網絡注入式攻擊檢測方案的研究與改進*

劉 芬 余 錚 廖榮濤 徐 煥 代蕩蕩

（國網湖北省電力有限公司信息通信公司 武漢 430077）

1 引言

目前在系統運維領域，針對代碼級的信息系統監控技術得到了前所未有的重視，企業對于信息系統業務性能方面的監控需求也日益提高，維持信息系統的正常運轉與保護企業數據安全已經成為了企業生存與發展的必要條件。要實現高水平的業務性能管理，首先需要對對網絡中的各種異常信息與進行及時采集與分析，并通過高效的檢測方法快速識別，給系統運維管理提供可靠的依據，因此，網絡異常信息識別方法的優劣，直接決定了企業業務性能管理工作的質量。另一方面，隨著網絡站點和各種信息系統的推廣使用，各種非法操作和網絡攻擊行為也層出不窮，雖然相關的數據安全與性能監控系統不斷改進，但網絡攻擊的種類與規模仍然不斷上升，給網絡管理和系統運維工作造成了嚴重的干擾。在所有的網絡攻擊行為中，注入式攻擊由于其自身的隱蔽性和易操作性，已經成為了使用頻率最高的攻擊方法之一［1］。該類攻擊行為最大的特點就是從正常的WWW端口對站點發起訪問，表面上與正常用戶訪問并使用站點功能的行為無異，從而能夠欺騙大多數防火墻的監控，使其不會對此類操作發出報警，唯有當系統管理員主動查看Web日志時，才能夠發現明顯的異常痕跡，因此該類攻擊往往會延續較長時間才被察覺，給企業的整體業務性能造成了嚴重的影響，同時也對企業的核心數據資源構成了嚴重的威脅，進而造成重大的經濟損失［2］。

KNN算法在文本分類領域內得到了廣泛的認可，顯著提高了針對類型多樣化的數據進行分類的準確性與可靠性，有不少研究者將該算法進行改進后，應用在網絡異常與攻擊檢測領域，如張著英等人提出建立低維的特征向量空間以節約算法初期的計算規模，提高運算速度［3］；胡元等人提出采用區域劃分的方式提高樣本群的搜索效率［4］；Auld等人提出在算法執行前應對樣本群進行規范化處理，以減少算法的計算量等［5］。但多數方法并不能很好地針對網絡注入式攻擊特征進行優化，在準確性和實時性方面均有欠缺。本文提出了針對KNN算法的初始化樣本群，構造球型樣本空間，形成樣本子集聚類，削減初期樣本群規模，增強算法計算性能的優化方法，并在結合Web日志提供的信息特征的基礎上，將其應用在Web注入式攻擊行為的檢測工作中，取得了較好的結果。

2 KNN算法的原理及改進

2.1 傳統KNN算法原理

KNN算法即K-最鄰近分類算法，是一種基于類比學習的智能型檢索分類算法，目前在模式分類識別領域內得到了廣泛的認可，顯著提高了針對類型多樣化的數據進行分類的準確性與可靠性。該算法的基本流程是：1）首先構建用于對比分析的樣本集合，隨后將待檢測的文本與該集合中的所有文本進行對比，確定與其相似度最高的k篇文本，將其定義為最鄰近樣本；2）檢索選定的k篇所屬類別，若同屬一類，則將其定義為待測文本的類別；3）若k篇文本存在多種類別，則采取權重法對類別進行排序，而權重的選定則可根據檢測需求靈活設置；4）判別分類排序居首位的文本權重是否超過了設定的閾值，只有當超過閾值時，該類別才可作為待測文本的類別［6～7］。其中待測樣本d(x1，x2，…xn)與訓練樣本di(y1，y2，…yn)相似度采用式（1）進行計算：

而目標樣本與某種分類cj的權重值則為

其中y(di，cj)為算法類別屬性函數，用以判斷di是否歸屬與cj，其結果分別為1和0。

算法最終的分類需采用分類函數來完成，如式（3）：

由此可以看出，KNN算法本身復雜度并不高，因此當訓練樣本群體規模有限時，該算法體現了良好的高效性和準確性。但隨著樣本群體的不斷擴大，該算法在初期時采用的逐一類比方法極大地影響了計算速度，且存在較為嚴重的計算資源浪費情況，并不適合針對Web注入式攻擊行為的檢查需求［8］。

2.2 KNN算法的改進

KNN算法的特點決定了待檢測樣本的最近鄰基本位于該樣本在空間中的某一區域范圍之內，其余分布較遠的樣本對于算法結果的影響可以忽略不計，按照這一思路，可對算法初期的樣本群體進行科學的裁剪，僅保留對分類結果起到重要影響的區域內的樣本，從而有效減少了算法的計算規模，提高了執行效率。因此，本次改進工作的關鍵內容就是設計最優化的裁剪方法，確保剩余樣本群體的合理性。

首先，根據訓練樣本的類別，設置多種樣本子集，從而在樣本空間上形成多個聚類，其中任一聚類都呈現出以某個樣本為中心，其余樣本圍繞該中心并聚集在其周圍的分布狀態，每個樣本子集是一個聚類。對于一個聚類，它的所有樣本都圍繞著一個類中心分布，可以根據類中心和測試樣本的位置參數，設置合理的裁剪區域半徑及坐標。其具體的裁剪規則設計如下：

為每一個分類指定分類中心樣本，如第j類樣本中心描述為Oj={oj1，oj2，…ojn}，則有：

其中Nj為該類樣本群體規模，ymi是該群體中第m個樣本的第i個屬性值。根據多個中心點形成多個聚類，并利用式（1）計算訓練樣本到每個聚類中心的距離r，比較得出最短距離rmin；將測試樣本點d(x1，x2，…xn)作為球心，rmin為半徑構造球形的外接正方體區域；檢索每個訓練樣本di(y1，y2，…yn)，保留在此區域內的樣本應當滿足式（5）：

若樣本不能歸屬與任何一個聚類，則該樣本被去除。如圖1所示。

圖1 基于球狀區域的樣本群體裁剪

圖1 中A為待測樣本，預先設定四個分類，其中心分別為O(X1)至O(X4)，根據距離公式的計算，顯然可知樣本A與O(X3)的距離最近，以兩點間距為rmin，構造球狀區域和外接立方體，檢索訓練樣本群中的每一個樣本，滿足式（5）的樣本均被保留，從而構造了新的更小規模的樣本群。在后續的算法執行過程中，只需對新群體中的樣本進行檢索和分析，找出其中最近鄰中權重最大的類別，最終實現對樣本A的分類工作。

3 基于改進KNN算法的檢測模型

3.1 檢測模型結構設計

將改進后的KNN算法應用于注入式網絡攻擊檢測領域，將Web頁面的訪問請求定義為一份文本中的字，而針對某一頁面的所有GET訪問請求則被統一定義為一份文本，從而構建出原始待檢測樣本群，隨后采用上節中所述的改進方法對該樣本群進行裁剪，得到改進KNN算法的初始化樣本群。

圖1給出了檢測模型的基本框架結構，可以看出檢測工作的首個環節就是從IIS日志提取待檢測Web頁面的調用序列，分析其中的參數特征，并將該頁面轉化為調用文本的形式，該文本中存放了所有GET訪問記錄，從其中提取注入式攻擊行為的特征信息，即可將其與構建的樣本群中的文本進行對比分析，通過改進KNN算法得到最終的分類判斷，即該頁面中是否存在可被注入式攻擊的漏洞特征，以及發生的訪問記錄中是否存在符合攻擊行為特征的操作［9］。

圖2 檢測模型結構圖

3.2 注入式攻擊行為的特征提取

注入式攻擊行為的對象一般均為內嵌JSP或ASP代碼的動態網頁，在該類型網頁中存放了N個不同數據類型的參數，當此類網頁對數據庫發起訪問申請時，就存在注入式攻擊的可能性。為了對該類型攻擊的特征進行提取和分析，就必須研究其攻擊行為伴生的信息特點。從攻擊方式來看，注入式攻擊主要針對以GET方式提交參數的動態頁面執行其侵入行為，遵循這一特征，可對GET操作的相關記錄進行檢索和分析，從而判別和掌握注入式攻擊的具體信息［10］。眾所周知，IIS的Web訪問日志負責對所有的來訪行為進行記錄，而其中cs-uri-query字段記錄了客戶端使用GET方式提交的請求參數，因此，注入式攻擊語句隱藏在參數中進行提交時，同樣會被記錄在訪問日志中，通過分析cs-uri-query字段的信息特征，就能夠大大提高對該類攻擊行為的檢測效率，同時也可對存在此類漏洞頁面的站點進行有效的預警。根據文獻［11］的統計，注入式攻擊的常用函數及關鍵字如表1所示。

表1 注入式攻擊特征信息提取表

3.3 頁面調用文本的數字形式轉化

為了采用改進KNN算法對頁面信息進行分析，必須將其轉化為由若干個特征信息組成的文本形式，本文采用成熟的向量空間模型（Vector Space Model，VSM）來完成這一工作，得到的空間形式為（t1，t2，…，tk），即為注入式攻擊行為的信息特征，參照上文所述算法，采用權重法完成排序環節，因此需要計算這些信息特征在Web頁面（d1，d2，…，dj）中調用文檔的權重值。以某一Web頁面為例，將其轉變為以上形式后為wj(w1j，w2j，…，wkj，…w||Tj)；式中的 ||T 表示特征向量的維數。而wkj即為權重值，其計算公式為

上式中的Fkj為tk出現的次數，DFk則表示樣本集中與該特征信息相符合的所有樣本的個數。考慮到文本長度可能存在較大差異，因此將上式做如下規范化轉變，得到：

而當選定樣本中出現多種分類時，其每種分類的權值計算方法如下式：

式（8）中的u為待測頁面中的特征向量，dj則為樣本群中選取的k個樣本之一，y(dj，ci)表示dj在類別ci中的權重值，bi為測試算法預定的閾值，當選定樣本類別的權重值超過該閾值時，方可表示該分類結果有效。

3.4 檢測算法設計

Step1選定待檢測Web頁面，將其頁面文檔定義為待測樣本A；

Step2從各種頁面文檔中調取所有注入式攻擊行為所擁有的特征信息，并將其進行數字形式轉化，形成原始訓練樣本群D(d1，d2，…dn)；

Step3針對樣本群D，采取前文提出的裁剪優化算法，合理削減其規模，得到初始樣本群S(s1，s2，…sk)；

Step4針對樣本群S中的每一個樣本，計算其與A的相似度sim（A，sj），若該值為1，則判別X存在攻擊行為，輸出檢測結果，否則執行step5；

Step5根據sim（A，sj），按照相似度對樣本集進行排序，并選取前k個Web頁面調用文檔，對這些樣本分別計算其類別權重值；

Step6若權重值超過了預設的閾值，則判別此文檔存在注入式攻擊，否則判斷此文檔處于安全狀態，轉向下一個待測樣本，從Step1開始往復執行，直至所有待測樣本均檢測完畢。

4 實驗結果分析

對本文提出的檢測算法進行仿真驗證，實驗分為縱向對比分析與橫向對比分析兩個環節，首先針對KNN算法的改進方案進行縱向對比驗證，即將其與傳統的KNN算法進行比較，論證改進后的KNN算法在分類性能上的提升效果。仿真模擬程序采用C#編程實現，運行環境為Windows Server 2012，將網頁操作行為分為正常類與攻擊類兩種類型，每個類別按照平均分布原則隨機選擇750個樣本點，即總樣本群規模為1500，兩種類別各自取500樣本作為訓練樣本，250樣本作為待測樣本，分別對兩種算法在計算耗時和分類準確率兩個方面進行對比分析，結果如表2所示。

從表2中可以看出，在分類準確度方面，改進KNN算法略微領先于傳統KNN算法，在K值達到100時，前者的準確度超過后者2.2%，但從該指標變化趨勢分析，隨著K值繼續增大，兩者之間的差異將進一步減少，并最終持平；而在計算耗時方面，改進KNN算法則體現出了顯著的優勢，耗時差平均達到了6.115ms，說明改進后的KNN算法在計算效率上有了明顯的提升，改進效果得到了論證。

表2 縱向對比實驗結果統計

隨后執行橫向對比分析實驗，除本文設計算法之外，另選擇目前常用的三種檢測方法即馬爾科夫檢測法、K-means聚類法和貝葉斯網絡檢測法同時參與實驗，檢測對象假定為某中等規模的企業Web站點，模擬該站點共有65個含有參數的頁面，預設其中的16個頁面中存在注入式攻擊漏洞。在仿真實驗開始后，24h內共組織了注入式攻擊4200次，其檢測結果匯總信息如表3所示。

由表3可知，改進KNN算法相對于其他檢測算法具有明顯的優勢，站點中的16個漏洞頁面均全部檢出，無漏檢的情況，僅存在一處誤檢，準確率達到了93.75%，明顯超過了其他檢測方法；此外，由于注入式攻擊頁面的特征信息相對較少，因此不需要對特征向量進行降維處理，這進一步提高了改進KNN算法在該領域內的檢測質量，使其具備了良好的實際應用價值。

5 結語

本文針對KNN算法在網絡攻擊行為檢測領域的應用與改進展開研究，提出了構造球狀區域樣本空間以合理削減樣本群規模，從而提高KNN算法的計算效率這一優化方案，并圍繞Web站點注入式攻擊行為的特點進行分析，通過提取該類攻擊的特征信息，構建了攻擊行為的檢測模型，在此基礎上設計和完善了相關的檢測算法。在仿真實驗階段，通過與傳統的KNN算法的縱向對比分析，以及與其余三種檢測方法的橫向對比分析，論證了本方案的有效性與可靠性。