基于信息共享的协同入侵检测模型研究(5)

图7 ROC曲线图        分布式低频扫描是一个典型的多点攻击。通常攻击者控制多台主机，而且这些主机的地址相关性很小，从这些主机上发起扫描，其目标可能是一个网段内随机选定的几台主机。与普通扫描不同的是，每一主机所扫描的目标主机端口号并不连续，而且两次扫描的较长，这样可以逃过大部分IDS的检查。为了测试协同检测算法对分布式低频扫描攻击是否有效，本文也设计了相应的攻击场景。在攻击过程中，产生的操作是攻击者控制的主机a₁ , a₂ …, a_m发起的到目标主机t₁ , t₂…, t_n的连接如表4所示。       上表中任意k_ij个随机端口均可能不同，而且在时间上间隔可能较大，各攻击主机之间的扫描通常是并行的，因此没有特定的时序关系。但是，对任意目标主机t_i，攻击主机a₁到a_m肯定覆盖了攻击者感兴趣的端口，它们通常是那些可能存在漏洞的系统服务所使用的端口。 对于任意目标主机t_i，协同入侵检测系统记录到的网络数据如下：          这些数据如果独立来看，只能说明存在连接企图。在对历史数据进行相关分析后，就可以发现实际上这些连接是分成多步进行的分布式端口扫描中的一步。进一步将对多个目标主机的连接企图按相关性放在一起，就知道扫描的目标主机范围，图8给出了对于垂直扫描和水平扫描的检测，限于将庞大检测数据作图的困难，这里只给出了一个C网段的检测结果示意图。 图8 分布式低频扫描检测 5  结论与进一步的工作       本文针对现有IDS警报数量多而不精的不足，提出了基于信息共享的协同检测模型和协同检测算法并实现了一个原型系统。原型系统采纳多个不同检测引擎作为分布式检测组件，通过协作服务，对不同来源的警报信息进行聚合和关联分析，最终生成抽象层次更高，更具有概括性的警报信息。最后采用数据集测试方法原型系统进行了测试，验证了模型和算法的可行性和有效性，实验测试结果表明，采用协同检测算法的协同检测系统有效地提高了检测率，降低了误报数量，特别是对分布式慢扫描等攻击有较好的检测效果。       在实验中我们也发现了在进一步工作中有待改进的问题。 关于攻击，因为实验中大部分攻击都是自动完成的，当攻击者获得目标主机的特权后，自动攻击机会返回成功标志，作为一个真实的攻击者必然会周密的实施进一步的入侵行为，但是自动攻击程序目前无法进行这些工作，尚需要手动完成。       如何精确的标定攻击仍是一个需要解决的问题，如今的方式通过控制时间窗大小来进行，如果可以进一步精确标定攻击，那么结果会更加精确。目前采用的以三元组加时间窗口为主的方法会有一些遗漏。       特征分类虽然不是算法的一部分，但却是非常重要的一环，无论是聚合还是关联分析都会使用到，因此分类的准确性直接影响最后输出警报的准确性。目前扫描类的特征分类已经比较完善，但是其他一些类的特征分类有待进一步改善。 参考文献
  [1] D. Curry and H. Debar. Intrusion Detection Message Exchange Format: Extensible Markup Language (XML) Document Type Definition, draft-ietf-idwg-idmef-xml-10.txt+, 2003.   [2]  M. Ester, H. P. Kriegel, J. Sander, X. Xu. A density-based algorithm for discovering clusters in large spatial databases[A]. In: Proc. of 1996 Int. Conf. Knowledge Discovery and Data Mining. Portland: Oregon, 1996, 226~231   [3] V. Paxson. Bro: A System for Detecting Network Intruders in Real-Time. Computer Networks, 1999, 31(23-24): 2435~2463   [4]  M. Roesch. Snort: Lightweight intrusion detection for networks. In: Proc. of LISA'99 13th Systems Administration Conference. Seattle, Washington, 1999, 229~238   [5]  M. Mahoney, P. K. Chan. Learning Models of Network Traffic for Detecting Novel Attacks, Florida Tech. technical report 2002.   [6]  W. H. Joshua, P. L. Richard, J. F. David, T. Eushiuan, B. Steve, A. Z. Marc. 1999 DARPA Intrusion Detection System Evaluation: Design and Procedures. TR1062, Massachusetts USA: MIT Lincoln Laboratory, 2001.   [7] R. P. Lippmann, J. W. Haines, D. J. Fried, J. Korba, K. Das. The 1999 DARPA Offline Intrusion Detection Evaluation. Computer Networks. 2000. 579~595   [8]  K. Kendall. A Database of Computer Attacks for the Evaluation of Intrusion Detection System. Thesis for Bachelor of Science in Computer Science and Engineering and Master of Engineering in Electrical Engineering and Computer Science, MIT, 1999.

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说工学类基于信息共享的协同入侵检测模型研究(5)在线全文阅读。