摘 要 檢測(cè)系統(tǒng)關(guān)健技術(shù)是從數(shù)據(jù)中獲得系統(tǒng)的入侵行為的知識(shí)并加以定義和描述為入侵的行為，在Intrusion detection system的構(gòu)建中，相關(guān)的知識(shí)獲取技術(shù)，特點(diǎn)選取，各種分類算法，進(jìn)程運(yùn)行跡的系統(tǒng)調(diào)用短序列集合以及序列中系統(tǒng)調(diào)用的排列關(guān)系來(lái)描述進(jìn)程行為的特點(diǎn)，這些特點(diǎn)中存在著檢測(cè)系統(tǒng)在檢測(cè)過(guò)程中出現(xiàn)漏警與空警現(xiàn)象。

【關(guān)鍵詞】入侵檢測(cè)模型 行為特點(diǎn) 特點(diǎn)描述 normal abnormal 漏警 空警

1 Intrusion detection system模型

Intrusion detection system是一個(gè)多數(shù)據(jù)處理系統(tǒng)，這樣的系統(tǒng)要求建立恰當(dāng)?shù)某橄笙到y(tǒng)模型，要對(duì)問(wèn)題域?qū)嶓w及其關(guān)系進(jìn)行抽象并能用算式定義和表述，這樣才能夠正確并較為全面解決的各種復(fù)雜問(wèn)題。在現(xiàn)實(shí)環(huán)境中，不同類型的問(wèn)題域有不同解決問(wèn)題的方法。由此可知系統(tǒng)的數(shù)據(jù)處理模型不僅要求對(duì)數(shù)據(jù)集合空間相關(guān)實(shí)體的提取和表述，并進(jìn)一步強(qiáng)調(diào)了問(wèn)題解決過(guò)程中需要處理的重點(diǎn)。由此，解決系統(tǒng)數(shù)據(jù)處理模型的建立對(duì)系統(tǒng)的體系結(jié)構(gòu)分析和設(shè)計(jì)是處理問(wèn)題的關(guān)鍵。

Intrusion detection system是一個(gè)現(xiàn)實(shí)的數(shù)據(jù)處理重要模塊。它必須收集眾多的系統(tǒng)數(shù)據(jù)進(jìn)行審計(jì)處理并提交檢測(cè)控制系統(tǒng)判別它是否是入侵的行為的那一個(gè)類別。具體到系統(tǒng)的檢測(cè)機(jī)制，其實(shí)就是一個(gè)系統(tǒng)主體行為的分類系統(tǒng)，它需要把對(duì)系統(tǒng)具有惡意的行為特點(diǎn)并在眾多的系統(tǒng)行為中把它們區(qū)分開(kāi)來(lái)。解決問(wèn)題的重點(diǎn)是怎樣定義、表述入侵行為特點(diǎn)。這樣，在Intrusion detection system中有關(guān)的知識(shí)獲取技術(shù)，通過(guò)數(shù)據(jù)挖掘、知識(shí)表述和獲取、特點(diǎn)選取、機(jī)器學(xué)習(xí)技術(shù)和各種分類算法方法。這里采用進(jìn)程運(yùn)行綜跡的系統(tǒng)調(diào)用短序列集合以及序列中系統(tǒng)調(diào)用的排列關(guān)系來(lái)表述進(jìn)程行為的特點(diǎn)。下面重點(diǎn)討論基于系統(tǒng)行為分類的檢測(cè)模型和數(shù)據(jù)處理的Intrusion detection system模型。

2 基于系統(tǒng)特點(diǎn)分類的檢測(cè)模型

基于系統(tǒng)行為入侵檢測(cè)的主要問(wèn)題就是在給定的系統(tǒng)環(huán)境中，如何對(duì)系統(tǒng)的特點(diǎn)pattern進(jìn)行定義、識(shí)別和分類。

這樣的分類方法就是須要采用分類的算法，把一個(gè)數(shù)據(jù)項(xiàng)歸類給事先定義類別中的某一類。我們這里從系統(tǒng)行為pattern的分類的方法來(lái)討論檢測(cè)系統(tǒng)的檢測(cè)模型。由于系統(tǒng)的行為可以通過(guò)運(yùn)行軟件和對(duì)應(yīng)的服務(wù)程序來(lái)實(shí)現(xiàn)的，這樣可以通過(guò)判別系統(tǒng)中每個(gè)系統(tǒng)關(guān)鍵程序的“abnormal”或“normal ”活動(dòng)的數(shù)據(jù)比較，而后指定“abnormal”與“normal ”兩個(gè)類別并用分類算法進(jìn)行學(xué)習(xí)，然后建立一個(gè)兩類的分類器，這樣的分類器是基于統(tǒng)計(jì)概率、規(guī)則的方式來(lái)對(duì)系統(tǒng)進(jìn)程的評(píng)審并進(jìn)行數(shù)據(jù)分類和分析，由此來(lái)判斷被監(jiān)控進(jìn)程的行為是否normal 或abnormal。

下面討論系統(tǒng)進(jìn)程行為pattern的定義和標(biāo)識(shí)。由于程序運(yùn)行不僅有一定的順序性而且它的功能也各不相同，因此根據(jù)不同的程序運(yùn)行的綜跡，假如按同一長(zhǎng)度提取對(duì)應(yīng)的系統(tǒng)調(diào)用序列集合時(shí)，系統(tǒng)調(diào)用序列集合之間必然存在不同的系統(tǒng)調(diào)用子序列。由此這里就能夠達(dá)到分出不同程序的目的。為此，我們可以使用系統(tǒng)關(guān)鍵程序運(yùn)行綜跡長(zhǎng)度為L(zhǎng)的系統(tǒng)調(diào)用子序列集合來(lái)構(gòu)造該程序的normal 運(yùn)行的特點(diǎn)。在這里我們把系統(tǒng)中被監(jiān)控的所有關(guān)鍵程序的normal 運(yùn)行特點(diǎn)的同一長(zhǎng)度的系統(tǒng)調(diào)用子序列集合的并集合記為A來(lái)作為系統(tǒng)的normal 運(yùn)行特點(diǎn)。為此，我們就可以設(shè)計(jì)基于行為的Intrusion detection system。

假設(shè)C為被監(jiān)控系統(tǒng)的系統(tǒng)調(diào)用集合合。系統(tǒng)行為pattern空間M被定義為某一固定長(zhǎng)度L的系統(tǒng)調(diào)用序列的全集合M={Q=a1a2，aL|ai∈C，i=1，2，l}，式中Q被稱為長(zhǎng)度為L(zhǎng)的系統(tǒng)行為pattern。

設(shè)定系統(tǒng)調(diào)用序列的長(zhǎng)度L時(shí)必須注意：如果L較小，那么系統(tǒng)normal 運(yùn)行特點(diǎn)的集合A就有可能滿足：A=M，這時(shí)M中的系統(tǒng)調(diào)用序列都是系統(tǒng)程序normal 運(yùn)行跡的某個(gè)子序列，因而無(wú)法判定程序的運(yùn)行是否normal 。因?yàn)槌绦蚴峭瓿梢欢üδ艿?，所以?dāng)L大于某一長(zhǎng)度時(shí)，U中就會(huì)出現(xiàn)不在S中出現(xiàn)的系統(tǒng)調(diào)用子序列，即AM。記S=M-A，集合N表示在系統(tǒng)程序的normal 運(yùn)行中不會(huì)出現(xiàn)的系統(tǒng)調(diào)用子序列。

下面給出定義在系統(tǒng)行為pattern空間U上的入侵檢測(cè)分類模型見(jiàn)圖1，其中：W=（f， G）。

圖1中，G為系統(tǒng)normal 數(shù)據(jù)集合，而A為精確的系統(tǒng)normal pattern集合）。f是一個(gè)二維函數(shù)。給定一個(gè)行為pattern p∈M，f可判斷它是否是系統(tǒng)的normal 行為。且定義如下：

收集數(shù)據(jù)時(shí)常是不全面，有些程序的正確運(yùn)行pattern不包含在檢測(cè)系統(tǒng)D=（f，G）的pattern集合G中，這樣在檢測(cè)時(shí)就可能出現(xiàn)把系統(tǒng)的正確行為誤判為入侵類行為錯(cuò)誤，這樣的錯(cuò)誤被稱為空警。檢測(cè)系統(tǒng)在檢測(cè)過(guò)程中出現(xiàn)空警。過(guò)多的空警會(huì)使檢測(cè)結(jié)果不可信。因此空警率也是評(píng)判檢測(cè)系統(tǒng)性能的一個(gè)重要指標(biāo)。

檢測(cè)分類器的建立采用電腦學(xué)習(xí)來(lái)實(shí)現(xiàn)，所用的方法有決策樹(shù)、規(guī)則提取、神經(jīng)網(wǎng)絡(luò)以及貝葉斯學(xué)習(xí)方法等。使用分類模型建立abnormal檢測(cè)器的一個(gè)重要條件是，這里必須有“充足”而能夠含涵蓋最多系統(tǒng)normal 行為的數(shù)據(jù)得到收集，只有這樣才能夠使檢測(cè)器保持一個(gè)盡可能低的空警率。這里要先通過(guò)一個(gè)有限的數(shù)據(jù)收集從而獲得一個(gè)基本的分類器，最后用在線學(xué)習(xí)的方法不斷分類更新。

由于誰(shuí)也保證不了收集合數(shù)據(jù)沒(méi)有受到污染、損壞等種種因素的存在，檢測(cè)系統(tǒng)D=（f，G）的行為pattern集合G中，很有可能會(huì)存在一些abnormal pattern。這樣檢測(cè)系統(tǒng)在檢測(cè)時(shí)就可能把某些入侵行為錯(cuò)判為normal 行為，或者就根本檢測(cè)不到這一行為，這種錯(cuò)誤或檢測(cè)不到的現(xiàn)象稱為漏警。漏警現(xiàn)象在基于知識(shí)的Intrusion detection system中比較普遍，因?yàn)榛谥R(shí)的Intrusion detection system是根據(jù)已知入侵行為pattern來(lái)檢測(cè)針對(duì)系統(tǒng)入侵的這類Intrusion detection system，這對(duì)于未知的入侵行為肯定會(huì)出現(xiàn)漏警，檢測(cè)系統(tǒng)在檢測(cè)過(guò)程中出現(xiàn)的漏警。

由上述可知：檢測(cè)系統(tǒng)在數(shù)據(jù)捕獲、特點(diǎn)選取、知識(shí)表述、機(jī)器學(xué)習(xí)以及各種分類算法的檢測(cè)系統(tǒng)D=（f，G）的系統(tǒng)行為pattern集合G中，這樣的檢測(cè)系統(tǒng)在檢測(cè)時(shí)就可能把某些入侵動(dòng)作誤判為normal 行為，也可能檢測(cè)不到這種入侵行為，這種現(xiàn)象稱為漏警。因?yàn)榛谥R(shí)的Intrusion detection system是根據(jù)已知入侵行為的pattern來(lái)進(jìn)行檢測(cè)的，然而這類Intrusion detection system對(duì)于未知的入侵行為就會(huì)出現(xiàn)漏警。而出現(xiàn)漏警的危害更加突出，這值得引起研究者的高度重視。

參考文獻(xiàn)

[1]胡建偉.網(wǎng)絡(luò)對(duì)抗原理[M].西安：電子科技大學(xué)出版社，2010.

[2]楊義先.鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[3]張兵利，裴亞輝.貝葉斯網(wǎng)絡(luò)模型概述[J].電腦與信息技術(shù)，2008.

[4]吳鵬.MATLAB高效編程技巧與應(yīng)用[M].北京：航空航天大學(xué)出版社，2010.

作者簡(jiǎn)介

楊玉新，碩士學(xué)歷。副教授。通信與信息系統(tǒng)專業(yè)。研究方向?yàn)榫W(wǎng)絡(luò)安全。

作者單位

云南省德宏州師范高等?？茖W(xué)?，F(xiàn)代教育技術(shù)中心 云南省德宏傣族景頗族自治州 678400