陳兵兵

中化能源科技有限公司，上海 200336

互聯(lián)網(wǎng)技術(shù)的不斷更新和發(fā)展，導(dǎo)致很多問題逐漸顯現(xiàn)，對于計算機系統(tǒng)的入侵也成為當前計算機應(yīng)用過程中的重要問題，而且入侵方式越來越快，計算機的安全是大眾比較關(guān)注的問題，通過檢測出入侵程序的進程來識別入侵的程序，從而解決計算機中存在的各種安全問題。針對進程行為存在的異常，基于機器學(xué)習(xí)思維，提出對進程行為異常檢測的方法，該種方法能夠通過對進程行為的特征向量進行異常分類和訓(xùn)練，達到檢測的目的。入侵檢測技術(shù)是計算機系統(tǒng)安全技術(shù)中的重要組成部分，注重操作系統(tǒng)的研究，提高對異常行為的識別能力，可減少失誤。

1 研究的意義

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，世界正逐步融為一個整體，計算機網(wǎng)絡(luò)已經(jīng)成為整個國家經(jīng)濟發(fā)展的基礎(chǔ)和命脈，社會的生產(chǎn)生活對計算機網(wǎng)絡(luò)的依賴程度也是越來越強，而且計算機網(wǎng)絡(luò)已經(jīng)被廣泛應(yīng)用到各個行業(yè)中，行業(yè)通過建立自己內(nèi)部的網(wǎng)絡(luò)體系，實現(xiàn)對網(wǎng)絡(luò)資源信息的分享和有效利用，但是隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，各種安全問題逐漸顯現(xiàn)。對于計算機系統(tǒng)的進程行為異常檢測也是計算機信息安全研究中的重點領(lǐng)域，計算機行為異常檢測系統(tǒng)主要是對計算機網(wǎng)絡(luò)系統(tǒng)被攻擊的過程和行為進行檢測，僅依靠計算機自身的檢測系統(tǒng)是往往不夠的，需要采用深一步的檢測方式進行檢測，在一定程度上也會保證計算機網(wǎng)絡(luò)系統(tǒng)的安全。對進程行為異常檢測的方式主要是通過采集進程行為的相關(guān)數(shù)據(jù)，對數(shù)據(jù)進行有效處理，從中獲得相應(yīng)的信息，也就能夠獲得對進程行為異常檢測的準確率。

2 對進程行為異常檢測的方法概述

針對計算機進程行為異常的檢測，主要是通過對進程行為的過程進行監(jiān)測，從中獲取一些信息數(shù)據(jù)，對進程行為的特征向量進行計算，通常采用的檢測方法是貝葉斯網(wǎng)絡(luò)和KNN的機器學(xué)習(xí)檢測方法，這2種方法能夠提高對異常檢測的準確率。

（1）貝葉斯網(wǎng)絡(luò)檢測屬于一種概率網(wǎng)絡(luò)，是一種基于概率推理的圖形化網(wǎng)絡(luò)，其中應(yīng)用的貝葉斯公式是對該網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，該種網(wǎng)絡(luò)是一種數(shù)字化模型，注重通過推理獲得一些變量信息，該種推理計算方式已經(jīng)在很多領(lǐng)域被廣泛應(yīng)用。貝葉斯結(jié)構(gòu)網(wǎng)絡(luò)注重對設(shè)備故障的診斷，獲取從多個渠道的信息數(shù)據(jù)，通過對各個故障建立對應(yīng)的貝葉斯網(wǎng)絡(luò)模型，建立相應(yīng)的網(wǎng)絡(luò)節(jié)點。

貝葉斯網(wǎng)絡(luò)算法的異常檢測系統(tǒng)是一種統(tǒng)計學(xué)方法，利用概率統(tǒng)計方法進行分類計算，對各種類別樣本的可能屬性進行預(yù)測，將可能性最大的類別進行分類歸屬，從劃分的每一個程序中檢測出異常的特征向量，將相關(guān)的進程行為確定為異常行為進行分類，對這些異常行為進行處理，也就能夠解決系統(tǒng)中存在的各種異常。

（2）KNN是鄰近算法的簡稱，是數(shù)據(jù)挖掘分類技術(shù)中的一種最簡單方法，在實際的應(yīng)用計算過程中，每一個樣本數(shù)據(jù)都可以用最鄰近的K個鄰居來代表，KNN方法在進行類別決策時，可以通過對鄰近樣本的計算和確定，分析其所屬的類別領(lǐng)域，這種方法比較適用于計算機進程行為的異常檢測。

計算機網(wǎng)絡(luò)進程行為包含時間因素和順序因素，依據(jù)調(diào)用的序列準確描述一些行為特征，其中系統(tǒng)行為發(fā)生的前后也就作為衡量的重要指標，然后利用時間順序進行訓(xùn)練，建立相對應(yīng)的檢測模型，從而實現(xiàn)對序列進程行為的檢測。通常對于系統(tǒng)調(diào)用的時間特征向量，對不同向量出現(xiàn)的時間特征和間隔方差，來計算各個向量之間的方差屬性特征，計算的公式如下：

該計算公式為機器學(xué)習(xí)模型中最常使用的方法。

3 對進程行為異常檢測的方法分析

對計算機網(wǎng)絡(luò)進程行為的異常檢測主要是通過對事件和檢測行為進行分析，通常的檢測方式有誤用檢測和異常檢測2種方法。

（1）誤用檢測注重的是特征檢測，如果將入侵的進程行為用相關(guān)的計算模式表示出來，能夠檢測出相關(guān)的活動是否符合一些模式，該種誤用檢測的方式只能夠?qū)σ呀?jīng)成為入侵行為進行檢測，對本應(yīng)不存在的入侵行為不能進行檢測，而且需要對其模式庫進行不斷更新，能夠從中檢測出很多新的攻擊，系統(tǒng)自身的靈活性比較差。

（2）異常檢測注重的是對主體活動存在的不同之處進行檢測，給正常的活動用戶建立一種授權(quán)輪廓，如果系統(tǒng)出現(xiàn)違反輪廓的行為時，可以判定為有入侵現(xiàn)象發(fā)生，而且在實際應(yīng)用的過程中，也會發(fā)現(xiàn)一些新的攻擊現(xiàn)象，異常檢測的優(yōu)勢是能夠有效檢測一些未發(fā)生的新攻擊方式。

4 基于大數(shù)據(jù)機器學(xué)習(xí)的進程行為異常檢測分析

機器學(xué)習(xí)屬于大數(shù)據(jù)時代的一個核心研究領(lǐng)域，也成為整個計算機領(lǐng)域中最有潛力的方面，對于網(wǎng)絡(luò)系統(tǒng)進程行為異常的檢測，需要從機器學(xué)習(xí)的角度進行分析，從機器學(xué)習(xí)中的一些理論和技術(shù)方面獲得信息，其中主要的技術(shù)有數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)和免疫原理等。目前的機器學(xué)習(xí)相關(guān)理論知識被廣泛應(yīng)用到網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)測和分析中，而且智能化的監(jiān)測系統(tǒng)已經(jīng)成為當前最主要的發(fā)展趨勢。

4.1 機器學(xué)習(xí)檢測體系的構(gòu)建

以機器學(xué)習(xí)為基礎(chǔ)的異常檢測分析主要是通過監(jiān)控、分析系統(tǒng)中的日志進行入侵檢測，而且檢測的方式主要包括數(shù)據(jù)采集、數(shù)據(jù)分析和數(shù)據(jù)處理等模塊；由于網(wǎng)絡(luò)的應(yīng)用越來越復(fù)雜，其中某種單一的檢測方式已經(jīng)不能適應(yīng)當前網(wǎng)絡(luò)的發(fā)展情況。通過將機器學(xué)習(xí)理論應(yīng)用于模型的構(gòu)建方面，其中模型體系的構(gòu)建包括：

（1）數(shù)據(jù)信息采集。根據(jù)系統(tǒng)的性質(zhì)，能夠從中獲取反映狀態(tài)變化的特征信號，從機器學(xué)習(xí)中獲得理論知識應(yīng)用注重對數(shù)據(jù)信息的收集，將收集到的數(shù)據(jù)信息系統(tǒng)進行數(shù)據(jù)分布，實時做好監(jiān)控調(diào)用，將其整理成一個時間序列數(shù)據(jù)模式。

（2）主要數(shù)據(jù)特征的提取。對于采集到的原始數(shù)據(jù)進行分類，從中提取與狀態(tài)相關(guān)的特征量，對系統(tǒng)的狀態(tài)情況進行分析，以便于進行有效識別和診斷。

（3）對系統(tǒng)的整體狀態(tài)趨勢進行預(yù)測，同時做出相應(yīng)的決策，從中選擇出有關(guān)的數(shù)據(jù)源信息進行深入的分析。

4.2 對進程行為異常數(shù)據(jù)源的選擇

對網(wǎng)絡(luò)系統(tǒng)進程行為異常的檢測中，已經(jīng)有各種各樣的數(shù)據(jù)源被應(yīng)用，最初的檢測系統(tǒng)主要是為了獲得系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)和資源利用情況，為了輔助系統(tǒng)管理員對日志信息的分析，也就能夠相應(yīng)提高系統(tǒng)管理的效率。對進程行為異常的檢測主要是衡量和判斷某一行為是否有攻擊性，需要將原始數(shù)據(jù)與標準數(shù)據(jù)進行比較，因此，需要對原始數(shù)據(jù)信息進行收集，在實際應(yīng)用過程中，對原始數(shù)據(jù)的收集和選取是相對比較困難的，往往需要進行深入分析，才能夠達到一定的效果，需要掌握對一些異常行為的特點，研究出對異常進行檢測和解決的方法。

4.2.1 對進程行為序列的影響

對計算機系統(tǒng)的攻擊，需要通過改變目標進程的執(zhí)行流程，利用超級用戶權(quán)限對惡意代碼進行解決，在改變程序執(zhí)行流程的同時，會改變系統(tǒng)的序列，也會增加一些陌生的系統(tǒng)調(diào)用序列。

4.2.2 注重對數(shù)據(jù)信息的采集

數(shù)據(jù)收集和度量的難度較大，對數(shù)據(jù)信息的采集也是實現(xiàn)對異常行為檢測的前提，數(shù)據(jù)的采集主要從2個方面進行考察：一是技術(shù)方面，對目標不需要進行任何修改，能夠幫助檢測系統(tǒng)進行部署和應(yīng)用；二是對數(shù)據(jù)搜集的效率要求高，對入侵檢測系統(tǒng)的要求越來越高，要注重檢測中的實時性，對檢測的方法不斷進行改進，要保證獲得數(shù)據(jù)的效率，這也是檢測中的一個重點。

4.2.3 對網(wǎng)絡(luò)系統(tǒng)進程中異常行為進行區(qū)分

對計算機網(wǎng)絡(luò)系統(tǒng)異常行為的檢測，注重區(qū)分正常行為和異常行為，而檢測的依據(jù)就是兩者之間存在的各種差異，通過對系統(tǒng)進程中各種數(shù)據(jù)信息的采集，然后對數(shù)據(jù)信息進行分析，提供相應(yīng)的數(shù)據(jù)信息基礎(chǔ)，數(shù)據(jù)樣本的充分性也是進行智能化檢測中的一個重點，如果正常行為和異常行為系統(tǒng)沒有任何區(qū)別，檢測系統(tǒng)也不能有效區(qū)分。例如，在一些數(shù)據(jù)的檢測中，將CPU的利用率作為檢測數(shù)據(jù)源，病毒主要是消耗目標資源，如果有部分臨時任務(wù)增加，會使CPU的利用率升高。出于對檢測數(shù)據(jù)的實時性考慮，如果能夠盡早發(fā)現(xiàn)入侵情況，也就可以將損失降到最低，數(shù)據(jù)源的產(chǎn)生與行為間的時間發(fā)生延遲，導(dǎo)致檢測的結(jié)果出現(xiàn)問題，也就會影響對數(shù)據(jù)檢測的準確性。

5 結(jié)語

綜上所述，對于提高系統(tǒng)中進程行為的異常檢測，需要根據(jù)實際情況，對影響檢測結(jié)果的正常行為建立相對應(yīng)的模型，通過借鑒機器學(xué)習(xí)中的相關(guān)理論和技術(shù)，通過采取計算提取進程行為的特征向量，利用算法對特征向量進行分類分析，可以保證檢測結(jié)果的準確性，而且在對系統(tǒng)中各種異常的檢測過程中，需要對檢測結(jié)果進行分析，保證對異常檢測的準確性。