基于模式識別的信息系統入侵攻擊在線發現技術研究

趙海濤 宋 倩

(海軍駐南京地區航天機電系統軍事代表室 南京 210006)

基于模式識別的信息系統入侵攻擊在線發現技術研究

趙海濤 宋 倩

(海軍駐南京地區航天機電系統軍事代表室 南京 210006)

在信息系統安全防護領域的研究中,人們一直致力于研究如何挖掘并修復信息系統自身的安全漏洞。面對多變的安全入侵方式,只能根據先驗經驗進行甄別和防護,缺少智能識別和防護的手段。論文提出了一種基于模式識別的信息系統入侵攻擊在線發現與自適應規避技術,通過自學習的方式豐富攻擊模式庫,并根據攻擊模式庫自動甄別入侵行為,進而啟用相應的規避策略,保護信息系統的安全。

模式識別; 入侵攻擊; 自適應規避高速高機動; 路徑跳轉; 判決函數

Class Number O235

1 信息系統安全防護發展現狀

隨著信息技術的發展和信息系統的廣泛應用,企業生產、試驗、管理等方式均向數字化、集成化、網絡化、智能化的方向轉變,然而電子信息系統在帶給人們便利的同時也帶來了安全隱患[5～6]。例如：在一些高安全領域,系統受到外部攻擊或者內部信息泄漏將造成嚴重的后果；普通領域中的關鍵設備遭到攻擊或敏感信息泄漏同樣會造成不同程度的經濟或政治影響。目前,大多數企業的信息系統建設大都遵循著相關標準構建一定級別的安全防護措施(防火墻、殺毒軟件等),但是均屬于被動防護措施,基于先驗經驗判斷當前操作是否為攻擊行為,當新的攻擊方式出現時,不能進行在線判斷,并給出相應的規避措施[1～2,6～8]。

模式識別技術的一般技術架構包括構建模式空間、針對模式空間構建特征空間、根據判決準則形成類別空間三部分。一般情況下,模式空間中包含已知的各種攻擊模式,按照傳統理論,首先由人類對現有攻擊模式進行總結、分析和歸納,構造盡可能全面的攻擊模式空間,對所有攻擊模式進行特征提取,根據經驗確定判決準則。然后把人類大腦加工的成果教給機器,讓機器根據已有的攻擊模式的特征對未知模式進行判別,甄別一般使用和安全攻擊。這種方式即為離線方式,應用過程中受制于人類的經驗,應用效果較差[3～5]。

針對上述問題,本文提出了一種基于模式識別的信息系統入侵攻擊在線發現與自適應規避技術。根據信息系統自身的特點,提取路徑跳轉的運行規則模型,以運行規則模型為基礎,研究入侵攻擊的在線發現技術,使得檢測機制無需事前獲得大量的先驗信息；通過自學習的方式不斷擴充攻擊模式空間庫,當安全漏洞被攻擊時,不依賴于已存在的模式空間,可以及時給出告警提示,為信息系統提供持續且不斷增強的安全防護能力。

2 基于模式識別的信息系統入侵攻擊在線發現與自適應規避模型

模式識別(pattern recognition),也可譯作模式辨認、圖像識別、圖形識別,是近30年來得到迅速發展的一門新興邊緣學科。按照廣義的定義,模式是一些供模仿用的、完美無缺的標本。模式識別就是識別出特定客體所模仿的標本。模式識別的目標包括對于系統的描述、理解與綜合。模式識別的高級階段是通過大量信息對復雜過程進行學習、判斷和尋找規律,從這個意義上說,模式識別與“學習”或“概念形成”的意義是相近的。模式識別的一般過程如下圖所示[4]。

圖1 模式識別的一般過程

本文將模式識別過程引入到信息系統入侵攻擊在線發現過程中,構建出基于模式識別的信息系統入侵攻擊在線發現與自適應規避模型,具體見圖2所示。不同于基于先驗經驗構造的入侵攻擊檢測,本文提出的基于自學習的在線入侵攻擊檢測機制。首先對信息系統的外部輸入數據和行為進行模式采集,形成模式空間；對模式空間中的各元素進行綜合分析,獲取能揭示樣本屬性的觀測量作為主要特征,構造特征空間；根據統計方法設計分類器,把被識別對象歸為某一類,給出識別結果；若識別結果為安全攻擊,則根據映射規則,啟動安全攻擊預警并啟動相應的規避策略。然后比對此次攻擊行為的攻擊模式與現有的模式空間庫,若此次攻擊模式不屬于已有的模式空間,則針對該攻擊行為提取新的特征值,豐富特征空間、模式空間和規避規則庫[9～11]。

圖2 基于模式識別的入侵攻擊在線檢測及自適應規避模型

由圖2可知,該模型可分為入侵攻擊在線監測和入侵攻擊自適應規避兩部分,入侵攻擊在線監測部分主要根據模式識別的理論框架,分別對模式空間構建技術、特征空間構建技術和類型空間劃分的判決準則進行研究。大體的研究思路如下：首先把程序跳轉流程進行形式化描述,存入到攻擊模式空間庫；特征空間庫中存儲的是節點間的跳轉概率；跳轉概率取多大作為判斷行為為入侵行為的標準值叫做決策面,這個值一般關系到漏洞檢測的漏報率和準確性；將取決策面的過程轉化成數學模型中求函數極值的問題,將在2.3節進行詳細介紹。

2.1 基于路徑跳轉的模式空間構建技術

在研究用機器進行模式識別的理論與技術中,模式是根據事物的一組主要的有意義的特征或屬性,對事物的一種定量的或結構的描述,是以數量信息為特征的一種描述方法。用這種方法描述時,首先要選擇事物的n個有意義的數量特征,通常用小寫字母x1,x2,…,xn表示,然后把這n個特征表示為列向量形式,用大寫字母X表示。具體為

X也可以表示成

上標T表示轉置。X稱為特征向量,又稱為模式。一個模式向量可以表示為n維歐式空間中的一個點,稱為點模式。同一類模式比較相似,在歐式空間中,它們一般相距較近,相互聚集在一起,不同類的模式差異較大,在歐式空間中相互相距較遠。

本文以信息系統的路徑跳轉為基礎,提取信息系統正常運轉過程中的跳轉路徑,進行模式采集,構建模式空間。基于路徑跳轉的模式空間構建過程如下：

2) 基于自頂向下的方式分析信息系統的組織結構,生成信息系統的實體模塊組成集合C和邏輯調用關系集合R；

3) 完成信息系統正常運行模式集合到實體模塊組成集合C以及邏輯調用關系集合R的映射,并根據映射結果構建基于路徑跳轉的模式空間。

入侵檢測機制初始化后,模式空間中包含的是根據先驗經驗構造的入侵攻擊模式。首先提取系統的運行流程圖,根據系統的業務功能,分析各節點間的跳轉概率；接著,啟動系統,根據系統運行過程中,節點的跳轉概率判定此次執行是一般操作模式還是攻擊模式,并記錄此次操作的完整路徑；若判定結果為攻擊模式,則將此次操作的路徑添加到模式空間；然后根據路徑信息提取特征和判決準則,添加到特征空間庫,過程如下圖所示。

圖3 基于路徑跳轉驅動的模式空間構建技術示意圖

2.2 特征空間構建算法研究

特征空間分為兩部分：跳轉關系特征和攻擊行為特征。跳轉關系特征通過分析系統的運行流程圖獲得；攻擊行為特征一部分通過經驗獲得,另一部分由在線學習過程得到的攻擊行為路徑獲得。通過對跳轉關系進行形式化描述,獲取跳轉關系模型,構建能夠計算特征值的數據模型,從而構建跳轉關系特征空間；攻擊行為特征一部分通過經驗獲得,另一部分由自學習過程獲取,對于自學習過程中獲取的攻擊行為,首先獲取該攻擊行為的行為路徑和數據輸入,分別提取其跳轉關系特征和攻擊行為特征,并對新特征進行形式化描述添加到特征空間中。

通過提取系統的跳轉流程,構建運行規則模型,建立跳轉行為的概率模型,通過對概率模型進行數學運算,基于跳轉關系,生成的攻擊模式；當攻擊模式不屬于攻擊模式空間中任何一種類型時,分析該攻擊行為的路徑和數據,通過數學運算生成新的攻擊模式,添加到攻擊模式空間庫。特征空間的構建算法如下圖所示。

圖4 特征空間構建算法示意圖

2.3 判決準則生成技術研究

在判決過程中,判決結果的精確度和漏報率作為判決結果的重要指標,始終呈矛盾狀態出現。業界通常的做法是選擇一個折中的閾值,讓判決結果的精確度和漏報率均落在可接受的區間內。判決準則的生成技術往往被轉化稱數學模型中求極值的問題,步驟如下：

第一步：應針對不同的實際情況,提出設計要求,設計判別函數,使得判別函數能更好地滿足這些要求Q{q1,q2,…,qn}；

第二步：利用樣本集估計判別函數中的未知參數,滿足設計要求中“盡可能好”的要求；

第三步：求解判別函數取最優值,利用最優化技術解決模式識別問題。

根據本文要解決的問題可知模式空間有兩類：攻擊行為模式和非攻擊行為模式,由ω1,ω2表示,因此可用線性判別函數把兩類模式分割出來。令

g(X)=ω1x1+ω2x2+ω3=0

其中ω是參數,x1,x2是特征變量,屬于ω1類的任一模式X代入g(X)后將得到正的數值,屬于ω2類的任一模式代入g(X)后將得到負的數值,因此g(X)可作為一個判別函數。若給定一個位置的模式X,當g(X)>0時,X屬于ω1類；當g(X)<0時,X屬于ω2類；當g(X)=0時,X處于分割邊界上,即處于不確定狀態,此時需對特征變量的元素取值進行分析,如果取值為正的元素個數多余取值為負的元素個數,則規定X屬于ω1類,反之,則規定X屬于ω2類。

2.4 入侵攻擊自適應規避技術

簡單來講是,通過比較用戶行為和攻擊模式庫,對匹配上的攻擊行為,啟動已經存在的規避策略,若用戶行為繞過了攻擊模式庫,但是被程序跳轉識別機制識別為入侵攻擊,此時規避規則庫中是沒有對應的規避策略的,解決方案就是按照相關度進行檢索,尋找最大相關度的規避策略,若相關度都很小,則強制啟動系統功能降級運行。

圖5 自適應規避機制實現機制

信息系統入侵攻擊在線自適應規避技術的核心是研究自適應規避技術的實現機制。基本實現流程是,當系統檢測到入侵攻擊時,自動啟動對應規避策略,保護系統免遭破壞。但存在下述問題：如何將攻擊模式對規避規則庫中的規避策略對應起來；如果攻擊模式是系統通過自學習獲取的,則規避規則庫中可能沒有對應的規避規則,這種情況該如何處理。針對上述問題,采用相關性匹配的方式為新的攻擊模式尋找規避策略,當相關性小于可接受域時,采取強制系統降功能運行的方式規避攻擊,并給出攻擊告警提示。自適應規避技術的實現機制如圖5所示。

3 實驗與分析

采用本文提出的技術模型構建信息系統的防御體系仿真模型,進行安全漏洞的在線發現與自適應規避效果驗證,在漏洞發現時間、空間占用率、誤報率、正確率等方面與傳統的離線檢測技術進行對比。

選用100種典型漏洞攻擊進行實驗分析,并對各項指標求取平均值,漏洞發現時間以秒為單位,空間占用率以CPU占用率進行衡量,誤報率=誤報次數/100,漏報率=漏報次數/100。結果如下表所示。

表1 實驗分析結果

分析實驗數據可知,與傳統的漏洞檢測技術相比,基于模式識別的漏洞檢測技術的漏報率明顯減少,但也不可避免地帶來的誤報率增大的問題。

4 結語

本文提出的基于模式識別的信息系統安全漏洞在線發現與自適應規避技術,給出了完整的技術框架和詳細的技術實現。與現有的離線式安全漏洞發現與規避技術相比,本文提出的策略更智能、更靈活,能在信息系統使用過程中更早地發現系統的異常輸入,并采取相應的規避措施。通過仿真實驗,基于模式識別的信息系統安全漏洞在線發現與自適應規避技術能在更大程度上保證信息系統免遭攻擊和破壞,具有良好的應用前景,如何在減小漏報率的前提下降低誤報率是本文今后研究和改進的方向。

[1] 郎良,張玉清,錢秀檳,等.漏洞檢測與自動防御系統模型的研究與實現[C]//中國計算機大會論文集,北京：清華大學出版社,2003:324-330.

[2] 張憲.基于復雜網絡的聯合作戰指揮網絡拓撲結構研究[J].指揮控制與仿真,2014,5:1-2.

[3] 西奧多里蒂斯.國外計算機科學教材系列:模式識別[M].第2版.北京:電子工業出版社,2004:1-29.

[4] 邊肇琪,張學工.模式識別[M].第2版.北京：清華大學出版社,2007:31-67.

[5] 余精彩.網路漏洞掃描系統的必要性[J].2004,9:62-64.

[6] 殷虎.潛艇信息系統信息安全與縱深防護策略研究[J].指揮控制與仿真,2016,2:31-34.

[7] 唐正軍.網絡入侵檢測系統的設計與實現[M].北京：電子工業出版社,2002:1-3.

[8] 劉蕊.指揮信息系統安全防護系統視圖研究[J].指揮控制與仿真,2014,5:7-10.

[9] 盛立東.模式識別導論[M].北京:北京郵電大學出版社,2010:18-55.

[10] 洪文學等.基于多元統計圖表示原理的信息融合和信息融合和模式識別技術[M].北京:國防工業出版社,2008:14-90.

[11] 楊綸標,高英儀.模糊數學原理及應用[M].廣州:華南理工大學出版社,2008:31-51.

Intrusion Attack online Discovery Technology of Information System Based on Pattern Identification

ZHAO Haitao SONG Qian

(Navy Representative Office of Aerospace Mechanical and Eletrical System in Nanjing, Nanjing 210006)

In the research of information system security protection, excavating and repairing the security vulnerabilities of information system have always been the focus of attention. In the face of a variety of security intrusion, only priori experience of screening and protection can be supported and lack of intelligent means of identification and protection. In this paper, a new method based on pattern recognition is proposed. Following this method, the external input behavior of system is matched with the pattern feature which is extracted from the attack pattern. If they are matched, a corresponding strategy is going to be automatically enabled to protect the security of information system,at the same time. The attack pattern library is able to continuously enrich through self-learning.

pattern identification, intrusion attack, adaptive avoidance, path jump, decision function

2016年7月9日,

2016年8月26日

趙海濤,男,碩士,工程師,研究方向:武器系統與應用工程。宋倩,女,碩士,工程師,研究方向:計算機應用技術。

O235

10.3969/j.issn.1672-9730.2017.01.022