基于訪問控制的主機異常入侵檢測模型

（1.電子科技大學 計算機科學與工程學院， 成都 610054； 2.中國人民解放軍61062部隊，北京 100091)



摘 要：

結合訪問控制和入侵檢測各自的優勢，在以訪問控制為系統正常訪問參考模式的條件下，提出了基于訪問控制的主機異常入侵檢測模型——ACBIDS。根據系統調用函數間的約束關系構建基于擴展有向無環圖（DAG）的系統調用活動關聯圖，構建活動關聯圖的偏離函數，用于計算實際系統調用序列與活動關聯圖的匹配程度，以達到入侵檢測的目的。實驗結果表明，ACBIDS相對于傳統的入侵檢測具有較低的漏報率和誤報率，并具有較高的運行效率。

關鍵詞：訪問控制； 入侵檢測； ACBIDS（基于訪問控制的主機異常入侵檢測模型）； 活動關聯圖

中圖分類號：TP309.2 文獻標志碼：A

文章編號：1001-3695(2009)02-0726-04



Access control-based host anomaly intrusion detection model



PI Jian-yong1， GONG Ming-shu2， LIU Xin-song1， LI Ze-ping1

(1.School of Computer Science Engineering， University of Electronic Science Technology of China， Chengdu 610054， China; 2. 61062 Army， The Chinese People’s Liberation Army， Beijing 100091， China)



Abstract:The model of intrusion detection based on access control(ACBIDS) was proposed under the precondition of positive access reference by access control mechanism， in which combined advantage of access control and intrusion detection respectively. Constructed the activity associate graph based on direct acyclic graph (DAG) according to restriction relations among system call functions， and constructed divergence function about activity associated graph for computing the match degree between actual system call sequence and activity associated graph. The ACBIDScould detect the intrusion action in host finally. The experiment shows this model implements low 1 positive rate and low 1 negative rate， and upper efficiency.

Key words：access control; intrusion detection; ACBIDS; activity associated graph



0 引言

訪問控制作為一種成熟的安全模型，已經成功地應用于各類計算機系統中。從早期的自主訪問控制（discretionary access control，DAC）和強制訪問控制（mandatory access control，MAC）逐步發展到目前的基于角色的訪問控制（role-based access control，RBAC）和基于任務的訪問控制（task-based access control，TBAC），以及適用于協同工作環境下的工作流訪問控制WBAC（workflow-based access control）等。然而由于計算機系統在構建過程中不同程度地存在一些缺陷，訪問控制并不能解決計算機系統中所有的安全問題[1]。文獻[2]指出訪問控制存在粒度問題，安全性越高的訪問控制模型，其控制粒度越細，然而運行開銷也必然加大，嚴重時會影響系統可用性，因而訪問控制對于計算機系統安全只存在宏觀優勢。與此同時，入侵檢測作為一種積極防御系統，越來越廣泛地應用于計算機系統中。入侵檢測分為誤用入侵檢測（misuse detection）和異常入侵檢測（anomaly detection）。由于異常入侵檢測不依賴于攻擊特征，具有檢測未知攻擊的能力，越來越受到信息安全研究人員的重視[3]；然而異常入侵檢測的難點在于為復雜的計算機系統構造一個客觀的、先驗的正常訪問輪廓[4]。隨著計算機系統結構越來越復雜，為系統構造一個正常訪問輪廓變得越來越不可行，因此異常入侵檢測對于計算機系統安全只具有微觀優勢。

作為信息系統中兩種最重要的防御機制，訪問控制與入侵檢測之間必然存在一些本質的聯系，然而描述兩者有機聯系的研究文獻并不多見。文獻[5]僅分別從兩者各自獨立的角度闡述對信息系統的安全防護作用；文獻[6，7]僅從工程角度討論了兩者互相作為一種安全防御增強手段，并沒有進一步揭示兩者之間的內在聯系。本文在基于以往對訪問控制和入侵檢測研究的基礎上，分析兩者各自的優勢與不足，提出了基于訪問控制的主機異常入侵檢測模型（access control based host anomaly intrusion detection model，ACBIDS）。將計算機系統中的被動防御機制——訪問控制和主動防御機制——入侵檢測結合起來，發揮兩者各自在計算機系統安全宏觀上和微觀上的優勢，克服了訪問控制因為存在粒度問題而導致不能有效解決計算機系統中微觀粒度訪問的安全問題，也解決了異常入侵檢測中需要找到客觀的、先驗的訓練數據集構造系統正常模式輪廓的困難：以系統調用數據集作為入侵檢測事件集，采用化整為零的思想建立系統調用正常模式輪廓，顯著降低了入侵檢測中的高誤報率和高漏報率。

1 訪問控制條件下的入侵攻擊

安全策略作為計算機系統的信息安全基本參考點，要由安全機制負責解釋執行，訪問控制將計算機系統中的數據實體劃分為主、客體，并根據安全策略來控制主、客體之間的訪問模式。早期的訪問控制機制是基于主、客體的二維列表——訪問控制列表（access control list，ACL）來實現[8]，由于系統中的主、客體數量龐大，造成ACL也十分龐大，不僅使ACL難以管理，也不直觀。隨后出現的各種訪問控制模型逐步解決了這個問題，使得訪問控制機制更加容易用安全策略來描述，也更容易被安全策略的制定者所理解。但最終各種高級的訪問控制模型的實施過程依然可以映射成一個ACL列表。為了討論訪問控制條件下入侵攻擊，給出如下定義和定理：

定義1 安全屬性集P={pi|1＜i＜n}是由訪問控制安全模型賦予訪問主體和客體的n種相互獨立的屬性集合，如角色等級、安全域、任務流、時間等。對于一個已經確定的訪問控制安全機制，所有的安全屬性均只具有范疇上的意義，而安全屬性的語義可以由訪問控制決策機制來表達。

定義2 決策函數fsec(PS，PO)決定訪問控制中主體和客體之間的訪問模式。其中PS、PO分別代表主體S、客體O的安全屬性集。為區別于傳統的各模型中訪問控制安全屬性之間可能存在序關系，這里假定安全屬性的具體語義由決策函數fsec(PS，PO)解釋。

定理1 訪問控制中的主體和客體是關于安全屬性集合P={pi|1＜i＜n}的一個等價劃分。

證明 令S為計算機系統中實體的集合，由定義1和2，規定安全屬性本身只是對S中實體的簡單描述，具體的安全屬性語義是由訪問控制決策函數fsec(PS，PO)來表達。這里假定安全屬性只具有范疇上的意義，因此有

a)對于u∈S，均有upiu，反身性得證。

b)對于ua，ub∈S，如果uApiubc必有ubpiua，對稱性得證。

c)對于ua，ub，uc∈S，如果uapiub，ubpiu，必有uapiuc，傳遞性得證。

d)同時由定義1可知安全屬性的獨立性，即

xi∈S，xi≠φ， xi∩xj=φ，i≠j

其中：i，j=1，2，…，n; ∪ni=1Xi=S。

即關系pi是一個等價關系，從而P={pi|1＜i＜n}是一族等價關系，定理1得證。

定理 2 入侵攻擊發生在訪問控制主體對客體的訪問過程中。

證明 入侵攻擊的本質是違反系統安全策略的一類活動。訪問控制在執行安全策略時是根據決策函數fsec(PS，PO)來決定是否在(S，O)之間進行相應的信息交互，也即決策函數fsec(PS，PO)體現了系統安全策略的核心。入侵攻擊是繞過決策函數fsec(PS，PO)而導致了系統中的非法信息交互。由定理1，系統中的數據實體是關于安全屬性集合P={pi|1＜i＜n}的一個等價劃分，即系統中的數據實體均納入訪問控制主體、客體的范疇。因此訪問控制條件下任何形式的入侵攻擊均發生在主體與客體進行信息交互的過程之中，也即訪問控制活動過程中，定理2得證。

進程作為計算機系統中最重要的訪問控制主體，是主機異常入侵檢測模型的主機監測對象。Forrest等人[9]最早提出將進程的系統調用作為安全事件集的入侵檢測模型，相繼有多種基于系統調用序列的入侵檢測模型[10，11]。然而這些入侵檢測模型必須以進程正常執行的系統調用序列作為訓練數據集，以建立系統正常的訪問模式，這樣會引入新的問題：如何找到完整的、客觀的進程正常訪問系統調用序列作為訓練數據集？如何從訓練數據集中提取最接近正常訪問模式的特征數據集？事實上由于計算機系統結構日益復雜，很難獲取完整的、客觀的進程正常訪問系統調用序列作為訓練樣本，現有的訓練樣本也難以建立全面反映系統正常模式的輪廓。

訪問控制最直接反映計算機系統安全策略，可以在宏觀上作為入侵檢測的正常輪廓。因此ACBIDS模型在宏觀上可以直接區分系統調用序列是否有違反訪問控制策略的行為；同時進程在訪問一個客體對象時，ACBIDS依據系統調用之間的聯系建立活動關聯圖，在小范圍內預測系統調用序列的正常訪問輪廓，通過計算偏離度達到入侵檢測目的。

2 ACBIDS模型

ACBIDS以監測進程行為來進行入侵檢測，由前述討論可知入侵攻擊是在訪問控制的過程中進行，即ACBIDS模型在訪問客體對象過程中檢測異常的系統調用序列。

2. 1 系統調用序列活動關聯圖

在很多基于系統調用的入侵檢測文獻[12~14]中，并沒有提到系統調用集合本身的內在關系。事實上系統調用之間本身就有豐富的含義，在進程訪問某一類客體對象過程中，系統調用之間存在一些約束關系，本文分別定義如下：

定義3 基于訪問控制任務的系統調用的約束關系包括：

a)序關系。系統調用A和B之間有嚴格的順序關系，出現的次序不能顛倒，如打開和關閉同一個文件的系統調用。記為AΦB。

b)互斥關系。系統調用A和B在一次客體訪問中只能出現其中一個，不能在一次客體訪問中同時被進程調用，如對同一個socket對象不能同時調用發送UDP包和發送TCP包的系統調用。記為AΩB。

c)勢關系。對系統調用A在一次客體訪問中出現的次數規定了下界和上界，如在訪問一個文件的過程中進程至少要調用一次打開文件系統調用，同時一個進程打開一個文件的系統調用出現的次數又有上限。記為AΞ(a，b)(a＜b)。

d)陪關系。系統調用A和B要么同時出現，要么同時不能出現在一次客體訪問過程中，如Linux中安裝一個文件系統和卸下文件系統的系統調用要么同時出現，要么不能同時出現。記為AΨB。

基于上述系統調用之間的四種關系，定義了系統調用序列活動關聯圖。

定義4 系統調用序列活動關聯圖G是一個六元組，G={V(G)，E(G)，C(G)，P(G)，T(G)，W(G)}。各元組分別定義如下：

a)V(G)={v1，v2，…，vn}表示關聯圖G的頂點集合，各個頂點對應于操作系統中與訪問控制相關的一個系統調用。一些與訪問控制無關的系統調用表示進程不與外界對象進行信息交互，在V(G)中可以忽略。

b)E(G)={e1，e2，…，em}表示關聯圖G的有向邊集合，有ei={vi1，vi2}，ei對應于頂點間的約束關系。

對于vi∈V(G)，分別有i≤n，j≤m，定義IN(vi)={ej|ej=(v′i，vi)，ej∈E(G)，v′i∈V(G)}，表示所有指向圖G中頂點vi的約束關系集合。

對于vi∈V(G)，分別有i≤n，j≤m，定義OUT(vi)={ej|ej=(vi，v′i)，ej∈E(G)， v′i∈V(G)}，表示所有從圖G中頂點vi出發的約束關系集合。

c)C(G)={c1，c2，…，ck}，其中k＜n，表示系統調用的類別。根據操作系統的不同，將系統調用按照訪問控制中對象實體的類別分為k類。

d)P(G)={p1，p2，…，pn}表示系統調用的勢約束關系。其中，pi=P(vi)，vi∈V(G)。P(G)具體表達了進程系統調用在執行訪問某一個客體對象任務時所能出現的次數范圍。

e)T(G)={t1，t2，…，tu}，其中u≥k且ti=T(ci)，ci∈C(G)，表示訪問控制任務類型。針對每個訪問控制對象實體的訪問模式可以細分為多種，如對文件客體可以有讀、寫、執行等多種訪問模式。因此C(G)與T(G)是一對多關系。

f)W(G)={w1，w2，…，Wm}，與E(G)的元素一一對應，表示ei={vi1，vi2}的執行權重。通常在實際入侵檢測中令wi=1。

為了算法的簡潔，根據訪問任務類別，從系統調用集合S中選取與訪問任務相關的系統調用子集S′生成活動關聯圖子集G′。圖1以Linux操作系統為例，是一個針對文件客體對象的讀文件訪問控制任務系統調用活動關聯示意圖。

令S′={s1，s2，…， sn}，根據系統調用子集S′中元素間的約束關系，采用嵌套循環流程，活動關聯圖子集G′的生成算法如下：

a)取S′中s1作為G′中的節點g1。

b)令sm=，1＜m≤n，從S′中取元素s2，令sm=s2。

c)在G′中采用圖的廣度優先遍歷算法，從G′中IN(gi)=的節點開始，令其為g′i。其中1≤i≤n。

(a)如果smΦg′i，則在(sm，g′i)或(g′i，sm)作G′的一條有向邊，sm對應G′中的新節點gi+1，在S′中刪除sm，轉步驟d)。

(b)如果smΦg′i，并且存在SmΩ{IN(g′)}或者存在SmΩ{OUT(g′)}，則相應在(sm，g′i)或者(g′i，sm)作G′的一條有向邊。

(c)如果smΦg′i，并且存在smΨg″i且smΦg″i。其中g″i∈OUT(g′i)，則刪除(g′i，g″i)之間的有向邊，然后分別作(g′i，sm)和(sm，g″i)之間的有向邊。

d)令m=m+1，如果m≤n，則轉步驟3。

e)如果S′≠φ，設S′中剩余的第一個元素為s′1，令sm=s′1， n=max{S′}，轉步驟c)。

f)停止，活動關聯圖G′生成。

2. 2 路徑匹配

對于實際正常的系統調用序列，不會完全按照活動關聯圖來執行具體的訪問客體對象的任務。筆者給出一個兩者間的匹配定義。

定義5 設M(si)為系統調用序列流集，si為系統調用。X，Y為活動關聯圖G中兩個不相交子集，即，X∩Y=且滿足IN(X)=0和OUT(Y)=0。如果

a)M(si)∩X≠且M(si)∩Y≠；

b)M(si)在活動關聯圖G中的路徑構成有向無環圖；

c)M(si)序列流在G中所形成的路徑連通。

則稱系統調用序列M(si)所形成的路徑與活動關聯圖G匹配。

顯然，X、Y分別是活動關聯圖G的源點和匯點，是考慮到進程在訪問一個實際客體對象時有完整的系統調用過程，而M(si)所形成的路徑會覆蓋活動關聯圖G的全部或部分節點，但很少會與G完全匹配。因此需要在活動關聯圖與實際的系統調用序列之間定義匹配程度函數，并通過確定有效閾值來進行基于系統調用序列M(si)的入侵檢測。

定義6 設Q(si)為累計偏離值，用于度量當前M(si)與活動關聯圖G之間的匹配程度。

Q(si)=wi+∑hj∈M′(si-1)Wj(G); h=n



其中:n為系統調用總數；M′(si-1)為捕獲的違反活動關聯圖G的DAG特性的系統調用節點。

2. 3 基于系統調用序列流的入侵檢測步驟

以下是基于活動關聯圖G和路徑匹配函數的入侵檢測流程：

a)截獲M(s1)，如果M(s1)X，則轉步驟d)。

b)截獲M(si)。

(a)如果有E(si-1，si)≠Ω，并且存在E(si-1，si)=，說明M(si)在活動關聯圖G中發生了約束關系跳躍行為，則轉步驟d)。

(b)如果i＞2且有M(si)=M(si-1)，說明M(si)在活動關聯圖G中存在自環情況。如果存在siΞ(a，b)(a＜b)，即siΞp(vi)，表明M(si)違反了勢約束，根據定義6計算M(Si)與活動關聯圖G的偏離度：

Q(si)=wi+∑kj∈M′(si-1)Wj(G)



其中wi=max{E(si，OUT(si))}。

(c)如果i＞2，存在E(si，si-1)=E(si-2，si-1)。其中E(si，si-1)∩E(G)=同時E(si-2，si-1)∩E(G)≠，說明M(Si)在活動關聯圖G中存在逆向情況，因此由定義6計算M(Si)與活動關聯圖G的偏離度：

Q(si)=wi+∑kj∈M′(si-1)Wj(G)



其中wi=E(si-2，si-1)。

(d)令入侵報警閾值為threshold，如果Q(si)＞threshold，則轉向步驟d)。

c)截獲M(si+1)，如果M(si+1)∩Y=，則令i=i+1，轉步驟b);如果M(si+1)∩Y≠，轉步驟e)。

d)報警退出。

e)正常退出。

3 實驗及性能分析

筆者在Linux環境下實現了ACBIDS模型：采用SELinux作為Linux環境下的訪問控制機制[15]，實驗采用美國新墨西哥大學的系統調用數據包，包括了synthetic和live兩類數據[16]。在Redhat 9.0、P4 1.7 GHz主機系統上進行性能分析。SELinux和ACBIDS模型協同框架如圖2所示。

實驗分為三個部分，即用正常數據確定ACBIDS模型的閾值threshold、測試ACBIDS模型的檢測率（TPR）、漏報率（FNR）、誤報率（FPR）和與其他IDS模型的檢測性能比較。

首先分別選擇新墨西哥大學系統調用數據包提供的sendmail、ftp、lpr、inetd、ps、login、xlock、named的正常數據（normal data）部分對ACBIDS進行閾值訓練，達到盡可能覆蓋所有SELinux所描述的客體對象種類全集的效果。由定義6給出的正常序列與活動關聯圖之間的偏離度計算兩者之間匹配程度。令各訪問控制任務所對應的活動關聯圖thresholdi=0，此時FPR最大，當逐步增大thresholdi值為q時，誤碼率恰好為0，則thresholdi=q即為該活動關聯圖的報警閾值。同理，以FPR作為參考基準，分別獲得活動關聯圖G各個訪問類別子集的threshold報警閾值。下面分別以SELinux中socket對象的發送和接收數據任務、file對象的讀、寫任務、semaphore對象的獲取、設置屬性任務為例，結果分別如圖3~5所示。

同理，實驗分別獲得的threshold1，…，thresholdk作為ACBIDS模型的累計偏差報警依據，再對TPR和FNR進行準確性檢驗。

實驗選擇數據包提供的sendmail(S)、ftp(F)、lpr(L)、inetd(I)、ps(P)、login(L0)、xlock(X)、named(N)的入侵異常數據對ACBIDS模型進行測試，結果如圖6所示。

由圖6看出，ACBIDS具有較高的TPR和較低的FNR。表1給出了在同等類型測試數據的前提條件下，將ACBIDS模型分別與Warrender等人[17]的四種研究成果進行比較，即Stide、t-Stide、RIPPER和HMM算法，測試結果從最高TPR、最低FNR和最低FPR三方面進行比較。

表1 ACBIDS模型與其他IDS模型的比較

IDS種類最高TPR/%最低FNR/%最低FPR/%

Stide96.90.10.03

t-Stide95.30.090.16

RIPPER96.80.120.08

HMM98.70.080.05

ACBIDS99.90.0010

從表1看出，ACBIDS相對于其他IDS模型有最高檢測率、最低漏報率和最低誤報率。

4 結束語

傳統的主機異常入侵檢測試圖在宏觀上建立系統的正常訪問輪廓，然而隨著系統體系結構復雜性的增強，建立一個精確的正常訪問輪廓非常困難，這也是傳統的入侵檢測模型存在較高誤報率和漏報率的原因。基于訪問控制機制的ACBIDS模型采用化整為零的思想，從局部角度建立系統調用的正常訪問輪廓，實驗結果表明ACBIDS模型對入侵行為有很高的檢測率，并顯著降低了入侵檢測的誤報率和漏報率。

ACBIDS模型也存在一定的不足，主要是還沒有將入侵響應考慮進去。如何在入侵報警發生的情況下，及時地定位入侵攻擊、訪問控制機制如何及時阻斷入侵攻擊并收回部分系統資源將是ACBIDS未來的研究方向。

參考文獻：

[1]SANDHU R S. SAMARATI P. Access control: principle and practice[J]. IEEE Communications Magazine， 1994，32(9):40-48.

[2]HENGARTNER U， STEENKISTE P. Exploiting information relation-ships for access control[C]//Proc of the 3rd IEEE International Conference on Pervasive Computing and Communications. Washington DC: IEEE Computer Society， 2005:269-278.

[3]LEE W， STOLFO S J， CHAN P K， et al. Real-time data mining-based intrusion detection[C]//Proc of DARPA Information survivability Conference. 2001:89-100.

[4]KEMMERER R A， VIGNA G.Intrusion detection: a brief history and overview[J]. Computer， 2002，35(4):27-30.

[5]SANDHU R S. Authentication， access control and intrusion detection[J]. IEEE Communications Magazine， 1997，35(9): 40-48.

[6]BERTINO E， KAMRA A， TERZI E， et al. Intrusion detection in RBAC- administered databases[C]//Proc of the 21st Annual Computer Security Applications Conference. Washington DC: IEEE Computer Society， 2005:170-182.

[7]RYUTOV T， NEUMAN C， DONGHO K. Integrated access control and intrusion detection for Web servers[J]. IEEE Trans on Parallel and Distributed Systems， 2003，14(9):841-850.

[8]LAMPSON B W. Dynamic protection structures[C]//Proc of the AFIPS Fall Joint Computer Conference. New York: ACM Press， 1969:27-38.

[9]FORREST S， PERELSON A S， ALLEN L， et al. Self nonself discrimination in a computer[C]//Proc of IEEE Symposium on Research in Security and Privacy. Washington DC: IEEE Computer Society，1994:202-212.

[10]XU Xin， XIE Tao. A reinforcementlearning approach for host-based intrusion detection using sequences of system calls[C]//Lecture Notes in Computer Science. Berlin: Springer， 2005:995-1003.

[11]CHA B R，VAIDYA B，HAN S. Anomaly intrusion detection for system call using the Soundex algorithm and neural networks[C]//Proc of the 10th IEEE Symposium on Computers and Communications. Washington DC: IEEE Computr Society， 2005: 427- 433.

[12]YASIN M M， AWAS A A. A study of host-based IDS using system calls[C]//Proc of International Conference of Networking and Communication.2004:36-41.

[13]MUTZ D， VALEUR F， VIGNA G， et al. Anomalous system call detection[J]. ACM Trans on Information and System Security， 2006，9(1):61-93.

[14]LI Zhuo-wei， DAS A. Visualizing and identifying intrusion context from system calls trace[C]//Proc of the 20th Annual Computer Security Applications Conference. Washington DC: IEEE Computer Society， 2004:61-70.

[15]ZANIN G， MANCINI L V. Towards a formal model for security policies specification and validation in the SELinux system[C]//Proc of the 9th ACM Symposium on Access Control Models and Technologies. New York: ACM Press， 2004:136-145.

[16]Computer Science Department. Computer immune systems[EB/OL]. http://www.cs.unm.edu/~immsec/data-sets.htm.

[17]WARRENDER C， FORRESR S， PEARLMUTTER B. Detecting intrusions using system calls: alternative data models[C]//Proc of IEEE Symposium on Security and Privacy. Washington DC: IEEE Computer Society， 1999:133-145.