摘 要 在计算机安全领域,特别是网络安全领域,对计算机系统进行脆弱性检测十分重要,其最终目的就是要指导系统管理员在“提供服务”和“保证安全”这两者之间找到平衡
本文首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程
通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效
实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率
因此,适合用于在计算机系统上进行实时检测
关键字 入侵检测; 隐马尔可夫模型(HMM); 特权流; 系统安全; 网络安全; 脆弱性 1 引言 计算机网络的出现使得独立的计算机能够相互进行通信,提高了工作效率
然而,人们在享受网络带来的种种方便、快捷服务的同时,也不得不面临来自网络的种种威胁——黑客入侵、计算机病毒和拒绝服务攻击等等
早在主机终端时代,黑客攻击就已经出现,当时黑客的主要攻击对象还主要是针对单个主机
而计算机病毒也不是网络出现后的新鲜产物,在独立的PC 时代它已经开始通过各种途径传播
然而网络为上面两种攻击提供了更多的攻击对象、更新的攻击方式,从而也使得它们危害性更大
近年来,随着互联网的迅速发展,黑客、病毒攻击事件越来越多
按照检测方法,入侵检测可以分为两类:误用检测和异常检测
(1)误用检测:收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
(2)异常检测:首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
误用检测需要已知入侵的行为模式,所以不能检测未知的入侵
异常检测则可以检测未知的入侵
基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵
文章提出了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS),它是一种异常检测技术
因此,不仅可以检测已知的入侵,而且还可以检测未知的入侵
更重要的是,它通过仅仅考虑基于攻击域知识的特权流事件来大大缩短建模时间并提高检测性能
因此,更加适合用于在计算机系统上进行实时检测
2 计算机脆弱性 在研究计算机脆弱性的过程中,对于“计算机脆弱性”(computer vulnerability) 这个词组的精确定义争论很大,下面是众多被广泛认可的定义中的两个
1) 1996 年Bishop 和Bailey 给出的关于“计算机脆弱性”的定义 [1] : “计算机系统是由一系列描述构成计算机系统的实体的当前配置的状态(states) 组成,系统通过应用状态变换( state transitions) (即改变系统状态) 实现计算
从给定的初始状态使用一组状态变换可以到达的所有状态最终分为由安全策略定义的两类状态: 已授权的(authorized) 或者未授权的( unauthorized)
” “脆弱(vulnerable) 状态是指能够使用已授权的状态变换到达未授权状态的已授权状态
受损(compromised) 状态是指通过上述方法到达的状态
攻击(attack) 是指以受损状态结束的已授权状态变换的顺序
由定义可得,攻击开始于脆弱状态
” “脆弱性(vulnerability) 是指脆弱状态区别于非脆弱状态的特征
广义地讲,脆弱性可以是很多脆弱状态的特征;狭义地讲,脆弱性可以只是一个脆弱状态的特征……” 2) Longley D.,Shain M.,Caelli W.对于“计算机脆弱性”的解释是这样的 [2] : (1) 在风险管理领域中,存在于自动化系统安全过程、管理控制、内部控制等事件中的,能够被渗透以获取对信息的未授权访问或者扰乱关键步骤的弱点
(2) 在风险管理领域中,存在于物理布局、组织、过程、人事、管理、硬件或软件中的,能够被渗透以对自动数据处理(ADP) 系统或行为造成损害的弱点
脆弱性的存在本身并不造成损害
脆弱性仅仅是可能让ADP 系统或行为在攻击中受损的一个或者一组条件
(3) 在风险管理领域中,任何存在于系统中的弱点和缺陷
攻击或者有害事件,或者危险主体可以用于实施攻击的机会
(4) 在信息安全领域中,被评价目标所具有的能够被渗透以克服对策的属性或者安全弱点
从上面的两个定义我们得出一个计算机脆弱性的简单定义:计算机脆弱性是系统的一组特性,恶意的主体(攻击者或者攻击程序) 能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害
3 系统结构 基于隐马尔可夫模型的入侵检测系统主要有审计数据预处理器、过滤器和基于HMM 的分类器三部分组成,如图1 所示
图1 基于HMM的入侵检测系统 审计数据预处理器负责将原始审计记录转变为分析引擎可以接受的标准格式
过滤器负责决定哪些审计事件是适合系统的、哪些审计数据字段对系统分析来说是充分有用的
基于HMM 的分类器负责对过滤后的数据进行分类,产生检测结果
整个系统的工作过程分为两个阶段:训练阶段和检测阶段
在训练阶段,根据已知的正常审计数据和异常审计数据来训练分类器,并得出相应的参数
在检测阶段,预处理器将审计数据转换成标准格式,再通过过滤器得到充分有用的数据,然后通过基于HMM 的分类器进行分类,从而区分出正常行为和入侵行为
4 隐马尔可夫模型 马尔可夫模型是一个离散时域有限状态自动机,隐马尔可夫模型(HMM)是指这一马尔可夫模型的内部状态外界不可见,外界只能看到各个时刻的输出值
[4] 隐马尔可夫模型本质上是一种双重随机过程有限状态自动机,其中的双重随机过程是指满足Markov分布的状态转换Markov 链以及每一状态的观察输出概率密度函数,共两个随机过程
设X i 是一个随机变量,它表示时刻t 系统的状态,其中t=0,1,2,…
用HMM 建模系统正常行为特征需做出如下两个假设: P(X i+1 =i t+1 |X / t =i t ,X i-1 =i t-1 ,…,x 0 =i 0 )=P(X i+1 =i t+1 |X t =i t (1) P(X i+1 =i t+1 |X t =i t )=P(X i+1 =j|X t =i)=P ij (2) 对每个t 和所有的状态都成立
其中P ij 表示系统在时刻t处于状态的条件下,在时刻t+1处于状态j的概率
等式(1)说明在时刻t+1 系统状态的概率分布只与时刻t 时的状态有关,而与时刻t以前的状态无关
等式(2)说明由时刻t 到时刻t+1的状态转移与时间无关
如果系统有有限数目的状态:1,2…,s,则HMM可以用转移概率矩阵P和初始概率分布Q来定义: (3) (4) 其中q i 是系统在时刻0时处于状态i的概率,并且: (5) 给定状态序列X t-k ,...,X t 在时刻t-k,...,t出现的联合概率表示为: P(X t-k ,…,X t )= (6) 训练数据提供了在时刻t=0,1,...N-1时刻状态X 0 ,X 1 ,X 2 ,...X N-1 的观察值,HMM的转移概率矩阵和初始概率分布通过学习训练数据来得到
由训练数据计算转移概率矩阵和初始概率分布如下: P ij =N ij /N i (7) q i =N i /N (8) 其中N ij 表示X t 在状态i、X t+1 在状态j的观察值对(X t ,X t+1 )的数目,N t 表示X t 在状态i、X t+1 在任何状态的观察值对(X t ,X t+1 )的数目,N i 表示X t 在状态i的数目,N表示观察值总数
