陳兵兵

中化能源科技有限公司，上海 200336

互聯(lián)網(wǎng)技術(shù)的不斷更新和發(fā)展，導(dǎo)致很多問題逐漸顯現(xiàn)，對于計(jì)算機(jī)系統(tǒng)的入侵也成為當(dāng)前計(jì)算機(jī)應(yīng)用過程中的重要問題，而且入侵方式越來越快，計(jì)算機(jī)的安全是大眾比較關(guān)注的問題，通過檢測出入侵程序的進(jìn)程來識別入侵的程序，從而解決計(jì)算機(jī)中存在的各種安全問題。針對進(jìn)程行為存在的異常，基于機(jī)器學(xué)習(xí)思維，提出對進(jìn)程行為異常檢測的方法，該種方法能夠通過對進(jìn)程行為的特征向量進(jìn)行異常分類和訓(xùn)練，達(dá)到檢測的目的。入侵檢測技術(shù)是計(jì)算機(jī)系統(tǒng)安全技術(shù)中的重要組成部分，注重操作系統(tǒng)的研究，提高對異常行為的識別能力，可減少失誤。

1 研究的意義

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，世界正逐步融為一個(gè)整體，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為整個(gè)國家經(jīng)濟(jì)發(fā)展的基礎(chǔ)和命脈，社會的生產(chǎn)生活對計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度也是越來越強(qiáng)，而且計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)被廣泛應(yīng)用到各個(gè)行業(yè)中，行業(yè)通過建立自己內(nèi)部的網(wǎng)絡(luò)體系，實(shí)現(xiàn)對網(wǎng)絡(luò)資源信息的分享和有效利用，但是隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，各種安全問題逐漸顯現(xiàn)。對于計(jì)算機(jī)系統(tǒng)的進(jìn)程行為異常檢測也是計(jì)算機(jī)信息安全研究中的重點(diǎn)領(lǐng)域，計(jì)算機(jī)行為異常檢測系統(tǒng)主要是對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)被攻擊的過程和行為進(jìn)行檢測，僅依靠計(jì)算機(jī)自身的檢測系統(tǒng)是往往不夠的，需要采用深一步的檢測方式進(jìn)行檢測，在一定程度上也會保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。對進(jìn)程行為異常檢測的方式主要是通過采集進(jìn)程行為的相關(guān)數(shù)據(jù)，對數(shù)據(jù)進(jìn)行有效處理，從中獲得相應(yīng)的信息，也就能夠獲得對進(jìn)程行為異常檢測的準(zhǔn)確率。

2 對進(jìn)程行為異常檢測的方法概述

針對計(jì)算機(jī)進(jìn)程行為異常的檢測，主要是通過對進(jìn)程行為的過程進(jìn)行監(jiān)測，從中獲取一些信息數(shù)據(jù)，對進(jìn)程行為的特征向量進(jìn)行計(jì)算，通常采用的檢測方法是貝葉斯網(wǎng)絡(luò)和KNN的機(jī)器學(xué)習(xí)檢測方法，這2種方法能夠提高對異常檢測的準(zhǔn)確率。

（1）貝葉斯網(wǎng)絡(luò)檢測屬于一種概率網(wǎng)絡(luò)，是一種基于概率推理的圖形化網(wǎng)絡(luò)，其中應(yīng)用的貝葉斯公式是對該網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，該種網(wǎng)絡(luò)是一種數(shù)字化模型，注重通過推理獲得一些變量信息，該種推理計(jì)算方式已經(jīng)在很多領(lǐng)域被廣泛應(yīng)用。貝葉斯結(jié)構(gòu)網(wǎng)絡(luò)注重對設(shè)備故障的診斷，獲取從多個(gè)渠道的信息數(shù)據(jù)，通過對各個(gè)故障建立對應(yīng)的貝葉斯網(wǎng)絡(luò)模型，建立相應(yīng)的網(wǎng)絡(luò)節(jié)點(diǎn)。

貝葉斯網(wǎng)絡(luò)算法的異常檢測系統(tǒng)是一種統(tǒng)計(jì)學(xué)方法，利用概率統(tǒng)計(jì)方法進(jìn)行分類計(jì)算，對各種類別樣本的可能屬性進(jìn)行預(yù)測，將可能性最大的類別進(jìn)行分類歸屬，從劃分的每一個(gè)程序中檢測出異常的特征向量，將相關(guān)的進(jìn)程行為確定為異常行為進(jìn)行分類，對這些異常行為進(jìn)行處理，也就能夠解決系統(tǒng)中存在的各種異常。

（2）KNN是鄰近算法的簡稱，是數(shù)據(jù)挖掘分類技術(shù)中的一種最簡單方法，在實(shí)際的應(yīng)用計(jì)算過程中，每一個(gè)樣本數(shù)據(jù)都可以用最鄰近的K個(gè)鄰居來代表，KNN方法在進(jìn)行類別決策時(shí)，可以通過對鄰近樣本的計(jì)算和確定，分析其所屬的類別領(lǐng)域，這種方法比較適用于計(jì)算機(jī)進(jìn)程行為的異常檢測。

計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)程行為包含時(shí)間因素和順序因素，依據(jù)調(diào)用的序列準(zhǔn)確描述一些行為特征，其中系統(tǒng)行為發(fā)生的前后也就作為衡量的重要指標(biāo)，然后利用時(shí)間順序進(jìn)行訓(xùn)練，建立相對應(yīng)的檢測模型，從而實(shí)現(xiàn)對序列進(jìn)程行為的檢測。通常對于系統(tǒng)調(diào)用的時(shí)間特征向量，對不同向量出現(xiàn)的時(shí)間特征和間隔方差，來計(jì)算各個(gè)向量之間的方差屬性特征，計(jì)算的公式如下：

該計(jì)算公式為機(jī)器學(xué)習(xí)模型中最常使用的方法。

3 對進(jìn)程行為異常檢測的方法分析

對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)程行為的異常檢測主要是通過對事件和檢測行為進(jìn)行分析，通常的檢測方式有誤用檢測和異常檢測2種方法。

（1）誤用檢測注重的是特征檢測，如果將入侵的進(jìn)程行為用相關(guān)的計(jì)算模式表示出來，能夠檢測出相關(guān)的活動是否符合一些模式，該種誤用檢測的方式只能夠?qū)σ呀?jīng)成為入侵行為進(jìn)行檢測，對本應(yīng)不存在的入侵行為不能進(jìn)行檢測，而且需要對其模式庫進(jìn)行不斷更新，能夠從中檢測出很多新的攻擊，系統(tǒng)自身的靈活性比較差。

（2）異常檢測注重的是對主體活動存在的不同之處進(jìn)行檢測，給正常的活動用戶建立一種授權(quán)輪廓，如果系統(tǒng)出現(xiàn)違反輪廓的行為時(shí)，可以判定為有入侵現(xiàn)象發(fā)生，而且在實(shí)際應(yīng)用的過程中，也會發(fā)現(xiàn)一些新的攻擊現(xiàn)象，異常檢測的優(yōu)勢是能夠有效檢測一些未發(fā)生的新攻擊方式。

4 基于大數(shù)據(jù)機(jī)器學(xué)習(xí)的進(jìn)程行為異常檢測分析

機(jī)器學(xué)習(xí)屬于大數(shù)據(jù)時(shí)代的一個(gè)核心研究領(lǐng)域，也成為整個(gè)計(jì)算機(jī)領(lǐng)域中最有潛力的方面，對于網(wǎng)絡(luò)系統(tǒng)進(jìn)程行為異常的檢測，需要從機(jī)器學(xué)習(xí)的角度進(jìn)行分析，從機(jī)器學(xué)習(xí)中的一些理論和技術(shù)方面獲得信息，其中主要的技術(shù)有數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)和免疫原理等。目前的機(jī)器學(xué)習(xí)相關(guān)理論知識被廣泛應(yīng)用到網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)測和分析中，而且智能化的監(jiān)測系統(tǒng)已經(jīng)成為當(dāng)前最主要的發(fā)展趨勢。

4.1 機(jī)器學(xué)習(xí)檢測體系的構(gòu)建

以機(jī)器學(xué)習(xí)為基礎(chǔ)的異常檢測分析主要是通過監(jiān)控、分析系統(tǒng)中的日志進(jìn)行入侵檢測，而且檢測的方式主要包括數(shù)據(jù)采集、數(shù)據(jù)分析和數(shù)據(jù)處理等模塊；由于網(wǎng)絡(luò)的應(yīng)用越來越復(fù)雜，其中某種單一的檢測方式已經(jīng)不能適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展情況。通過將機(jī)器學(xué)習(xí)理論應(yīng)用于模型的構(gòu)建方面，其中模型體系的構(gòu)建包括：

（1）數(shù)據(jù)信息采集。根據(jù)系統(tǒng)的性質(zhì)，能夠從中獲取反映狀態(tài)變化的特征信號，從機(jī)器學(xué)習(xí)中獲得理論知識應(yīng)用注重對數(shù)據(jù)信息的收集，將收集到的數(shù)據(jù)信息系統(tǒng)進(jìn)行數(shù)據(jù)分布，實(shí)時(shí)做好監(jiān)控調(diào)用，將其整理成一個(gè)時(shí)間序列數(shù)據(jù)模式。

（2）主要數(shù)據(jù)特征的提取。對于采集到的原始數(shù)據(jù)進(jìn)行分類，從中提取與狀態(tài)相關(guān)的特征量，對系統(tǒng)的狀態(tài)情況進(jìn)行分析，以便于進(jìn)行有效識別和診斷。

（3）對系統(tǒng)的整體狀態(tài)趨勢進(jìn)行預(yù)測，同時(shí)做出相應(yīng)的決策，從中選擇出有關(guān)的數(shù)據(jù)源信息進(jìn)行深入的分析。

4.2 對進(jìn)程行為異常數(shù)據(jù)源的選擇

對網(wǎng)絡(luò)系統(tǒng)進(jìn)程行為異常的檢測中，已經(jīng)有各種各樣的數(shù)據(jù)源被應(yīng)用，最初的檢測系統(tǒng)主要是為了獲得系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)和資源利用情況，為了輔助系統(tǒng)管理員對日志信息的分析，也就能夠相應(yīng)提高系統(tǒng)管理的效率。對進(jìn)程行為異常的檢測主要是衡量和判斷某一行為是否有攻擊性，需要將原始數(shù)據(jù)與標(biāo)準(zhǔn)數(shù)據(jù)進(jìn)行比較，因此，需要對原始數(shù)據(jù)信息進(jìn)行收集，在實(shí)際應(yīng)用過程中，對原始數(shù)據(jù)的收集和選取是相對比較困難的，往往需要進(jìn)行深入分析，才能夠達(dá)到一定的效果，需要掌握對一些異常行為的特點(diǎn)，研究出對異常進(jìn)行檢測和解決的方法。

4.2.1 對進(jìn)程行為序列的影響

對計(jì)算機(jī)系統(tǒng)的攻擊，需要通過改變目標(biāo)進(jìn)程的執(zhí)行流程，利用超級用戶權(quán)限對惡意代碼進(jìn)行解決，在改變程序執(zhí)行流程的同時(shí)，會改變系統(tǒng)的序列，也會增加一些陌生的系統(tǒng)調(diào)用序列。

4.2.2 注重對數(shù)據(jù)信息的采集

數(shù)據(jù)收集和度量的難度較大，對數(shù)據(jù)信息的采集也是實(shí)現(xiàn)對異常行為檢測的前提，數(shù)據(jù)的采集主要從2個(gè)方面進(jìn)行考察：一是技術(shù)方面，對目標(biāo)不需要進(jìn)行任何修改，能夠幫助檢測系統(tǒng)進(jìn)行部署和應(yīng)用；二是對數(shù)據(jù)搜集的效率要求高，對入侵檢測系統(tǒng)的要求越來越高，要注重檢測中的實(shí)時(shí)性，對檢測的方法不斷進(jìn)行改進(jìn)，要保證獲得數(shù)據(jù)的效率，這也是檢測中的一個(gè)重點(diǎn)。

4.2.3 對網(wǎng)絡(luò)系統(tǒng)進(jìn)程中異常行為進(jìn)行區(qū)分

對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)異常行為的檢測，注重區(qū)分正常行為和異常行為，而檢測的依據(jù)就是兩者之間存在的各種差異，通過對系統(tǒng)進(jìn)程中各種數(shù)據(jù)信息的采集，然后對數(shù)據(jù)信息進(jìn)行分析，提供相應(yīng)的數(shù)據(jù)信息基礎(chǔ)，數(shù)據(jù)樣本的充分性也是進(jìn)行智能化檢測中的一個(gè)重點(diǎn)，如果正常行為和異常行為系統(tǒng)沒有任何區(qū)別，檢測系統(tǒng)也不能有效區(qū)分。例如，在一些數(shù)據(jù)的檢測中，將CPU的利用率作為檢測數(shù)據(jù)源，病毒主要是消耗目標(biāo)資源，如果有部分臨時(shí)任務(wù)增加，會使CPU的利用率升高。出于對檢測數(shù)據(jù)的實(shí)時(shí)性考慮，如果能夠盡早發(fā)現(xiàn)入侵情況，也就可以將損失降到最低，數(shù)據(jù)源的產(chǎn)生與行為間的時(shí)間發(fā)生延遲，導(dǎo)致檢測的結(jié)果出現(xiàn)問題，也就會影響對數(shù)據(jù)檢測的準(zhǔn)確性。

5 結(jié)語

綜上所述，對于提高系統(tǒng)中進(jìn)程行為的異常檢測，需要根據(jù)實(shí)際情況，對影響檢測結(jié)果的正常行為建立相對應(yīng)的模型，通過借鑒機(jī)器學(xué)習(xí)中的相關(guān)理論和技術(shù)，通過采取計(jì)算提取進(jìn)程行為的特征向量，利用算法對特征向量進(jìn)行分類分析，可以保證檢測結(jié)果的準(zhǔn)確性，而且在對系統(tǒng)中各種異常的檢測過程中，需要對檢測結(jié)果進(jìn)行分析，保證對異常檢測的準(zhǔn)確性。