面向異構(gòu)化平臺的輕量級程序異常檢測方法

馬海龍 尹梓諾 胡 濤

(中國人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 鄭州 450001)

1 引言

隨著計算機(jī)科學(xué)和互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，各種各樣的計算機(jī)程序呈現(xiàn)爆炸式增長。但與此同時，主機(jī)等信息系統(tǒng)也面臨大量惡意程序的威脅，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中指出2019年全年捕獲計算機(jī)惡意程序樣本數(shù)量超過6200萬個，仍有大量主機(jī)遭受惡意程序控制從而引發(fā)信息泄漏等一系列安全危害。一些惡意攻擊者通過借助主機(jī)中的一些漏洞來編寫惡意程序進(jìn)行攻擊，使得用戶主機(jī)崩潰或被黑客控制，造成較大的安全問題[1]。

近年來，有多種方法被提出，以檢測帶有惡意企圖的程序。這些技術(shù)可以分為兩大類：靜態(tài)分析和動態(tài)分析[2]。靜態(tài)分析(基于簽名的檢測)提取代碼本身的特征并搜索惡意標(biāo)志，如shell代碼或與已知惡意程序樣本相似的特征進(jìn)行異常識別[3]。Ma等人[4]提出一種組合靜態(tài)行為的程序異常分析方法，使用3種靜態(tài)特征，運(yùn)用C4.5，長短期記憶網(wǎng)絡(luò)(Long Short-Term Memory, LSTM)以及深度神經(jīng)網(wǎng)絡(luò)(Deep Neural Networks, DNN)3種模型進(jìn)行訓(xùn)練，結(jié)合投票法進(jìn)行異常樣本檢測。靜態(tài)分析雖應(yīng)用廣泛，但存在一定缺陷：部分攻擊者對程序模糊處理使惡意程序難以被檢測出來，導(dǎo)致靜態(tài)分析技術(shù)檢測效率大大下降，因此僅依賴靜態(tài)技術(shù)無法識別異常程序。動態(tài)分析監(jiān)控程序執(zhí)行過程中產(chǎn)生的行為，判斷是否存在惡意行為[5]。張若楠等人[6]提出一種融合改進(jìn)的K-means和K近鄰 (K-Nearest Neighbor, KNN)的攻擊程序檢測方法(I2K)來改善檢測的準(zhǔn)確率和速度，但K-means和KNN算法都對數(shù)據(jù)噪聲較為敏感；汪潔等人[7]提出基于子圖相似性的惡意程序檢測方法來減少惡意程序檢測的時間開銷；陳志峰等人[8]提出一種基于聚類分析的內(nèi)核惡意程序檢測方法來提高惡意軟件檢測效率。Yoo等人[9]提出一種基于機(jī)器學(xué)習(xí)的混合決策模型，該模型結(jié)合隨機(jī)森林和深度學(xué)習(xí)模型，可以對惡意程序?qū)崿F(xiàn)高檢測率和低誤報率。但是這類結(jié)合機(jī)器學(xué)習(xí)的檢測方法需要進(jìn)行大量的預(yù)先訓(xùn)練和學(xué)習(xí)，且具有一定的誤報率。基于上述分析可以得出，已有的異常檢測方法面臨如下問題：需要預(yù)先對正常行為模式進(jìn)行大量學(xué)習(xí)，時間開銷較大；無法有效消除噪聲干擾，導(dǎo)致檢測準(zhǔn)確率低以及誤報率高。

針對現(xiàn)有研究中存在的問題，本文從異構(gòu)平臺對應(yīng)用程序的影響角度出發(fā)，研究基于平臺異構(gòu)性的程序異常檢測。由于異構(gòu)化平臺在指令集、字節(jié)序、內(nèi)存布局等方面的特異性、差異性，應(yīng)用程序在某個平臺出現(xiàn)的特定錯誤在其他異構(gòu)平臺中通常不會出現(xiàn)。研究表明，對攻擊者而言，跨平臺的漏洞利用比針對單個平臺的漏洞利用更難實(shí)現(xiàn)，并且在多個異構(gòu)平臺間發(fā)現(xiàn)相同漏洞的難度很高[10]。Garcia等人[11]分析了10種操作系統(tǒng)發(fā)布版在過去18年內(nèi)發(fā)現(xiàn)的漏洞數(shù)據(jù)，研究結(jié)果表明，不同操作系統(tǒng)出現(xiàn)公共漏洞的數(shù)量極少。異常程序通常只會作用于特定平臺、主機(jī)、系統(tǒng)等，當(dāng)它作為輸入同時運(yùn)行在由多個主機(jī)組成的異構(gòu)平臺環(huán)境時，只會令特定目標(biāo)主機(jī)出現(xiàn)惡意行為，而其他與之異構(gòu)的主機(jī)正常運(yùn)行不受影響。通過對比差異化運(yùn)行結(jié)果，可以快速檢測出異常程序并準(zhǔn)確定位作用域。

基于此，本文提出一種面向異構(gòu)化平臺的輕量級程序異常檢測方法，不同于已有靜態(tài)分析和動態(tài)分析檢測方案依靠異常樣本構(gòu)造啟發(fā)式算法，它利用平臺異構(gòu)性檢測異常程序，其核心思想是：將安全風(fēng)險未知的程序同時運(yùn)行在異構(gòu)化平臺上，如果某個平臺的行為特征與其他異構(gòu)平臺存在不一致或者較大差異性，則認(rèn)為該程序?qū)儆诋惓３绦颉１疚牡闹饕ぷ骺偨Y(jié)如下：

(1)以真實(shí)環(huán)境下異常程序(惡意PDF文檔)檢測為研究案例，實(shí)例化分析說明異構(gòu)化平臺對于異常程序檢測的有效性，在兩臺異構(gòu)主機(jī)上同時執(zhí)行待檢測PDF文檔，根據(jù)其執(zhí)行過程中產(chǎn)生的主機(jī)間系統(tǒng)行為差異判斷其是否異常。

(2)提出了一種面向異構(gòu)化平臺的程序異常檢測架構(gòu)，包含基于3個異構(gòu)平臺的數(shù)據(jù)收集模塊和異常檢測模塊。數(shù)據(jù)收集模塊實(shí)現(xiàn)各種程序在異構(gòu)平臺執(zhí)行時系統(tǒng)狀態(tài)信息的獲取。異常檢測模塊實(shí)現(xiàn)對收集的數(shù)據(jù)處理、分析和檢測。

(3)建立了基于異構(gòu)平臺差異性的異常檢測模型，設(shè)計了基于系統(tǒng)狀態(tài)多維特征差異性的異常檢測算法，采用標(biāo)簽編碼和Min-Max歸一化對系統(tǒng)狀態(tài)數(shù)據(jù)預(yù)處理，使用熵權(quán)法計算特征權(quán)重并引入異構(gòu)平臺系統(tǒng)狀態(tài)差異性計算中，應(yīng)用閾值規(guī)則有效判別異常。

(4)通過實(shí)驗(yàn)研究和分析對提出的方法進(jìn)行評估，綜合多種指標(biāo)評價其性能，并與典型無監(jiān)督K-means聚類算法進(jìn)行比較，驗(yàn)證本文所提出方法的有效性。

2 研究動機(jī)

目前基于異構(gòu)性檢測異常應(yīng)用程序進(jìn)展如下：?sterlund等人[12]針對Linux內(nèi)核漏洞導(dǎo)致信息泄露問題，提出內(nèi)核多變量執(zhí)行 (kernel Multi-Variant eXecution, kMVX)技術(shù)：在一臺機(jī)器上同時運(yùn)行多個不同的內(nèi)核，這些內(nèi)核在正常情況下表現(xiàn)出相同行為，但若攻擊者試圖利用此漏洞，內(nèi)核間可能會呈現(xiàn)不同行為，因此可檢測這一內(nèi)核信息泄露漏洞。Kirat等人[13]提出了一種基于裸機(jī)分析的逃避型惡意軟件檢測方法，其核心思想是在不考慮資源開銷的情況下，通過在不同的系統(tǒng)環(huán)境：包括裸機(jī)、與基于仿真和不同類型虛擬化惡意軟件分析平臺中執(zhí)行惡意軟件，獲取磁盤級和網(wǎng)絡(luò)級行為等，根據(jù)行為偏差來檢測某些對分析環(huán)境有一定識別能力的逃避型惡意軟件。

本文以Xu等人[14]提出的惡意PDF程序檢測為例，證明平臺異構(gòu)性可有效應(yīng)用于異常程序檢測中，其檢測架構(gòu)如圖1所示，同時收集PDF程序在兩個不同主機(jī)：Windows主機(jī)和Mac主機(jī)上執(zhí)行時的系統(tǒng)行為，如文件系統(tǒng)操作、網(wǎng)絡(luò)活動、啟動進(jìn)程、系統(tǒng)調(diào)用等，通過比較執(zhí)行時系統(tǒng)行為差異來判斷異常。

系統(tǒng)行為的對比，對于捕獲PDF程序執(zhí)行時觸發(fā)漏洞利用而產(chǎn)生的行為差異至關(guān)重要。如果一個正常PDF在某個主機(jī)上執(zhí)行時觸發(fā)某些操作(如引發(fā)用于表單提交的連接到遠(yuǎn)程主機(jī))，則在另一主機(jī)上執(zhí)行時會顯示相同的操作，兩個主機(jī)具有相同的系統(tǒng)行為特征。但如果遠(yuǎn)程連接等操作是惡意PDF執(zhí)行時觸發(fā)的，則可能在另一主機(jī)上由于系統(tǒng)調(diào)用語義等的差異而觸發(fā)失敗，此時兩主機(jī)具有不同系統(tǒng)行為特征。

圖1 惡意文檔檢測架構(gòu)

針對這種惡意PDF檢測方法的結(jié)果分析驗(yàn)證如表1所示，檢測結(jié)果按照通用漏洞披露 (Common Vulnerabilities & Exposures, CVE)編號分組，兩次崩潰表示執(zhí)行惡意PDF時兩個主機(jī)均崩潰。差異表示在兩臺主機(jī)上至少觀察到一種系統(tǒng)行為差異。

表1 檢測結(jié)果

根據(jù)表中檢測結(jié)果不難發(fā)現(xiàn)，大多數(shù)情況下，惡意PDF程序只能作用于特定平臺，可以依據(jù)不同主機(jī)的系統(tǒng)層行為差異進(jìn)行判別。

綜上分析，基于平臺異構(gòu)性可以實(shí)現(xiàn)一種系統(tǒng)層面的程序異常檢測。

3 系統(tǒng)架構(gòu)

基于研究動機(jī)案例分析，本文面向異構(gòu)化平臺實(shí)施異常程序檢測，系統(tǒng)架構(gòu)如圖2所示，主要由以下模塊組成：基于3個異構(gòu)平臺的狀態(tài)數(shù)據(jù)收集模塊和異常檢測模塊。

異構(gòu)平臺功能等價，但在指令集、內(nèi)核、操作系統(tǒng)及組件庫等層面的實(shí)現(xiàn)存在差異以構(gòu)建異構(gòu)性，例如指令集可為X86,X86-64,ARM32,ARM64等，操作系統(tǒng)可為Ubuntu,Debian,RedHat,CentOS等。輸入代理將程序輸入持續(xù)分發(fā)至各平臺執(zhí)行，狀態(tài)監(jiān)測代理分布在各異構(gòu)平臺上，同時收集和統(tǒng)計程序執(zhí)行過程中產(chǎn)生的系統(tǒng)狀態(tài)信息，這些狀態(tài)信息涵蓋CPU使用、磁盤讀寫、網(wǎng)絡(luò)使用、其他系統(tǒng)信息、當(dāng)前占用內(nèi)存資源最高的進(jìn)程、當(dāng)前占用i/o資源最高的進(jìn)程、當(dāng)前占用CPU資源最高的進(jìn)程、系統(tǒng)調(diào)用讀寫信息8個數(shù)據(jù)特征大類，如表2所示。根據(jù)攻擊規(guī)律和異常程序執(zhí)行時平臺行為表現(xiàn)選擇這些特征[15]。例如惡意程序等多表現(xiàn)為CPU使用、磁盤讀寫以及網(wǎng)絡(luò)使用中的1個或多個顯著變化，有些攻擊會新產(chǎn)生一些非法進(jìn)程，這些特征可為程序異常檢測提供良好的數(shù)據(jù)支撐。對這些數(shù)據(jù)特征大類進(jìn)行約簡和選擇，留下其中9維能夠較大程度表現(xiàn)內(nèi)部狀態(tài)變化的小特征，包括用戶空間程序CPU利用率usr、系統(tǒng)空間程序CPU利用率sys、磁盤讀帶寬read、磁盤寫帶寬write、網(wǎng)絡(luò)收包帶寬recv、網(wǎng)絡(luò)發(fā)包帶寬send、系統(tǒng)中斷次數(shù)int、占用i/o資源最高的進(jìn)程i/o process、占用CPU最高的進(jìn)程cpu process，構(gòu)成數(shù)據(jù)集，由各平臺狀態(tài)監(jiān)測代理發(fā)送給異常檢測模塊進(jìn)行異常檢測。

異常檢測模塊利用第4節(jié)設(shè)計的基于系統(tǒng)狀態(tài)多維特征差異性的異常檢測方法，對從3個異構(gòu)平臺收集的數(shù)據(jù)集進(jìn)行異常檢測和定位：利用特征工程構(gòu)建多維矢量，分別對其進(jìn)行量化和標(biāo)準(zhǔn)化以實(shí)現(xiàn)對數(shù)據(jù)的預(yù)處理。然后利用熵權(quán)法計算特征權(quán)重，綜合數(shù)據(jù)和權(quán)重計算數(shù)據(jù)集間差異度，應(yīng)用閾值規(guī)則進(jìn)行異常判別和作用域判定。

圖2 系統(tǒng)架構(gòu)

表2 數(shù)據(jù)集中的特征

相對于從單個平臺上收集已知樣本來生成區(qū)分正常和異常的規(guī)則與模式而言，本文所提出的檢測架構(gòu)，僅需比較異構(gòu)平臺間產(chǎn)生的狀態(tài)差異，綜合異構(gòu)平臺的多個特征進(jìn)行比對，可以更全面地考慮到系統(tǒng)變化的復(fù)雜性和難預(yù)知性，有效增加檢測準(zhǔn)確性和平穩(wěn)性，降低誤報率。

4 基于系統(tǒng)狀態(tài)多維特征差異性的異常檢測方法

基于系統(tǒng)狀態(tài)多維特征差異性的異常檢測方法處理流程如圖3所示。首先，對數(shù)據(jù)集進(jìn)行預(yù)處理，將系統(tǒng)狀態(tài)特征數(shù)據(jù)從高量級轉(zhuǎn)換至低量級，有效降低高量級的特征對檢測的干擾，提升檢測的準(zhǔn)確性。然后，計算異構(gòu)平臺系統(tǒng)狀態(tài)特征矢量間的加權(quán)差異度。最后，利用閾值規(guī)則衡量平臺間狀態(tài)特征的差異程度實(shí)現(xiàn)異常判別。

4.1 數(shù)據(jù)預(yù)處理

由于數(shù)據(jù)集包含諸如使用I/O最大的進(jìn)程，使用CPU最大的進(jìn)程名這類特征，其值(如：python3,vim,traceroute等)是非數(shù)字值。這些非數(shù)字屬性需要量化為數(shù)字屬性，以便于在后續(xù)階段進(jìn)行處理。本文采用標(biāo)簽編碼方法對進(jìn)程特征多種數(shù)據(jù)進(jìn)行數(shù)值化操作，對所有進(jìn)程屬性按序編碼。采用標(biāo)簽編碼的優(yōu)勢在于：對不連續(xù)進(jìn)程特征編碼，有效實(shí)現(xiàn)數(shù)據(jù)量化，解決了正常和異常分類過程中無法處理屬性數(shù)據(jù)的問題。

特征量化后，數(shù)據(jù)集僅包含數(shù)值。由于每種屬性的數(shù)據(jù)單位不一定相同，會影響差異度的計算結(jié)果，且數(shù)據(jù)量級之間的差異也會影響計算的準(zhǔn)確性。因此，需要將數(shù)據(jù)集中每個特征值歸一化到統(tǒng)一范圍區(qū)間[0, 1]中。使用式(1)實(shí)現(xiàn)數(shù)據(jù)的歸一化處理

表3 數(shù)據(jù)預(yù)處理算法(算法1)

4.2 基于差異性的異常檢測方法

異常檢測模型的目的是發(fā)現(xiàn)異常程序。當(dāng)異常程序執(zhí)行時，異構(gòu)平臺之間狀態(tài)特征存在差異。差異度是用來衡量數(shù)據(jù)樣本間差異程度的尺度[16,17]，可通過計算收集到的各平臺狀態(tài)特征樣本之間的距離進(jìn)行度量。

定義1 N×M的空間的樣本X和樣本Y的歐氏距離定義為

其中，X,Y為兩個N×M的樣本，xij為樣本X的第i個實(shí)例的第j個屬性，yij為樣本Y的第i個實(shí)例的第j個屬性，i=1,2,...,n,j=1,2,...,m。

利用系統(tǒng)狀態(tài)多維特征差異度來檢測平臺是否有異常程序執(zhí)行，其本質(zhì)表現(xiàn)在各種系統(tǒng)狀態(tài)特征屬性的變化上。異常程序執(zhí)行時，不同特征屬性的變化程度不同。如果為其分配相同權(quán)重，則會導(dǎo)致異常判斷不準(zhǔn)確。因此在差異度的計算中引入各屬性的權(quán)重來提高檢測靈敏度。

本文使用熵權(quán)法根據(jù)特征的變異程度來確定特征權(quán)重，對在異常檢測中表征性強(qiáng)的特征賦予較高權(quán)重。計算權(quán)重的過程如下：

(1)取出3個平臺歸一化后的所有數(shù)據(jù)。

其中，wj為第j類特征的權(quán)值。

應(yīng)用閾值規(guī)則進(jìn)行異常判別。如果某個平臺和其他兩個平臺的差異度均高于這兩個平臺間的差異度且差值超出預(yù)設(shè)的閾值范圍，則判斷這一平臺發(fā)生異常；如果差異度差值處于預(yù)設(shè)的閾值范圍內(nèi)，則認(rèn)為當(dāng)前狀態(tài)正常。例如：平臺1和平臺2之間的差異度為d1，平臺1和平臺3之間的差異度為d2，平臺2和平臺3之間的差異度為d3，如果d1>d3, d2>d3且d1-d3>ε, d2-d3>ε，則判斷平臺1異常。

基于系統(tǒng)狀態(tài)多維特征差異性的異常檢測方法如表4所示，行(1)～(2)用于特征權(quán)重計算，行(3)～(7)用于差異度及其差值計算，行(8)～(11)對異常判別和定位。

表4 基于系統(tǒng)狀態(tài)多維特征差異性的異常檢測方法(算法2)

5 實(shí)驗(yàn)分析

為了對所提程序異常檢測方法進(jìn)行性能測試與驗(yàn)證，搭建了實(shí)驗(yàn)環(huán)境并進(jìn)行系統(tǒng)狀態(tài)數(shù)據(jù)收集。實(shí)驗(yàn)環(huán)境中建立了3個具有不同版本操作系統(tǒng)、內(nèi)核和CPU類型的平臺，平臺1使用Redhat4.8.5操作系統(tǒng)和ARM64 處理器，平臺2使用Ubuntu7.2.0操作系統(tǒng)和X86處理器，平臺3使用Ubuntu18.04操作系統(tǒng)和X86-64處理器，同時這些平臺中安裝有常用軟件，具備正常的操作系統(tǒng)功能。實(shí)驗(yàn)過程中，在3個平臺上同時執(zhí)行各種待檢測程序，同時在3個平臺上利用狀態(tài)收集工具獲取當(dāng)前系統(tǒng)時間和系統(tǒng)狀態(tài)特征，將收集的信息按照適當(dāng)?shù)母袷酱鏋閿?shù)據(jù)文件以便后續(xù)處理。按照此數(shù)據(jù)采集方法，在3個平臺中同時且連續(xù)采集28800次系統(tǒng)數(shù)據(jù)。將dirtycow提權(quán)攻擊程序分時段同時在3個平臺執(zhí)行，將攻擊時段內(nèi)平臺的系統(tǒng)狀態(tài)定義為異常狀態(tài)，其他時段內(nèi)系統(tǒng)狀態(tài)定義為正常狀態(tài)來實(shí)現(xiàn)測試數(shù)據(jù)集的構(gòu)建。

5.1 性能評估

本節(jié)實(shí)驗(yàn)利用本文所提方法對收集的數(shù)據(jù)集進(jìn)行異常檢測來驗(yàn)證其檢測效果，并將精確率 (Precision)、召回率(Recall, TPR)、誤報率(False Positive Rate, FPR)、漏報率(Missing Alarm Rate, MAR)4種指標(biāo)作為驗(yàn)證本文所提面向異構(gòu)化平臺異常檢測方法性能的指標(biāo)，其計算公式如式(9)-式(12)所示。

式(9)-式(12)中各變量的含義解釋如下：

真正例(True Positive, TP)：預(yù)測異常且實(shí)際異常的樣本數(shù)；真負(fù)例(True Negative, TN)：預(yù)測正常且實(shí)際正常的樣本數(shù)；假正例(False Positive, FP)：預(yù)測異常但實(shí)際正常的樣本數(shù)；假負(fù)例(False Negative, FN)：預(yù)測正常但實(shí)際異常的樣本數(shù)。其中，正例表示異常數(shù)據(jù)，負(fù)例表示正常數(shù)據(jù)。

本文所提方法精確性和誤報率等方面的性能如圖4和圖5所示，圖4為5次實(shí)驗(yàn)情況下的檢測精確率和召回率，檢測精確率和召回率均大于95%，檢測平均精確率為98.79%，平均召回率為98.84%。圖5為5次實(shí)驗(yàn)的誤報率和漏報率，5次實(shí)驗(yàn)情況的誤報率都不超過10%，其平均值為5.75%，漏報率均不超過5%，其平均值為1.16%。在個別情況下，異常剛發(fā)生時，系統(tǒng)狀態(tài)特征變化不太明顯，此時平臺間的差異度差值沒有超出閾值，異常被判定為正常，因此召回率會有所下降，產(chǎn)生一定的漏報率，由式(10)和式(12)可知，召回率和漏報率成正比，召回率降低導(dǎo)致漏報率上升。由于平臺正常狀態(tài)下，狀態(tài)間的細(xì)微差異的積累可能影響平臺間的差異度計算，導(dǎo)致正常狀態(tài)被判定為異常程序運(yùn)行狀態(tài)，此時精確度會有輕微下降，誤報率會有輕微上升。圖4和圖5中實(shí)驗(yàn)結(jié)果綜合表明，本文的方法可以以較高的精確率和召回率及較低誤報率和漏報率檢測到異常。

5.2 與聚類方法進(jìn)行異常檢測的對比

圖4 檢測精確率和召回率

圖5 檢測的誤報率和漏報率

針對收集的數(shù)據(jù)集，使用基于距離的K-means聚類方法與本文所提出的方法進(jìn)行檢測性能對比實(shí)驗(yàn)。將檢測準(zhǔn)確率和誤報率作為本實(shí)驗(yàn)的評價標(biāo)準(zhǔn)[18,19]。K-means算法的思想是以k為參數(shù)，把n個樣本分成k個簇，使每個簇內(nèi)具有較小的距離，而不同簇間的距離較大。在本實(shí)驗(yàn)中使用K-means算法聚類檢測，對在3個異構(gòu)平臺收集到的所有測試數(shù)據(jù)集進(jìn)行檢測，檢測的平均準(zhǔn)確率為89.8%，而使用本文提出的檢測方法對同樣的樣本進(jìn)行檢測，檢測的平均準(zhǔn)確率為97.8%。

對數(shù)據(jù)集進(jìn)行10次隨機(jī)抽樣檢測，結(jié)果如圖6所示。使用3種方法對數(shù)據(jù)集進(jìn)行檢測，方法1是使用K-means算法檢測單個平臺的測試數(shù)據(jù)集，方法2是使用K-means對從整個異構(gòu)平臺架構(gòu)中收集的所有數(shù)據(jù)集進(jìn)行抽樣檢測，方法3是使用本文所提出的面向平臺異構(gòu)性的輕量級程序異常檢測方法對整個異構(gòu)平臺中收集的所有數(shù)據(jù)集進(jìn)行抽樣檢測。

當(dāng)使用方法1時，如果異常樣本較多，其檢測準(zhǔn)確率較高，可達(dá)99%，但當(dāng)抽樣樣本中異常樣本較少時，由于K-means算法的效果嚴(yán)重依賴初始聚類中心，因而當(dāng)初始聚類中心選擇不當(dāng)時，檢測的準(zhǔn)確性迅速下降到75%左右，并產(chǎn)生22.4%的誤報率，誤報率較高；當(dāng)使用方法2時，由于不同平臺間也有一定的差異，K-means在檢測過程中對噪聲敏感產(chǎn)生一定的誤報率，檢測的平均準(zhǔn)確率為86.46%；使用方法3時，由于利用加權(quán)差異度算法橫向?qū)Ρ绕脚_間差異，有針對性的計算會對狀態(tài)差異識別更為明顯，因而達(dá)到提升準(zhǔn)確率的目的，準(zhǔn)確率穩(wěn)定在95%以上，平均檢測準(zhǔn)確率較高，其值為97.8%，與方法2相比，檢測準(zhǔn)確率提升了13.12%；與方法1相比，大大減少了檢測誤報率。

圖6 檢測準(zhǔn)確率對比

本文還比較了所提算法和K-means算法在不同抽樣數(shù)下的檢測時間，實(shí)驗(yàn)結(jié)果如表5所示。可以得出，兩種算法的檢測時間都會隨著樣本數(shù)量增加而增加，本文所提算法與K-means算法相比，由于K-means在每輪迭代時都需要計算所有樣本點(diǎn)到質(zhì)心的距離，而本文所提算法僅需計算平臺間樣本的距離，因此大大縮短了異常檢測時間，具有較好的實(shí)時性。

表5 兩種算法在不同抽樣數(shù)量下的異常檢測時間(s)

對上述比對情況進(jìn)行總結(jié)，就檢測準(zhǔn)確率、誤報率和檢測時間而言，本文所提算法性能優(yōu)于K-means算法的性能。

6 結(jié)束語

本文針對程序異常檢測中準(zhǔn)確率低、誤報率高和檢測時間長的問題，提出一種面向異構(gòu)化平臺的輕量級程序異常檢測方法。該方法通過構(gòu)建異構(gòu)平臺，獲取異構(gòu)平臺對相同輸入程序執(zhí)行時產(chǎn)生的系統(tǒng)狀態(tài)，跨平臺橫向?qū)Ρ认到y(tǒng)狀態(tài)的差異，進(jìn)行程序異常檢測。實(shí)驗(yàn)結(jié)果表明，所提方法有效提升了程序異常檢測的準(zhǔn)確率、降低了誤報率且耗時較短，是一種有效的程序異常檢測方法。在后續(xù)工作中，將會對算法等進(jìn)行改進(jìn)，并提高算法在不同實(shí)際攻擊場景下的檢測準(zhǔn)確性。