic[C]//Proc of VizSec. 2005:11-19.

[27]LIVNAT Y，AGUTTER J，MOON S，et al. Visual correlation for situational awareness[C]//Proc of IEEE Symposium on Information-Vi-sualization(INFO VIS’05). 2005:95-102.

[28]FORESTI S AGUTTER J LIVNAT Y et al. Visual correlation of network alerts[J]. IEEE Computer Graphics and Applications 2006，26(2):48-59.

[29]SIATERLIS C MAGLARIS B. Towards multisensor data fusion for DoS detection[C]//Proc of 2004 ACM Symposium on Applied Computing. 2004:439-446.

[30]韓崇昭，朱洪艷，段戰勝，等.多源信息融合[M].北京:清華大學出版社，2006.

[31]MIT Lincoln Lab. 2000 DARPA intrusion detection scenario-specific datasets[EB/OL].(2000).http://www.ll.mit.edu/ IST/ ideval/data/2000/2000 data index.html.

[32]HAINES J，RYDER D K，TINNEL L，et al.Validation of sensor alert correlators[J]. IEEE Security Privacy 2003，1(1):46-56.

[33][EB/OL].(2000).http://www.honeynet.org/scans/index.html.

[34][EB/OL].http://cctf.shmoo.com.

[35]史美林，錢俊，許超.入侵檢測系統數據集評測研究[J]. 計算機科學，2006，33(8):1-8.