趙海濤 宋 倩

(海軍駐南京地區(qū)航天機電系統(tǒng)軍事代表室 南京 210006)

基于模式識別的信息系統(tǒng)入侵攻擊在線發(fā)現(xiàn)技術(shù)研究

趙海濤 宋 倩

(海軍駐南京地區(qū)航天機電系統(tǒng)軍事代表室 南京 210006)

在信息系統(tǒng)安全防護領(lǐng)域的研究中,人們一直致力于研究如何挖掘并修復信息系統(tǒng)自身的安全漏洞。面對多變的安全入侵方式,只能根據(jù)先驗經(jīng)驗進行甄別和防護,缺少智能識別和防護的手段。論文提出了一種基于模式識別的信息系統(tǒng)入侵攻擊在線發(fā)現(xiàn)與自適應(yīng)規(guī)避技術(shù),通過自學習的方式豐富攻擊模式庫,并根據(jù)攻擊模式庫自動甄別入侵行為,進而啟用相應(yīng)的規(guī)避策略,保護信息系統(tǒng)的安全。

模式識別; 入侵攻擊; 自適應(yīng)規(guī)避高速高機動; 路徑跳轉(zhuǎn); 判決函數(shù)

Class Number O235

1 信息系統(tǒng)安全防護發(fā)展現(xiàn)狀

隨著信息技術(shù)的發(fā)展和信息系統(tǒng)的廣泛應(yīng)用,企業(yè)生產(chǎn)、試驗、管理等方式均向數(shù)字化、集成化、網(wǎng)絡(luò)化、智能化的方向轉(zhuǎn)變,然而電子信息系統(tǒng)在帶給人們便利的同時也帶來了安全隱患[5～6]。例如：在一些高安全領(lǐng)域,系統(tǒng)受到外部攻擊或者內(nèi)部信息泄漏將造成嚴重的后果；普通領(lǐng)域中的關(guān)鍵設(shè)備遭到攻擊或敏感信息泄漏同樣會造成不同程度的經(jīng)濟或政治影響。目前,大多數(shù)企業(yè)的信息系統(tǒng)建設(shè)大都遵循著相關(guān)標準構(gòu)建一定級別的安全防護措施(防火墻、殺毒軟件等),但是均屬于被動防護措施,基于先驗經(jīng)驗判斷當前操作是否為攻擊行為,當新的攻擊方式出現(xiàn)時,不能進行在線判斷,并給出相應(yīng)的規(guī)避措施[1～2,6～8]。

模式識別技術(shù)的一般技術(shù)架構(gòu)包括構(gòu)建模式空間、針對模式空間構(gòu)建特征空間、根據(jù)判決準則形成類別空間三部分。一般情況下,模式空間中包含已知的各種攻擊模式,按照傳統(tǒng)理論,首先由人類對現(xiàn)有攻擊模式進行總結(jié)、分析和歸納,構(gòu)造盡可能全面的攻擊模式空間,對所有攻擊模式進行特征提取,根據(jù)經(jīng)驗確定判決準則。然后把人類大腦加工的成果教給機器,讓機器根據(jù)已有的攻擊模式的特征對未知模式進行判別,甄別一般使用和安全攻擊。這種方式即為離線方式,應(yīng)用過程中受制于人類的經(jīng)驗,應(yīng)用效果較差[3～5]。

針對上述問題,本文提出了一種基于模式識別的信息系統(tǒng)入侵攻擊在線發(fā)現(xiàn)與自適應(yīng)規(guī)避技術(shù)。根據(jù)信息系統(tǒng)自身的特點,提取路徑跳轉(zhuǎn)的運行規(guī)則模型,以運行規(guī)則模型為基礎(chǔ),研究入侵攻擊的在線發(fā)現(xiàn)技術(shù),使得檢測機制無需事前獲得大量的先驗信息；通過自學習的方式不斷擴充攻擊模式空間庫,當安全漏洞被攻擊時,不依賴于已存在的模式空間,可以及時給出告警提示,為信息系統(tǒng)提供持續(xù)且不斷增強的安全防護能力。

2 基于模式識別的信息系統(tǒng)入侵攻擊在線發(fā)現(xiàn)與自適應(yīng)規(guī)避模型

模式識別(pattern recognition),也可譯作模式辨認、圖像識別、圖形識別,是近30年來得到迅速發(fā)展的一門新興邊緣學科。按照廣義的定義,模式是一些供模仿用的、完美無缺的標本。模式識別就是識別出特定客體所模仿的標本。模式識別的目標包括對于系統(tǒng)的描述、理解與綜合。模式識別的高級階段是通過大量信息對復雜過程進行學習、判斷和尋找規(guī)律,從這個意義上說,模式識別與“學習”或“概念形成”的意義是相近的。模式識別的一般過程如下圖所示[4]。

圖1 模式識別的一般過程

本文將模式識別過程引入到信息系統(tǒng)入侵攻擊在線發(fā)現(xiàn)過程中,構(gòu)建出基于模式識別的信息系統(tǒng)入侵攻擊在線發(fā)現(xiàn)與自適應(yīng)規(guī)避模型,具體見圖2所示。不同于基于先驗經(jīng)驗構(gòu)造的入侵攻擊檢測,本文提出的基于自學習的在線入侵攻擊檢測機制。首先對信息系統(tǒng)的外部輸入數(shù)據(jù)和行為進行模式采集,形成模式空間；對模式空間中的各元素進行綜合分析,獲取能揭示樣本屬性的觀測量作為主要特征,構(gòu)造特征空間；根據(jù)統(tǒng)計方法設(shè)計分類器,把被識別對象歸為某一類,給出識別結(jié)果；若識別結(jié)果為安全攻擊,則根據(jù)映射規(guī)則,啟動安全攻擊預警并啟動相應(yīng)的規(guī)避策略。然后比對此次攻擊行為的攻擊模式與現(xiàn)有的模式空間庫,若此次攻擊模式不屬于已有的模式空間,則針對該攻擊行為提取新的特征值,豐富特征空間、模式空間和規(guī)避規(guī)則庫[9～11]。

圖2 基于模式識別的入侵攻擊在線檢測及自適應(yīng)規(guī)避模型

由圖2可知,該模型可分為入侵攻擊在線監(jiān)測和入侵攻擊自適應(yīng)規(guī)避兩部分,入侵攻擊在線監(jiān)測部分主要根據(jù)模式識別的理論框架,分別對模式空間構(gòu)建技術(shù)、特征空間構(gòu)建技術(shù)和類型空間劃分的判決準則進行研究。大體的研究思路如下：首先把程序跳轉(zhuǎn)流程進行形式化描述,存入到攻擊模式空間庫；特征空間庫中存儲的是節(jié)點間的跳轉(zhuǎn)概率；跳轉(zhuǎn)概率取多大作為判斷行為為入侵行為的標準值叫做決策面,這個值一般關(guān)系到漏洞檢測的漏報率和準確性；將取決策面的過程轉(zhuǎn)化成數(shù)學模型中求函數(shù)極值的問題,將在2.3節(jié)進行詳細介紹。

2.1 基于路徑跳轉(zhuǎn)的模式空間構(gòu)建技術(shù)

在研究用機器進行模式識別的理論與技術(shù)中,模式是根據(jù)事物的一組主要的有意義的特征或?qū)傩?對事物的一種定量的或結(jié)構(gòu)的描述,是以數(shù)量信息為特征的一種描述方法。用這種方法描述時,首先要選擇事物的n個有意義的數(shù)量特征,通常用小寫字母x1,x2,…,xn表示,然后把這n個特征表示為列向量形式,用大寫字母X表示。具體為

X也可以表示成

上標T表示轉(zhuǎn)置。X稱為特征向量,又稱為模式。一個模式向量可以表示為n維歐式空間中的一個點,稱為點模式。同一類模式比較相似,在歐式空間中,它們一般相距較近,相互聚集在一起,不同類的模式差異較大,在歐式空間中相互相距較遠。

本文以信息系統(tǒng)的路徑跳轉(zhuǎn)為基礎(chǔ),提取信息系統(tǒng)正常運轉(zhuǎn)過程中的跳轉(zhuǎn)路徑,進行模式采集,構(gòu)建模式空間?；诼窂教D(zhuǎn)的模式空間構(gòu)建過程如下：

2) 基于自頂向下的方式分析信息系統(tǒng)的組織結(jié)構(gòu),生成信息系統(tǒng)的實體模塊組成集合C和邏輯調(diào)用關(guān)系集合R；

3) 完成信息系統(tǒng)正常運行模式集合到實體模塊組成集合C以及邏輯調(diào)用關(guān)系集合R的映射,并根據(jù)映射結(jié)果構(gòu)建基于路徑跳轉(zhuǎn)的模式空間。

入侵檢測機制初始化后,模式空間中包含的是根據(jù)先驗經(jīng)驗構(gòu)造的入侵攻擊模式。首先提取系統(tǒng)的運行流程圖,根據(jù)系統(tǒng)的業(yè)務(wù)功能,分析各節(jié)點間的跳轉(zhuǎn)概率；接著,啟動系統(tǒng),根據(jù)系統(tǒng)運行過程中,節(jié)點的跳轉(zhuǎn)概率判定此次執(zhí)行是一般操作模式還是攻擊模式,并記錄此次操作的完整路徑；若判定結(jié)果為攻擊模式,則將此次操作的路徑添加到模式空間；然后根據(jù)路徑信息提取特征和判決準則,添加到特征空間庫,過程如下圖所示。

圖3 基于路徑跳轉(zhuǎn)驅(qū)動的模式空間構(gòu)建技術(shù)示意圖

2.2 特征空間構(gòu)建算法研究

特征空間分為兩部分：跳轉(zhuǎn)關(guān)系特征和攻擊行為特征。跳轉(zhuǎn)關(guān)系特征通過分析系統(tǒng)的運行流程圖獲得；攻擊行為特征一部分通過經(jīng)驗獲得,另一部分由在線學習過程得到的攻擊行為路徑獲得。通過對跳轉(zhuǎn)關(guān)系進行形式化描述,獲取跳轉(zhuǎn)關(guān)系模型,構(gòu)建能夠計算特征值的數(shù)據(jù)模型,從而構(gòu)建跳轉(zhuǎn)關(guān)系特征空間；攻擊行為特征一部分通過經(jīng)驗獲得,另一部分由自學習過程獲取,對于自學習過程中獲取的攻擊行為,首先獲取該攻擊行為的行為路徑和數(shù)據(jù)輸入,分別提取其跳轉(zhuǎn)關(guān)系特征和攻擊行為特征,并對新特征進行形式化描述添加到特征空間中。

通過提取系統(tǒng)的跳轉(zhuǎn)流程,構(gòu)建運行規(guī)則模型,建立跳轉(zhuǎn)行為的概率模型,通過對概率模型進行數(shù)學運算,基于跳轉(zhuǎn)關(guān)系,生成的攻擊模式；當攻擊模式不屬于攻擊模式空間中任何一種類型時,分析該攻擊行為的路徑和數(shù)據(jù),通過數(shù)學運算生成新的攻擊模式,添加到攻擊模式空間庫。特征空間的構(gòu)建算法如下圖所示。

圖4 特征空間構(gòu)建算法示意圖

2.3 判決準則生成技術(shù)研究

在判決過程中,判決結(jié)果的精確度和漏報率作為判決結(jié)果的重要指標,始終呈矛盾狀態(tài)出現(xiàn)。業(yè)界通常的做法是選擇一個折中的閾值,讓判決結(jié)果的精確度和漏報率均落在可接受的區(qū)間內(nèi)。判決準則的生成技術(shù)往往被轉(zhuǎn)化稱數(shù)學模型中求極值的問題,步驟如下：

第一步：應(yīng)針對不同的實際情況,提出設(shè)計要求,設(shè)計判別函數(shù),使得判別函數(shù)能更好地滿足這些要求Q{q1,q2,…,qn}；

第二步：利用樣本集估計判別函數(shù)中的未知參數(shù),滿足設(shè)計要求中“盡可能好”的要求；

第三步：求解判別函數(shù)取最優(yōu)值,利用最優(yōu)化技術(shù)解決模式識別問題。

根據(jù)本文要解決的問題可知模式空間有兩類：攻擊行為模式和非攻擊行為模式,由ω1,ω2表示,因此可用線性判別函數(shù)把兩類模式分割出來。令

g(X)=ω1x1+ω2x2+ω3=0

其中ω是參數(shù),x1,x2是特征變量,屬于ω1類的任一模式X代入g(X)后將得到正的數(shù)值,屬于ω2類的任一模式代入g(X)后將得到負的數(shù)值,因此g(X)可作為一個判別函數(shù)。若給定一個位置的模式X,當g(X)>0時,X屬于ω1類；當g(X)<0時,X屬于ω2類；當g(X)=0時,X處于分割邊界上,即處于不確定狀態(tài),此時需對特征變量的元素取值進行分析,如果取值為正的元素個數(shù)多余取值為負的元素個數(shù),則規(guī)定X屬于ω1類,反之,則規(guī)定X屬于ω2類。

2.4 入侵攻擊自適應(yīng)規(guī)避技術(shù)

簡單來講是,通過比較用戶行為和攻擊模式庫,對匹配上的攻擊行為,啟動已經(jīng)存在的規(guī)避策略,若用戶行為繞過了攻擊模式庫,但是被程序跳轉(zhuǎn)識別機制識別為入侵攻擊,此時規(guī)避規(guī)則庫中是沒有對應(yīng)的規(guī)避策略的,解決方案就是按照相關(guān)度進行檢索,尋找最大相關(guān)度的規(guī)避策略,若相關(guān)度都很小,則強制啟動系統(tǒng)功能降級運行。

圖5 自適應(yīng)規(guī)避機制實現(xiàn)機制

信息系統(tǒng)入侵攻擊在線自適應(yīng)規(guī)避技術(shù)的核心是研究自適應(yīng)規(guī)避技術(shù)的實現(xiàn)機制?；緦崿F(xiàn)流程是,當系統(tǒng)檢測到入侵攻擊時,自動啟動對應(yīng)規(guī)避策略,保護系統(tǒng)免遭破壞。但存在下述問題：如何將攻擊模式對規(guī)避規(guī)則庫中的規(guī)避策略對應(yīng)起來；如果攻擊模式是系統(tǒng)通過自學習獲取的,則規(guī)避規(guī)則庫中可能沒有對應(yīng)的規(guī)避規(guī)則,這種情況該如何處理。針對上述問題,采用相關(guān)性匹配的方式為新的攻擊模式尋找規(guī)避策略,當相關(guān)性小于可接受域時,采取強制系統(tǒng)降功能運行的方式規(guī)避攻擊,并給出攻擊告警提示。自適應(yīng)規(guī)避技術(shù)的實現(xiàn)機制如圖5所示。

3 實驗與分析

采用本文提出的技術(shù)模型構(gòu)建信息系統(tǒng)的防御體系仿真模型,進行安全漏洞的在線發(fā)現(xiàn)與自適應(yīng)規(guī)避效果驗證,在漏洞發(fā)現(xiàn)時間、空間占用率、誤報率、正確率等方面與傳統(tǒng)的離線檢測技術(shù)進行對比。

選用100種典型漏洞攻擊進行實驗分析,并對各項指標求取平均值,漏洞發(fā)現(xiàn)時間以秒為單位,空間占用率以CPU占用率進行衡量,誤報率=誤報次數(shù)/100,漏報率=漏報次數(shù)/100。結(jié)果如下表所示。

表1 實驗分析結(jié)果

分析實驗數(shù)據(jù)可知,與傳統(tǒng)的漏洞檢測技術(shù)相比,基于模式識別的漏洞檢測技術(shù)的漏報率明顯減少,但也不可避免地帶來的誤報率增大的問題。

4 結(jié)語

本文提出的基于模式識別的信息系統(tǒng)安全漏洞在線發(fā)現(xiàn)與自適應(yīng)規(guī)避技術(shù),給出了完整的技術(shù)框架和詳細的技術(shù)實現(xiàn)。與現(xiàn)有的離線式安全漏洞發(fā)現(xiàn)與規(guī)避技術(shù)相比,本文提出的策略更智能、更靈活,能在信息系統(tǒng)使用過程中更早地發(fā)現(xiàn)系統(tǒng)的異常輸入,并采取相應(yīng)的規(guī)避措施。通過仿真實驗,基于模式識別的信息系統(tǒng)安全漏洞在線發(fā)現(xiàn)與自適應(yīng)規(guī)避技術(shù)能在更大程度上保證信息系統(tǒng)免遭攻擊和破壞,具有良好的應(yīng)用前景,如何在減小漏報率的前提下降低誤報率是本文今后研究和改進的方向。

[1] 郎良,張玉清,錢秀檳,等.漏洞檢測與自動防御系統(tǒng)模型的研究與實現(xiàn)[C]//中國計算機大會論文集,北京：清華大學出版社,2003:324-330.

[2] 張憲.基于復雜網(wǎng)絡(luò)的聯(lián)合作戰(zhàn)指揮網(wǎng)絡(luò)拓撲結(jié)構(gòu)研究[J].指揮控制與仿真,2014,5:1-2.

[3] 西奧多里蒂斯.國外計算機科學教材系列:模式識別[M].第2版.北京:電子工業(yè)出版社,2004:1-29.

[4] 邊肇琪,張學工.模式識別[M].第2版.北京：清華大學出版社,2007:31-67.

[5] 余精彩.網(wǎng)路漏洞掃描系統(tǒng)的必要性[J].2004,9:62-64.

[6] 殷虎.潛艇信息系統(tǒng)信息安全與縱深防護策略研究[J].指揮控制與仿真,2016,2:31-34.

[7] 唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].北京：電子工業(yè)出版社,2002:1-3.

[8] 劉蕊.指揮信息系統(tǒng)安全防護系統(tǒng)視圖研究[J].指揮控制與仿真,2014,5:7-10.

[9] 盛立東.模式識別導論[M].北京:北京郵電大學出版社,2010:18-55.

[10] 洪文學等.基于多元統(tǒng)計圖表示原理的信息融合和信息融合和模式識別技術(shù)[M].北京:國防工業(yè)出版社,2008:14-90.

[11] 楊綸標,高英儀.模糊數(shù)學原理及應(yīng)用[M].廣州:華南理工大學出版社,2008:31-51.

Intrusion Attack online Discovery Technology of Information System Based on Pattern Identification

ZHAO Haitao SONG Qian

(Navy Representative Office of Aerospace Mechanical and Eletrical System in Nanjing, Nanjing 210006)

In the research of information system security protection, excavating and repairing the security vulnerabilities of information system have always been the focus of attention. In the face of a variety of security intrusion, only priori experience of screening and protection can be supported and lack of intelligent means of identification and protection. In this paper, a new method based on pattern recognition is proposed. Following this method, the external input behavior of system is matched with the pattern feature which is extracted from the attack pattern. If they are matched, a corresponding strategy is going to be automatically enabled to protect the security of information system,at the same time. The attack pattern library is able to continuously enrich through self-learning.

pattern identification, intrusion attack, adaptive avoidance, path jump, decision function

2016年7月9日,

2016年8月26日

趙海濤,男,碩士,工程師,研究方向:武器系統(tǒng)與應(yīng)用工程。宋倩,女,碩士,工程師,研究方向:計算機應(yīng)用技術(shù)。

O235

10.3969/j.issn.1672-9730.2017.01.022