基于系統行為分類檢測模型描述中有關漏警與空警的分析研究

摘 要 檢測系統關健技術是從數據中獲得系統的入侵行為的知識并加以定義和描述為入侵的行為，在Intrusion detection system的構建中，相關的知識獲取技術，特點選取，各種分類算法，進程運行跡的系統調用短序列集合以及序列中系統調用的排列關系來描述進程行為的特點，這些特點中存在著檢測系統在檢測過程中出現漏警與空警現象。

【關鍵詞】入侵檢測模型 行為特點 特點描述 normal abnormal 漏警 空警

1 Intrusion detection system模型

Intrusion detection system是一個多數據處理系統，這樣的系統要求建立恰當的抽象系統模型，要對問題域實體及其關系進行抽象并能用算式定義和表述，這樣才能夠正確并較為全面解決的各種復雜問題。在現實環境中，不同類型的問題域有不同解決問題的方法。由此可知系統的數據處理模型不僅要求對數據集合空間相關實體的提取和表述，并進一步強調了問題解決過程中需要處理的重點。由此，解決系統數據處理模型的建立對系統的體系結構分析和設計是處理問題的關鍵。

Intrusion detection system是一個現實的數據處理重要模塊。它必須收集眾多的系統數據進行審計處理并提交檢測控制系統判別它是否是入侵的行為的那一個類別。具體到系統的檢測機制，其實就是一個系統主體行為的分類系統，它需要把對系統具有惡意的行為特點并在眾多的系統行為中把它們區分開來。解決問題的重點是怎樣定義、表述入侵行為特點。這樣，在Intrusion detection system中有關的知識獲取技術，通過數據挖掘、知識表述和獲取、特點選取、機器學習技術和各種分類算法方法。這里采用進程運行綜跡的系統調用短序列集合以及序列中系統調用的排列關系來表述進程行為的特點。下面重點討論基于系統行為分類的檢測模型和數據處理的Intrusion detection system模型。

2 基于系統特點分類的檢測模型

基于系統行為入侵檢測的主要問題就是在給定的系統環境中，如何對系統的特點pattern進行定義、識別和分類。

這樣的分類方法就是須要采用分類的算法，把一個數據項歸類給事先定義類別中的某一類。我們這里從系統行為pattern的分類的方法來討論檢測系統的檢測模型。由于系統的行為可以通過運行軟件和對應的服務程序來實現的，這樣可以通過判別系統中每個系統關鍵程序的“abnormal”或“normal ”活動的數據比較，而后指定“abnormal”與“normal ”兩個類別并用分類算法進行學習，然后建立一個兩類的分類器，這樣的分類器是基于統計概率、規則的方式來對系統進程的評審并進行數據分類和分析，由此來判斷被監控進程的行為是否normal 或abnormal。

下面討論系統進程行為pattern的定義和標識。由于程序運行不僅有一定的順序性而且它的功能也各不相同，因此根據不同的程序運行的綜跡，假如按同一長度提取對應的系統調用序列集合時，系統調用序列集合之間必然存在不同的系統調用子序列。由此這里就能夠達到分出不同程序的目的。為此，我們可以使用系統關鍵程序運行綜跡長度為L的系統調用子序列集合來構造該程序的normal 運行的特點。在這里我們把系統中被監控的所有關鍵程序的normal 運行特點的同一長度的系統調用子序列集合的并集合記為A來作為系統的normal 運行特點。為此，我們就可以設計基于行為的Intrusion detection system。

假設C為被監控系統的系統調用集合合。系統行為pattern空間M被定義為某一固定長度L的系統調用序列的全集合M={Q=a1a2，aL|ai∈C，i=1，2，l}，式中Q被稱為長度為L的系統行為pattern。

設定系統調用序列的長度L時必須注意：如果L較小，那么系統normal 運行特點的集合A就有可能滿足：A=M，這時M中的系統調用序列都是系統程序normal 運行跡的某個子序列，因而無法判定程序的運行是否normal 。因為程序是完成一定功能的，所以當L大于某一長度時，U中就會出現不在S中出現的系統調用子序列，即AM。記S=M-A，集合N表示在系統程序的normal 運行中不會出現的系統調用子序列。

下面給出定義在系統行為pattern空間U上的入侵檢測分類模型見圖1，其中：W=（f， G）。

圖1中，G為系統normal 數據集合，而A為精確的系統normal pattern集合）。f是一個二維函數。給定一個行為pattern p∈M，f可判斷它是否是系統的normal 行為。且定義如下：

收集數據時常是不全面，有些程序的正確運行pattern不包含在檢測系統D=（f，G）的pattern集合G中，這樣在檢測時就可能出現把系統的正確行為誤判為入侵類行為錯誤，這樣的錯誤被稱為空警。檢測系統在檢測過程中出現空警。過多的空警會使檢測結果不可信。因此空警率也是評判檢測系統性能的一個重要指標。

檢測分類器的建立采用電腦學習來實現，所用的方法有決策樹、規則提取、神經網絡以及貝葉斯學習方法等。使用分類模型建立abnormal檢測器的一個重要條件是，這里必須有“充足”而能夠含涵蓋最多系統normal 行為的數據得到收集，只有這樣才能夠使檢測器保持一個盡可能低的空警率。這里要先通過一個有限的數據收集從而獲得一個基本的分類器，最后用在線學習的方法不斷分類更新。

由于誰也保證不了收集合數據沒有受到污染、損壞等種種因素的存在，檢測系統D=（f，G）的行為pattern集合G中，很有可能會存在一些abnormal pattern。這樣檢測系統在檢測時就可能把某些入侵行為錯判為normal 行為，或者就根本檢測不到這一行為，這種錯誤或檢測不到的現象稱為漏警。漏警現象在基于知識的Intrusion detection system中比較普遍，因為基于知識的Intrusion detection system是根據已知入侵行為pattern來檢測針對系統入侵的這類Intrusion detection system，這對于未知的入侵行為肯定會出現漏警，檢測系統在檢測過程中出現的漏警。

由上述可知：檢測系統在數據捕獲、特點選取、知識表述、機器學習以及各種分類算法的檢測系統D=（f，G）的系統行為pattern集合G中，這樣的檢測系統在檢測時就可能把某些入侵動作誤判為normal 行為，也可能檢測不到這種入侵行為，這種現象稱為漏警。因為基于知識的Intrusion detection system是根據已知入侵行為的pattern來進行檢測的，然而這類Intrusion detection system對于未知的入侵行為就會出現漏警。而出現漏警的危害更加突出，這值得引起研究者的高度重視。

參考文獻

[1]胡建偉.網絡對抗原理[M].西安：電子科技大學出版社，2010.

[2]楊義先.鈕心忻.網絡安全理論與技術[M].北京：人民郵電出版社，2003.

[3]張兵利，裴亞輝.貝葉斯網絡模型概述[J].電腦與信息技術，2008.

[4]吳鵬.MATLAB高效編程技巧與應用[M].北京：航空航天大學出版社，2010.

作者簡介

楊玉新，碩士學歷。副教授。通信與信息系統專業。研究方向為網絡安全。

作者單位

云南省德宏州師范高等專科學校現代教育技術中心 云南省德宏傣族景頗族自治州 678400