摘 要：隨著互聯(lián)網(wǎng)科技的進(jìn)一步革命，在它給我們帶來(lái)大量便利的同時(shí)，其引發(fā)的安全問(wèn)題也一直讓眾多用戶(hù)感到頭疼?；诖?，考慮到隱馬模型（Hidden Markov Model，HMM）具有的模型理論透徹、算法成熟、分類(lèi)器學(xué)習(xí)性能高等優(yōu)點(diǎn)，很多學(xué)者都曾研究過(guò)基于HMM的主機(jī)入侵檢測(cè)。常規(guī)的方法是以系統(tǒng)調(diào)用作為模型觀測(cè)值，以程序中出現(xiàn)的系統(tǒng)調(diào)用總數(shù)作為模型狀態(tài)數(shù)。但由于訓(xùn)練分類(lèi)器的觀測(cè)序列過(guò)長(zhǎng)會(huì)導(dǎo)致模型參數(shù)不易收斂等問(wèn)題。文章將提出一種基于數(shù)據(jù)為特征的網(wǎng)絡(luò)入侵檢測(cè)方式。

關(guān)鍵詞：入侵檢測(cè)；異常檢測(cè)；數(shù)據(jù)特征；隱馬爾可夫模型

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the further revolution，the Internet technologies bring us more convenience，as well as some problems bothering users all the time so that considering the HMM has numerous advantages，a lots of scholars have studyed the host intrusion detection based on HMM.The conventional measure is that viewing system calls as observed values and regarding the number of system calls existing in the processes the number of model's status.The model's parameters are hard to converge due to the long observed value sequence so that the article illustrates a measure of network intrusion detection based on the data feature's analyses.

Key words： intrusion detection； anomaly detection； data feature； hidden markov model

1 引言

網(wǎng)絡(luò)入侵檢測(cè)作為一種重要的網(wǎng)絡(luò)安全防衛(wèi)系統(tǒng)，主要是通過(guò)對(duì)計(jì)算機(jī)用戶(hù)的某些行為信息進(jìn)行分析來(lái)檢測(cè)出對(duì)網(wǎng)絡(luò)的入侵。其存在的意義在于能夠分析用戶(hù)的行為和操作，然后高效的將正常行為和異常行為進(jìn)行區(qū)分，并且對(duì)后者采取相應(yīng)的策略。這樣可以讓網(wǎng)絡(luò)管理員更有效地審計(jì)和評(píng)估當(dāng)前網(wǎng)絡(luò)的安全系數(shù)，從而提高分析效率。

從目前應(yīng)用現(xiàn)狀來(lái)看，應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)的常規(guī)方案可以分為兩大類(lèi)：誤用檢測(cè)（Misuse Detection）和異常檢測(cè)（Anomaly Detection）。

（1）誤用檢測(cè)：將所有已知的帶有入侵傾向的數(shù)據(jù)特征全部提取出然后存儲(chǔ)在一個(gè)特征數(shù)據(jù)庫(kù)內(nèi)。每當(dāng)有數(shù)據(jù)包被檢測(cè)時(shí)，系統(tǒng)會(huì)將該數(shù)據(jù)包的相關(guān)特征與數(shù)據(jù)庫(kù)內(nèi)的特征進(jìn)行匹配，凡是相符的都會(huì)引起檢測(cè)系統(tǒng)的阻止并報(bào)警。

（2）異常檢測(cè)：先利用訓(xùn)練集對(duì)檢測(cè)系統(tǒng)進(jìn)行學(xué)習(xí)或者訓(xùn)練，讓其始終適應(yīng)于正常的行為模式。此后每當(dāng)有數(shù)據(jù)造成系統(tǒng)模型脫離正常行為模式的時(shí)候，就會(huì)自發(fā)的檢測(cè)到該異常并進(jìn)行阻止和分析。

其中，誤用檢測(cè)雖然無(wú)需利用大量的訓(xùn)練集來(lái)訓(xùn)練系統(tǒng)模型，但是該方法十分依賴(lài)于對(duì)特征數(shù)據(jù)庫(kù)的更新，并且只能對(duì)已知的攻擊做出判斷，無(wú)法應(yīng)對(duì)新型或是變種的攻擊，所以誤用檢測(cè)的“漏檢率”是相對(duì)高的。同樣的，異常檢測(cè)是通過(guò)對(duì)正常的行為進(jìn)行建模，然后將所有使得正常輪廓發(fā)生偏離的行為都視為異常。這雖然在一定程度上彌補(bǔ)了誤用檢測(cè)的缺點(diǎn)，但若是訓(xùn)練好的模型參數(shù)不夠精確的話(huà)，往往就會(huì)將正常的網(wǎng)絡(luò)行為判斷成攻擊行為，導(dǎo)致“過(guò)檢率”偏高。

2 系統(tǒng)設(shè)計(jì)

現(xiàn)如今，HMM作為一種描述離散時(shí)間內(nèi)觀測(cè)數(shù)據(jù)非常強(qiáng)大的統(tǒng)計(jì)學(xué)模型，在較多的研究領(lǐng)域都得到了很好的運(yùn)用。本文研究的基于HMM的網(wǎng)絡(luò)入侵檢測(cè)模型旨在對(duì)帶有正常標(biāo)簽和異常標(biāo)簽的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行區(qū)分并采取相應(yīng)策略。總共分為訓(xùn)練和檢測(cè)兩大模塊[1]。大體流程如圖1和圖2所示。

設(shè)計(jì)思路是利用對(duì)HMM分類(lèi)器的訓(xùn)練讓其一直處于正常模式的工作。在訓(xùn)練好系統(tǒng)后，往后的數(shù)據(jù)包但凡有令系統(tǒng)脫離正常輪廓的趨勢(shì)（將對(duì)網(wǎng)絡(luò)數(shù)據(jù)的特征分析出的概率值與閾值進(jìn)行比較），則將其標(biāo)上異常標(biāo)簽，留給管理員做進(jìn)一步分析。若分析結(jié)果為誤判，則將其數(shù)據(jù)特征交給訓(xùn)練模塊讓其完善模型參數(shù)的估計(jì)，以避免將來(lái)的類(lèi)似誤判。系統(tǒng)的實(shí)現(xiàn)依賴(lài)于如何解決好HMM的學(xué)習(xí)問(wèn)題和估值問(wèn)題。前者在于對(duì)系統(tǒng)訓(xùn)練的參數(shù)進(jìn)行調(diào)整，后者在于求出數(shù)據(jù)集對(duì)于正常狀態(tài)的偏離度，一旦偏離過(guò)大則認(rèn)為該數(shù)據(jù)存在異常。

2.1 訓(xùn)練模塊

2.1.1 HMM參數(shù)表達(dá)

HMM是一系列可相互轉(zhuǎn)移的有限狀態(tài)的集合，這些狀態(tài)的轉(zhuǎn)移是不可見(jiàn)的，間接地通過(guò)觀察序列來(lái)描述，它是一個(gè)雙重隨機(jī)過(guò)程。HMM可以定義為={ N，M，A，B，π}，參數(shù)的具體表達(dá)為幾種情況。

（1）模型的隱含狀態(tài)數(shù)為 N：這些狀態(tài)滿(mǎn)足了馬爾可夫性質(zhì)，是馬爾可夫模型中實(shí)際所隱含的狀態(tài)。這些狀態(tài)無(wú)法通過(guò)直接觀測(cè)而得到，用S={ S1 ，S2 ，... ，SN }表示。

（2）模型的觀察值個(gè)數(shù)為 M：在模型中與隱含狀態(tài)相關(guān)聯(lián)，可通過(guò)直接觀測(cè)而得到，用V={ V1 ，V2 ，... ，VM }表示。（可見(jiàn)符號(hào)的數(shù)目不一定和隱含狀態(tài)的數(shù)目一致）。

（3）狀態(tài)轉(zhuǎn)移概率矩陣 AN*N={ aij }：描述了HMM模型中各個(gè)狀態(tài)之間的轉(zhuǎn)移概率。其中aij=P（qt+1=Sj | qt=Si）= P（qt+1=Sj ，qt=Si）/ P（qt=Si）；aij≥0， aij=1（j的范圍是1到N）。表示在t時(shí)刻狀態(tài)為Si的條件下，在t+1時(shí)刻狀態(tài)是Sj的概率。

（4）狀態(tài)輸出概率矩陣 BN*M={ Bj（k） }：Bj（k） = P（Vk at t | qt=Sj），表示模型在t時(shí)刻、隱含狀態(tài)是Sj的條件下，觀察值為Vk的概率。

（5）狀態(tài)初始概率矩陣π：表示隱含狀態(tài)在初始時(shí)刻t=1的概率矩陣。例如t=1時(shí)：P（q1=S1）=P1 ，P（q1=S2）=P2 ，P（q1=S3）=P3 ，... ，P（q1=SN）=PN，則初始狀態(tài)概率矩陣π=[ P1 ，P2 ，P3 ，... ，PN ]。

（6）觀測(cè)序列O={ O1 ，O2 ，... ，OT }，表示觀測(cè)到的觀測(cè)值序列，T為序列長(zhǎng)度，其中Oi屬于集合V。

2.1.2 系統(tǒng)訓(xùn)練

曾在此領(lǐng)域研究過(guò)的其他學(xué)者通過(guò)對(duì)被攻擊者發(fā)送的響應(yīng)包進(jìn)行分析，得出了一個(gè)著名結(jié)論：大多數(shù)攻擊使用TCP包（94%），然后是UDP包（2%）和ICMP包。因此這里只考慮對(duì)TCP包建立HMM模型。

現(xiàn)設(shè)定所用模型的S空間只包含兩種狀態(tài)：S0=0表示正常，S1=1表示異常，所以N=2。

根據(jù)對(duì)TCP包的6個(gè)標(biāo)志位（URG、ACK、PSH、RST、SYN、FIN）進(jìn)行下述方式的編碼[2]。通過(guò)將其二進(jìn)制數(shù)轉(zhuǎn)換成十進(jìn)制數(shù)，就可以得到一系列的離散值序列。我們將這些離散值視為HMM的觀測(cè)值，則有M=26=64。

編碼方式：Oi=32*URG+16*ACK+8*PSH+4*RST+2*SYN+1*FIN

狀態(tài)轉(zhuǎn)移概率矩陣AN*N=[ a00=1，a01=0，a10=1，a11=0]，表示在正常的行為中，無(wú)論當(dāng)前時(shí)刻是正常狀態(tài)還是異常狀態(tài)，在下一時(shí)刻都將以概率1轉(zhuǎn)為正常狀態(tài)。

關(guān)于狀態(tài)輸出概率矩陣BN*M={ Bj（k） }，考慮到TCP協(xié)議的工作方式我們可以知道，通過(guò)上述編碼方式得到的64種觀測(cè)值中存在著大量的非法標(biāo)志組合（即在正常網(wǎng)絡(luò)行為中通常不會(huì)出現(xiàn)，但一旦出現(xiàn)該標(biāo)志組合，就可以視其為異常行為或攻擊行為）。非法標(biāo)志位組合的特點(diǎn)可以參考八點(diǎn)原則：（1）所有標(biāo)志位都為0；（2）SYN和FIN同時(shí)被置1；（3）SYN和RST同時(shí)被置1；（4）FIN和RST同時(shí)被置1；（5）FIN位被置1，但ACK位沒(méi)有被置1；（6）PSH位被置1，但ACK位沒(méi)有被置1；（7）URG位被置1，但ACK位沒(méi)有被置1；（8）URG不能和PSH標(biāo)志位同時(shí)使用。

將那些無(wú)效觀測(cè)值過(guò)濾后，最終能得到正常的觀測(cè)值數(shù)只剩下{2，4，16，17，18，20，24，25，26}一共9個(gè)。假設(shè)：在正常情況下這9個(gè)正常觀測(cè)值的輸出概率Bj（2），Bj（4），Bj（16），Bj（17），Bj（18），Bj（20），Bj（24），Bj（25），Bj（26）服從均勻分布，其它55個(gè)非法值的概率為無(wú)窮??；異常狀態(tài)則反過(guò)來(lái)，55個(gè)非法值概率服從均勻分布，而B(niǎo)j（2），Bj（4），Bj（16），Bj（17），Bj（18），Bj（20），Bj（24），Bj（25），Bj（26）這9個(gè)概率為無(wú)窮小。

初始狀態(tài)概率矩陣為π=[1，0]，表示在初始時(shí)刻數(shù)據(jù)包是正常數(shù)據(jù)包的概率為1。

針對(duì)系統(tǒng)的訓(xùn)練問(wèn)題，可以采用Baum-Welch算法[3]來(lái)對(duì)參數(shù)組進(jìn)行重估計(jì)從而得到λ'。再將λ'代替，調(diào)用算法不停的調(diào)整最新參數(shù)，直到'收斂為止，其收斂條件為P（O |λ'） < P（O |λ）。需要注意的是，在訓(xùn)練過(guò)程中采取的數(shù)據(jù)包一定要是正常的不含攻擊行為的數(shù)據(jù)包，因?yàn)橹挥羞@樣才能保證我們所得的觀測(cè)序列是不含攻擊的觀測(cè)序列。

2.2 檢測(cè)模塊

待參數(shù)的訓(xùn)練值趨于穩(wěn)定后，可以利用測(cè)試集來(lái)進(jìn)行檢測(cè)。通過(guò)對(duì)數(shù)據(jù)的標(biāo)志位進(jìn)行量化和編碼，能夠得到一組觀測(cè)序列O={ O1 ，O2 ，... ，OT }。此時(shí)運(yùn)用前向算法[4]來(lái)計(jì)算概率P（O |λ'），該概率表示在已知最新參數(shù)集'的條件下，出現(xiàn)觀測(cè)序列O的條件概率值。若該概率值很小，則說(shuō)明觀測(cè)序列脫離正常輪廓的可能性很大，即所對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)的特征帶有的攻擊傾向性就很大。

那么問(wèn)題來(lái)了，到底這個(gè)概率值要多小才判斷成是異常數(shù)據(jù)包呢？這其中涉及到一個(gè)很重要的點(diǎn)——閾值的確定[5]。因?yàn)槠渲苯佑绊懥讼到y(tǒng)檢測(cè)的準(zhǔn)確率。閾值的確定過(guò)程需要結(jié)合訓(xùn)練模塊訓(xùn)練的多次結(jié)果?？梢杂靡韵鹿絹?lái)進(jìn)行選?。害?min{ P（L |λ'） }。其中L表示觀測(cè)序列O中長(zhǎng)度為的子序列，將每一次計(jì)算的概率保存下來(lái)，然后將子序列后移一位并繼續(xù)計(jì)算概率值。直到整個(gè)觀測(cè)序列中最后一個(gè)子序列被訓(xùn)練完。然后選取這些概率中的最小值為整個(gè)檢測(cè)系統(tǒng)的閾值。最終比較閾值和概率P（O |λ'）的大小，如果P（O |λ'）≥Δ。則認(rèn)為該序列對(duì)應(yīng)的數(shù)據(jù)包是正常數(shù)據(jù)包，否則將該數(shù)據(jù)包標(biāo)記為異常，等待人工分析，看是否系統(tǒng)出現(xiàn)過(guò)度檢測(cè)。

3 結(jié)束語(yǔ)

本文所設(shè)計(jì)的方案雖然基于的是異常檢測(cè)，但卻能有效的解決“過(guò)檢率”太高的問(wèn)題。檢測(cè)模塊對(duì)使系統(tǒng)脫離正常工作模式的異常數(shù)據(jù)包，會(huì)在阻止后記錄在網(wǎng)絡(luò)日志中以備系統(tǒng)管理員分析。若是入侵檢測(cè)系統(tǒng)真的產(chǎn)生了“過(guò)度檢測(cè)”行為，那么管理員會(huì)將該數(shù)據(jù)包進(jìn)行特征分析，并且放入訓(xùn)練模塊做進(jìn)一步的參數(shù)重估計(jì)，以免往后類(lèi)似的正常數(shù)據(jù)包再次被阻擋。

參考文獻(xiàn)

[1] 趙玉明.基于隱馬爾可夫模型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究 [D].2005，48-49.

[2] Estevez Tapiador J M，Garcia Teodoro P，Diaz Verdejo J E.Stochastic protocol modeling for anomaly based network intrusion detection [C] Proc of IEEE IWIA03.Piscataway，NJ：IEEE，2003：3-12.

[3] Rabiner L.A tutorial on hidden Markov models and selected applications in speech recognition [C] Proc of IEEE.San Francisco：Morgan Kaufmann，1990，267-296.

[4] Dempster A P，Laird N M，Robin D B.Maximum likelihood from incomplete data via the EM algorithm [J].Journal of the Royal Statistical Society，1977，39（1）：1-38.

[5] 韓景靈.基于協(xié)議的隱馬爾可夫網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究[D].2007，21-22.

[6] 趙靜，黃厚寬，田盛豐.基于隱Markov模型的協(xié)議異常檢測(cè)[J].計(jì)算機(jī)研究與發(fā)展，2010，47（4）：621-627.

[7] 任幸東，王劍.基于隱馬爾可夫模型的滑窗寬度可變異常檢測(cè)[J].網(wǎng)絡(luò)空間安全，2015，07，33-37.

[8] 孫永強(qiáng)，徐昕，黃遵國(guó).基于HMM的分布式拒絕服務(wù)攻擊檢測(cè)方法[J].微電子學(xué)與計(jì)算機(jī)，2006， 23（10）：176-177.

[9] 李冠廣，王占杰.貝葉斯分類(lèi)器在入侵檢測(cè)中的應(yīng)用 [J].網(wǎng)絡(luò)空間安全.2010，09，63-66.

作者簡(jiǎn)介：

潘秋羽（1994-），男，漢族，四川成都人，西安工程大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，碩士研究生；主要研究方向和關(guān)注領(lǐng)域：智能信息處理。