由于网络攻击复杂化，传统集中式入侵检测方法已不能高效准确的检测攻击。而分布式入侵检测（IDS）^[1]较集中式方法相比，通过部署多个独立工作且相互协同的监视器，能够更加灵活地应对网络环境的变化，因而成为当前入侵检测技术的一个研究重点。

    分布式入侵检测系统采用多个检测器在网络的各个部分进行检测，并且协同处理可能的入侵行为，实现了对大型网络、高速网、分布异构平台环境的使用。而在实际应用中，分布式入侵检测系统往往会不同程度地存在误警报率与漏警报率高、重复警报多和告警孤立现象，直接降低了分布式入侵检测系统的有效性，降低了分布式入侵检测系统的可信度^[2]。

    因此，人们迫切希望能够对分布式IDS的报警进行处理，以减少报警量，减轻管理员的负担，同时使得IDS对系统的资源占用更少^[3-4]。这就需要对报警信息进行以下处理，提高检测准确度。

    （1）报警数据的过滤。过滤掉那些误报信息，对降低IDS的误警率、提高检测的准确性、减少系统和管理员的负担具有重要意义。

    （2）报警信息的归约和融合。某些网络攻击可能会在短时间内产生大量的报警信息，这其中有很多是重复的或相似的信息。对于某一个攻击，控制器可能会收到来自同一个检测器的多个报警信息。同时对于某些攻击，如一次大范围、高强度的端口扫描可以导致检测器在很短的时间内产生上万条相似报警信息，这些大量密集的报警信息会给控制器的性能造成严重影响，并使系统管理员忽略掉其它一些重要的报警信息，从而攻击者可以用以掩护更具威胁性的攻击，对这些报警信息进行归约和融合可以极大地减少报警的数量^[5]。

    （3）攻击模式挖掘。一次完整的攻击可能需要经过多个步骤，这些步骤在时间和空间上有较大跨度，因此会被IDS当做几个独立的攻击，从而产生多个报警信息。对报警信息进行数据挖掘分析，可以发现新的攻击模式，从而为研究攻击的特征和攻击者的行为方式提供必要信息；还可以根据已发生的攻击预测攻击者的下一步行动，为采取措施阻止攻击提供决策支持。

    针对以上需要对报警信息的处理，本文提出了一种基于多源告警事件关联的分布式入侵检测系统模型用于提高检测准确度。该模型针对检测器给出的误警进行了过滤，消除掉部分错误报警；针对检测器对同一攻击给出的重复报警进行了归约，消除掉其中的重复报警；针对检测器对同一攻击的相似报警进行了融合，消除掉其中的相似报警；针对一系列攻击入侵对报警进行了关联，报告了其中的攻击模式；形成对系统的全方位、多层次的立体分析，其模型如图1所示。

    基于多源告警事件关联的入侵检测系统模型的功能主要包括对警报的过滤、对警报格式的统一、对警报的融合和多源告警事件关联四大功能。

    由于一些网络包或连接内确实包含攻击的特征，对具体的目标与环境没有作用或不会成功的攻击，也被网络入侵分析部件判定为攻击，从而产生误警。因此，需要对原始报警信息进行过滤^[6]。针对警报数据通过一定的条件来对报警数据进行过滤，主要包括较低安全级别的被攻击目标、被攻击主机不存在（包括暂时不可用的主机）、被攻击端口不存在（包括暂时不可用的服务）、攻击操作系统不匹配的主机和攻击名错误五大类。

    目前的检测机制很多都是根据规则，判断每一条的可疑数据包和日志记录并产生消息，因此连续执行的相同入侵命令和相似的入侵行为会触发一系列的原始警报。多个检测单元的大量重复警报经过直接收集后，降低了警报的可视性，难以发现真正有威胁的警报。而且，大量的重复警报在传输中占用了宝贵的带宽，降低了处理效率，因此，原始警报必须快速归约后再向上层控制处理中心传输。根据IDWG（Intrusion Detection Work Group，入侵检测工作小组）制定的IDMEF（Intrusion Detection Message Format）草案中定义的入侵行为特征^[7]，把报警信息的特征集合起来，它位于报警数据处理模型的最底层，统一描述成：ALERT（AlertID，AgentID，Priority，TimeStamp，CreateTime，EndTime，MessageClassID，AlterType，Sour-ceIP/Port，TargetIP/Port，AdditionalData）。

    其中，AlertId为警报标识，AgentId为IDS编号，Prior-ity为响应优先级别，TimeStamp为时间戳，CreateTime为攻击开始时间，EndTime为攻击结束时间，MessageClassID为消息类型，AlterType为攻击类型，SourceIP/Port为源IP地址/端口，TargetIP/Port为目的IP地址/端口，Addition-alData为附加数据。

    在分布式IDS中，一个入侵事件很可能会被部署在该环境中的多个检测器检测到，那么在控制中心接收的来自这些分布检测器的警报数据中，就会存在着很多关于同一个入侵事件的警报数据。故而需要依据以下三大规则进行融合：

    （1）具有相同或者相近（如属于同一子网）源IP地址和目的IP的同类警报，代表着从不同检测点发现的同一个或者同一类攻击事件；（2）具有相同或者相近源IP地址而目的IP地址不同的同类警报，代表着从相同攻击源向多个目标发起的同类攻击事件；（3）具有相同或者相近目的IP地址而源IP地址不同的同类警报，代表着从多个攻击源向同一个目标发起的分布式攻击事件。

通过对符合上述规则的警报的融合，可以进一步减少控制中心的警报数据量，提供更清晰的入侵事件分析。

    在警报融合中采用了警报聚类关联方法，该方法基于警报相似度进行聚类融合，较文献[6]中提出的基于推进的贝叶斯融合分类法方法和文献[8]中提出的在线警报聚类融合更简单、更容易实现、开销更小。它主要是通过计算来评估警报的相关程度，其中警报向量之间的相似度评估可以通过比较两警报向量的各关键属性值是否相同和接近程度，是否存在等距变化和协变的关键属性值，当出现新的警报时，可根据需要进一步的对其进行和并表示。

    多源告警事件关联对上层融的多个攻击事件序列进行综合关联分析，它们可能属于同一入侵者事先制定的一些攻击计划和过程。可以通过这些信息对事件数据进行关联，减少了报警报告的数量，方便管理员发现攻击的事件，在满足频繁片段模式的情况下还可以作出预警。

    基于多源告警事件关联的入侵检测模型是一个多传感器模型，每一个传感器监视一个检测器事件流并依据检测算法指出可疑行为，发出告警。由于每个传感器均会发出告警结果，因此模型面临结果冲突问题，即多个传感器发出的告警结果不一致，为了解决结果冲突问题，模型利用多传感器及其相互依赖^[9]，判断特定攻击相关的告警是否在传感器可提供的告警集合内，判断描述传感器检测特定攻击的准确度，使各传感器具有一定的功能独立性，提供传感器的状态信息用于得到正确的结论。

    实验分别在两个传感器使用不同的审计源和两个传感器处于防火墙两端并且运行Snort检测器。实验结果表明，该模型能够正确分析收集到的告警结果，在一定程度上提高检测准确度。

    [1]Perrig A，Stankovic J，Wagner D．Security in Wireless Sensor Network[J]．CACM，2004，47：53-57

    [3]Levera J，Baran B，Grossman R．Experimental studies using median polish procedure to reduce alarm rates in data cubes of intrusion data[C]//Lecture Notes in Computer Science．Berlin：Springer，2004：457-466.

    [4]石进，陆音，谢立．基于威胁度的动态报警管理研究[J]．计算机科学，2008，35（1）：94-96

    [5]肖立中，刘云，戴蒙．入侵检测系统中分层报警处理模型的研究[J]．计算机应用研究，2009，26（8）：2995-2999

    [6]柴争义，林琳，王建文，齐传辉．一种IDS报警可信性增强方案[J]．计算机应用研究，2009，26（9）：3496-3498

    [7]郭帆，叶继华，余敏．基于IDMEF和分类的报警研究[J]．计算机应用，2008，28（1）：250-253

    [8]冯光升，王慧强，武俊鹏，赵倩．一种新的基于分布式入侵检测的警报聚类方法[J]．武汉大学学报（理学版），2006，52（5）：635-638

    [9]Almgren M，Lindqvist U，Jonsson E．A multi-sensor model to improve automated attack detection．Proc of the 11^th international symposium on recent advances in intrusion detection，Cambridge，MA 2008，Sep 15-17

    收稿日期：11 月 9 日   修改日期：11 月 16 日