基于隐马尔可夫模型的系统脆弱性检测.docx
《基于隐马尔可夫模型的系统脆弱性检测.docx》由会员分享,可在线阅读,更多相关《基于隐马尔可夫模型的系统脆弱性检测.docx(14页珍藏版)》请在咨信网上搜索。
1、基于隐马尔可夫模型的系统脆弱性检测摘要在计算机安全领域,特别是网络安全领域,对计算机系统进行脆弱性检测十分重要,其最终目的就是要指导系统管理员在“提供服务”和“保证安全”这两者之间找到平衡。本文首先介绍了基于隐马尔可夫模型的入侵检测系统框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。 关键字 入侵检测; 隐马尔
2、可夫模型; 特权流;系统安全; 网络安全; 脆弱性1引言 计算机网络的出现使得独立的计算机能够相互进行通信,提高了工作效率。 然而,人们在享受网络带来的种种方便、快捷服务的同时,也不得不面临来自网络的种种威胁黑客入侵、计算机病毒和拒绝服务攻击等等。 早在主机终端时代,黑客攻击就已经出现,当时黑客的主要攻击对象还主要是针对单个主机。 而计算机病毒也不是网络出现后的新鲜产物,在独立的PC 时代它已经开始通过各种途径传播。 然而网络为上面两种攻击提供了更多的攻击对象、更新的攻击方式,从而也使得它们危害性更大。近年来,随着互联网的迅速发展,黑客、病毒攻击事件越来越多。按照检测方法,入侵检测可以分为两类
3、:误用检测和异常检测。 误用检测:收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。 异常检测:首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测需要已知入侵的行为模式,所以不能检测未知的入侵。异常检测则可以检测未知的入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。 文章提出了基于隐马尔可夫模型的入侵检测系统,它是一种异常检测技术。因此,不仅可以检测已知的入侵,而且还可以检测未知的入侵。更重要的是,它通过仅仅考虑基于攻击域知识的特权流
4、事件来大大缩短建模时间并提高检测性能。因此,更加适合用于在计算机系统上进行实时检测。2 计算机脆弱性 在研究计算机脆弱性的过程中,对于“计算机脆弱性”(computer vulnerability) 这个词组的精确定义争论很大,下面是众多被广泛认可的定义中的两个。 1) 1996 年Bishop 和Bailey 给出的关于“计算机脆弱性”的定义1: “计算机系统是由一系列描述构成计算机系统的实体的当前配置的状态(states) 组成,系统通过应用状态变换( state transitions) (即改变系统状态) 实现计算。 从给定的初始状态使用一组状态变换可以到达的所有状态最终分为由安全策略
5、定义的两类状态: 已授权的(authorized) 或者未授权的( unauthorized) 。 ” “脆弱(vulnerable) 状态是指能够使用已授权的状态变换到达未授权状态的已授权状态。 受损(compromised) 状态是指通过上述方法到达的状态。攻击(attack) 是指以受损状态结束的已授权状态变换的顺序。 由定义可得,攻击开始于脆弱状态。 ” “脆弱性(vulnerability) 是指脆弱状态区别于非脆弱状态的特征。广义地讲,脆弱性可以是很多脆弱状态的特征;狭义地讲,脆弱性可以只是一个脆弱状态的特征” 2) Longley D.,Shain M.,Caelli W.对于“
6、计算机脆弱性”的解释是这样的: (1) 在风险管理领域中,存在于自动化系统安全过程、管理控制、内部控制等事件中的,能够被渗透以获取对信息的未授权访问或者扰乱关键步骤的弱点。(2) 在风险管理领域中,存在于物理布局、组织、过程、人事、管理、硬件或软件中的,能够被渗透以对自动数据处理(ADP) 系统或行为造成损害的弱点。 脆弱性的存在本身并不造成损害。 脆弱性仅仅是可能让ADP 系统或行为在攻击中受损的一个或者一组条件。(3) 在风险管理领域中,任何存在于系统中的弱点和缺陷。 攻击或者有害事件,或者危险主体可以用于实施攻击的机会。(4) 在信息安全领域中,被评价目标所具有的能够被渗透以克服对策的属
7、性或者安全弱点。从上面的两个定义我们得出一个计算机脆弱性的简单定义:计算机脆弱性是系统的一组特性,恶意的主体(攻击者或者攻击程序) 能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。3 系统结构 基于隐马尔可夫模型的入侵检测系统主要有审计数据预处理器、过滤器和基于HMM 的分类器三部分组成,如图1 所示。图1 基于HMM的入侵检测系统 审计数据预处理器负责将原始审计记录转变为分析引擎可以接受的标准格式。过滤器负责决定哪些审计事件是适合系统的、哪些审计数据字段对系统分析来说是充分有用的。基于HMM 的分类器负责对过滤后的数据进行分类,产生检测结果。 整个系统的工
8、作过程分为两个阶段:训练阶段和检测阶段。在训练阶段,根据已知的正常审计数据和异常审计数据来训练分类器,并得出相应的参数。在检测阶段,预处理器将审计数据转换成标准格式,再通过过滤器得到充分有用的数据,然后通过基于HMM 的分类器进行分类,从而区分出正常行为和入侵行为。4 隐马尔可夫模型 马尔可夫模型是一个离散时域有限状态自动机,隐马尔可夫模型是指这一马尔可夫模型的内部状态外界不可见,外界只能看到各个时刻的输出值。隐马尔可夫模型本质上是一种双重随机过程有限状态自动机,其中的双重随机过程是指满足Markov分布的状态转换Markov 链以及每一状态的观察输出概率密度函数,共两个随机过程。 设Xi是一
9、个随机变量,它表示时刻t 系统的状态,其中t=0,1,2,。用HMM 建模系统正常行为特征需做出如下两个假设:P=P(Xi+1=it+1|Xt=it (1)P=P(Xi+1=j|Xt=i)=Pij (2) 对每个t 和所有的状态都成立。其中Pij表示系统在时刻t处于状态的条件下,在时刻t+1处于状态j的概率。等式说明在时刻t+1 系统状态的概率分布只与时刻t 时的状态有关,而与时刻t以前的状态无关。等式说明由时刻t 到时刻t+1的状态转移与时间无关。 如果系统有有限数目的状态:1,2,s,则HMM可以用转移概率矩阵P和初始概率分布Q来定义: (3) (4) 其中qi是系统在时刻0时处于状态i的
10、概率,并且:(5) 给定状态序列Xt-k,.,Xt在时刻t-k,.,t出现的联合概率表示为:P(Xt-k,Xt)=(6) 训练数据提供了在时刻t=0,1,.N-1时刻状态X0,X1,X2,.XN-1的观察值,HMM的转移概率矩阵和初始概率分布通过学习训练数据来得到。由训练数据计算转移概率矩阵和初始概率分布Pij=Nij/Ni (7) qi=Ni/N (8)其中Nij表示Xt在状态i、Xt+1在状态j的观察值对的数目,Nt表示Xt在状态i、Xt+1在任何状态的观察值对的数目,Ni表示Xt在状态i的数目,N表示观察值总数。5 正常行为建模 为了检测入侵,通常使用两类数据来捕捉计算机和网络中的行为:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 隐马尔可夫 模型 系统 脆弱 检测
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。