《支持向量機(jī)理論及其在網(wǎng)絡(luò)安全中的應(yīng)用》課件第4章

第4章支持向量機(jī)在入侵報(bào)警過(guò)濾中的應(yīng)用4.1入侵報(bào)警過(guò)濾概述4.2支持向量機(jī)應(yīng)用于入侵報(bào)警過(guò)濾的可行性分析4.3基于支持向量機(jī)的入侵報(bào)警過(guò)濾方法4.4小結(jié)

4.1入侵報(bào)警過(guò)濾概述

下面給出真報(bào)警和誤報(bào)警的定義。

定義4.1.1(真報(bào)警)由入侵檢測(cè)系統(tǒng)對(duì)攻擊情況產(chǎn)生的正常報(bào)警稱(chēng)為真報(bào)警。

定義4.1.2(誤報(bào)警)由入侵檢測(cè)系統(tǒng)對(duì)正常情況產(chǎn)生的錯(cuò)誤報(bào)警稱(chēng)為誤報(bào)警。4.1.1入侵檢測(cè)系統(tǒng)中的誤報(bào)警及產(chǎn)生的原因

入侵檢測(cè)系統(tǒng)中誤報(bào)警產(chǎn)生的原因主要分為兩類(lèi)[92]：

(1)攻擊特征描述不完善或者檢測(cè)系統(tǒng)自身在算法與分析方法等方面存在缺陷。例如某個(gè)IDS檢測(cè)到一個(gè)Nmap攻擊從而觸發(fā)報(bào)警，實(shí)際是由某個(gè)用戶(hù)正在發(fā)起一個(gè)點(diǎn)對(duì)點(diǎn)(peer-to-peer)請(qǐng)求引起的，這個(gè)Nmap報(bào)警就是一個(gè)第一類(lèi)誤報(bào)警[93]。第一類(lèi)誤報(bào)警可以通過(guò)提高攻擊特征的描述準(zhǔn)確性及檢測(cè)算法的準(zhǔn)確性加以解決。隨著入侵檢測(cè)技術(shù)的提高，這種誤報(bào)警會(huì)越來(lái)越少。

(2)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)確實(shí)包含攻擊特征，但是對(duì)于具體的目標(biāo)或者環(huán)境沒(méi)有作用或不構(gòu)成威脅，仍被判定為攻擊。例如某個(gè)IDS檢測(cè)到一個(gè)子網(wǎng)受到CodeRed攻擊而產(chǎn)生報(bào)警，實(shí)際上這個(gè)被攻擊的子網(wǎng)是UNIX子網(wǎng)，CodeRed攻擊根本不起作用，但是由于數(shù)據(jù)包中含有CodeRed攻擊特征“default.ida”，導(dǎo)致IDS還是產(chǎn)生了CodeRed攻擊的報(bào)警，這個(gè)報(bào)警即為第二類(lèi)誤報(bào)警。當(dāng)前入侵檢測(cè)系統(tǒng)中急需解決的主要是第二類(lèi)誤報(bào)警。4.1.2誤報(bào)警過(guò)濾方法的研究現(xiàn)狀

目前，研究者已經(jīng)在降低IDS誤報(bào)警方面取得了一定的研究成果：

(1)?Manganaris等人通過(guò)分析報(bào)警流來(lái)發(fā)現(xiàn)關(guān)聯(lián)規(guī)則，并提出一個(gè)過(guò)濾誤報(bào)警的框架[94]。

(2)?Wang等人通過(guò)對(duì)黑客行為進(jìn)行分析，得出了與誤報(bào)警相關(guān)的7個(gè)屬性，然后使用三種基于數(shù)據(jù)挖掘和統(tǒng)計(jì)模型的方法估計(jì)誤報(bào)警發(fā)生的可能性，以降低誤報(bào)警[95]。

(3)?Alharby等人首先對(duì)“正?！眻?bào)警進(jìn)行特征提取，然后使用連續(xù)和離散序列模式來(lái)檢測(cè)報(bào)警數(shù)據(jù)中的誤報(bào)警情況以降低誤報(bào)警[96]。

(4)數(shù)據(jù)挖掘技術(shù)也被用來(lái)降低IDS中的誤報(bào)警，該方法通過(guò)建立一個(gè)誤報(bào)警的分類(lèi)模型來(lái)降低網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的誤報(bào)警[97]。即先建立一個(gè)誤報(bào)警的分類(lèi)模型，然后通過(guò)使用誤報(bào)警分類(lèi)規(guī)則對(duì)當(dāng)前報(bào)警進(jìn)行判斷，以降低誤報(bào)警同時(shí)提高IDS的檢測(cè)率。

(5)?Pietraszek采用RIPPER規(guī)則建立真報(bào)警和誤報(bào)警的分類(lèi)器，開(kāi)發(fā)出了一個(gè)降低誤報(bào)警的原型系統(tǒng)ALAC(AdaptiveLearnerforAlertClassification)，能夠顯著降低誤報(bào)警[98]。

(6)?Zhang等人使用文本分類(lèi)的方法抑制入侵檢測(cè)的誤報(bào)警[99]。即通過(guò)對(duì)傳統(tǒng)的tf-idf權(quán)重模型進(jìn)行修正，在考慮了進(jìn)程和會(huì)話(huà)的必要信息的基礎(chǔ)上使用KNN和OneClassSVM兩種方法來(lái)抑制入侵檢測(cè)系統(tǒng)中的誤報(bào)警。

(7)異常檢測(cè)的思想也被應(yīng)用于降低IDS的誤報(bào)警，即通過(guò)對(duì)IDS的正常報(bào)警模式進(jìn)行建模，使用最近鄰法(KNN)構(gòu)造分類(lèi)器對(duì)輸入的報(bào)警進(jìn)行異常檢測(cè)[100]。

4.2支持向量機(jī)應(yīng)用于入侵報(bào)警

過(guò)濾的可行性分析

入侵檢測(cè)系統(tǒng)產(chǎn)生的報(bào)警數(shù)據(jù)包含非常豐富的信息，我們通過(guò)對(duì)報(bào)警數(shù)據(jù)進(jìn)行分析，獲得根源性報(bào)警屬性和時(shí)間性報(bào)警屬性(具體定義見(jiàn)4.3節(jié))以區(qū)分真報(bào)警和誤報(bào)警。根據(jù)這些屬性，我們將每條報(bào)警數(shù)據(jù)轉(zhuǎn)化為一個(gè)向量，此時(shí)報(bào)警數(shù)據(jù)集上的誤報(bào)警過(guò)濾問(wèn)題，可轉(zhuǎn)化為在該數(shù)據(jù)集上的分類(lèi)問(wèn)題，即通過(guò)某個(gè)分類(lèi)器將報(bào)警數(shù)據(jù)分為真報(bào)警和誤報(bào)警，從而可將誤報(bào)警從真報(bào)警中分離出來(lái)。和入侵檢測(cè)系統(tǒng)需要處理的數(shù)據(jù)特性一樣，報(bào)警過(guò)濾所處理的數(shù)據(jù)同樣具有高維、小樣本和不可分性[101]。由第3章的內(nèi)容可知，支持向量機(jī)是在小樣本學(xué)習(xí)的基礎(chǔ)上發(fā)展起來(lái)的分類(lèi)器設(shè)計(jì)方法，專(zhuān)門(mén)用于小樣本數(shù)據(jù)，而且對(duì)數(shù)據(jù)維數(shù)不敏感。上述數(shù)據(jù)的一些困擾傳統(tǒng)分類(lèi)器設(shè)計(jì)的難點(diǎn)，如高維、小樣本、輸入空間不可分等問(wèn)題，對(duì)SVM而言均不受影響。因此SVM方法適合于入侵檢測(cè)領(lǐng)域的分類(lèi)器設(shè)計(jì)，將其應(yīng)用于入侵檢測(cè)領(lǐng)域是可行的。具有小樣本學(xué)習(xí)能力的支持向量機(jī)理論可以較好地解決這個(gè)分類(lèi)問(wèn)題。在此，我們利用標(biāo)定的訓(xùn)練數(shù)據(jù)得到支持向量機(jī)的訓(xùn)練模型，并使用標(biāo)定的測(cè)試數(shù)據(jù)進(jìn)行分類(lèi)(測(cè)試數(shù)據(jù)的標(biāo)定結(jié)果只用來(lái)驗(yàn)證分類(lèi)的效果)，從而達(dá)到過(guò)濾誤報(bào)警的目的。

4.3基于支持向量機(jī)的入侵報(bào)警過(guò)濾方法

4.3.1基本報(bào)警屬性

IDS的原始報(bào)警數(shù)據(jù)包含著非常豐富的信息，圖4.3.1給出了Snort在完整模式下的一段報(bào)警數(shù)據(jù)。圖4.3.1中共包含兩條完整的報(bào)警數(shù)據(jù)，其中包含了報(bào)警時(shí)間、報(bào)警名稱(chēng)、優(yōu)先級(jí)、源IP、目的IP、源端口、目的端口、協(xié)議類(lèi)型、數(shù)據(jù)包長(zhǎng)度、漏洞信息等。圖4.3.1Snort的報(bào)警數(shù)據(jù)

定義4.3.1(根源性報(bào)警屬性)從報(bào)警發(fā)生的根源的角度出發(fā)，以分析黑客的攻擊行為而獲取的報(bào)警屬性稱(chēng)為根源性報(bào)警屬性。

如Wang等人通過(guò)對(duì)黑客行為進(jìn)行分析，從原始的報(bào)警信息中得出了與誤報(bào)警相關(guān)的7個(gè)屬性[95]。

定義4.3.2(時(shí)間性報(bào)警屬性)從報(bào)警發(fā)生的時(shí)間的角度出發(fā)，以調(diào)整時(shí)間窗的大小而獲取的報(bào)警屬性。

如Pietraszek分別以1分鐘、5分鐘和30分鐘時(shí)間窗中滿(mǎn)足一定條件的報(bào)警的個(gè)數(shù)作為不同屬性的值，用于增加報(bào)警分類(lèi)的效果[98]。我們?cè)诙哐芯康幕A(chǔ)上，綜合根源性報(bào)警屬性和時(shí)間性報(bào)警屬性，總結(jié)出了區(qū)分真報(bào)警和誤報(bào)警的19個(gè)基本報(bào)警屬性，既彌補(bǔ)了Wang等人過(guò)多的考慮根源性報(bào)警屬性而忽略了時(shí)間性報(bào)警屬性的不足，又改正了Pietraszek僅僅考慮時(shí)間性報(bào)警屬性而較少考慮根源性報(bào)警屬性的缺陷。19個(gè)屬性具體描述如下[102]。

(1)?IP地址的分類(lèi)屬性：Source-IP-Class，Destination-IP-Class。將源IP和目的IP按照不同的子網(wǎng)進(jìn)行分類(lèi)，即分為外網(wǎng)、內(nèi)網(wǎng)、非軍事區(qū)(DMZ)，分別用1、－1和0表示。

(2)黑客行為的時(shí)段屬性：Source-IP-Timing-Regularity，Destination-IP-Timing-Regularity。將一天24小時(shí)分成四個(gè)時(shí)間段，上午：6:00～12:00，下午：12:00～18:00，前半夜：18:00～24:00，后半夜：24:00～6:00。Source-IP-Timing-Regularity和Destination-IP-Timing-Regularity的計(jì)算公式為：

Source-IP-Timing-Regularity=NumS-S-IP-S-TR/NumS-S-IP

(4.3.2)

其中，NumS-S-IP-S-TR表示一天中和當(dāng)前報(bào)警同源IP且同時(shí)間段的報(bào)警數(shù)目，NumS-S-IP表示和當(dāng)前報(bào)警同源IP的報(bào)警數(shù)目。

Destination-IP-Timing-Regularity=NumS-D-IP-S-TR/NumS-D-IP

(4.3.3)

其中，NumS-D-IP-S-TR表示一天中和當(dāng)前報(bào)警同目的IP且同時(shí)間段的報(bào)警數(shù)目，NumS-D-IP表示和當(dāng)前報(bào)警同目的IP的報(bào)警數(shù)目。

(3)?1、5、30分鐘內(nèi)同源IP攻擊屬性：Same-Source-IP-1，Same-Source-IP-5，Same-Source-IP-30。

Same-Source-IP-1=NumS-S-IP-1/Num1

(4.3.4)

其中，NumS-S-IP-1表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前1分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同源IP的報(bào)警數(shù)目，Num1表示這1分鐘內(nèi)所有的報(bào)警數(shù)目。

Same-Source-IP-5=NumS-S-IP-5/Num5

(4.3.5)其中，NumS-S-IP-5表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前5分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同源IP的報(bào)警數(shù)目，Num5表示這5分鐘內(nèi)所有的報(bào)警數(shù)目。

Same-Source-IP-30=NumS-S-IP-30/Num30

(4.3.6)

其中，NumS-S-IP-30表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前30分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同源IP的報(bào)警數(shù)目，Num30表示這30分鐘內(nèi)所有的報(bào)警數(shù)目。

(4)?1、5、30分鐘內(nèi)同目的IP攻擊屬性：Same-Destination-IP-1，Same-Destination-IP-5，Same-Destination

-IP-30。

Same-Destination-IP-1=NumS-D-IP-1/Num1

(4.3.7)

其中，NumS-D-IP-1表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前1分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同目的IP的報(bào)警數(shù)目。

Same-Destination-IP-5=NumS-D-IP-5/Num5

(4.3.8)其中，NumS-D-IP-5表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前5分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同目的IP的報(bào)警數(shù)目。

Same-Destination-IP-30=NumS-D-IP-30/Num30

(4.3.9)

其中，NumS-D-IP-30表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前30分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同目的IP的報(bào)警數(shù)目。

(5)?1、5、30分鐘內(nèi)同種攻擊屬性：Same-Attack-Name-1，Same-Attack-Name-5，Same-Attack-Name-30。

Same-Attack-Name-1=NumS-S-IP-S-N-1/NumS-S-IP-1

(4.3.10)

其中，NumS-S-IP-S-N-1表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前1分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同源IP且同攻擊名稱(chēng)的報(bào)警數(shù)目。

Same-Attack-Name-5=NumS-S-IP-S-N-5/NumS-S-IP-5

(4.3.11)其中，NumS-S-IP-S-N-5表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前5分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同源IP且同攻擊名稱(chēng)的報(bào)警數(shù)目。

Same-Attack-Name-30=NumS-S-IP-S-N-30/NumS-S-IP-30

(4.3.12)

其中，NumS-S-IP-S-N-30表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前30分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同源IP且同攻擊名稱(chēng)的報(bào)警數(shù)目。

(6)?1、5、30分鐘內(nèi)同種漏洞屬性：Same-Vulnerability-1，Same-Vulnerability-5，Same-Vulnerability-30。

Same-Attack-Name-1=NumS-D-IP-S-Vul-1/NumS-D-IP-1

(4.3.13)

其中，NumS-D-IP-S-Vul-1表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前1分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同目的IP且同漏洞的報(bào)警數(shù)目。

Same-Attack-Name-5=NumS-D-IP-S-Vul-5/NumS-D-IP-5

(4.3.14)其中，NumS-D-IP-S-Vul-5表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前5分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同目的IP且同漏洞的報(bào)警數(shù)目。

Same-Attack-Name-30=NumS-D-IP-S-Vul-30/NumS-D-IP-30

(4.3.15)

其中，NumS-D-IP-S-Vul-30表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前30分鐘時(shí)間內(nèi)與當(dāng)前報(bào)警同目的IP且同漏洞的報(bào)警數(shù)目。

(7)?1、5、30分鐘黑客行為的攻擊階段屬性：Prophase-Attack-Name-1，Prophase-Attack-Name-5，Prophase-Attack-Name-30。

一般可將黑客的攻擊分為4個(gè)階段：掃描、漏洞探測(cè)、權(quán)限提升或者拒絕服務(wù)攻擊、竊取。

Prophase-Attack-Name-1=NumS-D-IP-P-Pha-1/NumS-D-IP-1

(4.3.16)

其中，NumS-D-IP-P-Pha-1表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前1分鐘時(shí)間內(nèi)在當(dāng)前報(bào)警攻擊階段之前的且同目的IP的報(bào)警數(shù)目。

Prophase-Attack-Name-5=NumS-D-IP-P-Pha-5/NumS-D-IP-5

(4.3.17)其中，NumS-D-IP-P-Pha-5表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前5分鐘時(shí)間內(nèi)在當(dāng)前報(bào)警攻擊階段之前的且同目的IP的報(bào)警數(shù)目。

Prophase-Attack-Name-30=NumS-D-IP-P-Pha-30/NumS-D-IP-30

(4.3.18)

其中，NumS-D-IP-P-Pha-30表示從當(dāng)前報(bào)警發(fā)生的時(shí)間起，前30分鐘時(shí)間內(nèi)在當(dāng)前報(bào)警攻擊階段之前的且同目的IP的報(bào)警數(shù)目。4.3.2誤報(bào)警過(guò)濾的評(píng)價(jià)指標(biāo)

我們使用三個(gè)性能指標(biāo)來(lái)評(píng)價(jià)誤報(bào)警過(guò)濾方法的性能。這三個(gè)性能指標(biāo)分別為真報(bào)警率TP、誤報(bào)減少率DFP和漏報(bào)增加率IFP，它們可以全面而有效地反映出誤報(bào)警過(guò)濾方法的性能。各個(gè)性能指標(biāo)的計(jì)算方法如下：

(4.3.19)

(4.3.20)

(4.3.21)上述三式中，T表示測(cè)試數(shù)據(jù)中標(biāo)定的真報(bào)警樣本數(shù)目；TT表示標(biāo)定的真報(bào)警被判定為真報(bào)警的樣本數(shù)目；FF表示標(biāo)定的誤報(bào)警被判定為誤報(bào)警的樣本數(shù)目；F表示標(biāo)定的誤報(bào)警樣本數(shù)目；TF表示標(biāo)定的真報(bào)警被判定為誤報(bào)警的樣本數(shù)目。根據(jù)式(4.3.19)和式(4.3.21)可得如下關(guān)系式：

(4.3.22)4.3.3基于支持向量機(jī)的誤報(bào)警過(guò)濾方法

Step1樣本預(yù)處理：對(duì)原始的報(bào)警數(shù)據(jù)進(jìn)行文本解析，將其表示成式(4.3.1)所示格式，并對(duì)報(bào)警數(shù)據(jù)進(jìn)行初步過(guò)濾，即剔除明顯錯(cuò)誤的野值，如一個(gè)無(wú)效的時(shí)間戳；根據(jù)保護(hù)域內(nèi)的主機(jī)的漏洞信息對(duì)部分誤報(bào)警先行過(guò)濾。

Step2屬性獲?。簩?duì)式(4.3.1)所示格式的報(bào)警數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，獲得每條報(bào)警的19個(gè)基本報(bào)警屬性值，形成待處理的數(shù)據(jù)集。

(4.3.23)圖4.3.2基于支持向量機(jī)的誤報(bào)警過(guò)濾系統(tǒng)的框架圖4.3.2中有一個(gè)能夠支持異類(lèi)入侵傳感器的通信代理(CommunicationAgent，CA)，該通信代理主要有兩大功能：

(1)統(tǒng)一異類(lèi)入侵報(bào)警格式?；诿枋鯥DS輸出信息的數(shù)據(jù)模型，定義符合實(shí)際應(yīng)用需求的統(tǒng)一報(bào)警格式，即CcidmAlert數(shù)據(jù)結(jié)構(gòu)，包括Analyzer、Source、Target、Signature、AdditionalData等子類(lèi)，分別描述Sensor的地址和屬性、攻擊發(fā)起者/被攻擊者的地址和主機(jī)屬性、攻擊事件詳細(xì)說(shuō)明等信息。同時(shí)用XML語(yǔ)言封裝，以XML語(yǔ)言表示CcidmAlert格式的入侵報(bào)警。將異構(gòu)型IDS的Sensor監(jiān)測(cè)到的信息轉(zhuǎn)換成這種統(tǒng)一的數(shù)據(jù)格式，其發(fā)送的信息到達(dá)CA后就成為統(tǒng)一格式的數(shù)據(jù)，實(shí)現(xiàn)對(duì)異類(lèi)入侵傳感器的支持。

(2)保證通信的安全。Sensor所發(fā)送的信息在通過(guò)CA傳輸?shù)倪^(guò)程中不能被竊聽(tīng)，所以必須對(duì)信息進(jìn)行加密，同時(shí)要對(duì)Sensor進(jìn)行身份驗(yàn)證，以保證通信平臺(tái)不會(huì)接收到無(wú)用的或者惡意的信息，進(jìn)一步保證入侵報(bào)警關(guān)聯(lián)引擎(IACE)所分析、推理的數(shù)據(jù)的正確性。為此，采用一種改進(jìn)的SSL安全通信機(jī)制[103]用于CA和Sensor之間的通信。4.3.4誤報(bào)警過(guò)濾實(shí)驗(yàn)和結(jié)果分析

1.對(duì)DARPA99的Snort報(bào)警數(shù)據(jù)實(shí)驗(yàn)和結(jié)果分析

DARPA99數(shù)據(jù)共收集了5個(gè)星期的數(shù)據(jù)，包含了58種攻擊、超過(guò)200個(gè)攻擊實(shí)例。我們對(duì)Snort產(chǎn)生報(bào)警數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，并根據(jù)MIT林肯實(shí)驗(yàn)室提供的DARPA99數(shù)據(jù)的評(píng)估結(jié)果對(duì)之進(jìn)行標(biāo)定。實(shí)驗(yàn)中所采用的粗糙集分析軟件是由挪威科技大學(xué)計(jì)算機(jī)和信息科學(xué)系的知識(shí)系統(tǒng)研究小組開(kāi)發(fā)的軟件包ROSSETA[105]，支持向量機(jī)軟件采用LIBSVM軟件，并選用徑向基核函數(shù)。原始DARPA99數(shù)據(jù)中第一、二、三周的數(shù)據(jù)為訓(xùn)練數(shù)據(jù)，第四、五周的數(shù)據(jù)為測(cè)試數(shù)據(jù)，我們利用這兩個(gè)數(shù)據(jù)集分別使用Snort產(chǎn)生用于訓(xùn)練和測(cè)試的報(bào)警數(shù)據(jù)集DATA1和DATA2。DARPA99中第一周和第三周的原始數(shù)據(jù)不包含攻擊數(shù)據(jù)，但是在使用Snort監(jiān)控時(shí)仍然產(chǎn)生了多條報(bào)警數(shù)據(jù)，顯然這些報(bào)警數(shù)據(jù)就是誤報(bào)警。報(bào)警數(shù)據(jù)集DATA1共有78748條數(shù)據(jù)，經(jīng)過(guò)標(biāo)定后只有2659條真報(bào)警；數(shù)據(jù)集DATA2共有16115條數(shù)據(jù)，標(biāo)定后只有2473條真報(bào)警。對(duì)兩個(gè)報(bào)警數(shù)據(jù)集進(jìn)行文本解析，并從數(shù)據(jù)集DATA1中隨機(jī)的抽取10%形成DRS；利用ROSSETA軟件進(jìn)行屬性約簡(jiǎn)，并取其中統(tǒng)計(jì)屬性值相對(duì)較為簡(jiǎn)單的一組屬性：(1)?Destination-IP-Class；

(2)?Source-IP-Timing-Regularity；

(3)?Destination-IP-Timing-Regularity；

(4)?Same-Source-IP-1；

(5)?Same-Source-IP-5；

(6)?Same-Source-IP-30；

(7)?Same-Destination-IP-1；

(8)?Same-Destination-IP-5；

(9)?Same-Destination-IP-30；

(10)?Same-Vulnerability-30。為了方便進(jìn)行結(jié)果比較，將基于支持向量機(jī)的誤報(bào)警過(guò)濾方法簡(jiǎn)記為AF-SVM。我們同時(shí)在相同的計(jì)算機(jī)上使用19個(gè)屬性對(duì)DARPA99數(shù)據(jù)集進(jìn)行SVM分類(lèi)(記做SVM-All)，與使用分類(lèi)結(jié)果比較如表4.3.3所示。AF-SVM的結(jié)果與ALAC和KNN方法的結(jié)果比較見(jiàn)表4.3.4所示(其中“－”表示文獻(xiàn)中未曾提供該項(xiàng)數(shù)據(jù))。Wang使用DARPA99數(shù)據(jù)中的4月8號(hào)到9號(hào)的數(shù)據(jù)進(jìn)行測(cè)試，AF-SVM在這個(gè)數(shù)據(jù)集上的測(cè)試結(jié)果與Wang的結(jié)果比較見(jiàn)表4.3.5所示。

2.對(duì)XJTU-sensor報(bào)警數(shù)據(jù)的實(shí)驗(yàn)和結(jié)果分析[5]

如果一條報(bào)警數(shù)據(jù)滿(mǎn)足：

(1)源IP地址符合模擬攻擊的攻擊機(jī)IP地址；

(2)目的IP地址符合模擬攻擊的受害機(jī)IP地址；

(3)報(bào)警的時(shí)間戳在模擬攻擊所發(fā)生的時(shí)間窗之內(nèi)。

則該條報(bào)警被標(biāo)記為真正的攻擊報(bào)警；否則就被標(biāo)記為誤報(bào)警。標(biāo)定后的數(shù)據(jù)集含有3868條真正的攻擊報(bào)警和22125條誤報(bào)警。分析上述實(shí)驗(yàn)結(jié)果，可以得出以下結(jié)論：

(1)基于支持向量機(jī)的誤報(bào)警過(guò)濾方法在CNSIS測(cè)試環(huán)境中的各個(gè)性能指標(biāo)上均具有較好的指標(biāo)值，是解決IDS誤報(bào)警問(wèn)題的理想方法。

(2)現(xiàn)有的IDS均會(huì)產(chǎn)生一定的誤報(bào)警，XJTU-sensor也不例外?；谥С窒蛄繖C(jī)的誤報(bào)警過(guò)濾的方法對(duì)XJTU-sensor報(bào)警數(shù)據(jù)的實(shí)驗(yàn)結(jié)果表明了該方法具有良好的性能，是XJTU-sensor現(xiàn)有問(wèn)題的理想的解決方案。

1.入侵報(bào)警關(guān)聯(lián)

我們構(gòu)造的動(dòng)態(tài)可擴(kuò)展的網(wǎng)絡(luò)安全知識(shí)庫(kù)系統(tǒng)包括以下幾個(gè)知識(shí)庫(kù)：

(1)攻擊特征庫(kù)(Policy)。攻擊特征庫(kù)收集了現(xiàn)有的各種攻擊的特征，主要包括攻擊名稱(chēng)、攻擊類(lèi)型，協(xié)議，攻擊特征、攻擊描述、嚴(yán)重程度、對(duì)應(yīng)的漏洞信息等信息。

(2)漏洞庫(kù)(Bug_list)。漏洞庫(kù)收集了現(xiàn)有的各種漏洞，主要包括漏洞名稱(chēng)、漏洞描述、漏洞優(yōu)先級(jí)、漏洞的破壞方法、漏洞的修補(bǔ)方法，所影響的操作系統(tǒng)，對(duì)應(yīng)特征信息等信息。

(3)案例庫(kù)(Instance)。案例庫(kù)中的數(shù)據(jù)是描述對(duì)應(yīng)于攻擊特征庫(kù)中某個(gè)攻擊的具體案例，包括該攻擊案例所屬模式、源IP、目的IP、源端口、目的端口、發(fā)生的時(shí)間、所屬的攻擊模式的階段等信息。

(4)模式庫(kù)(Pattern)。模式庫(kù)包括兩個(gè)部分：行為習(xí)慣表(SchemaDB)中的數(shù)據(jù)用于描述黑客的攻擊一般行為模式，包括模式名稱(chēng)、階段1的類(lèi)型、階段2的類(lèi)型、……階段n的類(lèi)型，以及模式描述等信息；階段攻擊特征表(AttackSignature)用于描述對(duì)應(yīng)于模式的某個(gè)階段的攻擊特征，主要包括攻擊特征名稱(chēng)、所屬階段名稱(chēng)、特征描述、所用的攻擊工具、所影響的操作系統(tǒng)、攻擊發(fā)生的條件、攻擊的目的、攻擊的危害程度、所屬的模式的名稱(chēng)等信息。

(5)攻擊代碼及工具庫(kù)(Attack_code_tool)。攻擊代碼及工具庫(kù)收集了目前典型攻擊的攻擊代碼和攻擊工具。

(6)安全管理策略庫(kù)(Manage_Policy)。安全管理策略庫(kù)包括安全防御策略和聯(lián)動(dòng)