劉 芬 余 錚 廖榮濤 徐 煥 代蕩蕩

（國網(wǎng)湖北省電力有限公司信息通信公司 武漢 430077）

1 引言

目前在系統(tǒng)運維領域，針對代碼級的信息系統(tǒng)監(jiān)控技術(shù)得到了前所未有的重視，企業(yè)對于信息系統(tǒng)業(yè)務性能方面的監(jiān)控需求也日益提高，維持信息系統(tǒng)的正常運轉(zhuǎn)與保護企業(yè)數(shù)據(jù)安全已經(jīng)成為了企業(yè)生存與發(fā)展的必要條件。要實現(xiàn)高水平的業(yè)務性能管理，首先需要對對網(wǎng)絡中的各種異常信息與進行及時采集與分析，并通過高效的檢測方法快速識別，給系統(tǒng)運維管理提供可靠的依據(jù)，因此，網(wǎng)絡異常信息識別方法的優(yōu)劣，直接決定了企業(yè)業(yè)務性能管理工作的質(zhì)量。另一方面，隨著網(wǎng)絡站點和各種信息系統(tǒng)的推廣使用，各種非法操作和網(wǎng)絡攻擊行為也層出不窮，雖然相關的數(shù)據(jù)安全與性能監(jiān)控系統(tǒng)不斷改進，但網(wǎng)絡攻擊的種類與規(guī)模仍然不斷上升，給網(wǎng)絡管理和系統(tǒng)運維工作造成了嚴重的干擾。在所有的網(wǎng)絡攻擊行為中，注入式攻擊由于其自身的隱蔽性和易操作性，已經(jīng)成為了使用頻率最高的攻擊方法之一［1］。該類攻擊行為最大的特點就是從正常的WWW端口對站點發(fā)起訪問，表面上與正常用戶訪問并使用站點功能的行為無異，從而能夠欺騙大多數(shù)防火墻的監(jiān)控，使其不會對此類操作發(fā)出報警，唯有當系統(tǒng)管理員主動查看Web日志時，才能夠發(fā)現(xiàn)明顯的異常痕跡，因此該類攻擊往往會延續(xù)較長時間才被察覺，給企業(yè)的整體業(yè)務性能造成了嚴重的影響，同時也對企業(yè)的核心數(shù)據(jù)資源構(gòu)成了嚴重的威脅，進而造成重大的經(jīng)濟損失［2］。

KNN算法在文本分類領域內(nèi)得到了廣泛的認可，顯著提高了針對類型多樣化的數(shù)據(jù)進行分類的準確性與可靠性，有不少研究者將該算法進行改進后，應用在網(wǎng)絡異常與攻擊檢測領域，如張著英等人提出建立低維的特征向量空間以節(jié)約算法初期的計算規(guī)模，提高運算速度［3］；胡元等人提出采用區(qū)域劃分的方式提高樣本群的搜索效率［4］；Auld等人提出在算法執(zhí)行前應對樣本群進行規(guī)范化處理，以減少算法的計算量等［5］。但多數(shù)方法并不能很好地針對網(wǎng)絡注入式攻擊特征進行優(yōu)化，在準確性和實時性方面均有欠缺。本文提出了針對KNN算法的初始化樣本群，構(gòu)造球型樣本空間，形成樣本子集聚類，削減初期樣本群規(guī)模，增強算法計算性能的優(yōu)化方法，并在結(jié)合Web日志提供的信息特征的基礎上，將其應用在Web注入式攻擊行為的檢測工作中，取得了較好的結(jié)果。

2 KNN算法的原理及改進

2.1 傳統(tǒng)KNN算法原理

KNN算法即K-最鄰近分類算法，是一種基于類比學習的智能型檢索分類算法，目前在模式分類識別領域內(nèi)得到了廣泛的認可，顯著提高了針對類型多樣化的數(shù)據(jù)進行分類的準確性與可靠性。該算法的基本流程是：1）首先構(gòu)建用于對比分析的樣本集合，隨后將待檢測的文本與該集合中的所有文本進行對比，確定與其相似度最高的k篇文本，將其定義為最鄰近樣本；2）檢索選定的k篇所屬類別，若同屬一類，則將其定義為待測文本的類別；3）若k篇文本存在多種類別，則采取權(quán)重法對類別進行排序，而權(quán)重的選定則可根據(jù)檢測需求靈活設置；4）判別分類排序居首位的文本權(quán)重是否超過了設定的閾值，只有當超過閾值時，該類別才可作為待測文本的類別［6～7］。其中待測樣本d(x1，x2，…xn)與訓練樣本di(y1，y2，…yn)相似度采用式（1）進行計算：

而目標樣本與某種分類cj的權(quán)重值則為

其中y(di，cj)為算法類別屬性函數(shù)，用以判斷di是否歸屬與cj，其結(jié)果分別為1和0。

算法最終的分類需采用分類函數(shù)來完成，如式（3）：

由此可以看出，KNN算法本身復雜度并不高，因此當訓練樣本群體規(guī)模有限時，該算法體現(xiàn)了良好的高效性和準確性。但隨著樣本群體的不斷擴大，該算法在初期時采用的逐一類比方法極大地影響了計算速度，且存在較為嚴重的計算資源浪費情況，并不適合針對Web注入式攻擊行為的檢查需求［8］。

2.2 KNN算法的改進

KNN算法的特點決定了待檢測樣本的最近鄰基本位于該樣本在空間中的某一區(qū)域范圍之內(nèi)，其余分布較遠的樣本對于算法結(jié)果的影響可以忽略不計，按照這一思路，可對算法初期的樣本群體進行科學的裁剪，僅保留對分類結(jié)果起到重要影響的區(qū)域內(nèi)的樣本，從而有效減少了算法的計算規(guī)模，提高了執(zhí)行效率。因此，本次改進工作的關鍵內(nèi)容就是設計最優(yōu)化的裁剪方法，確保剩余樣本群體的合理性。

首先，根據(jù)訓練樣本的類別，設置多種樣本子集，從而在樣本空間上形成多個聚類，其中任一聚類都呈現(xiàn)出以某個樣本為中心，其余樣本圍繞該中心并聚集在其周圍的分布狀態(tài)，每個樣本子集是一個聚類。對于一個聚類，它的所有樣本都圍繞著一個類中心分布，可以根據(jù)類中心和測試樣本的位置參數(shù)，設置合理的裁剪區(qū)域半徑及坐標。其具體的裁剪規(guī)則設計如下：

為每一個分類指定分類中心樣本，如第j類樣本中心描述為Oj={oj1，oj2，…ojn}，則有：

其中Nj為該類樣本群體規(guī)模，ymi是該群體中第m個樣本的第i個屬性值。根據(jù)多個中心點形成多個聚類，并利用式（1）計算訓練樣本到每個聚類中心的距離r，比較得出最短距離rmin；將測試樣本點d(x1，x2，…xn)作為球心，rmin為半徑構(gòu)造球形的外接正方體區(qū)域；檢索每個訓練樣本di(y1，y2，…yn)，保留在此區(qū)域內(nèi)的樣本應當滿足式（5）：

若樣本不能歸屬與任何一個聚類，則該樣本被去除。如圖1所示。

圖1 基于球狀區(qū)域的樣本群體裁剪

圖1 中A為待測樣本，預先設定四個分類，其中心分別為O(X1)至O(X4)，根據(jù)距離公式的計算，顯然可知樣本A與O(X3)的距離最近，以兩點間距為rmin，構(gòu)造球狀區(qū)域和外接立方體，檢索訓練樣本群中的每一個樣本，滿足式（5）的樣本均被保留，從而構(gòu)造了新的更小規(guī)模的樣本群。在后續(xù)的算法執(zhí)行過程中，只需對新群體中的樣本進行檢索和分析，找出其中最近鄰中權(quán)重最大的類別，最終實現(xiàn)對樣本A的分類工作。

3 基于改進KNN算法的檢測模型

3.1 檢測模型結(jié)構(gòu)設計

將改進后的KNN算法應用于注入式網(wǎng)絡攻擊檢測領域，將Web頁面的訪問請求定義為一份文本中的字，而針對某一頁面的所有GET訪問請求則被統(tǒng)一定義為一份文本，從而構(gòu)建出原始待檢測樣本群，隨后采用上節(jié)中所述的改進方法對該樣本群進行裁剪，得到改進KNN算法的初始化樣本群。

圖1給出了檢測模型的基本框架結(jié)構(gòu)，可以看出檢測工作的首個環(huán)節(jié)就是從IIS日志提取待檢測Web頁面的調(diào)用序列，分析其中的參數(shù)特征，并將該頁面轉(zhuǎn)化為調(diào)用文本的形式，該文本中存放了所有GET訪問記錄，從其中提取注入式攻擊行為的特征信息，即可將其與構(gòu)建的樣本群中的文本進行對比分析，通過改進KNN算法得到最終的分類判斷，即該頁面中是否存在可被注入式攻擊的漏洞特征，以及發(fā)生的訪問記錄中是否存在符合攻擊行為特征的操作［9］。

圖2 檢測模型結(jié)構(gòu)圖

3.2 注入式攻擊行為的特征提取

注入式攻擊行為的對象一般均為內(nèi)嵌JSP或ASP代碼的動態(tài)網(wǎng)頁，在該類型網(wǎng)頁中存放了N個不同數(shù)據(jù)類型的參數(shù)，當此類網(wǎng)頁對數(shù)據(jù)庫發(fā)起訪問申請時，就存在注入式攻擊的可能性。為了對該類型攻擊的特征進行提取和分析，就必須研究其攻擊行為伴生的信息特點。從攻擊方式來看，注入式攻擊主要針對以GET方式提交參數(shù)的動態(tài)頁面執(zhí)行其侵入行為，遵循這一特征，可對GET操作的相關記錄進行檢索和分析，從而判別和掌握注入式攻擊的具體信息［10］。眾所周知，IIS的Web訪問日志負責對所有的來訪行為進行記錄，而其中cs-uri-query字段記錄了客戶端使用GET方式提交的請求參數(shù)，因此，注入式攻擊語句隱藏在參數(shù)中進行提交時，同樣會被記錄在訪問日志中，通過分析cs-uri-query字段的信息特征，就能夠大大提高對該類攻擊行為的檢測效率，同時也可對存在此類漏洞頁面的站點進行有效的預警。根據(jù)文獻［11］的統(tǒng)計，注入式攻擊的常用函數(shù)及關鍵字如表1所示。

表1 注入式攻擊特征信息提取表

3.3 頁面調(diào)用文本的數(shù)字形式轉(zhuǎn)化

為了采用改進KNN算法對頁面信息進行分析，必須將其轉(zhuǎn)化為由若干個特征信息組成的文本形式，本文采用成熟的向量空間模型（Vector Space Model，VSM）來完成這一工作，得到的空間形式為（t1，t2，…，tk），即為注入式攻擊行為的信息特征，參照上文所述算法，采用權(quán)重法完成排序環(huán)節(jié)，因此需要計算這些信息特征在Web頁面（d1，d2，…，dj）中調(diào)用文檔的權(quán)重值。以某一Web頁面為例，將其轉(zhuǎn)變?yōu)橐陨闲问胶鬄閣j(w1j，w2j，…，wkj，…w||Tj)；式中的 ||T 表示特征向量的維數(shù)。而wkj即為權(quán)重值，其計算公式為

上式中的Fkj為tk出現(xiàn)的次數(shù)，DFk則表示樣本集中與該特征信息相符合的所有樣本的個數(shù)?？紤]到文本長度可能存在較大差異，因此將上式做如下規(guī)范化轉(zhuǎn)變，得到：

而當選定樣本中出現(xiàn)多種分類時，其每種分類的權(quán)值計算方法如下式：

式（8）中的u為待測頁面中的特征向量，dj則為樣本群中選取的k個樣本之一，y(dj，ci)表示dj在類別ci中的權(quán)重值，bi為測試算法預定的閾值，當選定樣本類別的權(quán)重值超過該閾值時，方可表示該分類結(jié)果有效。

3.4 檢測算法設計

Step1選定待檢測Web頁面，將其頁面文檔定義為待測樣本A；

Step2從各種頁面文檔中調(diào)取所有注入式攻擊行為所擁有的特征信息，并將其進行數(shù)字形式轉(zhuǎn)化，形成原始訓練樣本群D(d1，d2，…dn)；

Step3針對樣本群D，采取前文提出的裁剪優(yōu)化算法，合理削減其規(guī)模，得到初始樣本群S(s1，s2，…sk)；

Step4針對樣本群S中的每一個樣本，計算其與A的相似度sim（A，sj），若該值為1，則判別X存在攻擊行為，輸出檢測結(jié)果，否則執(zhí)行step5；

Step5根據(jù)sim（A，sj），按照相似度對樣本集進行排序，并選取前k個Web頁面調(diào)用文檔，對這些樣本分別計算其類別權(quán)重值；

Step6若權(quán)重值超過了預設的閾值，則判別此文檔存在注入式攻擊，否則判斷此文檔處于安全狀態(tài)，轉(zhuǎn)向下一個待測樣本，從Step1開始往復執(zhí)行，直至所有待測樣本均檢測完畢。

4 實驗結(jié)果分析

對本文提出的檢測算法進行仿真驗證，實驗分為縱向?qū)Ρ确治雠c橫向?qū)Ρ确治鰞蓚€環(huán)節(jié)，首先針對KNN算法的改進方案進行縱向?qū)Ρ闰炞C，即將其與傳統(tǒng)的KNN算法進行比較，論證改進后的KNN算法在分類性能上的提升效果。仿真模擬程序采用C#編程實現(xiàn)，運行環(huán)境為Windows Server 2012，將網(wǎng)頁操作行為分為正常類與攻擊類兩種類型，每個類別按照平均分布原則隨機選擇750個樣本點，即總樣本群規(guī)模為1500，兩種類別各自取500樣本作為訓練樣本，250樣本作為待測樣本，分別對兩種算法在計算耗時和分類準確率兩個方面進行對比分析，結(jié)果如表2所示。

從表2中可以看出，在分類準確度方面，改進KNN算法略微領先于傳統(tǒng)KNN算法，在K值達到100時，前者的準確度超過后者2.2%，但從該指標變化趨勢分析，隨著K值繼續(xù)增大，兩者之間的差異將進一步減少，并最終持平；而在計算耗時方面，改進KNN算法則體現(xiàn)出了顯著的優(yōu)勢，耗時差平均達到了6.115ms，說明改進后的KNN算法在計算效率上有了明顯的提升，改進效果得到了論證。

表2 縱向?qū)Ρ葘嶒灲Y(jié)果統(tǒng)計

隨后執(zhí)行橫向?qū)Ρ确治鰧嶒?，除本文設計算法之外，另選擇目前常用的三種檢測方法即馬爾科夫檢測法、K-means聚類法和貝葉斯網(wǎng)絡檢測法同時參與實驗，檢測對象假定為某中等規(guī)模的企業(yè)Web站點，模擬該站點共有65個含有參數(shù)的頁面，預設其中的16個頁面中存在注入式攻擊漏洞。在仿真實驗開始后，24h內(nèi)共組織了注入式攻擊4200次，其檢測結(jié)果匯總信息如表3所示。

由表3可知，改進KNN算法相對于其他檢測算法具有明顯的優(yōu)勢，站點中的16個漏洞頁面均全部檢出，無漏檢的情況，僅存在一處誤檢，準確率達到了93.75%，明顯超過了其他檢測方法；此外，由于注入式攻擊頁面的特征信息相對較少，因此不需要對特征向量進行降維處理，這進一步提高了改進KNN算法在該領域內(nèi)的檢測質(zhì)量，使其具備了良好的實際應用價值。

5 結(jié)語

本文針對KNN算法在網(wǎng)絡攻擊行為檢測領域的應用與改進展開研究，提出了構(gòu)造球狀區(qū)域樣本空間以合理削減樣本群規(guī)模，從而提高KNN算法的計算效率這一優(yōu)化方案，并圍繞Web站點注入式攻擊行為的特點進行分析，通過提取該類攻擊的特征信息，構(gòu)建了攻擊行為的檢測模型，在此基礎上設計和完善了相關的檢測算法。在仿真實驗階段，通過與傳統(tǒng)的KNN算法的縱向?qū)Ρ确治?，以及與其余三種檢測方法的橫向?qū)Ρ确治?，論證了本方案的有效性與可靠性。