參數調整

在本研究所使用情節探勘方法有幾個參數將直接影響實驗結果，在資料彙 整的階段中本研究將討論關於資料調整時間間隔參數，說明調整這些參數的對 於本研究所提出之情節探勘計算方法在執行效能和產生的頻繁情節規則結果的 影 響 。 以 在 模 擬 攻 擊 實 驗 的 資 料 進 行 測 試 ， 在 分 別 調 整 NF_T_Slot 和 AL_T_Slot 參數後，比較判定頻繁項目集計算時產生的封閉項目集數量、最後產

生的頻繁情節數量、時間軸上的時間戳記數等。當計算結果產生數量較多的頻 繁情節時，本研究所使用的情節探勘演算法將會使用較大的記憶體空間，也將 會花費較久的運算時間，所以用計算結果的頻繁情節數量作為評估運算效率的 參考。

在實驗的攻擊過程中，來自 A1和來自 H1所發動的兩個攻擊之間的關係以 及 H2被攻擊後加入殭屍網路等事件為 Snort 入侵偵測系統所不能發現，所以本 研究以是否能發現關於 A1發動 SSH 密碼暴力破解攻擊後 H1跟著發動相同攻擊 和 H2 的 IRC 連線事件等事件相關的情節作為參數調整後對於執行結果效能的 比較基準。當以某個數值作為參數執行情節探勘後所產生的情節規則都有包含 這兩個情節，則代表該參數數值對於發掘被隱藏的多重攻擊行為是有幫助的，

反之則認為該參數數值的效能較差。

表6 和表 7 是在固定最小支持度(Minumal Support, minsup)為 0.06、視窗長 度(Window Length, win)為 300 秒、NetFlow 資料彙整時間間隔(NF_T_Slot)為 120 秒時，調整 Snort 入侵偵測系統警告記錄彙整時間間隔(AL_T_Slot)的結果。

表格中 E 欄位代表該列在此 AL_T_Slot 參數時所產生的頻繁情節中，有或沒有

(Y/N)出現 A1發動 SSH 暴力密碼破解攻擊後 H1也發動相同攻擊的情節。而欄 位 H2則代表該列所產生的頻繁情節內有無包含 H2主機連線到 IRC 伺服器的行 為。表7 則是在固定最小支持度為 0.06、視窗長度為 300 秒、Snort 入侵偵測系 統警告記錄資料彙整時間間隔(AL_T_Slot)為 45 秒時，調整 NetFlow 資料彙整時 間間隔(NF_T_Slot)的結果。

表6 調整 AL_T_Slot 之影響(minsup=0.06，win=300，NF_T_Slot=120) AL_T_Slot 封閉項目集 頻繁情節 時間戳記

E H

15 13 3584 93 Y Y

30 11 472 84 N Y

45 12 510 77 N Y

60 12 220 74 N Y

表7 調整 NF_T_Slot 之影響(minsup=0.06，win=300，AL_T_Slot=45) NF_T_Slot 封閉項目集 頻繁情節 時間戳記

E H

90 0 0 861 N N

105 17 1933 80   N Y

135 12 502 77   N Y

150 11 252 76   N Y

從表 6 的內容可以看到，在比較小的 AL_T_Slot 參數時，事件序列會包含 較多的時間戳記。當以等差級數的方式增加 AL_T_Slot 的參數數值時，時間戳 記數量在一開始時大幅減少，但是接著隨著越大 AL_T_Slot 的數值越大，其減 少的幅度則越小。當 AL_T_Slot 參數的數值 15 秒增加到 30 秒時，所產生的頻 繁情節數量大幅減少，但是只有在 AL_T_Slot 為 15 秒時，演算法所產生的頻繁 情節包含了 A1 發動 SSH 暴力密碼破解攻擊後 H1 也發動相同攻擊的情節。

AL_T_Slot 參數的數值從 15 秒增加到 60 秒時，封閉項目集的數量變化幅度不 大 ，而且產生的頻繁情節都包含 H2主機連線到IRC 伺服器的行為。

從表 7 的內容可以觀察到，當較小的 NF_T_Slot 參數時，事件序列會包含 較多的時間戳記，時間戳記的數量與 NF_T_Slot 參數數值變化的關係，與表 6 的內容相同。當 NF_T_Slot 參數值為 90 秒時，演算法並沒有發現任何封閉項目 集，所以也不會發現任何頻繁情節，但是將 NF_T_Slot 的參數值增加為 105 秒 時，便產生大量的頻繁情節，而之後繼續將 NF_T_Slot 的參數值加大，頻繁情 節數量則逐漸降低。當 NF_T_Slot 參數設定大於 105 秒時，所產生的頻繁情節 便包含 H2的 IRC 連線事件，但是 NF_T_Slot 的參數數值設定在 90 秒到 150 秒 之間的區間所產生的頻繁情節都不包含 A1發動 SSH 暴力密碼破解攻擊後 H1也 發動相同攻擊的情節。

綜合表 6 和表 7 中彙整調整時間間隔參數的實驗結果，可以發現調整時間 間隔參數對於本研究所提出的偵測系統情節探勘的執行結果有很大的影響。彙 整時間間隔可以減弱出現頻率極為頻繁的事件的頻率，因為在同一間隔中的事

件都將被彙整在一起，這使得事件序列中出現頻率較低的事件將不會被這些高 頻率的事件在情節探勘的過程中所掩蓋。在比較小的警告記錄彙整時間間隔下，

較容易找出與警告記錄相關的特別情節而大的流量彙整時間間隔比較容易找出 頻繁情節。從實驗結果也可以看到不同的時間間隔將改變事件序列中的時間戳 記數量，然而頻繁情節探勘演算法中支持度的計算即以時間戳記數量為分母，

所以若時間間隔過小，以相同的支持度設定可能沒有產生任何頻繁情節。最後，

調整時間間隔也會影響到產生的頻繁情節數量，越多的頻繁情節數量自然會有 較高的機率找到特別的情節，但是過多的情節帶來的副作用是需要大的記憶體 空間以及更多的處理器時間執行情節探勘。