涂俊英

TU Jun-ying

（孝感學(xué)院 計(jì)算機(jī)與信息科學(xué)學(xué)院，孝感 432000）

0 引言

入侵檢測(cè)技術(shù)針對(duì)的對(duì)象可以分為兩大類別，分別是異常檢測(cè)和誤用檢測(cè)，行為控制是異常檢測(cè)的核心。目前的行為控制研究分為四個(gè)方面，分別是行為描述、數(shù)據(jù)源選擇、行為匹配、正常行為學(xué)習(xí)。數(shù)據(jù)源的來(lái)源一般包括兩個(gè)方面：系統(tǒng)調(diào)用和審計(jì)數(shù)據(jù)。本文所關(guān)注的是出自Wirex的框架結(jié)構(gòu)Linux Security Module（簡(jiǎn)稱LSM），該框架結(jié)構(gòu)統(tǒng)一支持Linux內(nèi)核的訪問(wèn)控制。本文將從LSM中獲得新的數(shù)據(jù)源，作為程序行為建模的數(shù)據(jù)，在此基礎(chǔ)上建立基于隱馬爾科夫的程序行為模型，主要目的在于在異常檢測(cè)方面降低誤報(bào)率，取得更好的效果。

1 基于LSM 數(shù)據(jù)源的程序行為異常檢測(cè)手段

1.1 檢測(cè)數(shù)據(jù)源的選取

由于LSM設(shè)計(jì)的初衷即是為了使Linux系統(tǒng)的安全性得到增強(qiáng)，而且可以提供大量的程序行為的信息，因此本文選擇其作為建立正常行為輪廓的數(shù)據(jù)源。LSM的優(yōu)勢(shì)在于能夠讓各類安全訪問(wèn)控制模型在Linux下以可加載內(nèi)核模塊來(lái)實(shí)現(xiàn)。根據(jù)具體需求的不同，用戶能夠在Linux內(nèi)核中加載適合的安全模塊，使得Linux安全訪問(wèn)控制機(jī)制的易用性以及靈活性均得到提升。與“系統(tǒng)調(diào)用”對(duì)比，LSM在系統(tǒng)調(diào)用或內(nèi)核函數(shù)內(nèi)進(jìn)行截獲點(diǎn)的部署，因而獲得了更加細(xì)的粒度。

1.2 LSM數(shù)據(jù)源的提取

LSM自身并不提供具體的安全策略。LSM對(duì)安全策略的定義是通過(guò)安全模塊的形式，并提供一個(gè)框架結(jié)構(gòu)，修改了內(nèi)核。用此框架結(jié)構(gòu)來(lái)存放加入了安全策略的內(nèi)核，以根據(jù)策略實(shí)現(xiàn)系統(tǒng)訪問(wèn)關(guān)鍵的資源前的安全檢查。

例如，當(dāng)某個(gè)文件被應(yīng)用程序訪問(wèn)時(shí)，首先在內(nèi)核的系統(tǒng)調(diào)用下對(duì)inode進(jìn)行查詢，以完成傳統(tǒng)的安全檢查，而當(dāng)此應(yīng)用程序真正要打開(kāi)該文件前，就會(huì)調(diào)用LSM鉤子函數(shù)來(lái)進(jìn)行探測(cè)。

使用security_operations結(jié)構(gòu)體來(lái)完成對(duì)LSM數(shù)據(jù)的提取。該結(jié)構(gòu)體的定義位于security.h中，其實(shí)質(zhì)是一個(gè)hook函數(shù)的指針列表，因此對(duì)所有的hook函數(shù)的訪問(wèn)均可通過(guò)這個(gè)結(jié)構(gòu)體進(jìn)行。hook函數(shù)在被調(diào)用的同時(shí),通過(guò)其調(diào)用軌跡也就得到了對(duì)該程序進(jìn)行監(jiān)控所需的行為特征，系統(tǒng)構(gòu)建一個(gè)叫做security operations的結(jié)構(gòu)體,該結(jié)構(gòu)體對(duì)鉤子函數(shù)的調(diào)用序列進(jìn)行詳細(xì)的記錄,將所記錄的數(shù)據(jù)作為數(shù)據(jù)源進(jìn)行異常檢測(cè)。

1.3 隱馬爾可夫模型的建立

隱馬爾可夫模型認(rèn)為，在正常情況下，系統(tǒng)中的進(jìn)程狀態(tài)是隨機(jī)的。將事件的觀察值序列定義為所獲取的被監(jiān)控程序的LSM消息序列，表示為：O1、O2……OT。隱馬爾可夫模型認(rèn)為，還有一個(gè)狀態(tài)序列隱藏在該觀察值序列后，表示的是程序?qū)嶋H處的狀態(tài)，表示為：O1、O2……OT。首先假設(shè)進(jìn)程的狀態(tài)構(gòu)成馬爾可夫鏈，即：P（Qi| Qi－1……Q1）＝ P（Qi| Qi－1），并且進(jìn)程的狀態(tài)與具體時(shí)間無(wú)關(guān)，即進(jìn)程具有平穩(wěn)性：P（Qi＋1| Qi）＝P（Qj＋1| Qj），再假設(shè)監(jiān)控的LSM消息序列是輸出獨(dú)立的，由此構(gòu)建出離散化輸出模型（一階隱馬爾可夫）。

以λ＝（N，M，π，A，B）作為離散化輸出模型（隱馬爾可夫模型），對(duì)被檢測(cè)的程序LSM變化進(jìn)行表示，此LSM消息的集合即構(gòu)成了觀察值集合。A與B分別為狀態(tài)轉(zhuǎn)移概率矩陣與輸出概率矩陣N表示狀態(tài)的個(gè)數(shù)，M表示觀察值的個(gè)數(shù)，π表示初始狀態(tài)概率矢量。

隱馬爾可夫模型建立之后，尚需對(duì)模型進(jìn)行離線訓(xùn)練。離線訓(xùn)練的內(nèi)容是在先斷開(kāi)外部網(wǎng)絡(luò)的情況下，對(duì)接受檢測(cè)的信息系統(tǒng)提取LSM序列，結(jié)合Baum-Welch算法，對(duì)輸出概率最大的隱馬爾科夫模型參數(shù)進(jìn)行獲取，最終得到λ＝（N，M，π，A，B）的隱馬爾科夫模型，對(duì)模型進(jìn)行離線訓(xùn)練的結(jié)果即為λ，其作用在于為下一步的在線檢測(cè)提供基礎(chǔ)。

研究對(duì)象為被檢測(cè)程序的LSM短序列集。設(shè)置兩個(gè)窗口：內(nèi)窗口和外窗口。內(nèi)窗口大小為k，通過(guò)其每次向后滑動(dòng)一個(gè)LSM序列，將監(jiān)控時(shí)獲取的LSM序列分別進(jìn)行處理，劃分為更短的序列，然后對(duì)每個(gè)短序列的具體出現(xiàn)概率進(jìn)行計(jì)算，計(jì)算出來(lái)的概率值ε設(shè)定為閾值，這樣只要發(fā)覺(jué)計(jì)算出的概率小于閾值ε，則判定系統(tǒng)安全出現(xiàn)異常，提示把異常的短序列數(shù)存儲(chǔ)下來(lái)。另外，再定義一個(gè)參數(shù)C來(lái)表示外滑動(dòng)窗口的大小，并定義δ=T/C表示系統(tǒng)的異常程度，即異常的短序列在C個(gè)短序列中的比值。對(duì)C個(gè)短序列的異常度計(jì)算完畢之后，外窗口向后滑動(dòng)一個(gè)短序列，實(shí)現(xiàn)對(duì)下一個(gè)異常度的計(jì)算，按照這種方法一直計(jì)算，假如發(fā)生了某一個(gè)異常度大于給定的閾值的情況免責(zé)判定程序出現(xiàn)異常，觸發(fā)報(bào)警。

2 系統(tǒng)概要設(shè)計(jì)

2.1 主機(jī)入侵檢測(cè)系統(tǒng)框架

當(dāng)前，來(lái)自加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室的公共入侵檢測(cè)框架CIDF是較多被使用的結(jié)構(gòu)模型。這種模型用以下幾個(gè)組件對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行構(gòu)建，分別是：1）用E盒表示的事件產(chǎn)生器；2）用A盒表示的事件分析器；3）用R盒表示的響應(yīng)單元；4）用D盒表示的事件數(shù)據(jù)庫(kù)。

框架的具體操作流程為：事件數(shù)據(jù)被E盒通過(guò)探測(cè)器進(jìn)行收集，收集到的事件傳送至A盒進(jìn)行處理分析；A、E盒分析之后的數(shù)據(jù)由D盒存儲(chǔ)，此外D盒還提供額外的提供信息；A、E盒中的數(shù)據(jù)被R盒提取出來(lái)，并在D盒處產(chǎn)生響應(yīng)。由通用入侵檢測(cè)對(duì)象和通用入侵規(guī)范語(yǔ)言對(duì)A、E、D及R盒之間的通信提供支持。

2.2 入侵檢測(cè)系統(tǒng)總體設(shè)計(jì)

入侵檢測(cè)系統(tǒng)總體設(shè)計(jì)的參照來(lái)自CIDF框架，并將整個(gè)入侵檢測(cè)系統(tǒng)劃分為以下幾個(gè)主要部分，分別是系統(tǒng)監(jiān)控部分、用戶與內(nèi)核通信部分、隱馬爾科夫事件分析部分以及結(jié)果響應(yīng)與記錄部分。下面的框圖闡釋出各個(gè)主要模塊及其模塊間的交互關(guān)系：

圖1 入侵檢測(cè)系統(tǒng)總體設(shè)計(jì)各個(gè)主要模塊及其模塊間的交互關(guān)系

從圖1中也可以看出，入侵檢測(cè)系統(tǒng)的整體操作過(guò)程是提取內(nèi)核空間的LSM序列，向用戶空間發(fā)送，進(jìn)而被用戶空間的隱馬爾科夫事件分析模塊處理和分析。

3 系統(tǒng)詳細(xì)設(shè)計(jì)

3.1 LSM監(jiān)控模塊的設(shè)計(jì)

LSM監(jiān)控模塊主要完成以下功能：1）進(jìn)入內(nèi)核進(jìn)行監(jiān)控，對(duì)程序的LSM消息序列進(jìn)行獲取和存儲(chǔ)；2）對(duì)LSM消息序列進(jìn)行保存。本文采用了內(nèi)核鏈表中的反包含技術(shù)對(duì)內(nèi)核維護(hù)的LSM消息隊(duì)列進(jìn)行設(shè)計(jì)。

3.2 內(nèi)核與用戶空間通訊模塊設(shè)計(jì)

雙向數(shù)據(jù)傳輸具體做法是：調(diào)用netlink_kernel_create函數(shù)在LSM監(jiān)控模塊的初始化函數(shù)中創(chuàng)建一個(gè)netlink socket，應(yīng)用程序在用戶空間發(fā)來(lái)的請(qǐng)求和數(shù)據(jù)均可通過(guò)這個(gè)socket被內(nèi)核程序所獲取。使用標(biāo)準(zhǔn)的socketAPI在用戶空間的應(yīng)用程序創(chuàng)建的netlink socket，可以以一定的時(shí)間粒度,基于這個(gè)socket通過(guò)發(fā)送請(qǐng)求消息給內(nèi)核，被內(nèi)核netlink socket接收，對(duì)netlink_unicast函數(shù)進(jìn)行調(diào)用來(lái)發(fā)送消息。截獲LSM監(jiān)控模塊，并在隊(duì)列中進(jìn)行保存，向用戶空間發(fā)送隊(duì)列中的LSM數(shù)據(jù)，以此實(shí)現(xiàn)用戶空間與內(nèi)核空間的通訊。

3.3 隱馬爾科夫事件分析模塊的設(shè)計(jì)

圖2顯示了隱馬爾科夫事件分析模塊的程序流程：閾值，則向結(jié)果記錄與響應(yīng)模塊發(fā)送警報(bào)，提示程序中出現(xiàn)了異常狀況。因此，檢測(cè)模式進(jìn)行異常檢測(cè)是通過(guò)對(duì)從內(nèi)核得到的LSM序列進(jìn)行持續(xù)的處理而實(shí)現(xiàn)的。對(duì)于訓(xùn)練模式而言，被監(jiān)控程序的LSM序列來(lái)自用戶空間通訊模塊，并寫(xiě)入設(shè)計(jì)格式的文件，若訓(xùn)練的條件滿足，則結(jié)合Baum-Welch算法來(lái)訓(xùn)練該序列，從而獲取隱馬爾科夫模型輸出概率最大的參數(shù)。

3.4 系統(tǒng)調(diào)用監(jiān)控模塊的設(shè)計(jì)

為了實(shí)現(xiàn)系統(tǒng)調(diào)用數(shù)據(jù)與LSM數(shù)據(jù)源的直觀的對(duì)比，采用syscallMonitor系統(tǒng)調(diào)用監(jiān)控模塊來(lái)實(shí)現(xiàn)對(duì)服務(wù)程序的系統(tǒng)調(diào)用序列的截獲。具體的實(shí)現(xiàn)原理為：首先對(duì)自己的系統(tǒng)調(diào)用進(jìn)行定義，然后替換操作系統(tǒng)中原來(lái)的系統(tǒng)調(diào)用。第一步是對(duì)要監(jiān)控的系統(tǒng)調(diào)用函數(shù)進(jìn)行定義，第二步是替換操作系統(tǒng)中原來(lái)的系統(tǒng)調(diào)用，在module的退出函數(shù)中向sys_call_table中賦值原系統(tǒng)調(diào)用函數(shù)地址，即可實(shí)現(xiàn)。

圖2 隱馬爾科夫事件分析模塊的程序流程

該模塊具備兩種不同的工作方式，分別是檢測(cè)模式和訓(xùn)練模式：對(duì)于檢測(cè)模式而言，被監(jiān)控程序的LSM序列來(lái)自內(nèi)核空間和用戶空間通訊模塊。此LSM序列存儲(chǔ)在隊(duì)列結(jié)構(gòu)中，為下一步的滑動(dòng)窗口處理做好準(zhǔn)備。如果發(fā)現(xiàn)異常度超過(guò)了

4 結(jié)束語(yǔ)

本文基于Linux平臺(tái)，闡述了在LSM數(shù)據(jù)源的支持下構(gòu)建隱馬爾可夫模型的檢測(cè)方法，并最終實(shí)現(xiàn)了在Linux平臺(tái)下的異常檢測(cè)原型系統(tǒng)。從而在異常檢測(cè)方面降低誤報(bào)率，取得更好的檢測(cè)效果。下一步的工作是對(duì)異常事件的主動(dòng)響應(yīng)進(jìn)行研究，提取被監(jiān)控程序的大量LSM信息，同時(shí)監(jiān)控多個(gè)程序，提高其檢測(cè)效果和性能。

[1] 張響亮,王偉,管曉宏.基于隱馬爾可夫模型的程序行為異常檢測(cè)[J].西安交通大學(xué)學(xué)報(bào),2005,39(10)：1056-1059

[2] 王偉.多信息源的實(shí)時(shí)入侵檢測(cè)方法研究[D].西安,西安交通大學(xué),2005