摘 要 檢測系統(tǒng)關(guān)健技術(shù)是從數(shù)據(jù)中獲得系統(tǒng)的入侵行為的知識并加以定義和描述為入侵的行為，在Intrusion detection system的構(gòu)建中，相關(guān)的知識獲取技術(shù)，特點(diǎn)選取，各種分類算法，進(jìn)程運(yùn)行跡的系統(tǒng)調(diào)用短序列集合以及序列中系統(tǒng)調(diào)用的排列關(guān)系來描述進(jìn)程行為的特點(diǎn)，這些特點(diǎn)中存在著檢測系統(tǒng)在檢測過程中出現(xiàn)漏警與空警現(xiàn)象。

【關(guān)鍵詞】入侵檢測模型 行為特點(diǎn) 特點(diǎn)描述 normal abnormal 漏警 空警

1 Intrusion detection system模型

Intrusion detection system是一個多數(shù)據(jù)處理系統(tǒng)，這樣的系統(tǒng)要求建立恰當(dāng)?shù)某橄笙到y(tǒng)模型，要對問題域?qū)嶓w及其關(guān)系進(jìn)行抽象并能用算式定義和表述，這樣才能夠正確并較為全面解決的各種復(fù)雜問題。在現(xiàn)實(shí)環(huán)境中，不同類型的問題域有不同解決問題的方法。由此可知系統(tǒng)的數(shù)據(jù)處理模型不僅要求對數(shù)據(jù)集合空間相關(guān)實(shí)體的提取和表述，并進(jìn)一步強(qiáng)調(diào)了問題解決過程中需要處理的重點(diǎn)。由此，解決系統(tǒng)數(shù)據(jù)處理模型的建立對系統(tǒng)的體系結(jié)構(gòu)分析和設(shè)計是處理問題的關(guān)鍵。

Intrusion detection system是一個現(xiàn)實(shí)的數(shù)據(jù)處理重要模塊。它必須收集眾多的系統(tǒng)數(shù)據(jù)進(jìn)行審計處理并提交檢測控制系統(tǒng)判別它是否是入侵的行為的那一個類別。具體到系統(tǒng)的檢測機(jī)制，其實(shí)就是一個系統(tǒng)主體行為的分類系統(tǒng)，它需要把對系統(tǒng)具有惡意的行為特點(diǎn)并在眾多的系統(tǒng)行為中把它們區(qū)分開來。解決問題的重點(diǎn)是怎樣定義、表述入侵行為特點(diǎn)。這樣，在Intrusion detection system中有關(guān)的知識獲取技術(shù)，通過數(shù)據(jù)挖掘、知識表述和獲取、特點(diǎn)選取、機(jī)器學(xué)習(xí)技術(shù)和各種分類算法方法。這里采用進(jìn)程運(yùn)行綜跡的系統(tǒng)調(diào)用短序列集合以及序列中系統(tǒng)調(diào)用的排列關(guān)系來表述進(jìn)程行為的特點(diǎn)。下面重點(diǎn)討論基于系統(tǒng)行為分類的檢測模型和數(shù)據(jù)處理的Intrusion detection system模型。

2 基于系統(tǒng)特點(diǎn)分類的檢測模型

基于系統(tǒng)行為入侵檢測的主要問題就是在給定的系統(tǒng)環(huán)境中，如何對系統(tǒng)的特點(diǎn)pattern進(jìn)行定義、識別和分類。

這樣的分類方法就是須要采用分類的算法，把一個數(shù)據(jù)項(xiàng)歸類給事先定義類別中的某一類。我們這里從系統(tǒng)行為pattern的分類的方法來討論檢測系統(tǒng)的檢測模型。由于系統(tǒng)的行為可以通過運(yùn)行軟件和對應(yīng)的服務(wù)程序來實(shí)現(xiàn)的，這樣可以通過判別系統(tǒng)中每個系統(tǒng)關(guān)鍵程序的“abnormal”或“normal ”活動的數(shù)據(jù)比較，而后指定“abnormal”與“normal ”兩個類別并用分類算法進(jìn)行學(xué)習(xí)，然后建立一個兩類的分類器，這樣的分類器是基于統(tǒng)計概率、規(guī)則的方式來對系統(tǒng)進(jìn)程的評審并進(jìn)行數(shù)據(jù)分類和分析，由此來判斷被監(jiān)控進(jìn)程的行為是否normal 或abnormal。

下面討論系統(tǒng)進(jìn)程行為pattern的定義和標(biāo)識。由于程序運(yùn)行不僅有一定的順序性而且它的功能也各不相同，因此根據(jù)不同的程序運(yùn)行的綜跡，假如按同一長度提取對應(yīng)的系統(tǒng)調(diào)用序列集合時，系統(tǒng)調(diào)用序列集合之間必然存在不同的系統(tǒng)調(diào)用子序列。由此這里就能夠達(dá)到分出不同程序的目的。為此，我們可以使用系統(tǒng)關(guān)鍵程序運(yùn)行綜跡長度為L的系統(tǒng)調(diào)用子序列集合來構(gòu)造該程序的normal 運(yùn)行的特點(diǎn)。在這里我們把系統(tǒng)中被監(jiān)控的所有關(guān)鍵程序的normal 運(yùn)行特點(diǎn)的同一長度的系統(tǒng)調(diào)用子序列集合的并集合記為A來作為系統(tǒng)的normal 運(yùn)行特點(diǎn)。為此，我們就可以設(shè)計基于行為的Intrusion detection system。

假設(shè)C為被監(jiān)控系統(tǒng)的系統(tǒng)調(diào)用集合合。系統(tǒng)行為pattern空間M被定義為某一固定長度L的系統(tǒng)調(diào)用序列的全集合M={Q=a1a2，aL|ai∈C，i=1，2，l}，式中Q被稱為長度為L的系統(tǒng)行為pattern。

設(shè)定系統(tǒng)調(diào)用序列的長度L時必須注意：如果L較小，那么系統(tǒng)normal 運(yùn)行特點(diǎn)的集合A就有可能滿足：A=M，這時M中的系統(tǒng)調(diào)用序列都是系統(tǒng)程序normal 運(yùn)行跡的某個子序列，因而無法判定程序的運(yùn)行是否normal 。因?yàn)槌绦蚴峭瓿梢欢üδ艿?，所以?dāng)L大于某一長度時，U中就會出現(xiàn)不在S中出現(xiàn)的系統(tǒng)調(diào)用子序列，即AM。記S=M-A，集合N表示在系統(tǒng)程序的normal 運(yùn)行中不會出現(xiàn)的系統(tǒng)調(diào)用子序列。

下面給出定義在系統(tǒng)行為pattern空間U上的入侵檢測分類模型見圖1，其中：W=（f， G）。

圖1中，G為系統(tǒng)normal 數(shù)據(jù)集合，而A為精確的系統(tǒng)normal pattern集合）。f是一個二維函數(shù)。給定一個行為pattern p∈M，f可判斷它是否是系統(tǒng)的normal 行為。且定義如下：

收集數(shù)據(jù)時常是不全面，有些程序的正確運(yùn)行pattern不包含在檢測系統(tǒng)D=（f，G）的pattern集合G中，這樣在檢測時就可能出現(xiàn)把系統(tǒng)的正確行為誤判為入侵類行為錯誤，這樣的錯誤被稱為空警。檢測系統(tǒng)在檢測過程中出現(xiàn)空警。過多的空警會使檢測結(jié)果不可信。因此空警率也是評判檢測系統(tǒng)性能的一個重要指標(biāo)。

檢測分類器的建立采用電腦學(xué)習(xí)來實(shí)現(xiàn)，所用的方法有決策樹、規(guī)則提取、神經(jīng)網(wǎng)絡(luò)以及貝葉斯學(xué)習(xí)方法等。使用分類模型建立abnormal檢測器的一個重要條件是，這里必須有“充足”而能夠含涵蓋最多系統(tǒng)normal 行為的數(shù)據(jù)得到收集，只有這樣才能夠使檢測器保持一個盡可能低的空警率。這里要先通過一個有限的數(shù)據(jù)收集從而獲得一個基本的分類器，最后用在線學(xué)習(xí)的方法不斷分類更新。

由于誰也保證不了收集合數(shù)據(jù)沒有受到污染、損壞等種種因素的存在，檢測系統(tǒng)D=（f，G）的行為pattern集合G中，很有可能會存在一些abnormal pattern。這樣檢測系統(tǒng)在檢測時就可能把某些入侵行為錯判為normal 行為，或者就根本檢測不到這一行為，這種錯誤或檢測不到的現(xiàn)象稱為漏警。漏警現(xiàn)象在基于知識的Intrusion detection system中比較普遍，因?yàn)榛谥R的Intrusion detection system是根據(jù)已知入侵行為pattern來檢測針對系統(tǒng)入侵的這類Intrusion detection system，這對于未知的入侵行為肯定會出現(xiàn)漏警，檢測系統(tǒng)在檢測過程中出現(xiàn)的漏警。

由上述可知：檢測系統(tǒng)在數(shù)據(jù)捕獲、特點(diǎn)選取、知識表述、機(jī)器學(xué)習(xí)以及各種分類算法的檢測系統(tǒng)D=（f，G）的系統(tǒng)行為pattern集合G中，這樣的檢測系統(tǒng)在檢測時就可能把某些入侵動作誤判為normal 行為，也可能檢測不到這種入侵行為，這種現(xiàn)象稱為漏警。因?yàn)榛谥R的Intrusion detection system是根據(jù)已知入侵行為的pattern來進(jìn)行檢測的，然而這類Intrusion detection system對于未知的入侵行為就會出現(xiàn)漏警。而出現(xiàn)漏警的危害更加突出，這值得引起研究者的高度重視。

參考文獻(xiàn)

[1]胡建偉.網(wǎng)絡(luò)對抗原理[M].西安：電子科技大學(xué)出版社，2010.

[2]楊義先.鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[3]張兵利，裴亞輝.貝葉斯網(wǎng)絡(luò)模型概述[J].電腦與信息技術(shù)，2008.

[4]吳鵬.MATLAB高效編程技巧與應(yīng)用[M].北京：航空航天大學(xué)出版社，2010.

作者簡介

楊玉新，碩士學(xué)歷。副教授。通信與信息系統(tǒng)專業(yè)。研究方向?yàn)榫W(wǎng)絡(luò)安全。

作者單位

云南省德宏州師范高等?？茖W(xué)校現(xiàn)代教育技術(shù)中心 云南省德宏傣族景頗族自治州 678400