基于写相关支持向量描述的入侵防护审计模型研究.doc-道客多多

资源描述

1、8 通信学报第 28 卷基于写相关支持向量描述的入侵防护审计模型研究罗隽，潘志松，缪志敏，胡谷雨（解放军理工大学指挥自动化学院，江苏南京 210007）摘要：设计了基于写相关支持向量描述的安全审计模型来实现一个新的单类分类器，对系统调用中“写性质”子集进行监视和分析，并以此训练单类分类器，使偏离正常模式的活动都被认为是潜在的入侵。该模型仅利用正常样本建立了单分类器，因此系统还具有对新的异常行为进行检测的能力。通过对主机系统执行迹国际标准数据集的优化处理，只利用少量的训练样本，实验获得了对异常样本 100%的检测率，而平均虚警率接近为 0。关键词：入侵防护；入侵检测；安全审计；单

2、类分类器；写相关支持向量描述中图分类号：TP393.08 文献标识码：A 文章编号：1000-436X(2007)07-0008-07Research on the security audit model in intrusion preventionbased on write-related support vector data descriptionLUO Jun, PAN Zhi-song, MIAO Zhi-min, HU Gu-yu（Institute of Command Automation, PLA University of Science and Technolog

3、y, Nanjing 210007, China）Abstract：The security audit model based on write-related SVDD was designed to resolve the one-class problem. Once the classifier has been trained using the write-related subset, all activities deviated from the normal patterns are classified as potential intrusion. The propo

4、sed one-class classification algorithms can be implemented to build up an anomaly detection system by using only normal samples and the algorithms also makes the security audit system detect the new anomaly behaviors. In the experiments, the One-class classifier acquires nearly 100% detection rate a

5、nd average zero false alarm rate for sequences of system calls based on a small training dataset. Key words：intrusion prevention; intrusion detection; security audit; one-class classifier; write-related support vector data description1 引言在基于安全审计的入侵防护中，攻击数据是“小数量，高危害 ”的，换句

6、话说，系统中绝大部分应用行为都是正常的。什么样的应用行为具有 “危害 ”性呢？ U2R 和 R2L 这类模拟正常用户行为的攻击都是通过调用常用的系统调用操作来获取管理员权限以实现自身目的，而要获得管理员权限，首先该系统调用在操作系统中的权限应该很高，其次，该调用必须能够更改系统或文件的属性。可见，不同的系统调用对于攻击的贡献

7、是截然不同的，本文将根据应用行为对攻击的不同贡献，考虑训练集的重构。后续章节首先分析了入侵检测中的单类问题并提出了基于支持向量描述(SVDD)的检测模型，然后通过对大量数据的分析，讨论了调用序列的不同第 28 卷第 7 期通信学报 Vol.28 No.72007 年 7 月 Journal on Communications July 2007收稿日期：2006-07-31；修回日期：2007-05-30基金项目：国家自然科学基金资助项目(60603029)；江苏省自然科学基金资助项目 (BK2005009) Founda

8、tion Items: The National Natural Science Foundation of China (60603029); The Natural Science Foundation of Jiangsu Province (BK2005009)第 7 期罗隽等：基于写相关支持向量描述的入侵防护审计模型研究 9作用，提出了通过写相关调用子集，对大量的短序列样本进行数据归约的方法。在此基础上，对提出的检测模型进行改进，进一步降低了训练的复杂度。最后对该模型在 UNM 搜集的入侵检测数据集上的检测效果进行了验证，并将该方法与传统的方法进行了比较分析。2 入侵检测中的单类问

9、题目前的异常检测大都是在提供了大量的正常和攻击（异常）数据的基础上，建立两分类分类器来区分正常和异常数据。但在很多情况，得到攻击数据十分困难，即使得到个别的攻击数据，其也不能体现所有的攻击特性。这样，根据这些数据设计出的异常检测模型往往不能很好的区分正常与异常行为。在大多数情况，只能得到“Normal”数据，同时由于攻击的方法和手段不断的更新，系统管理员和安全专家无法对所有的攻击进行分析与学习并给出攻击模式。应当考虑如何通过这些数据建立一个正常模式，然后对当前的系统或用户的行为进行比较，从而判断出与正常模式的偏离程度。这样的问题可以转化为模式识别领域的单类问题（one-class proble

10、m）。进而将问题转化为如何设计一个单类分类器，并设定一个边界，来判别当前入侵事件的归属。3 基于支持向量描述（SVDD）的单类分类器模型首先构建基本的审计模型框架 1，如图 1 所示，前文提到，构建审计信息的分类器是其中的关键，能否有效区分正常与异常，是评估该分类器的重要指标。图 1 审计模型基本框架Tax.D.M.J 建立了支持向量数据描述（ SVDD）2，其基本思想是：首先通过核函数将输入空间映射到一个高维空间，在这个高维空间构造一个包含所有训练样本点的球体；在球面上的样本点即为 SVDD 所求得的支持向量。由于支持向量的个数是稀疏的，因此计算量得到相应的减少。假

11、设模型 f(x;w)表示一类紧密的有界数据集，因此我们可以借助一个超球体去包含并描述它。这个球体可以用中心 a 和半径 R 表示，而且使训练集 Xtr 的所有样本都落在此球体内。这就表示经验风险等于 0，因此，类比于 SVM3，定义一个结构误差(1)2struc(,)Ra在如下的约束下对它最小化(2)2,ixaRi由于训练样本中一般含有噪声或野值（也叫新颖值），因此上述优化结果对噪声或野值敏感，缺少顽健性。为提高结果的顽健性，仿照 SVM 为每个样本引入松弛变量，以控制野值对0,ii解的影响。意即对于远离球心的样本点实施惩罚，因此，最小化问题变为如下形式(3)2struc(,)iRaC其约

12、束条件为(4)2,0,i ixi 参数 C 类似于 SVM 中的控制变量。10 通信学报第 28 卷利用 Lagrange 函数求解上述约束下的最小化问题，其约束条件不变。Lagrange 函数为(5)22(,)()iiiiiiLRaCxaggx其中, , 为 Lagrange 系数。0a kg令 L 分别对求偏导，并令偏导为 0，可得,R(6),()()iiijijjxx约束为：1) ，2) 。i10,iiCa“ 对上述问题相对求最大，可以用标准的二次规划算法来解决。这样就可以求得的最优

13、值，对于，其对应的样本点是支持向量，位于0iC 球面上；而则表示对应的样本点位于球体内。0i在这里并没有显式表出 a 和 R，它们可以用隐含表出。假设 z 为测试样本，那么当如下公式满足，即判 z 是正常类，否则为异常类。相当于 z 落在该超球体内部 2 2,()()()i ijijijazzxxRaa-=-+(7)其中， R 是任意一个支持向量 xk 到球心 a 的距离(8)2 ,()2()()ki ijijijx xa=-+当输入空间的样本点不满足球状分

14、布时，可以通过核技巧把输入空间先映射到高维空间，然后在映射后的高维空间内求解。也就是将上述公式中的内积形式都变换成核函数形式(9)()(,)ijijijxxKxf=其中，为非线性映射，对于某些核函数可以显式的求出，而绝大多数则难以表出。选择一个适当的核函数也是比较重要的，如果选取的核函数能够将输入空间正好映射成高维空间的一个球体分布，那么所求得的分类器也会比较吻合实际的分布情况。常用的的核函数有：多项式核函数、高斯核函数以及 Sigmoid 核函数，本实验中选取高斯核函数Gaussian RBF 核函数 (10)()2,exp56yKys=引入核函数后，原来的公式变成了如下形式(11),(

15、,)(,)iiijijjLxxaa约束不变，而决策函数变为 2SVD 2(;)()()2(iiijij,jfz,R=IfzRSIKa,x+aKx, (12)这里判别函数 I 定义为(13)1, ifstrue()ohw AIA=-4 系统调用序列在异常检测中的不同作用Forrest 等在研究中发现：系统关键程序的执行，可通过程序执行过程中所使用的系统调用所组成的序列（SSC）来描述 4。Forrest 同时认为：一个程序的正常行为可以由其执行迹（trace）中的局部模式来描述，即短序列 5,6。但是，不同的系统调用对于系统产生的影响的截然不同的，这里考虑一个最基本的调用对，即 Read 和 W

16、rite，首先，Read 操作对于其他进程和系统的关键数据不会有任何影响，它仅仅会影响本进程的处理过程。诚然，在缓冲区溢出中，当 buff 变量被更改后，Read(buff)操作将会直接导致错误的发生，但是这个错误马上会通过段错误或者 Exec 调用显式的表现出来。而 Write 操作则不然，它有可能改变文件系统的数据，从而影响到其他进程，或者可能将数据通过网络传到本系统以外，进一步影响远程系统的运行。因此，Write 调用明显具有更强的“攻击性” ，在本文讨论的基于系统调用序列的入侵防护中，起着更为重要的作用。与之类似的系统调用对还有很多，如getpriorit

17、y 和 setpriority， getsockopt 和 setsockopt 等，根据系统调用的特点，我们将其分为两大类：一类第 7 期罗隽等：基于写相关支持向量描述的入侵防护审计模型研究 11是 “读 ”相关的，它们类似于 Read 调用，执行时只会对进程本身的运行产生影响，而对之外的系统和其它进程无直接的影响；另一类是 “写 ”相关的，与 Write 调用一样，它们的执行将可能直接影响到其它进程或

18、系统资源的状态，具有很强的 “攻击（破坏）性 ”1。下面来讨论一下写相关调用对于入侵防护的意义。为了获得系统管理权限，入侵者必然要通过各种方法对系统数据和应用程序的行为模式进行必要的改变，替换被攻击的程序或者擦除入侵过程中留下的痕迹，这些改变都会或多或少的用到写相关的系统调用，也即攻击产生的异常行为必然会通过写相关的系统调用表现出来。本文采用的主机系统执行迹国际标准数据集是基于 SUN OS7的，包含了 182 个可用的系统调用，根据其执行特征，按之前的划分方式，

19、写相关的调用类别共有 77 个，根据 Forrest 的思想，在划分系统调用的时候我们不关心系统调用的参数，为了保证对攻击最大的检测率，所有 “可能 ”或 “潜在 ”具有写性质的调用都将归入到写相关调用集中，如exit、 fork、 read、 write、 open、 close 等，如表 1 所示。表 1 部分写相关调用exit fork read write open close creat link unlink execv mkn

20、od chmod chown lseek setuid stime ptrace utime access nice sync kill setpgrp dup pipe setgid acct ioctl reboot symlink execve umask chroot munmap vhangup setgroups setpgrp dup2 fcntl setpriority socket connect setsockopt sigvec sigblock 由此，采用 SVDD 算法，结合数据预处理过程，构建更为简洁的系统调用序列，并使用正常数据训练分类器，进行检测。审计信息分类器

21、框图如图 2 所示。图 2 审计信息分类器基本框架5 审计模型中的系统调用短序列及数据预处理通过对系统的审计系统进行配置，就可使审计系统根据用户的要求监控相关程序的执行过程 3。预处理的主要目的就是要得到执行迹的系统调用短序列。由于执行迹中系统调用的次序关系是描述该程序行为的重要特征，分析这种次序关系的最简单方法就是利用长度为 K 的滑动窗口(sliding window)技术构造系统调用短序列。根据 Prof. Lee的研究结果 8，本实验选取短序列的长度 K 为 6，为了测试根据写相关子集构建的调用序列应用于入侵检测的性能，同时进行基于完整的系统调用集所构建的调用序列的相关实验。方便起见，

22、将完整的系统调用集表示为 S，将写相关子集记为 W，本章所采取的国际标准数据集中包含正常执行序列 N 以及带攻击样本的执行序列A。将数据集中各个序列中包含在 W 中的调用按顺序提取出来，重新组成新的数据集 Nw 与 Aw，显然新数据集中仍包含 2 704 个正常执行序列与 1 001 个带攻击样本的执行序列。用 W 对数据进行处理的过程我们叫做 W 规约，相应地，用

23、 S 进行处理的叫做12 通信学报第 28 卷S 规约。例如，如果某应用程序在运行时顺序执行了以下系统调用 :open, create, read, write, read, write, read, write, read, write, close, close, exit；该序列包含8 个特征序列，切分后学习序列为 :open, create, read, write, read, write,create, read, write, read, write, read,read,

24、 write, read, write, read, write,write, read, write, read, write, read,read, write, read, write, read, write,write, read, write, read, write, close,read, write, read, write, close, close,write, read, write, close, close, exit。对于 W 检测，根据系统调用划分的原则，可以从原序列得到对应的 W 序列，即 open, create, write, write, write,

25、close, close, exit。该 W 序列包含以下 3 个 W 特征序列 :open, create, write, write, write, close,create, write, write, write, close, close,write, write, write, close, close, exit。经过 W 规约后，数据量有一定的减少，使用滑动窗口进行切分后，得到的大量的短序列样本将存入安全审计数据库中。经过对冗余短序列的数据约简

26、，得到有代表性的少量样本。这些样本将用来训练基于支持向量描述的单类分类器。表正显示了各个数据集在采用不同调用集合的情况下，训练样本个数的情况。表 2 同系统调用集下的实验使用的样本个数MIT lpr UNM lpr Named Stide Ftp UNM Sendmail CERT Sendmail数据集S W S W S W S W S W S W S W系统调用数目 2 914 837 164 247 2 027 468 153 693 9 230 572

27、6 590 324 205 935 132 751 1 363 945 6 755 4 602 8 316 6 955训练样本数目 512 187 470 373 1238 577 215 153 665 461 526 396 639 458可见，经过适当的数据预处理，利用少量的训练样本来训练 SVDD 分类器，大大减少了运算量，保证了实验的高效，顺利的进行，而使用 W规约进一步降低了样本个数，更加有助于满足入侵防护的实时性，同时也符合代价敏感学习的思想。本文将这种方法称之为 W-SVDD。W 规约可看作 S 规约的一个简化，为了验证W 区分后的新序

28、列中是否有攻击信息的丢失，以MIT lpr 数据集为例，去冗余后，将两种方法所获得的异常训练样本再一次进行规约，去除其包含在相应正常训练样本中的序列，从而得到纯的攻击序列，实验发现，二者完全相同，如表 3（数字代表调用在原调用集中的位置），这说明使用写相关调用子集进行规约并不会损失攻击信息的完整性。表 3 原序列和新序列中纯攻击样本对比

29、6 实验结果6.1 W-SVDD 针对不同数据集的检测结果在进行检测时，首先对数据集中的系统执行迹进行预处理，获得的长度为 K 的正常系统调用的写序列集作为训练样本输入 SVDD 单类分类器，训练后的分类器就可以实现对在线样本的异常检测。在测试阶段，将测试的程序执行迹进行预处理，得到的一系列的短序列输入单类分类器，由式 (13)，当输出为 1 时，判断为

30、正SVD(;)fza,R常的短序列；当 SVDD 输出为 1 时，可以认为对应的短序列偏离了正常模式，判断为异常短序列。为了更加正确地判断整个系统执行迹的异常状态，选定一个阈值，当该执行迹中的短序列被判断为异常的数目超过，则判定该系统调用执行迹为异常。通过系统的检测率和误报率（即误报率，将正常误报为异常的比率）来评估系统的性能，相比之下，误报率更能反映检测系统的性能。实验中的参数为：1）SVDD 中选用

31、的核函数为 RBF 核，C =1；2）取核参数 =10，切分长度 K=6；3）根据不同阈值（本实验取值为 935），分别用两种方法对已切分的攻击数据和正常数据进行检测，从图 3 可以看到采用两种不同方法的检测系统的平均检测率和误报率。经过 W 规约后，系统对各种数据集的检测率均有一定的提高，大部分的检测率均已达到W 序列中纯攻击样本 S 序列中纯攻击样本6,9,10,6,6,64,4,4,33,51,594,4,33,51,59,1064,6,9,10,6,633,51,59,106,105,1059,10,6,6,6,14,33,51,59,106,1059,51,4,106,105,10

32、519,4,6,9,10,66,9,51,4,106,1053,19,4,6,9,5119,4,6,9,51,44,6,9,51,4,1066,9,10,6,6,64,4,4,33,51,594,4,33,51,59,1064,6,9,10,6,633,51,59,106,105,1059,10,6,6,6,14,33,51,59,106,1059,51,4,106,105,10519,4,6,9,10,66,9,51,4,106,1053,19,4,6,9,5119,4,6,9,51,44,6,9,51,4,106第 7 期罗隽等：基于写相关支持向量描述的入侵防护审计模型研究 13100%

33、，对于在原模型中分类效果欠佳的 MIT lpr数据和 Stide 的识别率分别达到了 100%和99.83%，在保证较少数据量的同时，对异常的检测效果有较大提高。尤其是对于 MIT lpr 这类采集时间比较短的数据集，同样有较好的分类效果。相比而言，系统对于 Sendmail 数据集的检测率提升幅度有限，这是由于实际的 Sendmail 系统非常难配置，加上漏洞比较多，更关键的是该进程具有 Root 权限，被攻击的次数极多，以至于很难采集到纯净的正常数据，因而导致分类器的结果受到影响。图 3 两种方法对检测率与误报率对比对于正常样本的误报率在本章的 W-SVDD 模

34、型中也有一定幅度的降低，绝大部分数据集的误报率已经降到 1%以下，基本可以满足入侵检测的需要。但 CERT 和 UNM 的 Sendmail 数据集的误报率仍然很高，分别达到 1.62%和 2.30%，说明错误的训练样本对于分类器的误导作用是不可忽视的，如何在经常受到攻击的系统中采集正常数据，将是今后一个研究方向。6.2 W-SVDD 方法与传统方法的对比前面叙述了 W-S

35、VDD 方法作用于所有数据集的分类效果，本节将具体例举其中比较典型的 MIT lpr 数据集的分类结果，并与第 3 节提出的 SVDD 方法以及传统的智能检测方法在性能指标上作比较。与原 SVDD 模型相比，误报率和错分数目的情况如图 4，根据实验结果，两个系统在阈值调整的整个坐标系内，检测率和误报率一直维持在一个 100和平均接近于 0 的范围，再一次证明了系统的顽健性；在此情况下正常数据和攻击数据可

36、以被完全得到区分。采用写相关方法的误报率曲线比较平稳，说明该方法检测的结果较为稳定，在实际的入侵防护系统中，将具有更高的效率和更强的稳定性。使用原模型的方法误报率在0.44%0.96%（ =923），错分个数最大则达到了26 个，而使用写相关序列的方法则保持在0%0.11%（ =923）之间，错分个数最大为 3，大大小于原方法所得的检测结果，

37、甚至在 915 的阈值范围内，错分个数为的 0。影响误报率的原因是多方面的，算法的迭代次数、切分序列的长度等等都与之有着密切的关系，而且这两种方法在原理上基本一致，在相同的实验环境下基于写序列的检测方法优于原始方法。图 4 两种方法对正常样本的误报率与误报个数对比对于写序列的划分，我们的目标在于去粗取精，忽略影响较小的调用行为，将检测的重点放在对系统和其他进程更为关键的调用行为上，以达到降低误报率，保持检测率

38、。下面将使用写相关序列的方法与一些传统的检测方法进行比较。同样基于系统调用执行迹方法和采用 MIT lpr 数据集进行训练和验证，文献 9提出了使用神经网络和贝叶斯网络进行入侵检测的方法，以及使用随机隐马尔科夫模型和改进的（特殊的）隐马尔科夫模型进行检测，如表 4，如前所述，在现实网络中，攻击样本是极难获取的，而此类方法需要将正常和异常14 通信学报第

39、28 卷的系统执行迹样本同时输入网络进行训练，且对于训练样本无任何简化，必然将带来大量的运算和较长的匹配过程。表 4 几种方法基本参数的对比最终训练短序列样本输入数测试数据集方法入侵样本正常样本入侵执行迹正常执行迹马尔科夫传统神经网络SVDDW-SVDD164 24765 0780000000000000586 733696 728512000037500001 0011 0011 0011 0011 6451 5002 7042 704在检测率相同的情况下，使用 W

40、-SVDD 方法得到的误报率远远小于以上几种方法。如图 5 所示，虽然在某些范围（ 0%0.2%）中，使用马尔科夫模型的误报率似乎更为理想，但该方法对于异常样本的检测结果并不理想，而且这几类方法的运算量和数据量甚高，在实际使用中，检测率应该会有一定程度的降低。图 5 几种方法的检测率与误报（虚警）率关系通过实验可以看出，基于 W-SVDD 的单类分类器的审计模型与传统基于网络的防护审计模

41、型相比具有以下特点：首先，它不需要为系统提供异常的信息，避免了大规模的短序列匹配过程，减少了预处理时间；其次，该方法由于不需要入侵的先验知识，利用正常的样本建立正常的工作模式，所以该方法能够检测新的攻击和攻击的变种；第三，由于检测部分只需要简单的计算，能够满足入侵检测实时性的要求。相应的，对于普通的基于 SVDD的审计模型相比，还具有以下特点：1）通过写性质规约，进一步简化了待训练的数据，提高了检测系统的实时性和及时性；2）优化的检测序列更适于检测隐藏在海量正常调用中的攻击，具有更强的实用性。7 结束语绝对安全无缺陷的系统是不存在的，因此入侵防护系统

42、已成为系统安全防护中最重要的组成部分，本文利用主机系统调用安全审计信息为数据源，将写相关规约和频度规约思想引入数据采集预处理过程，避免了对入侵知识进行大规模匹配和提取的复杂工作，但仍应该认识到，一方面，应用程序具有多样性和复杂性，不同的程序具有不同的功能、处理对象和工作方式，另一方面，新的入侵手段层也是层

43、出不穷，对异常行为特点的研究任重而道远，在实际的入侵防护系统中，仍需要将各种有效的检测方式有机结合，才能更好地保护系统的安全。参考文献：1 ZHANG X F, SUN Y F, ZHAO Q S. Intrusion detection based on sub-set of system callsJ. Acta Electronic Sinica, 2004：1339-1341.2 TAX D M J. One-Class Classification D. Ph d

44、Dissertation，ICT Group Delft Netherland, 1999.第 7 期罗隽等：基于写相关支持向量描述的入侵防护审计模型研究 153 CRISTIANINI N, TAYLOR J S. An Introduction to SVM and Other Kernel-based Learning MethodsM. Cambridge Univ Press, 2000.4 FORREST S, HOFMEYR S A. Computer immunologyJ. Communications of the ACM, 1997, 40(10):88-96.5 WA

45、RRENDER C, FORREST S, PEARLMUTTER B. Detecting intrusion using system calls: alternative data models EB/OL. http:/www.cs. unm.edu/forrest/publications/Oaklandwith-cite.pdf, 2000.6 FORREST S, HOFMEYR S A, LONGSTAFF T A. A Sense of Self for Unix processesM. IEEE Computer Society Press. 1996.7 UNM&MIT

46、DataSetEB/OL. http:/www.cs.unm.edu/ immsec/data/, 2000.8 LEE W, STOLFO S J, MOK K W. A data mining framework for building intrusion detection models A. The 1999 IEEE Symposium on Security and PrivacyC. Berkely, California, 1999.120-132.9 WARRENDER C, FORREST S, PEARLMUTTER B. Detecting intrusions using system calls:alternative data modelsJ. IEEE Computer Society, 1999：133-145.作者简介：罗隽 (1981-)，男，湖南邵阳人，解放军理工大学硕士生，主要研究方向为网络安全、模式识别。潘志松 (1973-)，男，江苏南京人，解放军理工大学副教授、博士后，主要研究方向为网络安全、网络管理、模式识别。缪志敏 (1978-)，女，湖南华容人，解放军理工大学博士生，主要研究方向为网络安全、故障关联。胡谷雨（1963-），男，浙江东阳人，解放军理工大学教授、博士生导师，主要研究方向为网络安全、网络管理。

展开阅读全文