4 实验验证与结果分析

　　4.1  实验数据及参数设置

　　本实验所用数据集来自分布于清华大学校园网的IDS系统，包括5个基于Snort IDS[8]的监测点，监测4个不同大小的子网，覆盖IP地址空间超过/15。数据集共608,850条告警，来自于各个子网的入流量，持续时间超过一个月。

　　实验中，式(5)中的各参数设置如下：
　　T——本实验中，设置T为20分钟。
　　sm——缺省值即为Snort 规则的优先级。优先级1，2和3分别对应sm=3，2和1。进一步的，蠕虫文件传输相关规则的sm设为0.5，网页漏洞攻击尝试设为0.2，其他漏洞探测设为0.1，另外蠕虫扫描或其他端口扫描大致设为0.01。
　　wm——由于其作用只是对主机有所区分，本实验中，简单将监测网络中的所有主机设wm=1。
　　C`m——缺省值为0.6，另外根据各特征的不同属性，又进行了一些调整。
　　pm——缺省为0.5，对一些规则进行了修改。
　　qmi——目前实验中，简单设置qmi=0。

　　4.2  关于告警建模的结果分析

　　Alert分布  本文的重要前提是一攻击源很可能产生多个告警。数据集中61%的源地址产生多于一个告警，22%产生多于10个告警，一些源地址产生的告警甚至大于1000个。

　　每一源的burst数。burst数量的变化趋势并不于alert的变化趋势一致，同时，横轴前端的burst数很少，说明可以只用少量burst来概括由一些攻击产生的大量告警。

　　Event 与Alert  
　　本文方法中，使用event而非alert作为威胁估计的基本单元。因此，event的定义和使用去除了很多冗余信息，为后续分析提供了一个合理的基础。

　　Burst与Event  
　　二者分布存在很大差异。说明某些攻击活动产生的event数量可能仍很大，但burst却能够较好地对其进行概括。

　　Burst的属性

　　上述结果验证了burst告警模型的合理性，下文将对其进行进一步的分析。
　　每一burst的event数、特征数及持续时间。每一burst包含的event数也近似符合幂律分布。burst的持续时间分布在小于10秒或大于300秒，并且分布于后者的较多，表明IDS能够观测到，一次恶意活动经常持续较长一段时间。

　　较多event的burst却只包含少量的特征。通过对这些burst相关数据的观察发现，它们多数为与蠕虫或探测活动相关的告警。此结果说明：第一，尽管数据集所处期间并无蠕虫大规模爆发，一些蠕虫仍存在于Internet上，具有潜在威胁；第二，“探测”或“侦察”是攻击的重要步骤，对它们的深入分析应有助于攻击的早期检测。

　　burst比alert和event具有更规律的日周期性。注意到5月1日附近有一个明显的异常，当时有许多地址向被监测子网发出类似蠕虫Nachi[9] ping的ICMP ping数据包。在此种情形下，尽管每个burst的威胁估计并不高，但根据burst数量的迅速增加很容易发现网络运行中异常的发生。

　　4.3  关于威胁估计的结果分析

　　威胁估计结果分布于[0, 52]。50%以上的值大于0.1，同时只有约6%的值大于1。
　　威胁值是逐渐降低的，因此，网络管理员能够很容易地从中挑出特定数量的威胁性较大的源地址，从而采取进一步的措施。

　　为进一步验证威胁估计方法的准确性，实验中还手工分析了前20个威胁值最高的burst，如表1。表中列出了典型的恶意活动类型，每一burst与其中的一部分相关，由此说明了本文方法识别较高威胁的攻击的能力。此表还显示，大部分burst都与以大量主机为目标的探测活动相关，而只有少数(第9行和第10行)是针对特定目标的攻击，并且采用多种方法进行攻击尝试。

　　5  结论

　　本章提出了一个新的方法来分析IDS告警，并对恶意活动的威胁性进行评估。在burst告警模型中，告警被聚集为burst，有效去除了冗余告警的影响。而威胁估计方法则基于模型，并综合burst的各种特性来对其安全威胁进行量化。实验结果说明本框架能够很大程度地解决前文所述误用检测的问题，它的实现有助于监测网络上的恶意活动状态。

　　目前，本模型仅使用邻居告警的间隔来构造burst，作为未来工作，可以进一步研究是否存在更优的burst定义。另外，也希望研究实现一个反馈机制，使得burst构造和威胁估计的结果能够作为反馈，用于自动调整系统的参数配置。

　　参考文献：
　　[1] F. Cuppens: Managing alerts in a multi-intrusion detection environment. In Pro-ceedings of the 17th Annual Computer Security Applications Conference, December 2001
　　[2] A. Valdes and K. Skinner: Probabilistic alert correlation. In Proceedings of the 4th International Symposium on Recent Advances in Intrusion Detection, pages 54–68, 2001
　　[3] D. Xu, P. Ning: Alert Correlation through Triggering Events and Common Re-sources. In Proceedings of 20th Annual Computer Security Applications Conference, December 2004
　　[4] F. Cuppens and R. Ortalo: LAMBDA: A language to model a database for detection of attacks. In Proceedings of Recent Advances in Intrusion Detection, pages 197–216, September 2000
　　[5] H. Debar and A.Wespi: Aggregation and correlation of intrusion-detection alerts. In Recent Advances in Intrusion Detection, number 2212 in Lecture Notes in Computer Science, pages 85–103, 2001
　　[6] P. Ning, Y. Cui, D. S. Reeves: Constructing Attack Scenarios through Correlation of Intrusion Alerts. In Proceedings of the 9th ACM Conference on Computer and Communications Security, pages 245–254, Washington D.C., November 2002
　　[7] S. Templeton and K. Levit: A requires/provides model for computer attacks. In Proceedings of New Security Paradigms Workshop, pages 31–38. September 2000LU Y P, DAVID H C D. Performance study of iscsi-based storage subsystems[J]. IEEE Communications Magazine,2003,41(8): 76-82.
　　[8] M. Roesch: http://www.snort.org/
　　[9] W32.Welchia.Worm. http://www.symantec.com/avcenter/venc/data/w32.welchia.worm.html