以機率因果關聯為基礎的攻擊知識探討整合型入侵偵測系統的攻擊預測能力

行政院國家科學委員會專題研究計畫 成果報告

以機率因果關聯為基礎的攻擊知識探討整合型入侵偵測系 統的攻擊預測能力

計畫類別： 個別型計畫

計畫編號： NSC92-2213-E-011-075-

執行期間： 92 年 08 月 01 日至 93 年 07 月 31 日 執行單位： 國立臺灣科技大學資訊工程系

計畫主持人： 何正信

計畫參與人員： 簡勝輝、余智勇、劉威廷

報告類型： 精簡報告

報告附件： 出席國際會議研究心得報告及發表論文

處理方式： 本計畫涉及專利或其他智慧財產權，1 年後可公開查詢

中 華 民 國 93 年 11 月 1 日

以機率因果關聯為基礎的攻擊知識本體來探討整合型入侵偵測系統 的攻擊預測能力

Study of Attack Prediction Capability of an Integrated Intrusion Detection System based on Probabilistic Attack Ontology

計畫編號：NSC92-2213-E-011-075

計畫執行期間：2003 年 8 月 1 日至 2004 年 7 月 31 日 計畫執行單位： 國立台灣科技大學 資訊工程系

計畫主持人：何正信 教授 研究助理：簡勝輝、余智勇、劉威廷 中文摘要:

目前在文獻上已有許多入侵警訊整合系統被發展出來解決入侵警訊氾濫的問題，惟 該等系統本質上都是被動的等待入侵事件發生後，才發出警報，提供網路管理人員判 讀。網路管理人員常需在眾多入侵警報及主機記錄檔中研判入侵證據，來確定實際損害 範圍，誠屬費時費力。如果能發展具攻擊預測能力的整合型入侵偵測系統，提醒系統管 理員在事先預作防範，避免實際損害之發生，便更可有效解決網路安全管理上的窘境。

基此概念，本計畫除延續去年計劃「以本體知識與情境模式為基礎的異質入侵警報整合 架構之探討

(NSC-91-2213-E-011-051)

關鍵字: 攻擊預測、基元攻擊、攻擊知識本體、機率因果關聯

Study of Attack Prediction Capability of an Integrated Intrusion Detection System based on Probabilistic Attack Ontology

Abstract:

Intrusion alerts integration systems have been constantly proposed in the literature trying to resolve the problem of overwhelming numbers of alerts produced by deployed intrusion detection systems. These systems usually send out alarms only after attacks have taken place and damage has been done. Network administrators have to spend tremendous time searching for evidence of attacks from voluminous intrusion alerts and system logs. If we can develop an attack prediction technique which can notify network administrators of possible next attacks in advance, the administrators can then proactively develop proper counterattack policies and the security of the network system can be effectively guaranteed. This proposal continues the work of the last-year project—“An Ontology and Situation Model-based

Architecture for Heterogeneous Intrusion Alerts Integration” (NSC-91-2213-E-011-051) by

generic attack plan-based correlation subsystem; 2.) The completion of a probabilistic attack plan model to describe causal relations inside attack plans and attack scenarios; 3.) The design

Keywords: Attack prediction, primitive attack, attack ontology, probabilistic causal relations.

1.前言

網路上電腦的安全問題，是網路應用系統能否成熟發展的關鍵。目前雖有防火牆、

加解密等安全防護系統，但仍無法杜絕入侵事件之發生。具不同技術、特性的入侵偵測 系統，已被發展成為系統的第二層防護。目前入侵偵測系統主要遭遇下列問題：(1)入侵 偵測系統常產生過多未經整合的低階警訊；(2)入侵偵測系統產生太多的錯誤警報；(3) 不易整合異質入侵偵測系統，使之發揮相輔相成的整體防禦效果。為了解決上述問題，

我們在去年的計劃「以本體知識與情境模式為基礎的異質入侵警報整合架構之探討

(NSC-91-2213-E-011-051)

提供較高層的觀念給專家作網路安全的評估。為支援兩層式異質入侵警訊關聯系統，我 們也定義了適用於警訊關聯的攻擊知識本體，以作為各子系統共通的語意基礎。

本年度計畫延續去年的計畫，完成了以基元攻擊及通用攻擊計劃為基礎之腳本關聯 技術的細部設計與雛型實作[Yu04] [Liu04]。鑒於整合型入侵偵測系統本質上仍是被動的 等待入侵事件發生後，才發出警報提供網路管理員判讀。網路管理員常需在眾多的入侵 警 報 及 主 機 的 記 錄 檔 中 研 判 入 侵 證 據 ， 以 確 定 實 際 損 害 範 圍 ， 相 當 費 時 費 力 [Cupp02][Ning04][Porr02] [Vald01]。本年度計畫乃接著探討在原來的攻擊知識本體與入 侵腳本知識的基礎上，輔以機率因果的概念，來發展一套攻擊預測子系統，以建立整合 型入侵偵測系統的攻擊預測能力。本年度計畫完成的項目如下：1.)完成了以基元攻擊及 通用攻擊計劃為基礎之腳本關聯技術的細部設計與雛型實作；2.)在原來的攻擊知識本體 與入侵腳本知識上發展出帶有機率因果關係的攻擊計劃機率模式；3.)發展出一機率式攻 擊預測系統，利用攻擊計劃機率模式，配合案例推理技術來做攻擊腳本之關連、修補與 預測工作。實驗顯示，本整合型入侵偵測系統因同時具備了攻擊腳本的關聯、修補與預 測能力，能提供網路管理人員較完整的攻擊腳本，對於主動回應有害攻擊的能力，以提 升網路的整體安全方面大有助益。

2.機率式攻擊預測系統架構

本機率式攻擊預測系統(Probabilistic Attack Prediction System)主要分為二子系統: (1) 警訊-基元攻擊轉譯子系統(Alert-PA translation subsystem)，負責由異質入侵警訊辨識出 基元攻擊，使基元攻擊關聯及預測子系統得以在統一的語意基礎上作業。本子系統亦將 預測將發生之基元攻擊轉譯為相對應的警訊，使攻擊回應代理人得以快速預作反應。(2) 基元攻擊關聯與預測子系統(PA-based correlation and prediction subsystem)，負責將基元 攻擊關聯為攻擊腳本；另從進展中的攻擊腳本，預測出下波攻擊，使管理員可在攻擊發 生前預先作出防患措施，以避免系統遭受進一步損害。

2.1 警訊-基元攻擊轉譯子系統

圖 1 為警訊-基元攻擊轉譯子系統，其中淡綠色模組為去年度計畫完成的工作，淡 紅色模組為本年度計畫完成的工作，而白色模組為未來的工作。本子系統的運作情形如 下:當入侵偵測系統發出警訊時，警訊監控代理人(Alert Monitor Agent)檢查是否為被預測 將發生之警訊，如是監控中之警訊，則將此一警訊之信心值註記為最高值，並將此一訊 息通知攻擊反應代理人(Attack Responder);其他非監控中之警訊,則直接轉交給特徵擷取 器(Feature Extractor) ， 將 所 需 的 欄 位 資 訊 取 出 後 ， 儲 存 於 異 質 入 侵 警 訊 資 料 庫 (Heterogeneous Alert Database)。基元攻擊評估器(Primitive Attack Evaluator)則參考基元攻 擊樣版(Primitive Attack Templates)、入侵偵測系統監測範圍表(IDS Scope Table)、以及信 心值估算規則庫(Confidence Calculation Rule Set)，將入侵警訊整合為基元攻擊，並評估 其信心值(Confidence Value)後，存入認知基元攻擊庫(Recognized Primitive Attacks)。另 當攻擊反應代理人傳來預測之基元攻擊時，入侵警訊預測代理人(Intrusion Alert Predictor) 將參考基元攻擊樣版及入侵偵測系統監測範圍表，將基元攻擊轉譯為各不同入侵偵測系 統可能發生的警訊，並通知警訊監控代理人，由其進行必要的監控。

Feature Extractor

Primitive Attack Evaluator

Intrusion Alert Predictor IDS

Heterogeneous IDS Alerts Database

IDS Scope

Table Confidence

Calculation Rule Set

Primitive Attack Templates

Recognized Primitive

Attacks

Predicted Alerts Database

Predicted Primitive Attacks Alert

Monitor Agent

IDS Alert Monitor

Agent

圖1 警訊-基元攻擊轉譯子系統 2.2 基元攻擊關聯與預測子系統

圖2 為基元攻擊關聯與預測子系統的架構圖，其中不同顏色模組代表的意義與圖 1 相同。本子系統的運作情形如下: 腳本認知模組(Scenario Recognizing Module)依據通用 攻擊計劃庫(Generic Attack Plan Library)與攻擊知識本體(Attack Ontology)中存放的知 識，將認知之基元攻擊整合為攻擊腳本(Attack Scenario)，並評估各攻擊腳本的信心值；

腳本修補模組(Scenario Repairing Module)則參考攻擊腳本案例庫(Attack Scenario Case Library)與實際發生的基元攻擊，將攻擊腳本中缺漏的基元攻擊加以補足。另針對進展 中 的 攻 擊 腳 本 ， 攻 擊 計 劃 預 測 器(Attack Plan Predictor) 參 考 攻 擊 計 劃 機 率 模 式 (Probabilistic Attack Plan Model) ，預測出最可能發生的攻擊計劃，亦即預測出攻擊者的 可能意圖。攻擊腳本預測器(Attack Scenario Predictor)亦參考攻擊計劃機率模式，配合腳

本修補模組，以預測出攻擊者可能的攻擊腳本，亦即預測出接下來可能發生的基元攻 擊，交由腳本修補模組依已發生之基元攻搫改編後，將之儲存於預測基元攻擊庫 (Predicted Primitive Attacks)內。在整個預測過程中，各模組係透過處理中部份腳本庫 (Processed Partial Scenarios)作資訊的暫存及交換。當預測出基元攻擊後，驗證模組 (Verification Module)即參考網路拓樸(Network Topology)的資訊，驗證預測出之基元攻擊 是否和網路環境有所衝突，然後將與網路環境相符的基元攻擊交給介面模組(Interface Module)提供網路管理人員參考。最後攻擊反應代理人(Attack Responder)負責將預測出 且符合網路條件的基元攻擊轉送給入侵警訊預測器；並接收來自警訊監控代理人的警 訊，自動或在網路管理員的指示下，進行必要的防患或反制措施。

Scenario Recognizing

Module

Scenario Repairing

Module

Attack Plan Predictor

Attack Scenario Predictor Recognized

Primitive Attacks

Generic Attack

Plan Library

Attack Scenario

Case Library Attack

Ontology

Probabilistic Attack

Plan Model

Recognized Attack Scenarios Processed

Partial Scenarios

Predicted Primitive Attacks

Verification Module

Attack Responder

To Administrator

Proactive Response Network Topology

Interface Module

Alert Monitor

Agent

Intrusion Alert Predictor

圖2 基元攻擊關聯與預測子系統 3.攻擊知識本體

發展資訊整合相關應用系統，其首要工作為發展該系統所需領域知識本體 (Domain Ontology)，俾提供各子系統間一個基本且共通的語意基礎。我們參考已發展出之網路攻 擊知識本體 [Goro02]、公開之弱點知識庫[ICAT]及林肯實驗室之攻擊知識分類方法 [Kend98]，建構完成適合異質入侵警訊關聯系統的攻擊知識本體(Attack Ontology)。其分 類方法係採攻擊者的觀點，故較上層的抽象攻擊類別(Attack Class)代表攻擊者欲逹成的 目標及子目標；而最下層的基元攻擊類別(PA Class)，則係用來逹成抽象層目標類別的實 際攻擊類別。

圖 3 例示本攻擊知識本體，包含抽象層攻撃知識本體架構及基元攻擊類別(部分顯 示) 。 我 們 將 網 路 攻 撃 (Network Attack) 概 念 ， 區 分 為 偵 查 (Reconnaissance) 、 侵 入 (Penetration)及非授權行為(Unauthorized Activity)等主要概念。偵查係攻撃者以遠端的方 式及權限，收集攻擊目標之網路拓撲、主機作業系統、提供之網路服務及所具有之弱點 等資訊，以決定下一攻擊階段的攻擊方法。侵入類別代表攻擊者在發現主機弱點後，輸 入 不 合 法 資 料 或 促 使 目 標 主 機 發 生 邏 輯 上 的 錯 誤 ， 以 達 成 其 提 升 權 限(Privilege escalation)，破壞目標主機有效性(Availability)、完整性(Integrity)或私密性(Confidentiality)

之目的。非授權行為係完成入侵攻擊後的惡意行為。

我們利用史丹福大學所發展的Protégé2000 [Prot]軟體，發展出一個屬於網路安全知 識領域的網路攻擊知識本體，透過本攻擊知識本體，除了可以描述基元攻擊本身的特性 以及能力外，亦可利用其上層的抽象攻擊類型來表現出基元攻擊間的共通性質與相關程 度，並據以訂定通用攻擊計劃，以達到以基元攻擊作為異質警訊整合與攻擊認知的目 標。圖4 例示一攻擊類別。

圖3 攻擊知識本體

圖4 攻擊類別範例 4.攻擊計劃機率模式

為能準確預測下波攻擊，必需建立攻擊相關的機率模式以作為預測的基礎。動態貝 式網路(Dynamic Bayesian Network)可塑模動態的機率模式，並可提供預測的能力，已被 運用在許多入侵偵測應用系統[Feng04][Ours03][Ye03]。我們因此選定隠藏式的馬可夫模 式(Hidden Markov Model，HMM)來塑模攻擊計劃機率模式，以提供預測子系統預測攻 擊計劃及基元攻擊發生的機率。

攻擊計畫機率模式的塑模程序及參數如圖5，其中已清理攻擊腳本庫(Cleaned Attack Scenarios)內含許多已清除錯誤基元攻擊警訊的腳本。意圖標記模組(Intention Labeling Module)參考攻擊知識本體，為每一基元攻擊標記其相對的攻擊類別(攻擊意圖)後，交由 計劃塑模模組(Plan Modeling Module)分別針對攻擊類別間以及基元攻擊間的轉換機率 進行塑模，建構出攻擊計劃機率模式。HMM 表示的攻擊計劃機率模式中，其觀察層 (Observation layer)係基元攻擊，而其隠藏狀態層係攻擊類別，可支援攻擊計劃的預測。

例如，假設某一已清理攻擊腳本庫共含有 9 個攻擊類別及 30 個基元攻擊，圖 6 例示在 經過攻擊機率塑模程序後，所得到的攻擊機率模式，其中3 塑模攻擊類別間的轉換機率，

而4 塑模基元攻擊間的轉換機率。

Intention Labeling Module

Plan Modeling

Module Cleaned

Attack Scenarios

Probabilistic Attack

Plan Model (HMM) Attack

Ontology

Probabilistic Attack Plan Model

- N: the number of states (intentions), i.e., the number of attack classes in the model S={S₁,S₂,S₃,…,S_N}, the state at time t as q_t - M: the number of distinct symbols per state,

i.e., the number of distinct primitive attacks V={V₁,V₂,V₃,…,V_M}

- A: the state transition probability distribution A={a_ij}; a_ij=P(q_t+1= S_j|q_t = S_i)

- B: the observation symbol probability distribution in state j, B={b_i(k)}; b_i(k)=P(V_kat t|q_t=S_j) - Π: the initial state distribution

Π= {Π_i}, Π_i=P(q₁=S_i), 1≤ i ≤N

- Λ: the initial primitive attack probability distribution Λ= {Λ_i}, Λ_i =P(V_iat t=1), 1≤ i ≤M

圖5 攻擊計畫機率模式的塑模程序及 HMM 模組參數

1.15 attack classes N=9, S={ S₁,S₂,S₃,…..,S₉} 2.70 primitive attacks

M=30, V={V₁,,V₂,V₃,…,V₃₀}

3. Attack classes transition probability distribution table: A

4. Primitive attacks probability distribution tables: B

5.Initial attack classes probability distribution Π={Π₁, Π₂, Π₃,….., Π₉}

6.Initial primitive attacks probability distribution Λ ={Λ1,Λ2,Λ3,….., Λ30}

S₁ S₂ S₃ …..………S₉ S₁

S₂ S₃ S₉

…….

S₁ S₂ S₃

S₉

……...

V₁ V₂ V₃ …..…………..V₃₀ a₁₁ a₁₂ a13 ……….a₁₉ a₂₁ a₂₂ a23 …..………..……a₂₉ a₃₁ a₃₂ a33…….……….……a₃₉

a₉₁ a₉₂ a93…….……….……a₉₉

b₁(1) b₁(2) b₁(3)…… …………b₁(30) b₂(1) b₂(2) b₂(3)……… ………b₂(30) b₃(1) b₃(2) b₃(3)……… ………b₃(30)

b₉(1) b₉(2) b₉(3)……....………b₉(30)

圖6 包含 15 個攻擊類別及 30 個基元攻擊之攻擊計劃機率模式範例

5.攻擊預測相關模組

圖2 中與攻擊預測相關的模組有腳本修補模組、攻擊計劃預測器、攻擊腳本預測器 及入侵警訊預測器，各模組的功能分述於以下各小節。

5.1 腳本修補模組

腳本修補模組利用案例推理技術來進行腳本修補工作。在進行修補時，修補器首先 比較存放在攻擊腳本案例庫之案例與不完全攻擊腳本間的相異度(Dissimilarity)，再據以

找出最適合修補的案例。基本上，如果形成不完全攻擊腳本的原因是前端的入侵偵測系 統或基元攻擊評估器因資訊漏失或是系統出錯導致無法偵測某些基元攻擊時，則可利用 案例來試圖還原這些無法偵測到的基元攻擊，以提供專家評估前端的系統可能出錯的徵 結點而加以修補和補強。對於尚未完成的攻擊腳本，亦可藉由腳本修補器來簡單預測下 一個可能發生的基元攻擊，以供專家進行系統的防護。

由於我們已經在攻擊知識本體中將基元攻擊做一階層性的分類，因此兩基元攻擊間 的相異度可由它們在攻擊知識本體中的距離(Distance)來決定(式(1))，距離越小代表越相 近。另外我們也考慮基元攻擊的重要值，重要值越小代表對攻擊腳本的影響越弱。這種 以距離和重要值為主的相異度計算公式中，所求出的相異度值越低，代表差異程度越 小，兩者間越相似。以圖7 為例，Class A 與 Class E 中的基元攻擊皆相同，因此只考慮 Class B 中的(b1，b2)與 Class D 中的(d1，d2)的相異度。

∑

∈

∈

×

=

b a b a

C b S a

a C

S

dist a b CV

ity Dissimilar

), ( Supercalss )

( Superclass ,

,

) ( Superclass )

,

( ( ( , ) ) (1) 其中 dist(a,b)代表同一攻擊類別的基元攻擊

a

b

CVSuperclass(a)代表基元攻擊

a

重要值，即為攻擊腳本與案例間的相異度。以圖7 為例，假設 dist(b1,b2)=4，dist(d1,d2)=3，

攻擊類別C 的重要值為 0.4，且攻擊類別 D 的重要值為 0.8，則其整體相異度為 4 8 . 0 3 4 . 0 4 )

, ( )

,

( _{1 2}

× +

× = × + × =

= dist b b CV

dist d d CV

ity

Dissimalar

當攻擊腳本與所有案例皆做完相異度計算後，我們即選擇相異度最低且小於門檻 值的案例做為修補的依據。若有兩個以上案例的相異度最低且小於門檻值，則選擇發生 次數(Occurrence)較多的案例，惟若發生次數亦相同時，則分別依據案例進行修補的動作。

圖7 攻擊腳本修補範例 5.2 攻擊計劃預測器

攻擊計劃預測器的主要功能為特定通用攻擊計劃的預測，當腳本認知模組依據通用 攻擊計劃庫來進行攻擊腳本辨識時，同一基元攻擊序列可能例舉出(Instantiating)多個符 合的攻擊計劃；攻擊計劃預測器即需依據攻擊計劃機率模式來評估各攻擊計劃可被完成 的可能性，亦即計算各未完成攻擊類別發生的可能性，如某一攻擊計劃之被完成可能性 高於門檻值時，則將此一攻擊計劃視為可能發生，並將之交予攻擊腳本預測器處理。例 如，設一攻擊計劃由 S1S2S3S4S5組成，且已發生 V1V2V3之基元攻擊序列，若其中各基

元攻擊分屬於 S1S2S3，則攻擊子計畫S4S5接續發生的機率可由式 2 得知(符號請參考圖 6)。

(2)

5.3 攻擊腳本預測器

在腳本修補器進行腳本修補時，需比較同一攻擊計劃中攻擊腳本案例與不完全攻擊 腳本間的相異度，攻擊腳本預測器即依據攻擊計劃機率模式，提供機率的資訊給腳本修 補器參考，當某一案例尚未發生的基元攻擊序列之發生可能性超過某一門檻值時，即視 為可能發生的腳本，再交回腳本修補器進行修補。承襲上例，設攻擊計劃S1S2S3S4S5 由 攻擊腳本案例V1V2V3V4V5所實現，現一基元攻擊序列V1V2V3已發生，則基元攻擊序列 V4V5接續發生的機率可由式3 得知(符號請參考圖 6)。對於進行中的攻擊，攻擊者的行 為不一定遵循單一的攻擊計劃或案例，但由於本攻擊計畫機率模式係由大量實際發生的 基元攻擊序列所塑模，故在某一基元攻擊序列發生後，即可以利用機率方式來預測下一 可能發生的基元攻擊的機率，如該機率超過門檻值時，即交由攻擊反應代理人進行後續 處理。

(3)

5.4 入侵警訊預測器

預測之基元攻擊通常包含可能攻擊來源、目標及基元攻擊類別等資訊。入侵警訊預 測器首先參考入侵偵測系統監測範圍表，找出可偵測該基元攻擊的入侵偵測系統；接著 參考基元攻擊樣版(圖 8 例示以樹狀表示之 IPSweep 基元攻擊樣版)，查出可能發生的警 訊，並儲於預測警訊庫內。預測之警訊有二個作用：(1)當某一基元攻擊的部分警訊發生 時，反應代理人即可知該基元攻擊已發生，可進行該基元攻擊之下一預測基元攻擊之反 制。(2)可提供基元攻擊評估模組參考，以強化該警訊所屬基元攻擊的信心值，以避免該 基元攻擊被濾除。

6.實作與實驗

為評估系統效能，我們在CPU 為 Pentium IV 2.4G，Windows XP 作業系統之個人電 腦上，用JAVA 語言 JDK 1.4.2 版配合 MySQL Database Server 開發本系統。另使用林 肯 實 驗 室(Lincoln Laboratory) 提 供 的 DARPA 2000 入 侵 偵 測 資 料 集 (2000 DARPA Intrusion Detection Scenario Specific Data Sets) [MIT00]作為測試資料。DARPA 2000 入侵 偵測資料集所模擬的攻擊，主要是利用 Solaris 作業系統中 Sadmind 遠端管理服務程式 的緩衝區溢位漏洞，在不同 Solaris 主機中分別植入分散式阻斷攻擊 MStream 之代理程 式(Agent)及伺服程式(Server)，並控制引發分散式阻斷攻擊(DDoS, Distributed Denial of Service)。測試資料集包含兩個版本的模擬攻擊，分別為攻擊手法較明顯的 LLDOS1.0，

與手法較為隱密的LLDOS2.0.2。

b

(3)X Π

X a

Xa

Λ

b

(3)X Π

X a

X b

(4)Xa

Xb

(5)

Λ

S D

Node 1:

Snort:384

Node 2:

Snort:408

Node1.source=Node2.target Node1.target=Node2.source Node1.source=Node1’.source

1 second

S D

Node 1:

Snort:384

Node 2:

Snort:408

Node1.source=Node2.target Node1.target=Node2.source Node1.source=Node1’.source

S D

Node 1:

Snort:384

Node 2:

Snort:408

Node1.source=Node2.target Node1.target=Node2.source Node1.source=Node1’.source

1 second

圖8 IPSweep 攻擊樹

我們使用了三種入侵偵測系統來檢測 DARPA 2000 入侵偵測資料集，分別為 Snort 1.8 [Roes99]、RealSecure Network Sensor 6.0 [Real]、與 eXpert-BSM 1.5.3 　[Lind01]。Snort 用來檢測位於DMZ 區段與內部網路的封包； eXpert-BSM 用來檢測主機 Mill 與 Pascal 的BSM 日誌檔案；RealSecure Network Sensor 的警訊則使用[Ning04]所提供的警訊資料。

我們針對LLDOS1.0 所描述的攻擊手法，利用攻擊知識本體中的高層攻擊類別來訂 定攻擊計劃(如圖 9)。透過這些攻擊計劃，警訊-基元攻擊轉譯子系統即將 LLDOS1.0 與 LLDOS2.02 的 TCPDump 檔案與 BSM 日誌檔案所產生的警訊轉譯成基元攻擊，再交由 基元攻擊關聯與預測子系統預測出攻擊腳本。我們設定重要值的門檻值為 0.5，腳本信 心值門檻值為0.6。

圖9 DDoS 攻擊計劃

圖 10 為系統於兩個測試資料中所預測的真實攻擊腳本，虛線部份代表腳本修補器 利用案例推理所補上之基元攻擊，另粗線部分則代表腳本修補器以證據推理所補上之基 元攻擊[Liu04]。

表1 為預測出的攻擊腳本所涵蓋的基元攻擊數目，以及涵蓋的真實基元攻擊數目。

我們可利用式(4)計算出真實基元攻擊預測率(True P.A. Prediction Rate)。

. .

#

redicted rediction #

.

. true PA

P.A.

p correctly Rate

P A P

True = (4) 其中，P.A.表基元攻擊。我們發現 LLDOS1.0 與 LLDOS2.02 最後的預測率皆可達到 90%

以上，另外未能加入攻擊腳本中的基元攻擊，本系統亦加以收集，當成相關資訊提供專 家參考。

IPSweep

ACK_TCP _Stream Portmap_Request

_Sadmind

Mstream_Control Sadmind_BOF

Sadmind_Ping

RSH

Passwd_File _Alternation

Shadow_File _Alternation

Telnet Telnet

Sadmind_BOF

A.S. for Mill (LLDOS 1.0)

A.S. for Locke (LLDOS 1.0)

A.S. for Mill & Pascal (LLDOS 2.02) IPSweep

ACK_TCP _Stream Portmap_Request

_Sadmind

Mstream_Control Sadmind_BOF

Sadmind_Ping

RSH

Passwd_File _Alternation Shadow_File _Alternation

Telnet Telnet

IPSweep

ACK_TCP _Stream Portmap_Request

_Sadmind

Mstream_Control Sadmind_BOF Sadmind_Ping

RSH

Passwd_File _Alternation Shadow_File _Alternation

Telnet Telnet

IPSweep

ACK_TCP _Stream Portmap_Request

_Sadmind

Mstream_Control Sadmind_BOF Sadmind_Ping

Passwd_File _Alternation

Shadow_File _Alternation

Telnet Sadmind_BOF

FTP_Upload FTP_Login

A.S. for Pasca (LLDOS 1.0)

圖10 從 LLDOS 攻擊資料庫所預測出之攻擊腳本

表1 真實基元攻擊預測率(P.A.:基元攻擊)

7.結論

本年度計畫延續去年的計畫，首先完成了以基元攻擊及通用攻擊計劃為基礎之腳本 關聯技術的細部設計與雛型實作，並在原來的攻擊知識本體與入侵腳本知識的基礎上，

輔以機率因果的概念，來發展一套機率式攻擊預測系統，以建立整合型入侵偵測系統的 攻擊預測能力。本機率式攻擊預測系統利用帶有機率因果關係的攻擊計劃機率模式，配 合案例推理技術來做攻擊腳本之關連、修補與預測工作。實驗顯示，本整合型入侵偵測

系統因同時具備了攻擊腳本的關聯、修補與預測能力，得以提供網路管理人員較完整的 攻擊腳本，對於主動回應有害攻擊的能力，以提升網路的整體安全方面大有助益。

本計劃未來有三發展重點，(1)我們希望以更完整的攻擊資料庫來驗證本系統的預測 能力。(2)我們希望引進資料淬取的技術來協住專家建立更完整的通用攻擊計劃庫。(3) 鑑於目前許多攻擊係由攻擊程式所引發，發展自動回應的技術，來提升反應的速度及效 能實刻不容緩。

參考文獻

[Cupp02] F. Cuppens and A. Miege, “Alert Correlation in a Cooperative Intrusion Detection Framework,” Proc. of 2002 IEEE Symposium on Security and Privacy, pp. 202-215, Oakland, CA, 2002.

[Feng04] L. Feng, X. Guan, S. Guo, Y. Gao and P. Liu, “Predicting the intrusion intentions by observing system call sequences,” Computer and Security, Elsevier, Vol. 23, Issue 3, pp. 241-252, May 2004.

[Goro02] V. Gorodetski and I. Kotenko, “Attacks against Computer Network: Formal Grammar-based Framework and Simulation Tool,” In Proceedings of the fifth

International Workshop on Recent Advances in Intrusion Detection, Zurish,

[ICAT] ICAT database, http://icat.nist.gov/icat.cfm

[Kend98] K. Kendall, “A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems,” Master's Thesis, Massachusetts Institute of Technology, 1998.

[Lind01] U. Lindqvist and P. Porras, “eXpert-BSM: A Host-based Intrusion Detection Solution for Sun Solaris,” Proc. of 17th Annual Computer Security Applications

Conference (ACSAC), pp. 240-251, New Orleans, Louisiana, 2001.

[Liu04] W. T. Liu, “A Primitive Attack-based New Correlation Technique for Heterogeneous Intrusion Alert-Construction of Attack Scenarios Using Primitive Attacks,” Master’s Thesis, Department of Computer Science and Information Engineering, National Taiwan University of Science and Technology, Taiwan, ROC, 2004.

[MIT00] 2000 DARPA Intrusion Detection Scenario Specific Data Sets, available at

http://www.ll.mit.edu/IST/ideval/data/2000/2000_data_index.html

[Ning04] P. Ning, Y. Cui, D. S. Reeves, and D. Xu, “Tools and Techniques for Analyzing Intrusion Alerts,” ACM Transactions on Information and System Security, Vol. 7, No. 2, pp. 214-318, May 2004.

[Ours03] D. Ourston, S. Matzner, W. Stump, B. Hopkins,”Applications of Hidden Markov Models to Detecting Multi-Stage Network Attacks,” Proceedings of the 36th Hawaii

International Conference on System Sciences (HICSS-36 2003), January 6-9, 2003.

[Porr02] P. A. Porras, M. W. Fong and A. Valdes, “A Mission-Impact-based Approach to INFOSEC Alarm Correlation,” Proc. of the 5th International Symposium on Recent

Advances in Intrusion Detection (RAID 2002), LNCS (Lecture Notes In Computer

[Prot] Protégé, available at http://protege.stanford.edu/

[Real] RealSecure Network Sensor, available at http://www.iss.net/

[Roes99]M. Roesch, “Snort - lightweight intrusion detection for networks,” Proc. of LISA'99:

13th Systems Administration Conference, pp. 229-238, Seattle, Washington,

[Vald01] A. Valdes and K. Skinner, “Probabilistic alert correlation,” Proc. of the 4th

International Symposium on Recent Advances in Intrusion Detection (RAID 2001),

[Ye03] N. Ye, Y. Zhang, and C. M. Borror, “Robustness of the Markov chain model for cyber attack detection,” IEEE Transactions on Reliability, Vol. 52, No. 3, September 2003.

[Yu04] C. Y. Yu, “A Primitive Attack-based New Correlation Technique for Heterogeneous Intrusion Alerts- Construction and Detection of Primitive Attacks,” Master’s Thesis, Department of Computer Science and Information Engineering, National Taiwan University of Science and Technology, Taiwan, ROC, 2004.