多層次多特征融合的入侵特征表述方法

摘要：該文對入侵特征進行了分析，提出了基于“特征元素→特征因子→特征基→入侵特征”的多層次、多特征融合的入侵特征表述方法；根據入侵特征在各個層次上的特點，設計了數據的存儲結構，并基于該結構給出了特征基提呈算法。

關鍵詞：特征；層次；融合；免疫；入侵檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)30-0601-03

A Intrusion Features' Presentation of the Multi-level Multi-feature Fusion

LU Xiao-ya，LI Gui-bing，WU Bing

(College of Computer Science Technology，Southwest University for Nationalities，Chengdu 610041， China)

Abstract: In this paper，intrusion features were analysed.A intrusion features' presentation of the multi-level and multi-feature fuzzy with characteristic element， characteristic factor， characteristic base and intrusion pattern was put forward.The data structures of intusion feature based on its characters in responding level were designed.An arithmetic of getting characteristic base based on the structure was proposed.

Key words: feature;level;fusion; immune; intrusion detection

1 引言

在基于免疫的入侵檢測（ID）研究中，檢測器產生的兩種典型算法為否定選擇算法和肯定選擇算法。否定選擇算法的目的是找出一個檢測器集合，它在不與集合Self中元素匹配的前提下，能盡可能多地匹配集合Nonself中的元素。肯定選擇算法與否定選擇算法類似，不同的是被進化的Self測試器，即在檢測器成熟期間與自體匹配的必須清除?？梢傻腘onself串在正向選擇中必須與所有Self測試器比較，才能確定它是nonself；在負向選擇中一旦匹配成功，就停止比較。反之，對self串的判定，是正向選擇占優勢。當測試器不足時在負向選擇中會導致漏報；在正向選擇中會導致誤報。這種研究思路存在的難以克服的問題之一是數據規模問題。隨著保護系統越來越大，Self和Nonself也越來越大，在現有的計算效率下，發現一套一定覆蓋范圍的測試子集，變得越來越困難。如果不能映射整個Self和Nonself域，檢測效率下降，這已成為基于免疫的ID研究中的一個瓶頸。

值得注意的是：在生物免疫系統中，在自身免疫細胞數遠遠小于可能抗原的情況下，能成功應對幾乎所有抗原。也就是說，有可能在特征沒有完全覆蓋的情況下，獲取高的檢測率。前者的實現主要歸功于免疫應答過程中抗體的多樣性，而抗體的多樣性取決于其獨特的形成機制。因此，對于ID來說，關鍵是特征形成機制和表述方法。如果入侵特征如同抗體般具有多樣性，那就無需一味地追求特征的覆蓋范圍?；诖吮疚奶岢觥疤卣髟亍卣饕蜃印卣骰卣鳌钡亩鄬哟?、多特征融合入侵特征表述方法。

2 入侵特征分析

特征是決定相似性與分類的關鍵，當分類的目的決定之后，如何找到合適的特征就成為認知與識別的核心問題。

2.1 協議分析

主要是報頭信息，報頭值結構比較簡單，易于讀懂。如TCP、IP包首部定義中，同入侵相關的參數有：源端口號、目的端口號、報文中第1個字節的序列號、數據的偏移位置、特定的控制信息、發送方的滑動窗口大小等。報頭值可通過截獲TCP、IP、ICMP包或通過嗅探器捕獲。許多入侵都會在報頭中做文章，解讀數據報頭是截獲入侵的一種有效措施。入侵的報頭值可分為兩種：

1) 可疑報頭值

報頭值的可能情況很多，它隨服務的拓展及協議的變化而變化，某一階段不被常用的報頭值，應視為可疑報頭值。例：如果存在到端口31337或37374的可疑連接，就可報警為可能有特洛伊木馬在活動。

2) 非法報頭值

由于大多數操作系統和應用軟件都是在假定RFC被嚴格遵守的情況下編寫的，沒有添加針對異常數據的錯誤處理程序，因此，這種數據包被許多入侵軟件采用，以向防火墻、路由器以及IDS發起入侵。一個經典的例子是違背RFC793中規定的TCP標準，設置了SYN和FIN標記的數據包。

2.2 運行特征

病毒是入侵的一種，病毒的特點是通過運行自己產生危害。病毒程序為了隱蔽自己及達到自啟動的目的，會修改系統文件及發生系統調用，如：修改與系統相關的文件，如win.ini、system.ini、autoexec.bat、注冊表等；修改操作系統或BIOS的中斷服務程序；修改文件目錄區、磁盤引導區等。深入分析程序運行特征，可以盡早捕獲入侵信息而終止可疑程序運行。

2.3 行為序列

1) 程序指令序列

對程序進行代碼審視，可以發現可疑程序。如除系統程序外，其它程序中不應該存有對引導區的操作、對中斷向量表的修改等。從程序中捕獲這些操作所對應的指令可以發現可疑程序。許多查毒程序的機制正是基于此。

2) 操作行為序列

目前存在的主要入侵分為：Dos、病毒入侵及竊取。其中第三種，很難從數據報或運行特征中獲取，但進行竊取往往需進行多次登陸嘗試或口令猜測等，因此，針對這類入侵，比較有效的方法是記載并分析用戶在一定的時間段內對系統進行操作的行為序列。

2.4 特征關系

從上述分析中可見入侵行為具有許多共性，找出這些共性及某些特性之間的關系，成為從事IDS研究的首要解決的問題。本文把特征關系歸納如下：1) 一個入侵的特征可從數據報內容中或在其運行中或從程序本身內容中多方面體現；2) 不同手段的入侵會具有部分相同的入侵特征，即某一入侵特征會在多種入侵中體現；3) 入侵特征之間有的有牽連關系，如對win.ini文件的修改與修改注冊表某些項；有的沒有任何關系，如報頭值與修改系統文件。

3 入侵特征成分剖析

從上述分析看出，首先，一個入侵的所有特征可以分解成若干個部分，每一部分反映其在某一方面的特征，具有一定的獨立意義，稱其為入侵特征基或特征基。一個特征基可能會出現在多種入侵行為中，如“修改注冊表項”可以看作是一個特征基，該特征基在硬盤殺手、紅色代碼Ⅲ和木馬入侵等入侵中均會出現；其次，一個入侵的特征是由一個至多個特征基組成，即通過特征基的不同組合，形成不同入侵行為的特征。如表1所示。

由此，本文提出“特征元素→特征因子→特征基→特征”的多層次、多特征融合入侵特征表述方法。把組成特征基的基本數據，抽象為“特征因子”，把組成特征因子的基本數據抽象為“特征元素”，它是系統固有的組成成分。

入侵特征組成關系如圖1所示。

4 特征庫創建

4.1 特征元素

特征元素是指形成特征因子的基本數據。通常是通過數據采集可直接獲取的源數據，如源IP、端口號、CPU%（CPU使用率）等。每個特征元素有兩個屬性，一是標識，二是值。將特征元素按其值分為數元素、符號元素、真值元素，根據不同的屬性值類型，分別對應其值域為數、符號、真值。

<數>：：=<整數>|<實數>|<模糊數>

<符號>：：=<字母>|<符號><字母>|<符號><數字>

<真值>：：=True|False

如表示一個源IP為210.56.126.3；表示新創建了一個文件d:\\abc.exe；表示發生了21h號DOS功能調用。

特征元素結構定義如下：

Struct F_element/*特征元素結構定義*/

{ char * ID; /*元素標識，不能重復*/

char *Note; /*元素描述*/

char * Type: /*元素類型*/

char *value: /*字符格式元素值*/

};

4.2 特征因子

特征因子是指組成特征基的成分。特征因子與特征元素之間的關系可表示成：

<α，A，a，t>。A為特征元素全集；α=∑αi，α∈A是一特征元素子集；a為一特征因子；t：α→a。

從特征元素形成特征因子，在IDS中，由數據預處理完成，ta復雜時是實現一定功能的函數，簡單時也可能是一些運算符。若以a=表示一特征因子，sa為屬性標識，va為屬性值，其值域同特征元素。如表示CPU使用率為95%，由一個特征元素組成；表示由兩個特征元素經比較運算形成；表示SDP由SIP，DIP，Dport三個組成，表示一個連接。三者任一元素不同表示不同的連接。表示連接數多，HIGH（高）是模糊表示，該特征因子需通過一個統計運算的函數才能獲得。

特征因子是預處理程序對特征元素處理的結果。每個特征因子設有3個基本屬性，與特征元素類似。定義如下：

Struct F_Factor/*特征因子結構定義*/

{ char *ID;/*特征因子標識，不能重復*/

Char *Note: /*特征因子描述*/

Char *Type; /*特征因子值類型*/

Char *Value; /*特征因子值*/

Struct F_Factor NextFactor; /*結點指針*/

};

4.3 特征基

特征基是入侵的某一個具體特征的反映，以CAg1，CAg2，…表示。特征基是特征因子的組合，這里不考慮其排列順序，即任一特征基CAgi可表示成特征因子序列：

CAgi=a1a2…ann≥1

特征基由若干個特征因子構成，因為組成每一個特征基的特征因子個數不一樣，所以用一個鏈表表示，鏈表中每一個結點表示一個特征因子，如圖2所示。

特征基鏈表結構定義如下：

Struct F_Base/*特征基結構定義*/

{ char *ID;/*標識存放特征因子標識*/

char *Note: /*特征基描述*/

struct F_Factor *Link; /*特征因子鏈表*/

int length; /*特征基長度，即特征因子鏈表長度*/

…/*其它信息*/

}；

5 特征基提取算法

特征基提取是指由特征因子獲取特征基的過程。設有n個特征因子，特征基庫中有m個特征基，每個特征基由Si個特征因子組成，過程的輸入、輸出如圖3所示。

解決思路：用已知的特征因子去標識特征基鏈中特征因子結點，如果特征基鏈中各特征因子結點均得到標識，則該特征基被選中。

算法分成兩步：

步驟1用現有的特征因子ai（i=1，…，n）去匹配特征基庫中每一個鏈表中的特征因子結點，如果匹配成功，標志該結點。因為每一個特征基鏈有Si個特征因子結點，整個特征基庫共有S1+S2+…+Sm個特征因子結點，現有n個特征因子，上述操作進行n次，所以，步驟1的時間復雜度為：

步驟2掃描各特征基鏈中各結點的標志，如果某特征基中的各特征因子結點均被標記，則該特征基被選中。所以，步驟2的時間復雜度為：

整個算法的時間復雜度為：

T（m）= T（步驟1）+ T（步驟2）= O（（n+1）·m·max（Si））

6 結束語

“多層次、多特征融合的特征表述方法”使特征表述具有多樣性。一組特征因子通過不同的組合，產生多樣特征基；一組特征基通過不同的組合，形成不同的入侵模式。入侵手段與途徑多種多樣，但通常是殊途同歸，所以該特征表述方法能較好的反映出入侵行為的該特點。

“多層次、多特征融合的特征表述方法”使特征表述具有開放性。因為新的特征基可能是已有特征因子的新組合。特征庫中現有的特征基數量，表示曾經出現過的特征基，不表示IDS可識別的特征基總量，實際可識別空間，取決于特征因子的可組合數，這個數目遠遠大于現有的特征基數。特征庫具有良好的可擴性使得IDS的識別能力不再局限于現有的已知入侵。

參考文獻：

[1] 陳文頡，竇麗華.融合多特征信息的模式識別方法[J].北京理工大學學報，2002，22(2):173-176．

[2] 張杰，戴英俠.入侵檢測系統技術現狀及其發展趨勢[J].計算機與通信，2002.6:28-32.

[3] 馬傳香，李慶華等.入侵檢測研究綜述[J].計算機工程，2005，31(3):4-6.

[4] 揚孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應用，2003，7:26-28.

[5] 張琨，許滿武等.基于一種Hamming距離的入侵檢測方法—RHDID[J].計算機學報，2003，26(1):65-69.

[6] 韓東海，王超等.入侵檢測系統實例剖析[M].北京:清華大學出版社，2003.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文