以本體知識與情境模式為基礎的異質入侵警報整合架構之探討

以本體知識與情境模式為基礎的異質入侵警報整合架構之 探討

計畫類別： 個別型計畫

計畫編號： NSC91-2213-E-011-051-

執行期間： 91 年 08 月 01 日至 92 年 07 月 31 日 執行單位： 國立臺灣科技大學資訊工程系

計畫主持人： 何正信

報告類型： 精簡報告

報告附件： 出席國際會議研究心得報告及發表論文 處理方式： 本計畫可公開查詢

中 華 民 國 92 年 11 月 1 日

以本體知識與情境模式為基礎的異質入侵警報整合架構之探討 An Ontology and Situation Model-based Architecture for

Heterogeneous Intrusion Alerts Integration 中文摘要：

網路上電腦的安全問題，是網路應用系統能否成熟發展的關鍵。目前雖有 防火牆、加解密等安全防護系統，但仍無法杜絕入侵事件之發生。具不同技術、

特性的入侵偵測系統，因而被發展成為系統的第二層防護。但入侵偵測系統常產 生過多錯誤警報或太多未經整合的訊息，致系統管理員無力處理，甚至對入侵偵 測系統失去信心。適當部署各種入侵偵測系統，固可提高系統不同層次的防禦能 力，但如何將異質的入侵偵測系統順利整合，以發揮整體防禦效果，卻是一大課 題。本計劃旨在建立一個可有效整合各種入侵偵測系統的架構，以解決超量入侵 警報及錯誤警報的問題。我們完成了下列工作：1. 我們建構了一適合入侵警報 整合系統的攻擊知識本體，整合攻擊腳本與情境模式等知識，可以作為攻擊驗 證、回應與預測的基礎。2. 在攻擊知識本體的支援下，我們提出以基元攻擊為 基礎來作入侵警報整合工作的理論，並完成其雛形系統的設計，本雛形系統包含 基元攻擊認知以及攻擊整合兩子系統。3. 我們引進彩色 Petri net 到入侵警報整 合領域，可以完整描述基元攻擊間的部分有序與因果等關係，以及某一時間攻擊 者與攻擊目標的狀態，不只有助於複雜攻擊之整合認知，尚且可協助網路管理員 掌握系統安全狀況，或透過可逹性分析，協助判斷在某一情境下，某一目標受到 威脅的機率。4. 我們完成了入侵警報整合雛形系統的基元攻擊認知子系統的實 作，並以實驗來驗證其在汰除錯誤警報的優越性。

關鍵字：入侵偵測、知識本體、攻擊腳本、情境模式 .

Abstract：

The security of networked computers strongly affects network applications.

Although we already have firewalls and encryption systems, intrusion still happens quite often. IDSs (Intrusion Detection Systems) with different techniques and characteristics have thus been developed to serve as the second layer protection.

However, an IDS often generates too many false alarms or isolated alarms. System managers are either overwhelmed by this or lose their confidence. Deploying a variety of IDSs, in general, can improve the system preformance; it sometimes misses forests for the trees. If we can effectively integrate the intrusion alerts from different types of IDSs, we believe we may provide a complete and better protection. The purpose of this project is to develop an architecture for effectively integrating intrusion alerts from heterogeneous IDSs in order to tackle the problem of overloaded intrusion alarms or false alarms. We have completed the following tasks: 1. We have developed an attack ontology suitable for intrusion alert integration. If coupled with proper attack scripts and situation models, it can work as the key foundation for attack recognition, verification, response and prediction. 2. Based on the attack ontology, we have proposed using primitive attacks, rather than alerts, as the basic building blocks to do intrusion alert integration. We have completed the basic architecture design, which includes two subsystems, namely, primitive attack recognition and attack integration. 3. We introduced colored Petri net as a tool to describe attack scripts, which captures partial order and causal relationships among primitive attacks, as well as statuses of attackers and attack targets at given time points. This design not only can support attack integration but also help the network administrator monitor system safety status and determine how likely a target is hit through the analysis of reachability. 4. We have completed the implementation of the primitive attack recognition subsystem and conducted some experiments to demonstrate its capability of pruning false alarms.

Keywords：Intrusion Detection, Attack Ontology, Ontology Script, Situation Model

1. 前言

電腦網路的快速發展，其無遠弗屆的特性，固然產生了許多新的應用，但另 一方面，由於不易獲知使用者的真正身分，同時多數軟硬體又具有駭客可運用的 弱點，以致產生了許多犯罪及入侵攻擊事件。目前雖有防火牆、加解密等安全防 護系統，但並無法杜絕該等事件之發生。具不同技術、特性的入侵偵測系統 (Intrusion Detection Systems，IDSs)因而被發展成為系統的第二層防護。其中，以 網路為基礎(Network-based)的入侵偵測系統，可有效偵測到運用資訊規約弱點的 入侵，如 IP Spoofing，但卻無法察知利用主機軟體弱點的攻擊，如 Buffer Overflow；以主機為基礎(Host-based)的入侵偵測系統，能力剛好相反。另外，以 異常(Anomaly)為基礎的入侵偵測系統可偵測到新的攻擊方法，但常產生錯誤警 報；而以徵兆(Signature)為基礎的入侵偵測系統雖較準確，卻無法偵測到新的攻 擊手法。整體而言，IDS 面臨許多問題，其中以產生過多錯誤警報(False Alarm) 或太多未經整合的訊息，常導致系統管理員無力處理，甚至因而對入侵偵測系統 失去信心。適當部署各種入侵偵測系統，固可提高系統不同層次的防禦能力，但 更重要的是，如何有效的將異質的入侵偵測系統順利整合，以發揮相輔相成的整 體防禦效果。

本計劃之目的在於建立一可有效整合各種入侵偵測系統的架構，以解決超量 入侵警報及錯誤警報的問題。我們完成了下列工作：1. 我們建構了一適合入侵 警訊整合系統的攻擊知識本體(Attack Ontology)，整合攻擊腳本(Attack Script)與 情境模式(Situation Model)等知識，可以作為攻擊驗證、回應與預測的基礎。2. 在 攻擊知識本體的支援下，我們提出以基元攻擊(Primitive Attack)為基礎來作入侵 警訊整合工作的理論，並完成其雛形系統的設計，本雛形系統包含基元攻擊認知 以及攻擊整合兩子系統。3. 我們引進彩色 Petri net 到入侵警訊整合領域，可以 完整描述基元攻擊間的部分有序與因果等關係，以及某一時間攻擊者與攻擊目標 的狀態，不只有助於複雜攻擊之整合認知，尚且可協助網路管理員掌握系統安全 狀況，或透過可逹性(Reachability)分析，協助判斷在某一情境下，某一目標受到 威脅的機率。4. 我們完成了入侵警訊整合雛形系統的基元攻擊認知子系統的實 作，並以實驗來確認其在汰除錯誤警訊的優越性。

2. 攻擊知識本體與腳本之建立

發展一知識相關應用系統，最重要的工作為發展該系統所需知識的的本體，

亦即知識本體，俾提供各子系統基本且共同的語意基礎。一異質入侵警訊整合系 統適用的攻擊知識本體，除應包含各種攻擊概念外，尚需包含攻擊成功後違反安 全政策的行為和各攻擊目標實體的概念，以利整體安全情勢的評估。我們參考多 種攻擊與弱點的分類架構以及不同應用系統所建構之攻擊知識本體後，建構了如 圖一適合入侵警訊整合的知識本體。其中，有關探測(Probe)、弱點運用(Exploit) 及非授權行為(Unauthorized Activity)係採攻擊者的觀點作分類的依據，係參考 [Gorodetski02]的攻擊模擬用的攻擊知識本體所擴展。圖二為攻擊目標的相關概

念，主要係用來建立主機模式及網路模式，以利判斷攻擊和目標的相關性。

詳言之，圖一為抽象層次攻撃知識本體架構，在網路攻撃(Network Attack) 概念下，區分為探查(Probe)、弱點運用(Exploit)、非授權行為(Unauthorized Activity) 及參與的角色(Actor)等主要概念。探查(Probe)代表攻撃者以遠端(Remote)連結的 方式及權限，運用合法使用者的行為，達成收集目標主機資訊的目的；例如，探 查的子類別探查服務(Probe Service)下有一 Sadmind Ping 子類別，可用來探查目 標主機是否提供 Sadmind 遠端管理服務。弱點運用代表攻擊者在發現主機弱點 後，輸入不合法資料或促使目標主機發生邏輯上的錯誤，以達成其非法的目的；

例如，若攻撃者發現目標主機正在執行Sadmind 遠端管理服務，即可運用權限提 升(Privilege Escalation)類別下之子類別 Sadmind 緩衝區溢位(Sadmind Buffer Overflow)的弱點攻擊，提升其權限為 Root 權限。非授權行為類別係攻擊者完成 入侵攻擊後的可能行為，例如，攻擊者完成其惡意行為後，可能利用掩蓋踪跡 (Tracks Coverage)類別下的修改日誌(Audit Log Modify)子類別竄改系統日誌檔，

以避免其入侵行為被發現。圖二為網路實體概念的本體，例如，作業系統(OS) 類別係用來定義某一主機所安裝的作業系統的廠牌、版本等資訊。

Network

Host

OS Application User File Sub_Network

Part_of Gateway Router Firewall Hub Switching

Hub

圖二 部分攻擊知識本體(網路實體)

Network Attack

Exploits Probe

Privilege Escalation

Confidentiality Break

Denial Of Service

Unauthorized Activity

Actor

Attacker Network Additional

Data Gain Tracks

Coverage Backdoor Creation

Impersonation Participating

Source Target

Interception

IsA PartOf 圖一 攻擊知識本體

Probe Machine

Probe ServiceProbe

User

本攻擊知識本體除以上說明之類別概念外，每一類別均定有其相關屬性。例 如弱點運用攻擊類別定有以下屬性：分析器(Analyzer)代表偵測到此一攻搫的偵 測系統代號；建立時間(Create Time)、偵測時間(Detect Time)、分析器時間 (Analyzer Time)分別代表攻撃警訊建立時間、攻擊發生時間及偵測系統的系統時 間；來源(Source)為攻撃者的識別資料；目標(Target)為攻擊目標的識別資料；分 類名稱(Classification Name)為攻撃類別的名稱；評估(Assessment)為攻擊信心的 估算值；最後，附加資料(Additional Data)則用來存放攻擊實例的額外資料，例如，

攻撃實例是否有與限制條件衝突之情形。除以上的主要屬性外，尚有其他描述屬 性的副屬性，例如來源屬性的重要副屬性有基數(Cardinality)及欺騙(Spoofed)，

代表某攻撃類別的可能攻擊者數量及攻擊者的識別資料是否可被偽造。以上之屬 性設計均與IDMEF 格式屬性相容，以期增加擴充性。另外，每一攻撃類別尚有 前置(Pre-Condition)及後續條件(Post-Condition)屬性，分別代表為使此一攻擊類別 實例具有作用，在發生前需具備的條件，及攻擊實例發生後的結果。這些條件可 協助攻撃整合系統，將具有因果關係的基元攻擊關聯在一起。

攻擊知識本體中雖包含所有攻擊類別，但要描述多階(Multi-stage)的複雜攻 擊則卻仍不足，我們乃引進攻擊腳本的觀念來處理複雜攻擊。攻擊腳本係將促成 協同(Coordinated)攻撃成功的情境清楚的描述出來，如各基元攻撃的時序關係、

目標的環境及攻擊成功的條件等，可協助識別出攻擊者的最終目標。在設計攻擊 腳本時，除注意所有的組成元件均需是定義於攻擊知識本體的概念外，亦特別考 量多階攻擊的類別，如可以以較高抽象概念來表逹同一攻擊策略時，此一較高層 次的概念亦製成另一攻擊腳本。例如，在米尼克(Mitnick)攻擊中，攻擊者不一定 使用 SynFlood 攻擊來阻斷受信任目標的回應；具相同效果的攻擊，只要不違反 多階攻擊的進展，均可被用來替代 SynFlood 攻擊。這些高層次的攻擊腳本涵蓋 許多攻擊變形，可提升警訊整合系統攻擊識別能力。

Petri-Nets 不但適合表示部分有序(Partial-ordered)之攻擊事件，亦可透過標記 (Token)來清楚顯示攻擊目標及攻擊者的狀態，我們因此選定以顏色 Petri net (Colored Petri-Net, CPN) 來描述攻擊腳本，供警訊關聯時識別出這些複雜攻擊。

CPN 的基本表示方式如下，CPN = (Σ, P, T, A, N, C, G, I)，其中Σ為一有限非空 的集合，稱顔色集，用來表示關聯條件(Source，Target，Detect Time 等)；P 為一 有限位置(Place)的集合，用來表示各攻擊類別的前置及後續條件；T 為有限變遷 (Transition)的集合，用來表示某一攻擊類別實例(Instance)或類別(Class)的發生; A 為有限箭號(Arc)的集合，A→P×T∪T×P，用來表示條件和攻擊實例或類別間的 關係，P∩T = P∩A = T∩A = 空集合；N 為位置及變遷等節點的集合；C 為顏色 對應關係，表位置和標記顏色的對應關係。G 為監看條件的集合，監看條件係附 屬於變遷，只有在監看條件為真時，該變遷才可被觸發並送出標記；I 表示在起 始狀態時為真的所有位置的集合，例如，若某一位置P1 的意義為目標提供 SMTP 服務，且目標確有一郵件伺服器Server1，則在起始狀態下，P1 即具有代表 Server1 提供SMTP 服務的標記。圖三舉米尼克攻擊為例展示其 CPN。

3. 入侵警訊整合架構之設計

一個成功的入侵攻擊，通常包含數個階段：由主機相關資訊的收集、主機弱 點識別、侵入性攻擊一直到最後的安裝木馬及清除入侵軌跡等，實際上係由許多 的基元攻擊所組成。惟各入侵偵測系統有不同的監看範圍及偵測能力，當攻擊者 進行某基元攻擊時，各偵測系統會發出不同語意的警訊；加上入侵者故意誤導及 入侵偵測系統容易發出錯誤警訊的特性，要清楚的識別出整個攻擊的進程相當不 易。本整合架構主要特點為以基元攻擊為基礎來設計，包含基元攻擊認知子系統 (Primitive Attack Identifier, PAI)與攻擊整合子系統(Attack Integrator, AI)兩部分，

如圖四。首先，當入侵偵測系統偵測到某一攻擊而發出警訊(Alert)時，基元攻擊 認知子系統會利用攻擊知識本體將此一警訊轉換為最有可能的基元攻擊，最後再 將該等基元攻擊傳送給攻擊整合子系統，由其透過適當的群聚及關聯作業，整合 出多階攻擊的原貌。這個設計的最大優點是，可以在基元攻擊子系統內排除多數 的不穩定性警訊，如常態性系統化警訊、因雜訊引起的警訊、或獨立無援的警訊，

只有通過本子系統認可的警訊，才花較大力氣作整合，不只省力，而且較精確。

第二個優點則是，攻擊整合子系統可以從基元攻擊的角度來設計，完全不用關心 他是從主機式 IDS 或網路式 IDS 送來的警訊，等於透夠共通式基元攻擊來達到 將異質式IDS 的警訊自動整合起來作攻擊確認的效果。

P1

P2

P3

P4

P5

P6

P7 T1

T2 T3

P1: Attacker Synflood port 514 of Host A P2: Host B RSH_Trust Host A

P3: Attacker Guessing TCP initial SEQ number of Host B

P4: Host A Port 514 Disabled

P5: Host B TCP initial SEQ number predicted by Attacker P6: Attacker created RSH_connection to Host B by

spoofed IP address of Host A

P7: Host B RSH_connection with Attacker T1: SynFlood attack

G1={ Target1=Host A } T2: TCP SEQ Number Guessing

G2={ Target2= Host B } T3: RSH_Connection

G3= { Attacke3= Host A, Target3= Host B } Color IP=Unsigned long, Port= Integer

Var Host A, Host B: IP

Var Target1, Target2, Target3: IP Var Attacker1, Attacker2, Attacker3: IP Σ={(IP, IP, Port), (IP, IP), (IP, Port)}

P={P1, P2,.., P7}

T={T1, T2, T3}

A→P×T∪T×P G={G1, G2, G3}

N=P∪T

C={(P1,P6) → (IP, IP, Port), (P4) → (IP, Port), (P2, P3, P7) → (IP, IP), (P5) → ( )}

I= { P1 →(Host B, Host A)}

(Attacker1, Target1, Port=514)

(Host B, Host A)

(Attacker2,Target2)

(Host A, Port=514)

(Attacker3, Target3, RSH_Port)

( ) Alert

Pre/Post Conditions

圖三 以CPN表示米尼克攻擊

3.1 基元攻擊認知子系統

基元攻擊認知子系統的架構如圖五，當入侵偵測系統送來警訊時，即將交由 評估代理人(Evaluation Agent)處理。評估代理人參考入侵偵測系統模式(IDS Model)、主機/網路模式(Host/Network Model)及攻擊知識本體，先濾除掉無效的 警訊後，將警訊轉為一致的基元攻擊類別，並評定該基元攻擊的信心值。最後，

包裝代理人將基元攻擊以IDMEF (Intrusion Detection Markup Exchange Format) 格式傳送給主控端的介接代理人，轉由攻擊整合子系統進行後續的攻擊融合及關 聯處理。

評估代理人的詳細功能圖見圖六，其中主機/網路模式包含受監控主機及網路 內安裝之作業系統、應用程式版本及提供之服務等資訊，當入侵警訊發生時，可 用來判斷是否為有效之攻擊。例如，受監控主機為Linux 作業系統，則微軟作業 系統相關的攻擊可直接濾除。錯誤警訊資料庫(False Alert Database)則儲存受監控 主機在正常運作狀態下，其入侵偵測系統常產生的系統化錯誤警訊 (Systematic

AI Attack Integrator

Network Administrator

圖四 入侵警報整合架構圖

Primitive Attack Identifier, PAI Network

PAI-1

Host PAI-1

Host PAI-2

Host PAI-n

Evaluation Agent

IDS Wrapper

Agent Attack

Ontology Host/Network Model

IDS Model

Wrapper Agent

Communication flow Access flow

Alert Database

圖五 基元攻擊認知子系統 Evaluation

Agent

IDS Wrapper

Agent Attack

Ontology Host/Network Model

IDS Model

Wrapper Agent

Communication flow Access flow

Alert Database

圖五 基元攻擊認知子系統

False Alerts)。警訊過濾器(Alert Filter)參考主機/網路模式和錯誤警訊資料庫的資 訊，濾除無用的警訊。基元攻擊樣板(Primitive Attack Template)描述特定攻擊發 生時，入侵偵測系統應該發出的警訊樣式。基元攻擊識別器(Primitive Attack Identifier)即參考攻擊樣式之資訊，將入侵偵測系統發出的警訊轉換為基元攻擊。

信心值估算器(Confidence Calculator)負責評估基元攻擊的信心值。最後，基元攻 擊 過 濾 器(Primitive Attack Filter) 會 將 信 心 值 低 於 信 心 臨 界 值 (Confidence Threshold )的基元攻擊視為錯誤警訊並予以濾除。

3.2 攻擊整合子系統

攻擊整合子系統的架構如圖七。其中，攻擊腳本庫(Attack Script Library)含以 顏色Petri Net 描述的多階攻擊的腳本，可協助識別出複雜的攻擊，如米尼克攻擊 或病蟲(Worm)攻擊等。攻擊情境資料庫(Attack Situation Database)，係以顏色 Petri Net 記錄警訊關聯結果，不只可看出攻擊間的因果關係，更可用以回答某一主機 的安全狀態或某一可疑攻擊者所作的所有攻擊。網路模式包含所有實體的模式，

如主機模式(Host Model)含受監控主機之作業系統、應用程式版本及提供之服務 等資訊。

本架構的運作情形如下，介接代理人(Mediator Agent)負責基元攻擊一致性的 處理，當基元攻擊認知子系統之基元攻擊送達時，即調整各入侵偵測子架構基元 攻擊之相對時間，以利後續之條件比對工作，並將基元攻擊儲於攻擊資料庫 (Attack Database)中。群聚代理人(Clustering Agent)接著參考攻擊知識本體及主控 台入侵偵測系統模式(Console IDS Model)，對攻擊資料庫中之基元攻擊，進行相 似性的運算，以將來自各基元攻擊認知子系統屬於相同的攻擊，整合為單一攻 擊，並將之存於融合攻擊資料庫(Merged Attack Database)中。最後，驗證代理人 (Verification Agent)參考攻擊知識本體及主控台入侵偵測系統模式，檢查融合攻擊 中是否有與該攻擊限制條件衝突的情形，如有衝突情形，則需加以註記。另如該 攻擊可能繼續發生，也需加以註記，表示該攻擊尚可整合其他後續之攻擊。

Primitive Attack Identifier

Confidence Calculator Attack Ontology Host/Network

Model

False Alert Database

Wrapper Agent

Communication flow Access flow Primitive

Attack Template

圖六 評估代理人 Alert

Filter IDS

IDS Model

Confidence Threshold

Primitive Attack

Filter Primitive

Attack Identifier

Confidence Calculator Attack Ontology Host/Network

Model

False Alert Database

Wrapper Agent

Communication flow Access flow Primitive

Attack Template

圖六 評估代理人 Alert

Filter IDS

IDS Model

Confidence Threshold

Primitive Attack

Filter

當融合攻擊資料庫內出現新的融合攻擊時，關聯代理人(Correlation Agent) 即參照攻擊知識本體，以得到該攻擊的前置及後續條件；並以該攻擊之前置及後 續條件，產生相對應的情境變化，並記錄於攻擊情境資料庫中。若新產生的情境，

恰與某一現有攻擊之前置及後續條件相同，且其關聯條件也符合，則兩攻擊可自 然關聯在一起。最後，情境評估代理人(Situation Evaluation Agent)評估發生的攻 擊情境是否為攻擊腳本庫中的攻擊，並協助管理員分析、理解攻擊情境資料庫。

介面代理人則負責參考攻擊情境資料庫及網路模式(Network Model)，將最新的系 統整體安全狀態報告給系統管理員。

4. 實作與實驗

基元攻擊認知子系統利用攻擊樣板將相關的警訊整合成為一基元攻擊，並 評估其信心值，最後再以該信心值作為是否汰除錯誤警訊之依據。本實驗實作了 基元攻擊認知子系統中基元攻擊樣板、基元攻擊識別器、及信心值估算器，以驗 證其在汰除錯誤警訊的優越性。

首先，每一基元攻擊樣板包含有該基元攻擊相關之警訊、識別限制(Identifier Constraint)、信心估算規則(Confidence Rule)。圖八例示 IPsweep 之基元攻擊樣板，

IPsweep 攻擊係由同一主機發出 ICMP 封包探測遠端主機是否存活之資訊，而其 持續時間與封包時間間隔亦可由攻擊者決定，因此我們對IPsweep 之基元攻擊樣 板定義出以下識別限制：(1)警訊類別(Type)限定與 ICMP 相關、(2)警訊來源 (Source)須為相同位址、(3)各警訊之時間間隔(Interval)須小於某一預定長度 Ti、

以及(4)攻擊持續時間(Duration)亦須小於某一預定長度 Td。基元攻擊識別器即利 用基元攻擊樣板之識別限制來收集相關警訊，再交由給信心值估算器利用基元攻 擊樣板內之模糊信心估算規則(Fuzzy Confidence Rule)來評估信心值。

Mediator Agent

Clustering Agent

Interface Agent Attack

Script Library

Network Model Attack

Database

Merged Attack Database

Attack Situation Database

Attack Ontology

Network Administrator Wrapper

Agents

Console IDS Model

圖七 攻擊整合系統架構圖

Communication flow Access flow Verification

Agent

Correlation Agent Situation Evaluation

Agent

IPsweep Template{alerts, identifier constrain, confidence rule}

IPsweep identifier constraint{

TYPE(alerts) is ICMP-related SOURCE(alerts) is all the same INTERVAL(alerts) < Ti DURATION(alerts) < Td }

IPsweep confidence rule{

If Count(Destination(alerts)) is high then confidence is high .

If Count(Destination(alerts)) is medium then confidence is medium.

If Count(Destination(alerts)) is low then confidence is low.

}

圖八 IPsweep 基元攻擊樣板

由於 IPsweep 是針對某特定網路區段的主機做掃描，因此警訊中目標位址 的數量，自是計算信心值時的重要參考屬性，基元攻擊樣板內之模糊信心估算規 則，即是以警訊中目標位址的數量(Count(Destination(alerts))作為模糊變數，其歸 屬函數(Membership Function)示如圖九。注意，規則中的信心值也是模糊變數，

其歸屬函數亦見圖九。信心估算器即在這些模糊信心估算規則上作模糊推理 (Fuzzy Inference)，來推理出各 IPsweep 基元攻擊的信心值。

本實驗以Java 語言實作基元攻擊認知子系統，實驗平台為 Windows XP 作 業系統，以DARPA 2000 入侵偵測資料庫 LLDos 1.0 為測試資料，利用 Snort 入 侵偵測軟體偵測後，進行基元攻擊識別。

2 4 6 8 12 16

1 Low Medium High

0 ^{0 30}

Medium High

Low

40 50 70 80 90 100 1

圖九 模糊信心估算規則使用之歸屬函數

實驗結果示如表一。從DARPA 2000 的入侵偵測資料庫 LLDos 1.0 中，Snort

警訊中目標位址的數量歸屬函數 信心值歸屬函數

總共偵測出2977 個 ICMP 相關警訊，基元攻擊識別器將其整合成 9 個基元攻擊，

信心值估算器並分別計算出各別的信心值。由表中可知除了擁有最高信心值之3 號基元攻擊之外，其餘基元攻擊可能為錯誤警訊所造成。經由比對入侵偵測資料 庫所提供的真實攻擊之資料後，可得知3 號基元攻擊確為真實攻擊，其餘皆為錯 誤警訊所造成。因此，本基元攻擊認知子系統在汰除錯誤警報上確有良好的效果。

表一 實驗結果

來源位址 警訊數目 警訊目標位址數量 信心值

1 172.16.113.84 2159 4 0.422

2 172.16.113.84 8 1 0.207

3 202.77.162.213 767 767 0.917

4 135.13.219.91 9 1 0.207

5 172.16.113.105 8 1 0.207

6 194.27.251.21 6 1 0.207

7 197.218.177.69 3 1 0.207

8 172.16.113.168 12 1 0.207

9 197.182.91.223 5 1 0.207

總合 2977 778

5. 結論

網路在現代生活中佔有無可取代的地位，但由於網路的原始設計理念係出自 資源共享，而非以安全的角度為設計考量；且電腦軟硬體又不斷被發現新的漏 洞，因而造成網路的安全事件層出不窮。現今，網路上已部署許多不同性質的入 侵偵測系統，僅依靠這些異質、且語意不同的入侵偵測系統警訊，要全盤掌握網 路安全狀況，即時回應攻擊，實屬緣木求魚。如果能有一整合這些異質警訊的系 統，似可大為提高警訊判斷的正確性，本報告的成果以初步證實這個觀察。

我們在本報告描述了下列成果：1. 我們建構了一適合入侵警訊整合系統的 攻擊本體知識，整合攻擊腳本知識，可以作為攻擊驗證、回應與預測的基礎。2.

在攻擊知識本體的支援下，我們提出以基元攻擊為基礎來作入侵警訊整合工作的 理論，並完成其雛形系統的設計，本雛形系統包含基元攻擊認知以及攻擊整合兩 子系統。3. 我們引進彩色 Petri net 到入侵警訊整合領域，可以完整描述攻擊事 件間的部分有序與因果等關係，以及某一時間攻擊者與攻擊目標的狀態，不只有 助於複雜攻擊之認知，尚且可協助網路管理員掌握系統安全狀況，或透過可逹性 分析，來協助判斷在某一情境下，某一目標受到威脅的機率。4. 我們完成了入 侵警訊整合雛形系統的基元攻擊認知子系統的實作，實驗顯示該子系統在汰除錯 誤警訊上確有其優越性。

未來的重要方向有：1. 完成攻撃整合子系統的實作，以建立起完整的多元 異質入侵偵測整合能力。２. 發展驗證整合後攻擊正確性及有效性的評估技術。

３. 在高品質整合能力的基礎上，發展攻擊預測的能力，以提供系統或網管人員 主動回應攻擊的能力。

參考文獻

[Allen00] J. Allen, A. Christie, W. Fithen, J. McHugh, J. Pickel, and E. Stoner, “State of the practice of intrusion detection technologies,” Technical Report CMU/SEI-99-TR-028, Carnegie Mellon Software Engineering Institute, 2000.

[Axelsson00] S. Axelsson, “Intrusion Detection Systems: A Taxomomy and Survey,”

Technical Report No 99-15, Dept. of Computer Engineering, Chalmers University of Technology, Sweden, March 2000.

[Bass00] T. Bass, “Intrusion Detection Systems and Multisensor Data Fusion:

Creating Cyberspace Situational Awareness,” Communications of the ACM, pp.

99-105, Vol. 43, No. 4, April 2000.

[Bechofer01] S. Bechhofer, C.A. Goble, and I. Horrocks, “DAML+OIL is not enough,” To appear in SWWS-1, Semantic Web working symposium, Stanford, CA, August 2001.

[Bishop99] M. Bishop, “Vulnerabilities Analysis,” Proceedings of the Recent Advances in Intrusion Detection, pp. 125-136, Sep. 1999.

[Chandra99] B. Chandrasekaran, J. R. Josephson, and V. R. Benjamins, “What Are Ontologies, and Why Do We Need Them?,” IEEE Intelligent Systems, pp. 20-26, January-February 1999.

[Curry02] D. Curry, and H. Debar, “Intrusion Detection Message Exchange Format,”

http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-06.txt, 2002.

[Debar01] H. Debar, A. Wespi, “Aggregation and Correlation of Intrusion-Detection Alerts,” in RAID 2001, Lecture Notes in Computer Science 2212, W. Lee, L. Mé, and A. Wespi (eds.), Springer-Verlag, pp. 85-103, 2001.

[Fensel01] D. Fensel, F. V. Harmelen, I. Horrocks, D. L. McGuinness, and P. F.

Patel-Schneider, “OIL: An ontology infrastructure for the semantic web,” IEEE Intelligent Systems, 16(2):38-44, 2001.

[Cuppens02a] F. Cuppens, A. Miège, “Alert correlation in a cooperative intrusion detection framework,” IEEE Symposium on Research in Security and Privacy, Oakland, May 2002.

[Cuppens02b] F. Cuppens, F. Autrel, A. Mièg, S. Benferhat, “Correlation in an intrusion detection process,” Internet Security Communication Workshop (SECI'02), Tunis, September 2002.

[Frincke98] D. Frincke, D. Tobin, and Y. Ho, “Planning, Petri Nets, and Intrusion Detection,” In Proceedings of the 21st National Information Systems Security Conference (NISSC'98), 1998.

[Furnell01] S. M. Furnell, G. B. Magklaras, M. Papadaki and P. S. Dowland, “A Generic Taxonomy for Intrusion Specification and Response,” in Proceedings of Euromedia 2001, 2001.

[Goldman01] R. P. Goldman, W. Heimerdinger, S. Harp, C. W. Geib, V. Thomas, and R.Carter, “Information Modeling for Intrusion Report Aggregation,” in Proceedings of the DARPA Information Survivability Conference and Exposition II(DISCEX-II 2001), 2001.

[Gorodetski02] V. Gorodetski and I. Kotenko, “Attacks against Computer Network:

Formal Grammar-based Framework and Simulation Tool” In Proceedings of the 5 International Conference “Recent Advances in Intrusion Detection”, Zurish, Switzerland, October 16-18, 2002. Lecture Notes in Computer Science series, Springer Verlag, pp. 219-238, 2002.

[Gruber95] T. R. Gruber, “Toward Principles for the Design of Ontologies used for Knowledge Sharing,” International Journal of Human and Computer Studies, Vol.

43, No. 5/6, pp. 907-928, 1995.

[Guarino97] N. Guarino, “Understanding, Building and using Ontologies,”

International Journal of Human Computer Studies, Vol. 46, No. 2/3, pp. 293-310, 1997.

[Hendler01] J. Hendler, “Agents and the Semantic Web,” IEEE Intelligent Systems, Vol. 16, no. 2, pp. 30-37, Mar./Apr. 2001.

[Ilgun95] K. Ilgun, R. A. Kemmerer, and P. A. Porras, “ State Transition Analysis: A Rule-based Intrusion Detection Approach,” IEEE Transactions on Software Engineering, vol. 21 no. 3, March 1995.

[Julisch01] K. Julisch, “Mining Alarm Clusters to Improve Alarm Handling Efficiency,” 17th Annual Computer Security Applications Conference, New Orleans, Louisiana, December 10-14, 2001.

[Kumar95] S. Kumar, “Classification and Detection of Computer Intrusions,” PhD thesis, Purdue University, August 1995.

[Lee98] W. Lee and S. Stolfo, “Data Mining Approaches for Intrusion Detection,” In Proceedings of the 7th USENIX Security Symposium, pp. 26-29, San Antonio, TX, January, 1998.

[Ning02a] P. Ning, Y. Cui, D. S. Reeves, “Analyzing Intensive Intrusion Alerts Via Correlation,” in Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection (RAID 2002), LNCS 2516, pp. 74-94, Zurich, Switzerland, October 2002.

[Ning02b] P. Ning, Y. Cui, D. S. Reeves, “Constructing Attack Scenarios through Correlation of Intrusion Alerts,” in Proceedings of the 9th ACM Conference on Computer & Communications Security, pp. 245-254, Washington D.C., November 2002.

[Patton01] S. Patton, W. Yurcik, and D.Doss, “An Achilles Heel in Signature-Based IDS: Squealing False Positives in SNORT,” Proceedings of the 4th International

Symposium on Recent Advances in Intrusion Detection (RAID 2001), Davis, CA, USA, October 10-12, 2001.

[Porras97] P. A. Porras and P. G. Neumann, “ EMERALD: Event Monitoring Enabling Response to Anomalous Live Disturbances,” Proceedings of the Nineteenth National Computer Security Conference, Baltimore, Maryland, October 1997.

[Ruiu99] D. Ruiu, “Cautionary Tales: Stealth Coordinated Attack HOWTO,” Digital Mogul, Volume 2-7, July 1999.

[Tidwell01] T. Tidwell, R. Larson, K. Fitch and J. Hale, “Modeling Internet Attacks,”

Proceedings of the 2001 IEEE Workshop on Information Assurance and Security, United States Military Academy, West Point, NY, June 2001.

[Valdes01] A. Valdes, and K. Skinner, “Probabilistic Alert Correlation,” in RAID 2001, Lecture Notes in Computer Science 2212, W. Lee, L. Mé, and A. Wespi (eds.), Springer-Verlag, pp. 54-68, 2001.

[Vigna99] G. Vigna and R. A. Kemmerer, “NetSTAT: A Network-based Intrusion Detection System ,” Journal of Computer Security, Volume 7, Issue 1, 1999.