高亞玲

摘要:本文主要介紹了范例推理、狀態(tài)轉(zhuǎn)換及其在入侵檢測系統(tǒng)中的應(yīng)用。

關(guān)鍵詞:CBR狀態(tài)轉(zhuǎn)換入侵檢測系統(tǒng)

0 引言

近年來，范例推理和狀態(tài)轉(zhuǎn)換己成為人工智能領(lǐng)域一個重要的問題求解技術(shù)和方法之一，正越來越受到國內(nèi)外研究學(xué)者的普遍關(guān)注。其主要原因是:CBR有別于其他的方法，是一種借助先前求解問題的經(jīng)驗和方法，通過類比和聯(lián)想來解決當(dāng)前相似問題的推理技術(shù)和方法，非常類似于人類求解問題的思維方式；與此同時，CBR依靠的是過去的經(jīng)驗，因此非常適合于需借助經(jīng)驗來進(jìn)行決策的場合，有效地克服了傳統(tǒng)的基于規(guī)則推理系統(tǒng)的知識難于獲取和推理的脆弱性等缺陷[1]。狀態(tài)轉(zhuǎn)換它是使用高層狀態(tài)轉(zhuǎn)換圖來表示和檢測已知入侵的誤用檢測技術(shù)。狀態(tài)轉(zhuǎn)換分析是狀態(tài)圖法的基礎(chǔ)，它將破壞計算機安全的行為刻劃成系統(tǒng)安全狀態(tài)轉(zhuǎn)換的變化序列，這種變化序列可用狀態(tài)轉(zhuǎn)換圖直觀地加以表示。而入侵檢測[2]（Intrusion Detection），是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代安全保障技術(shù)，是一種動態(tài)的安全防御技術(shù)。它通過在計算機網(wǎng)絡(luò)或計算機系統(tǒng)的若干關(guān)鍵點收集信息并對其進(jìn)行分析，判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象，同時做出響應(yīng)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（Intrusion Detection System 簡稱 IDS）。

1 模型的建立

1.1 基于狀態(tài)轉(zhuǎn)換分析的入侵檢測模型 基于狀態(tài)轉(zhuǎn)換分析的入侵檢測模型從本質(zhì)上屬于一個基于規(guī)則的專家系統(tǒng)。其組成構(gòu)件包含審計預(yù)處理器、知識庫、推理引擎和決策引擎?；跔顟B(tài)轉(zhuǎn)換分析的入侵檢測模型，是一種基于主機的、集中式的、實時的專家檢測系統(tǒng)。一般由四個主要構(gòu)件組成，即:審計預(yù)處理器、知識庫、推理引擎和決策引擎。它具對已知的系統(tǒng)入侵模式建立知識庫。把系統(tǒng)的審計跟蹤作為IDS的輸入，審計蹤跡中的入侵信息和知識庫中的規(guī)則匹配，則表示入侵的發(fā)生。狀態(tài)轉(zhuǎn)移算法它著重于入侵行為的各個步驟對系統(tǒng)安全狀態(tài)造成的影響，對已知的入侵方法構(gòu)造狀態(tài)轉(zhuǎn)換圖，將審計記錄中的系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換圖中的狀態(tài)聲明進(jìn)行匹配，從而檢測到入侵行為。所有的計算機入侵有如下的兩個共性，即：入侵需要攻擊者對目標(biāo)系統(tǒng)擁有最基本的訪問權(quán)；入侵成功意味著攻擊者獲得了攻擊前并不擁有的某些權(quán)限。從狀態(tài)轉(zhuǎn)換分析的觀點來看，入侵可被視為攻擊者的一系列動作，這些動作將目標(biāo)系統(tǒng)從某種初始狀態(tài)轉(zhuǎn)換成最終的安全危害狀態(tài)的轉(zhuǎn)換。

1.2 基于狀態(tài)轉(zhuǎn)換與范例推理的算法介紹 單純狀態(tài)轉(zhuǎn)換的方法所能檢測到的攻擊模式是非常有限的。因為狀態(tài)轉(zhuǎn)換方法是通過系統(tǒng)屬性來描述系統(tǒng)狀態(tài)的演變。所有的系統(tǒng)滲透都能導(dǎo)致系統(tǒng)安全的破壞，然而并非所有的攻擊都能依靠系統(tǒng)屬性加以表達(dá)。對于這類攻擊的識別，單純基于狀態(tài)轉(zhuǎn)換方法無能為力，所以提出了將狀態(tài)轉(zhuǎn)換與范例推理相結(jié)合的方法?；谝?guī)則的入侵檢測系統(tǒng)一般是直接依賴于系統(tǒng)日志記錄，對期望的攻擊日志利用規(guī)則加以表示，利用模式匹配將規(guī)則同日志記錄結(jié)合起來發(fā)現(xiàn)攻擊。然而這種一對一的從規(guī)則到日志記錄的做法缺乏靈活性。另外，基于規(guī)則的檢測方法，知識庫的創(chuàng)建和修改需要在領(lǐng)域?qū)＜液椭R工程師的共同參與完成。這對不斷翻新的網(wǎng)絡(luò)攻擊手段，存在很大的困難?；诜独评淼娜肭謾z測，采用近似推理的思想，在知識獲取、知識更新、系統(tǒng)的自學(xué)習(xí)和擴(kuò)展能力上都優(yōu)于基于規(guī)則的入侵檢測方法。基于范例推理(Case-based Reasoning，CBR)是80年代末90年代初人工智能領(lǐng)域中新崛起的一項重要技術(shù)，是一種相似推理方法，其核心在于用過去的事例和經(jīng)驗來解決新問題[3]。CBR系統(tǒng)所要解決的中心問題是識別當(dāng)前的問題，對系統(tǒng)提供的解決方案作出評價，并以此為經(jīng)驗來更新范例庫。

2 狀態(tài)轉(zhuǎn)移與CBR的結(jié)合實現(xiàn)

單純狀態(tài)轉(zhuǎn)換的方法所能檢測到的攻擊模式是非常有限的。因為狀態(tài)轉(zhuǎn)換方法是通過系統(tǒng)屬性來描述系統(tǒng)狀態(tài)的演變。所有的系統(tǒng)滲透(Penetration)都能導(dǎo)致系統(tǒng)安全的破壞，然而并非所有的攻擊都能依靠系統(tǒng)屬性加以表達(dá)。對于這類攻擊的識別，單純基于狀態(tài)圖方法無能為力。下面討論在基于狀態(tài)轉(zhuǎn)換方法基礎(chǔ)上，結(jié)合范例推理用來擴(kuò)大識別攻擊的范圍。

2.1 范例表示 范例表示是范例推理中重要的內(nèi)容，表示方法不僅要便于范例推理各階段操作，而且要盡可能完整地刻劃出范例所包含的所有信息。本文區(qū)分兩類范例知識，第一類是用戶操作的普通范例，采用擴(kuò)展屬性一值表示方法；第二類是系統(tǒng)狀態(tài)演變知識，采用專家系統(tǒng)外殼CLIPS語言表示[4]。

2.1.1 用戶操作普通范例表示 定義1：范例Ci==；其中Pi表示范例Ci問題描述，用屬性描述，本文用m個用戶命令序列Ai1，Ai2……Aim表示。Si表示解描述，本文指攻擊類型。定義2：范例庫CB={|1≤i≤n，P∈R，S∈ψ}；其中R表示為問題域空間，ψ表示解空間。定義3：屬性Aij=〈Subject，Action>；表示主體Subject執(zhí)行Action動作。定義4：主體Subject=〈User Name，Real User ID，Effective user ID，Effective Group ID>；定義5：動作Action=〈Name，Process ID，Time，Exec_ args，Action_class，Result>；其中Exec_args表示動作Action的執(zhí)行參數(shù)；Action_class 表示動作所屬類別；Result表示動作執(zhí)行的結(jié)果。由于系統(tǒng)操作命令的等價性，不同的命令序列可能表示相同攻擊類型。因此，為了擴(kuò)大檢索范圍，提高準(zhǔn)確性，需要對操作命令分類，建立抽象動作類Action_class。

2.1.2 系統(tǒng)狀態(tài)演變知識表示 系統(tǒng)狀態(tài)演變知識是范例庫中較為抽象的知識，采用CLIPS語言表示。CLIPS語言是完全前向鏈專家系統(tǒng)外殼，利用它可以對攻擊情形進(jìn)行靈活描述CLIPS的前向鏈推理己成功應(yīng)用于SAIC的CMDS入侵檢測系統(tǒng)中。

2.2 范例檢索 建立攻擊系統(tǒng)狀態(tài)轉(zhuǎn)換圖是一件復(fù)雜的工作，目前已經(jīng)建立的攻擊狀態(tài)圖僅幾十種。因此，范例檢索采用兩種方式，直接序列檢索法和基于關(guān)鍵動作狀態(tài)轉(zhuǎn)換的范例檢索法。直接序列檢索法指的是對于狀態(tài)轉(zhuǎn)換圖未知的攻擊類型，識別只能直接從序列的相似性比較入手。因此序列間相似性度量是范例檢索的關(guān)鍵，而且度量函數(shù)的設(shè)計要充分考慮序列之間的近鄰關(guān)系?；陉P(guān)鍵動作狀態(tài)轉(zhuǎn)換的范例檢索法，指的是利用關(guān)鍵動作學(xué)習(xí)算法學(xué)得的關(guān)鍵動作，進(jìn)行范例檢索，它不僅能縮短范例檢索時間，提高識別精度，而且在范例存儲空間上也會大大降低。雖然，關(guān)鍵動作檢索相比直接序列檢索，在檢索范圍和檢索準(zhǔn)確性都有較大提高，但關(guān)鍵動作檢索同直接序列檢索一樣，只考慮操作命令，忽略操作的語義，檢索的準(zhǔn)確性不高。為此，基于狀態(tài)轉(zhuǎn)換的知識匹配檢索法，可以彌補其不足?；跔顟B(tài)轉(zhuǎn)換的知識匹配檢索法是在狀態(tài)轉(zhuǎn)換圖的基礎(chǔ)上，利用前向推理，來識別攻擊行為的一種方法。經(jīng)過范例檢索后若沒有檢索出結(jié)果(推理結(jié)果為空或相似度低于某個權(quán)值)，則存在兩種可能，一是系統(tǒng)訓(xùn)練數(shù)據(jù)不夠充分，屬于正常行為:二是可能存在新的攻擊類型，提交給專家加以判別，作為新范例并保存進(jìn)范例庫，是系統(tǒng)自學(xué)習(xí)發(fā)現(xiàn)新型攻擊的過程。

3 小結(jié)

盡管國內(nèi)外CBR研究比較多，但將CBR研究應(yīng)用到入侵檢測領(lǐng)域還是非常有限的。其中主要的工作是利用CBR對系統(tǒng)日志進(jìn)行分析，發(fā)現(xiàn)入侵異常。本文在基于狀態(tài)轉(zhuǎn)換分析的基礎(chǔ)上，提出將范例推理與狀態(tài)轉(zhuǎn)換相結(jié)合，用來擴(kuò)大識別范圍，并對未知攻擊具有一定的識別作用。從上面的范例中可知，該模型的主要優(yōu)點在于能夠概括出上下文相關(guān)的入侵模式。并且能夠捕獲動態(tài)的、潛在特權(quán)流和數(shù)據(jù)流，有利于統(tǒng)一定義一些由內(nèi)部特權(quán)濫用引起的操作安全問題。本文只是基于CBR及狀態(tài)轉(zhuǎn)換的單模式匹配算法在入侵檢測系統(tǒng)中的一個應(yīng)用，該算法還可以應(yīng)用于許多方面，如應(yīng)用于對系統(tǒng)文件完整性的檢測。文件系統(tǒng)的完整性檢測的目的就是發(fā)現(xiàn)非授權(quán)與非法修改，從而發(fā)現(xiàn)受到的攻擊或系統(tǒng)的安全隱患，為系統(tǒng)管理員提供有用的信息；還可以應(yīng)用于生物學(xué)中對人體免疫系統(tǒng)的檢測。計算機免疫系統(tǒng)可以根據(jù)人體免疫系統(tǒng)的原理設(shè)計，首先區(qū)分細(xì)胞中的是“自己”的還是“異己”的，并能區(qū)分“異己”部分中有害和無害的部分，還可以設(shè)法將有害的部分處理掉。由于該模型集中考慮的是特定的模式，不需要分析所有的審計數(shù)據(jù)，它比異常檢測的方法能獲得更好的性能。

參考文獻(xiàn)：

[1]章曙光，方瑾，錢權(quán).基于范例推理的一種范例匹配方法模型.中國人工智能進(jìn)展2001[M].北京郵電大學(xué)出版社.2004(6):635-638.

[2]鄧慶鋒.模式匹配在入侵檢測中的應(yīng)用[D].浙江:浙江大學(xué).2006.

[3]耿煥同，錢權(quán)，蔡慶生.基于聚類策略的一種范例刪除模型[J].計算機科學(xué).2003.30(4):143一144.

[4]韓東海，王超，李群.入侵檢測系統(tǒng)范例剖析[M].清華大學(xué)出版社.2002(5):54-59.