基于系統(tǒng)調(diào)用序列分析入侵檢測(cè)的層次化模型

董玲　張宏莉　葉麟

摘要：系統(tǒng)調(diào)用是操作系統(tǒng)和用戶程序的接口， 任何程序必須通過(guò)系統(tǒng)調(diào)用才能執(zhí)行。近年來(lái)，網(wǎng)絡(luò)安全事件頻發(fā)，基于系統(tǒng)調(diào)用序列分析的入侵檢測(cè)方法成為了網(wǎng)絡(luò)安全研究的熱點(diǎn)技術(shù)之一。本文提出了基于枚舉序列、隱馬爾科夫兩種方法建立系統(tǒng)行為的層次化模型，不同于傳統(tǒng)意義上的單層次模型。在新墨西哥大學(xué)提供的實(shí)驗(yàn)數(shù)據(jù)上，本方法在檢測(cè)程序異常行為的準(zhǔn)確度和響應(yīng)時(shí)間方面都得到了很好的效果，表明該方法更適合基于主機(jī)入侵的在線檢測(cè)方法。

關(guān)鍵詞：入侵檢測(cè)； 系統(tǒng)調(diào)用序列； 隱馬爾科夫模型

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2014）04-0013-04

Abstract：System calls are the interface between operating system and user programs. Execution of each program must use some system calls. In recent years， network security incidents occur frequently， intrusion detection method based on the system call sequence analysis has become one of the hot network security technology researches. This paper presents a multi-layer model of program behaviours based on both hidden Markov models and enumerating methods， which differs from the conventional single layer approach. On experimental data provided by the University of New Mexico， experimental results have shown that the model is better in detecting anomalous behaviour of programs in terms of accuracy and response time， which indicates that this method is suitable for online host-based intrusion detection systems.

Key words：Intrusion Detection； System Call Sequence； Hidden Markov Model

0引言

計(jì)算機(jī)產(chǎn)業(yè)已經(jīng)滲透到金融、貿(mào)易、軍事、科技等諸多關(guān)鍵領(lǐng)域，無(wú)論是個(gè)人還是政府、或企業(yè)，都希望獲得一個(gè)安全的網(wǎng)絡(luò)環(huán)境，除了能夠及時(shí)發(fā)現(xiàn)潛在的入侵行為，還要能夠保證信息安全。而針對(duì)當(dāng)前主流操作系統(tǒng)的研究分析可知，無(wú)論要實(shí)施何種危害程度的攻擊行為，都需要通過(guò)用戶空間執(zhí)行系統(tǒng)調(diào)用而進(jìn)入內(nèi)核空間，以發(fā)起各種攻擊。因此作為用戶空間和內(nèi)核空間通信的接口，對(duì)系統(tǒng)調(diào)用的優(yōu)化實(shí)現(xiàn)即能夠保證系統(tǒng)的相對(duì)安全。對(duì)此可具體描述為，通過(guò)對(duì)進(jìn)程正常運(yùn)行時(shí)的執(zhí)行軌跡建模來(lái)刻畫進(jìn)程的正常運(yùn)行狀態(tài)， 從而建立了執(zhí)行軌跡的局部模式特征， 以此為基礎(chǔ)，與這些模式的偏離即認(rèn)為是潛在的入侵行為。

1996年，F(xiàn)orrest[1]等人就是由這種思想出發(fā)，提出了一種基于定長(zhǎng)系統(tǒng)調(diào)用子序列構(gòu)造的特征庫(kù)來(lái)區(qū)分UNIX系統(tǒng)的正常和異常行為的檢測(cè)技術(shù)。在此后的研究中，很多學(xué)者借鑒了這種思想，提出了大量的模型[2]和方法，包括隱馬爾科夫模型[3]、數(shù)據(jù)挖掘方法[4]、機(jī)器學(xué)習(xí)等。但由于訓(xùn)練數(shù)據(jù)少，導(dǎo)致正常行為模式庫(kù)中的短序列并不完整，因此傳統(tǒng)的短序列方法會(huì)有較高的誤報(bào)率。

本文的方法擴(kuò)展了枚舉序列的方法，將隱馬爾科夫模型引入到該方法中，構(gòu)建一個(gè)層次化的模型，有效克服了傳統(tǒng)方法低可靠性的弊端，同時(shí)也解決了數(shù)據(jù)庫(kù)不完整的問(wèn)題。該方法的基本過(guò)程是：首先建立正常行為模式庫(kù)，對(duì)于檢測(cè)序列，很容易發(fā)生基于短序列庫(kù)的不匹配行為，將不匹配序列輸入到隱馬爾科夫模型作進(jìn)一步的分析判定，再利用forward算法計(jì)算其概率P，并根據(jù)概率值P最終判定此序列的性質(zhì)。

1入侵檢測(cè)的層次化模型

1.1枚舉序列法概述

枚舉序列法的主要思想是記錄每個(gè)正常行為的系統(tǒng)調(diào)用運(yùn)行序列，采用一定的算法建立正常行為模式庫(kù)，再與未知行為的系統(tǒng)調(diào)用序列進(jìn)行比較來(lái)判別入侵，而且把區(qū)域內(nèi)不匹配數(shù)作為異常行為的一種度量。

假設(shè)局部區(qū)域的大小選為L(zhǎng)，則將長(zhǎng)度為K 的窗口通過(guò)待檢測(cè)序列，一次滑動(dòng)一個(gè)系統(tǒng)調(diào)用，并將得到的序列與正常行為模式庫(kù)中的序列作以比較，再記錄發(fā)生了多少次不匹配，同時(shí)將不匹配數(shù)M與閾值ρ（1≤ρ≤L）進(jìn)行比較，若 M>ρ，則認(rèn)為有異常行為發(fā)生。建立這樣的正常行為模式庫(kù)只需要遍歷一次序列，而且為了節(jié)省存儲(chǔ)空間、以及提高匹配效率，可將序列進(jìn)行樹(shù)狀存儲(chǔ)。

此方法簡(jiǎn)單易行，但主要的缺點(diǎn)是不能從過(guò)去觀察到的行為中歸納出當(dāng)前的情況。因此，若正常的程序行為未被充分捕獲到，系統(tǒng)會(huì)將未見(jiàn)過(guò)的行為當(dāng)作異常，這就使誤報(bào)率相應(yīng)地增大。

1.2隱馬爾科夫模型

參考文獻(xiàn)：

[1]FORREST S， HOFMEYR S A， SOMAYAJI A， et Al. A sense of self for unix processes[J]. Proceedings of the 1996 IEEE symposium on research in security and privacy， 1996：120–128.

[2]WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusion using system call： alternative data models[A].1999 IEEE Symposium on Security and Privacy. Oakland.USA，1999.

[3]QIAO Y ， XIN X W ， BIN Y， et al. Anomaly intrusion detection method based on HMM[J]. Electronics Letters， 2002 ， 38 （13） ： 663-664.

[4]LEE W， STOLFO S. Data mining approaches for intrusion detection[C]// Proceedings of the 7th USENIX Securiposium. Usenix Association，1998.

[5]RABINER L R. A tutorial on hidden Markov model and selected applications in speech recognition[C]//Proceedings of IEEE，1989，77（2）.

[6]新墨西哥大學(xué)數(shù)據(jù)集.http：//www.cs.unm.edu/～immsec/systemcalls.htm.