巫冬

（四川職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)系，四川 遂寧 629000）

0 引言

隨著Windows系統(tǒng)的不斷升級(jí)，對(duì)Windows系統(tǒng)的安全性提出了更高的要求。在分布式網(wǎng)絡(luò)組網(wǎng)模式下，Windows系統(tǒng)容易受到網(wǎng)絡(luò)攻擊，產(chǎn)生Windows系統(tǒng)漏洞。特別是在Windows系統(tǒng)漏洞提權(quán)攻擊下，Windows系統(tǒng)的安全性和穩(wěn)定性受到嚴(yán)重威脅，需要構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)模型，分析Windows系統(tǒng)漏洞提權(quán)攻擊的狀態(tài)特征量，結(jié)合信息融合和大數(shù)據(jù)挖掘方法，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)。研究Windows系統(tǒng)漏洞提權(quán)攻擊的安全檢測(cè)方法，在提高Windows系統(tǒng)的穩(wěn)定性和安全性方面具有重要意義，相關(guān)的Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)方法研究受到人們的極大關(guān)注[1]。

當(dāng)前，對(duì)Windows系統(tǒng)漏洞提權(quán)攻擊的檢測(cè)方法主要采用關(guān)聯(lián)規(guī)則檢測(cè)方法、統(tǒng)計(jì)分析方法以及模糊相關(guān)性檢測(cè)方法等[2,3]。建立Windows系統(tǒng)漏洞提權(quán)攻擊信號(hào)波束模型，采用模糊度特征分解方法，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)。文獻(xiàn)[4]中提出基于上下門(mén)限聯(lián)合判別的Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)算法，以時(shí)間均值和譜密度為漏洞攻擊的特征量，對(duì)提取的特征量進(jìn)行信息融合和特征分解，實(shí)現(xiàn)漏洞提權(quán)攻擊信號(hào)檢測(cè)。但該方法進(jìn)行漏洞提權(quán)攻擊檢測(cè)的計(jì)算開(kāi)銷(xiāo)較大，實(shí)時(shí)性不好。文獻(xiàn)[5]中提出基于模糊度特征分析的Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)方法，通過(guò)模糊度特征分離和信號(hào)融合實(shí)現(xiàn)Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)，但該方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)的輸出穩(wěn)定性不好，抗干擾能力不強(qiáng)。

針對(duì)上述問(wèn)題，因?yàn)閃indows系統(tǒng)漏洞提權(quán)攻擊屬于隱性攻擊，檢測(cè)過(guò)程的干擾性較強(qiáng)，對(duì)此，本文提出基于模擬攻擊的Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)方法。首先構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊的信號(hào)擬合模型。然后采用匹配濾波方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊模擬，在模擬攻擊下提取Windows系統(tǒng)的漏洞信息的參數(shù)融合模型，采用自適應(yīng)加權(quán)學(xué)習(xí)方法進(jìn)行Win‐dows系統(tǒng)的漏洞提權(quán)攻擊檢測(cè)的收斂性控制，實(shí)現(xiàn)攻擊檢測(cè)算法的優(yōu)化設(shè)計(jì)。最后進(jìn)行仿真測(cè)試分析，展示了本文方法在提高Windows系統(tǒng)的漏洞攻擊檢測(cè)能力方面的優(yōu)越性能。

1 Windows系統(tǒng)漏洞提權(quán)攻擊信號(hào)模型和特征提取

1.1 Windows系統(tǒng)漏洞提權(quán)攻擊信號(hào)模型

為了實(shí)現(xiàn)基于模擬攻擊的Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)，需要首先構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊的信號(hào)擬合模型，結(jié)合極速學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊的特征提取。結(jié)合信號(hào)擬合加權(quán)方法[6]，建立Windows系統(tǒng)漏洞提權(quán)攻擊的特征序列{x(t1),…x(tn)}，采用信號(hào)擬合方法，建立Windows系統(tǒng)漏洞提權(quán)攻擊的參數(shù)辨識(shí)模型，得到辨識(shí)參數(shù)為：

對(duì)Windows系統(tǒng)的近鄰漏洞提權(quán)攻擊信號(hào)采用統(tǒng)計(jì)分析方法進(jìn)行特征分解，通過(guò)子空間降噪進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊信號(hào)的濾波檢測(cè)，降低攻擊檢測(cè)的抗干擾性[7]，得到匹配濾波檢測(cè)器為：

其中，x(s)為x(s)的復(fù)共軛。采用機(jī)器學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊信號(hào)的譜密度檢測(cè)，得到譜密度分布表示為：

采用高階信息統(tǒng)計(jì)特征檢測(cè)方法，建立Windows系統(tǒng)漏洞提權(quán)攻擊的信號(hào)加權(quán)模型[8]，得到信號(hào)加權(quán)輸出為：

Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)的頻率標(biāo)準(zhǔn)差：

根據(jù)上述分析，采用信號(hào)擬合方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊模擬，根據(jù)模擬攻擊檢測(cè)結(jié)果進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)。

1.2 Windows系統(tǒng)漏洞提權(quán)攻擊特征提取

建立Windows系統(tǒng)漏洞提權(quán)攻擊的信號(hào)特征提取模型，根據(jù)Windows系統(tǒng)的漏洞提權(quán)攻擊特征提取結(jié)果[9]，得到輸出包絡(luò)特征為：

上式中，a(t)稱(chēng)為Windows系統(tǒng)漏洞提權(quán)攻擊信號(hào)的z(t)瞬時(shí)幅度，φ(t)稱(chēng)為Windows系統(tǒng)漏洞提權(quán)的瞬時(shí)相位。結(jié)合二乘規(guī)劃模型，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊的輸出參數(shù)融合，分析Windows系統(tǒng)漏洞提權(quán)攻擊的空間陣列[10]，采用波束形成方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊的波束表示如下：

對(duì)于漏洞提權(quán)攻擊信號(hào)s(t)，采用相關(guān)性檢測(cè)和統(tǒng)計(jì)特征分析方法[11]，得到Windows系統(tǒng)漏洞提權(quán)攻擊的特征分量為：

假設(shè)Windows系統(tǒng)漏洞提權(quán)攻擊的時(shí)間間隔為n∈[n1,n2]，結(jié)合模擬攻擊方法，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊的統(tǒng)計(jì)特征量分析[12]，得到統(tǒng)計(jì)特征分布為：

其中，υs表示W(wǎng)indows系統(tǒng)漏洞的攻擊的差異度函數(shù)，表示為時(shí)間函數(shù)Xs與加權(quán)系數(shù)ωi的偏差。采用非線性統(tǒng)計(jì)分析方法，進(jìn)行Windows系統(tǒng)漏洞檢測(cè)，從而提高Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)的抗干擾能力[13]。

2 Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)優(yōu)化

2.1 模擬攻擊的參數(shù)融合

建立Windows系統(tǒng)的漏洞提權(quán)攻擊信號(hào)的盲源分離模型，采用匹配濾波方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊模擬[14]，得到Windows系統(tǒng)漏洞提權(quán)攻擊特征分布矩陣的第i列矢量可表示為：

采用貫序不均衡估計(jì)方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊的源參量Φ,Ω,Λ分別為：

通過(guò)空間波束集成性分析，得到Windows系統(tǒng)漏洞攻擊的加權(quán)參數(shù)為C2，其元素C2(m,n)為：

采用尺度分解方法，建立Windows系統(tǒng)漏洞攻擊的矩陣分布模型[15]，構(gòu)造如下的4P×4P矩陣：

式中，E=[e1,e2,…e4P]為Windows系統(tǒng)漏洞提權(quán)攻擊的傳輸鏈路(a,bm)上的酉矩陣；∑=iag[σ1,σ2,…σ4P]為對(duì)角矩陣，且：

采用門(mén)限檢測(cè)的方法，建立Windows系統(tǒng)的漏洞提權(quán)攻擊信號(hào)的盲源分離模型，由此構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊的參數(shù)融合模型為：

2.2 Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)輸出

采用收斂性控制和特征匹配處理方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊的統(tǒng)計(jì)信息模型構(gòu)建，建立Windows系統(tǒng)的信息融合模型，得到Windows系統(tǒng)漏洞的傳遞函數(shù)：

其中，A是一個(gè)維數(shù)為P×L的漏洞提權(quán)攻擊特征高階統(tǒng)計(jì)特征。通過(guò)自適應(yīng)學(xué)習(xí)方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)的穩(wěn)態(tài)概率得到：

其中，f表示W(wǎng)indows系統(tǒng)漏洞提權(quán)攻擊信號(hào)的瞬時(shí)頻率，x*表示對(duì)原始信號(hào)取卷積。根據(jù)上述分析，采用如圖1所示的分類(lèi)器，實(shí)現(xiàn)對(duì)采用自適應(yīng)加權(quán)學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測(cè)的特征分類(lèi)識(shí)別。

圖1 漏洞提權(quán)攻擊分類(lèi)器

3 仿真實(shí)驗(yàn)與結(jié)果分析

為了測(cè)試本文方法在實(shí)現(xiàn)Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)中的應(yīng)用性能，進(jìn)行仿真實(shí)驗(yàn)。實(shí)驗(yàn)采用Mat l ab設(shè)計(jì)，對(duì)Windows系統(tǒng)漏洞提權(quán)攻擊的種類(lèi)設(shè)定為DoS漏洞提權(quán)攻擊，Pr obe漏洞攻擊以及撞庫(kù)攻擊。采用隨機(jī)樣本分析方法進(jìn)行攻擊樣本采樣，采集的攻擊樣本數(shù)據(jù)包括600組測(cè)試樣本，對(duì)Windows漏洞提權(quán)攻擊檢測(cè)的訓(xùn)練樣本集為100，攻擊信息的關(guān)聯(lián)系數(shù)為0.34，相似度為0.78，迭代次數(shù)為500，攻擊的干擾強(qiáng)度為24dB。根據(jù)上述參數(shù)設(shè)定，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)仿真，得到采集的Windows系統(tǒng)傳輸數(shù)據(jù)如圖時(shí)域波形如圖2所示。

圖2 Windows系統(tǒng)的流量序列采樣波形

以圖2的數(shù)據(jù)為測(cè)試樣本，采用特征量擬合方法進(jìn)行漏洞提權(quán)攻擊的閾值判斷，采用門(mén)限檢測(cè)的方法實(shí)現(xiàn)攻擊特征檢測(cè)，得到攻擊檢測(cè)結(jié)果如圖3所示。

圖3 Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)結(jié)果

分析圖3得知，本文方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)的波峰較為明顯，說(shuō)明檢測(cè)的精度較高。測(cè)試檢測(cè)準(zhǔn)確概率，得到對(duì)比結(jié)果見(jiàn)表1，分析表1得知，本文方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測(cè)的準(zhǔn)確概率較高。

表1 檢測(cè)準(zhǔn)確性對(duì)比

4 結(jié)語(yǔ)

本文提出基于模擬攻擊的Windows系統(tǒng)漏洞提權(quán)攻擊檢測(cè)方法。采用信號(hào)擬合方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊模擬，采用波束形成方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊的陣位分布，采用自適應(yīng)加權(quán)學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測(cè)的收斂性控制，提高Win‐dows系統(tǒng)的漏洞提權(quán)攻擊檢測(cè)的收斂性和自適應(yīng)學(xué)習(xí)能力。實(shí)驗(yàn)結(jié)果表明，采用該方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測(cè)的收斂性較好，檢測(cè)準(zhǔn)確概率較高。