資源描述:
《基于隱馬爾可夫模型的入侵檢測方法》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、基于隱馬爾可夫模型的入侵檢測方法趙嬪,魏彬,羅鵬摘要:針對當(dāng)前網(wǎng)絡(luò)安全事件頻發(fā)以及界常檢測方法大多集中在對系統(tǒng)調(diào)用數(shù)據(jù)的建模研究上等問題,提出一種基于隱馬爾町夫模型的入侵檢測方法。該算法基于系統(tǒng)調(diào)用和函數(shù)返冋地址鏈的聯(lián)合信息來建立主機(jī)進(jìn)程的隱馬爾可夫模型。此外,針對常用訓(xùn)練方法存在的不足,設(shè)計了一種快速算法用以訓(xùn)練模型的各個參數(shù)。實(shí)驗(yàn)結(jié)果表明:基于系統(tǒng)調(diào)用和函數(shù)返回地址鏈的聯(lián)合信息的引入能夠有效區(qū)分進(jìn)程的正常行為和界常行為,大幅度降低訓(xùn)練時間,取得了良好的運(yùn)算效果。關(guān)鍵詞:入侵檢測;隱馬爾可夫模型;系統(tǒng)調(diào)用序列入侵檢測作為一種網(wǎng)絡(luò)安全防衛(wèi)技術(shù),
2、可以有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵,因此針對入侵檢測算法的研究具冇重要的理論和很強(qiáng)的實(shí)際應(yīng)用價值?;趧討B(tài)調(diào)用序列對系統(tǒng)的入侵行為進(jìn)行發(fā)掘是入侵檢測領(lǐng)域主要的檢測方法口Forrest在1996年酋次提出使用系統(tǒng)調(diào)用進(jìn)行界常檢測的思路和方法以來,冇很多基于此的改進(jìn)算法被捉出。文獻(xiàn)提出一種基于頻率特征向量的系統(tǒng)調(diào)用入侵檢測方法,將正常系統(tǒng)調(diào)用序列抽取出的子序列的頻率特征轉(zhuǎn)換為頻率特征向雖。文獻(xiàn)提出基于枚舉序列、隱馬爾科夫2種方法建立系統(tǒng)行為的層次化模型。然而,這類方法在謀報率以及漏報率方面仍與實(shí)際需求有-著一定的差距。此外,由于隱馬爾町夫模型(
3、hiddenmarkovmodel,HMM)是一種描述離散時間內(nèi)觀察數(shù)據(jù)非常強(qiáng)人的統(tǒng)計工具,因此在基于主機(jī)的入侵檢測研究屮,HMM方法是目前重要的研究方向Z—。美國新墨西哥大學(xué)的Warrender等首次于1999年在lEEESymposiumonSecurityandPrivacy會議上提出將HMM應(yīng)用于基于系統(tǒng)調(diào)用的入侵檢測中。2002年,Qiao等提出使用HMM對系統(tǒng)調(diào)用序列進(jìn)行建模,利用TIDE方法劃分狀態(tài)序列的短序列,建立正常數(shù)據(jù)的狀態(tài)短序列庫來進(jìn)行檢測。2003年,Cho等提出用HMM對關(guān)鍵的系統(tǒng)調(diào)用序列進(jìn)行建模。文獻(xiàn)設(shè)計了一種雙層H
4、MM模型進(jìn)行入侵檢測,而其小所用到的訓(xùn)練方法存在局部最優(yōu)以及吋間效率較低等問題限制了其在實(shí)際中的應(yīng)用。文獻(xiàn)依據(jù)在網(wǎng)絡(luò)數(shù)據(jù)包中發(fā)現(xiàn)的頻繁情節(jié),設(shè)計了棊于HMM的誤用檢測模型。文獻(xiàn)設(shè)計了一種基于節(jié)點(diǎn)牛長馬氏距離K均值和HMM的網(wǎng)絡(luò)入侵檢測方法。近些年,針對此方面的研究熱度依然不減。然而,從目前的研究情況看,雖然基于隱馬爾可夫模型的入侵檢測技術(shù)能収得較好的檢測效果,但是也存在著如下兒個問題:1)基于HMM的入侵檢測技術(shù)主要集屮在對主機(jī)的命令序列或者系統(tǒng)調(diào)用序列進(jìn)行建模,單一的數(shù)據(jù)源提供的信息較少,因此檢測效果仍然不夠理想。2)在線學(xué)習(xí)問題,隱馬爾可夫
5、模型的建立需要消耗大量的時間和空間對參數(shù)進(jìn)行調(diào)整學(xué)習(xí),這導(dǎo)致了HMM難以得到有效的利用。綜上所述,為克服現(xiàn)有模型算法所存在的問題,提出一種新的基于系統(tǒng)調(diào)用和進(jìn)程堆棧信息的HMM入侵檢測方法,該方法的主要思想是將系統(tǒng)調(diào)用和函數(shù)返回地址信息作為檢測數(shù)據(jù)源,并利用HMM來構(gòu)建主機(jī)特權(quán)進(jìn)程的正常行為模型。?其次,針對經(jīng)典模型訓(xùn)練法存在局部最優(yōu)口算法的復(fù)雜度較高等問題,設(shè)計一個更為簡單的訓(xùn)練算法來計算HMM的參數(shù),進(jìn)而提升算法效率。最后,設(shè)計了附加觀察值和附加狀態(tài)等參數(shù),用以消除非完備的數(shù)據(jù)以及零概率對模型的彩響。1、隱馬爾可夫模型馬爾可夫模型屮的每個狀
6、態(tài)都與一個具體的觀察事件相互對應(yīng),但實(shí)際問題町能會比Markov鏈模型所描述的情況更復(fù)雜,人們所能觀察到的事件一般情況下并不是與狀態(tài)完全一致對應(yīng)的,而是通過概率相聯(lián)系,這樣的模型稱為HMMoHMM是由馬爾可夫過程擴(kuò)充改變而形成的一種隨機(jī)模型算法,它的基木理論是由數(shù)學(xué)家Baum在20世紀(jì)60年代后期建立起來的。該方法最早在20世紀(jì)70年代應(yīng)用于語咅處理領(lǐng)域,而在20世紀(jì)80年代逐漸廣泛應(yīng)用于文本處理等各個領(lǐng)域中。20世紀(jì)90年代初以來,HMM及其各種推廣形式開始被用于圖像信號處理以及視頻信號處理等領(lǐng)域。HMM的狀態(tài)不能夠直接觀察到,而是可以通過觀
7、測向量序列得到,每個觀測向量都是由概率密度分布表現(xiàn)為不同的狀態(tài),因此其是具有一定狀態(tài)數(shù)的隱馬爾科夫鏈和顯示隨機(jī)函數(shù)集。而其在應(yīng)用過程中需要解決3個基本問題:對于給定的一個觀察序列0={01,02,…,OT}和一個HMM參數(shù)X=(n,A,B),有:1)評估問題,2)解碼問題,3)訓(xùn)練問題。2、基于HMM入侵檢測方法2.1模型的參數(shù)定義系統(tǒng)調(diào)用和函數(shù)返回地址反映了程序執(zhí)行時系統(tǒng)內(nèi)核層的服務(wù)行為。系統(tǒng)調(diào)用信息是進(jìn)程對資源的請求,它從一定程度上反映『進(jìn)程行為的變化過程。而層層嵌套的函數(shù)返回地址則反映了系統(tǒng)調(diào)用對內(nèi)核資源請求的過程。把函數(shù)返回地址的序列稱
8、為函數(shù)調(diào)用鏈,它代表了一個系統(tǒng)調(diào)用產(chǎn)牛?時完整的函數(shù)調(diào)用的路徑。假設(shè)函數(shù)f()是函數(shù)main()的一個子函數(shù)且被nKdn()調(diào)用,且函數(shù)f()直接調(diào)用