基于模型的異常檢測的發展

宮 美

(南京郵電大學 通信與信息工程學院，江蘇 南京 210000)

基于模型的異常檢測的發展

宮 美

(南京郵電大學 通信與信息工程學院，江蘇 南京210000)

在過去幾年中，許多技術用于檢測異常、誤用、網絡攻擊和其他網絡安全缺陷。文中討論一種基于模型的技術方案。該技術并不是全新的，其已經成功用于校驗通信協議的標準模式。然而在很多情況下，網絡系統會忽略這些標準和提議。為了解決這個問題，可以在通信協議中結合使用基于模型技術和異常檢測技術。發現類似網絡攻擊的信號或惡意行為時，就對這些異常加以研究，可以顯著提高防御成功率。首先使用網絡協議中的理論和方法原理作為狀態機，然后在網絡安全領域檢測應用情況，最后提出一些實驗研究中應遵循的核心方向，盡可能實現一些突破性成果。

網絡協議；基于模型的校驗；異常檢測；狀態機；網絡安全

0 引言

有很多協議可以識別惡意網絡行為，例如模式識別、數據挖掘、數據統計和一些其他的技術，其中得到廣泛關注的是模型驅動工程(MDE)。MDE廣泛應用于軟件開發過程中，計算機系統使用這種模型可以控制復雜度，并提供有效驗證。核心MDE基于兩種方法：模型檢查—驗證給定狀態模型轉換的狀態空間；模型推理—通過應用自動學習算法，從系統組件的交互中產生模型。

模型檢查和推理技術最關心的是網絡安全領域。從網絡安全角度看，MDE可能是一種理想化的工具，它可以觀察IT系統的行為，并且可以發現異常事件。模型的有效性主要受到兩個因素的影響：

(1)在部署期間意外產生異常或部署者沒有掌握所需的技能，協議執行過程中可能會有其他的缺陷。

(2)由于不能對所有執行的模型都做充分準備，所以學習算法(最好是自動學習算法)需要在新的網絡環境中推導出一個確切的行為方式。

所有不匹配這種模型的網絡環境都可以試探這種網絡協議的缺陷。曾經就有攻擊者利用不匹配的模型實施攻擊。因此需要新的技術來檢測這些攻擊，并作出積極防御[1]。文中第1節簡要地展示了當前模型推理、自動學習模型的現狀。在第2節展示了兩種可以應用的模型推理和模型協議：一種是滲透僵尸網絡命令與控制(C&C)協議[2]，另一種是VoIP的侵入檢測系統[3]。最后給出基于模型的異常檢測在實際研究中的重要方向和結論。

1 模型現狀

1.1模型推理

很多網絡協議模型是基于建模師的需要建立的,如時間表、消息表和實體表等。若有兩種已選擇的狀態間存在連接，則意味著有實際的事件導致了從一種狀態到另一種狀態的轉變。雖然可以在文獻上查到類似網絡協議的狀態機，但網絡協議在實際執行時不是單純的從一個系統到另一個系統的變換，很多時候它們會忽略標準。因此，這些標準或著名的狀態機模型只能作為準線或下一步研究的出發點。模型推理技術的目的是為了主動或被動地學習狀態機，在測試條件下描述系統，進而解決實際問題。

有限狀態機[4]有兩種類型：Moore狀態機和Mealy狀態機。它們的區別在于前者狀態可以是接收或不接收，而后者沒有接收狀態，并且轉換后的輸出次序也是關鍵問題。對網絡協議來說Mealy狀態機模型更適合，因為它們都是反應系統，轉換是其核心問題。模型協議推理確切來說是語法上的推理問題，因為推導狀態機等價于學習一個常規語言。對狀態機推理的主要程序有兩種類型：

(1)主動型(也稱為在線型)，是基于推理系統的主動探測，被稱為測試狀態系統(SUT)；

(2)消極型(也稱為離線型)，是基于時間分析系統軌跡，并從中推導出模型。

1.2SUT行為的學習狀態機

1.2.1主動式學習

協議推理模型的方法主要應用在TCP(傳輸控制協議)和SIP(會話初始化協議)上。圖1展示了主動學習方式的框圖[5]。

圖1 SUT主動學習行為

假設系統到模型(測試狀態系統)可以通過Mealy狀態機建模。系統保持當前狀態，起始于q0。系統接收從I來的輸入信號和特殊復位信號。學習機發送輸入查詢到SUT并觀察輸出。當系統接受查詢，即觸發狀態轉變q→q0。當前狀態q轉變成q0并產生了輸出o。每次觀察后系統復位。基于輸出建立假設H，并在系統中再次驗證。在經過一定數量的測試后，系統的構造和假設可以得到驗證。如果所有的測試都通過，那么這個假設就可以被接收；否則一旦發現一個新的反例，那么假設就必須被改良。一直重復該過程，直到所有的測試都通過，不再產生新的反例。

一般來說，網絡協議有大量的輸入和輸出參數。這表明網絡協議有必要增加推理算法的有效性。如圖2所示，在學習機與SUT之間放置第三個實體——映射器，是一個合理的解決方案。抽象輸入和輸出由具體輸入輸出拆分得到，其按照以前的相關方式拆分成等價類。映射器把抽象輸入轉換成被SUT接受的具體輸入。在反方向上，映射器又把具體輸出轉化為學習機使用的抽象輸出。

圖2 使用映射器的SUT主動學習行為

1.2.2消極式學習

消極式學習是基于系統中歷史痕跡演繹出的模型。tcpdump或Wireshark模式就是使用消極式學習模式。通過執行ReverX，使用協議的相互作用，從網絡痕跡中推斷出協議說明。

消極式推演網絡協議模型，需要包含兩個模型：語言模型，可以把網絡協議看做正式語言；不同種類消息間關系的實體協議模型。

在圖3中展示了基于ReverX體制，消極學習的兩種模型推理。

圖3 ReverX工具的消極型學習示例

(1)推導語言

推導一種語言有幾種方法。除了已知的應用消息類型、領域的聚合、分區以及特征描述等，還可以使用狀態機。使用狀態機時[4]，推導一個語言由兩步組成：

①狀態機的構建，其僅從網絡痕跡上接收消息；

②對相同消息類型的不同范例進行統一化。這種方法也可以與主動式學習方法結合使用。

(2)推導協議狀態機

可以使用與推導語言相同的方法去推導協議狀態機。過程由以下幾步組成：

①提取應用會話——狀態機必須對每個應用會話進行推導，其中一個程序會話由一組消息序列組成；

②構造局部狀態機；

③縮減——從第二步開始狀態機可以最小化為一種普通狀態。

2 基于模型的網絡安全

模型推導領域的成功使得開發領域也有了更廣泛的前景。本文關注網絡安全以及應用MDE之后的好處，展示了在網絡安全上應用基于模型方法的重要結論。

2.1僵尸網絡C&C協議

Cho[6]展示了分析僵尸網絡命令和控制(C&C)協議的方法，其貢獻是在高延遲的網絡環境中建立了一種推導完全狀態機的新方法，使用Mealy狀態機建模方法對協議建模；為了最小化在推導過程中產生的查詢數目，還使用了一個高效的程序，其中試驗臺的設計也需要注意。它可以被視為這種推導系統的設計命題，并且能有效地推導出模型，提供應用最優化的數據證明。試驗結果證明了這個方法非常有吸引力。在推導C&C模型的過程中發現了一些關鍵環節和設計缺點：

關鍵環節：

(1)僵尸網絡中垃圾郵件的容量關鍵取決于服務器的類型；

(2)找到一種可以從C&C服務器獲取垃圾郵件模板的簡單方法；

(3)如何檢測背景通信。

主要缺點：

(1)沒有隱藏監測流量， 僵尸主機可以檢測到其高容量；

(2)這種方法不能推導出基于數據/時間觸發的協議；

(3)對所有潛在的應用來說精度可能不夠；

(4)使用復雜語法(表達性語言)的協議需要使用其他方法推導。

根據對僵尸網絡滲透的觀察，Caballero[7]提出了如何在黑盒中展示僵尸網絡的問題——黑盒中C&C協議語言和協議狀態機都是未知的。 他們解決了第一個問題——從給定樣本中提取消息格式。基于這點，可以構建出MegaD僵尸網絡，并引入緩沖拆解技術，從其他存儲緩存中通過重構輸出緩存的進程去提取發送消息的結構。并根據當前的技術開發了一個工具Dispathce，針對已知和未知的MegaD C&C協議消息進行測試，測試結果表明這種方法對僵尸網絡的滲透有效。

2.2VoIPIDS

另一種新的入侵檢測系統是VoIP IDS[8]，在IP電話系統后檢測網絡協議。該系統主要關注基于SIP和基于RTP模型的攻擊：(1)對于SIP：取消Dos和BYE Dos；(2)對于RTP：多媒體垃圾郵件和RTP包泛濫。這些攻擊的簽名被保存在VoIP IDS的數據庫中，在運行期間使用。VoIP IDS操作如下：

(1)該系統針對每個VoIP[9]并行跟蹤SIP和RTP狀態機的進度；

(2)觀察并檢測這個模式下狀態發生改變的序列；

(3)如果觀察到不符合規范的模式，IDS會發出警告并通知管理員。

在該系統中存在延遲100 ms左右的問題，不過這個應該是可以接受的。而且還可以有其他方案來解決這個問題，所以這個想法值得繼續研究。有結果表明，在沒有任何攻擊誤報的情況下，系統檢測精度可以達到100%。不僅如此，這個系統可以應用于未知的攻擊。

3 結論和建議

在本文中評估了一些基于模型的網絡安全解決方案。從評估中發現，通過使用狀態機的自動推理來做網絡協議的模型是一個不錯的解決方案，可以應用在各種防御工具中，例如防病毒、反惡意軟件、入侵檢測和預防體系等。針對這些想法，本文提出了兩種成功的部署：(1)妥協的僵尸網絡C&C協議[10]；(2)VoIP入侵檢測系統。有了這些基礎，研究界可以制定一些方向，并在接下來著重研究：

(1)防止主動學習防御被檢測到——主動學習方式是基于攻擊者對系統的主動探測，所以需要一些技術來對其進行隱藏，比如：混淆和誤導等。

(2)推理方法——需要更好的協議語言和狀態機來解決一些問題，比如協議類型的廣泛應用。此外，應該排除協議標準以及不相關的手冊指南對協議語言的影響，這樣才能使推論更有效。

(3)實時和自動設計——只有完全自動、實時、有效的設計才能適用于實際應用。因為它需要把實際運營環境考慮在內(尤其是現代網絡流失的速度)，根據工具的準確度做出正確的處理。因此，產業標準的解決方案還有發展空間。

(4)檢測——雖然文獻[8]提出了對攻擊途徑進行簽名，但是筆者并不希望在技術層面做這些準備。因為這些工作需要手動完成，例如選擇觀察參數，而且要盡可能對這些過程進行簡化。

[1] 楊宏宇,朱丹,謝豐,等.入侵異常檢測研究綜述[J].電子科技大學學報,2009,38(5):587-596.

[2] 童維兵.高安全性的VoIP系統研究與實現[D].北京：北京郵電大學,2011.

[3] 蘇云琳.僵尸網絡檢測系統的分析與設計[D].北京：北京郵電大學,2010.

[4] 譚同超.有限狀態機及其應用[D].廣州：華南理工大學,2013.

[5] 徐冉冉.基于主動學習的智能算法及其在模式分類中的應用[D].無錫：江南大學,2013.

[6] CHO C Y，BABIC D，SHIN E C R，et al.Inference and analysis of formal models of botnet command and control protocols[C].In Proceedings of the 17th ACM Conference on Computer and Communications Security (CCS’10).ACM，New York，USA,2010：426-439.

[7] CABALLERO I，POOSANKAM P，KREIBICH C，et al.Dispatcher:enabling active botnet infiltration using automatic protocol reverseengineering[C].In Proceedings of the 16th ACM Conference on Computer and Communications Security (CCS’09).ACM，New York，USA，2009: 621-634.

[8] SENGAR H，WIJESEKERA D，Wang Haining，et al.VoIP intrusion detection through interacting protocol state machines[C].International Conference on Dependable Systems and Networks(DSN’06)，Philadelphia，PA，2006: 393-402.

[9] 施慧莉.VoIP網絡的系統結構演進[J].電子技術應用,2008,34(1): 75-77,80.

[10] 楊智興.僵尸網絡如何躲避檢測機制的研究[J].微型機與應用，2014,33(12): 64-65.

The development of model-based abnormal detection

Gong Mei

(College of Telecommunications and Information Engineering, Nanjing University of Posts and Telecommunications, Nanjing 210000, China)

Over the past few years，many technologies have been used to detect anomalies，misuse，cyber-attacks and other network security flaws.And now the model-based technique will be discussed.This view is not entirely new，and model-based technique has been applied to validate the standard models of communication protocols.Nevertheless ,in many circumstances，the network system will ignore standards and proposals.To solve this problems，it will be a useful solution to combine model-based technique with abnormal detection in communication protocol.When a signal，which is similar to network attacker，or malicious behavior is found，the further research will begin，and this method could obviously improve the success rate of defense.Firstly, we use the method principle of communication protocol as state-machine，and then inspect the application in the field of network security, lastly，put forward some core directions that experimental research should follow to obtain some significant achievements as far as possible.

communication protocol; model-based validation; abnormal detection; state-machine; cyber security

TP393

A

10.19358/j.issn.1674-7720.2017.21.003

宮美.基于模型的異常檢測的發展J.微型機與應用，2017,36(21)：8-10.

2017-04-14)

宮美(1993-)，女，碩士，主要研究方向：衛星通信技術。