基于免疫原理的非法系統調用的檢測

摘要：入侵檢測系統依賴于大量的數據檢測以區別合法和非法的行為。通過檢測操作系統內核的系統調用序列，應用免疫原理中的否定選擇算法，以區分合法與非法的系統調用。實驗驗證了該方法的可行性和有效性。

關鍵詞：計算機免疫； 系統調用； 否定選擇

中圖分類號：TP309.5文獻標志碼：A

文章編號：1001－3695(2007)08－0165－02

隨著計算機和網絡的快速發展，計算機系統安全成為一個日益嚴重的問題。從UNIX的緩沖區溢出到Internet explore腳本漏洞，使操作系統和軟件充滿了各種陷阱。計算機系統不是靜態的，其上的程序和配置被不同的用戶和管理員不斷地改變。一個靜態的對系統的統計檢測方法已經很難于奏效。在操作系統內核系統調用層次的監控和響應，這個基本的方法可以被用到有可編程接口的任何地方的系統中，用戶程序并沒有對硬件資源的直接訪問權。當一個進程要得到額外的內存訪問權時，它通過系統調用從內核請求這些資源，這些正常的調用通過軟件中斷（0x80），這些指令把處理器轉變到一個內核模式。如果一個被請求的系統調用被允許，則內核執行此調用，然后返回控制到正在請求的進程或另外準備運行的進程被請求操作。

本文討論基于系統調用序列的檢測是因為：程序執行時的系統調用短序列的局部穩定性；系統調用種類的有限性[1，2]。此類方法分為兩個階段:訓練階段離線建立正常模式表；在訓練階段跟蹤系統進程的執行過程，截取系統調用序列集合。對不同進程的系統調用進行過濾分組，形成模式表。

1目前相關模型

1．1 截獲控制系統調用實現系統訪問控制

其代表是M.Bernaschi等人[3]的REMUS模型，N.C. Suresh等人[4]建立的BuleBox模型。

這類以沙盒技術為代表系統是攔截控制系統調用，當系統版本不同時，需要人工更新規則庫

以適應系統新版本，需要耗費很大精力。

1．2 利用統計分析原理判斷異常系統調用

1.2.1馬爾可夫鏈模型（HMM）

HMM模型[5]在檢測器訓練階段，用正常系統調用作為數據生成狀態轉移矩陣，在檢測時將檢測數據通過狀態轉移矩陣求出狀態序列，將之與正常狀態庫的向量作匹配，由此判斷出下一步的調用序列是否允許。此模型訓練時間較長，系統開銷很大，但是誤報率較低。

1.2.2基于神經網絡的機器學習方法

此模型[6]在訓練階段采用方向傳播算法調整神經網絡權值，為程序選擇一個最佳隱含節點。網絡正向傳播時用sigmoid函數計算每層的正向輸出，傳播誤差時采用梯度下降的方法來調整每一個權值。網絡訓練的過程就是不斷計算輸出誤差并調整網絡權值直到達到一定誤差標準為止，此時網絡中產生了一個全局記憶，這些記憶自動地適應預測。但當節點太多時，網絡規模就會很龐大且輸入層接受反饋的神經元很難確定。

1.2.3基于數據挖掘的分析方法

此類分析方法是將入侵檢測作為一個數據分類問題，對問題閾的數據使用KNN、RIPPER分類規則[7]、決策樹等算法從數據集中提取分類規則構造檢測器，然后用此檢測器對實時數據進行分類。此過程反復迭代評估，以達到最優。

1.2.4短序列時序分析方法

Forrest領導的基于免疫原理的IDS系統提出對每個進程建立正常行為模式庫來判斷入侵。采用系統調用類型，采用Stide滑動窗口技術[1]從輸入序列中提取模式以形成正常模式庫。檢測時采用海明距離計算正常序列集與待檢測序列的匹配度。滑動窗口技術過分依賴于窗口大小和序列時序的限制，入侵者常常可以通過訓練自己的行為模式庫來躲避檢測[8]。

2基于免疫原理中否定選擇的檢測方法

2．1檢測器的生成

在基于免疫學的入侵檢測系統中，首先應該具備識別自我與非自我的能力。此模型中

2．2模型實現算法

由未成熟檢測檢測器和自體數據進行自體耐受的否定選擇，若不匹配則刪除該檢測器，否則加入成熟檢測器。使用成熟檢測器與外部抗原數據作親和力計算，若達到親和力閾值則進入記憶檢測器，否則刪除該檢測器。對記憶檢測器達到匹配數的進行克隆選擇以產生多樣化的檢測器。算法流程如圖1所示。

3實驗和結果

在實驗中初始設置親和力閾值delta=0.7，在入侵檢測中選取1 000個自體，檢測器長度為Sys_N＝1 000，抗原更新時間AgTime=未成熟細胞耐受閾gamma=50， 成熟細胞死亡年齡alpha=50， 抗體年齡age＝10， 匹配數count＝100。

在抗體數量和自體串大小逐漸增大時，系統中占用時間最多的否定選擇時間指數級增長。系統的錯誤率反映檢測自體和非自體的能力。采用否定選擇算法，錯誤肯定率總為零。增加抗體數量可以有效地降低錯誤否定率，而檢測閾值的過大會導致抗體覆蓋率的降低，使錯誤肯定率增加。因此，可以選取適當的參數，在檢測速度和抗體覆蓋率上做一個權衡。

4結束語

在一般的入侵檢測系統中，采樣的數據無法準確刻畫系統行為。本文采用系統調用序列作為檢測數據，達到了較好的檢測結果。在選取適當模型參數后，系統對未知非法行為有很好的識別能力，且錯誤率較低。此模型體現了免疫系統的多樣性、自學習的多種特性。

參考文獻：

［1］HOFMEYR S A， SOMAYAJI A， FORREST S， et al. A sense of self for UNIX processes [C]//Proc of IEEE Symposium on Security and Privacy. Oakland: IEEE Press， 1996:120128.

[2］HOFMEYR S A， SOMAYAJI A， FORREST S. Intrusion detection using sequences of system calls[J]. Journal of Computer Security，1998，6:151180 .

[3］BERNASCHIM， GABRIELLI E， MANCINI L V. REMUS: a securityenhancedoperating system[C]//Proc of ACM Trans on Information and System Security. Washington， DC:IEEE，2002.

[4］SURESH N C， CHENG P C. Bluebox: a policydriven， hostbased intrusion detection system[C]//Proc of the ISOC Symposium on Network and Distributed System Security. San Diego， CA:[s.n.]，2002:46－50.

[5］WESPI A， DACIER M， DEBAR H. Intursion detection using variabellength audit trail patterns[C]//Recent Advances in Intrusion Detection.Toulon，France:[s.n.]，2000:110129.

[6］ENDLER D. Intrusiondetection: applyingmachine learning to solarit audit data[C]//Procof Annual Computer Security Application Conference.Los Alamitos，CA: IEEE Computer Society Press，1989.

[7］WENKE L， SALVATORE J S， et al. Realtime data mining based intrusion detection[C]//Proc of DISCEX II. Anaheim: ACM Press，2001:15－20.

[8］WANGNER D， SOTO P. Mimicry attactonhostbasedintusiondetection system[C]//Proc of the 9th ACM Conference on Computer and Communications Security. Washington， DC:IEEE，2002:50.

[9］李濤.計算機免疫學[M].北京:電子工業出版社，2004：100120.

[10］高超，王麗君.基于系統調用的入侵檢測技術研究[J].信息安全與通信保密，2005（7）:332－336.

[11］WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusions using system calls: alternative data models[C]//Proc of IEEE Symposium on Security and Privacy. Los Alamitos:IEEE，1999:133145 .

[12］FORREST S， PERELSON A S， ALLEN L， et al. Selfnonself discrimination in a computer[C]//Proc of IEEESymposium on Research in Security and Privacy. Los Alamitos， CA: IEEE Computer Society Press， 1994:202－212 .

[13］WARRENDER C， et al.Detection intrusions using system calls:alternative date models[C]//Proc of IEEE Symposium on Security and Privacy. Los Alamitos: IEEE，1999.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”