吳楚田，陳永樂，陳俊杰

太原理工大學(xué) 信息與計算機學(xué)院，太原030024

1 引言

隨著社會和個人安防需求的增長，入侵檢測技術(shù)在近十年得到了廣泛應(yīng)用和快速發(fā)展。入侵檢測可以分為誤用檢測和異常檢測[1]。其中，誤用檢測技術(shù)利用攻擊數(shù)據(jù)特征建立攻擊行為模型來檢測攻擊行為。異常檢測技術(shù)以正常數(shù)據(jù)為樣本建立模型，通過計算觀測值的偏離度進(jìn)行決策，可以檢測未知的入侵行為，近年來獲得了越來越多的關(guān)注。

目前異常檢測技術(shù)的研究可以分為流量統(tǒng)計[2-3]、用戶行為建模[4-5]、協(xié)議行為建模[6-9]等方法。其中流量統(tǒng)計方法主要依賴于數(shù)值化流量特征來建立統(tǒng)計模型，大多是數(shù)字或個人歸納得出，可靠性差。用戶行為建模一般按單位時間提取用戶訪問行為序列來訓(xùn)練行為模型，適用于工作流程較機械化的工控網(wǎng)環(huán)境，對于用戶多樣化的大型網(wǎng)絡(luò)網(wǎng)絡(luò)效率較低。協(xié)議異常檢測是一種新型的異常檢測技術(shù)，利用協(xié)議高度規(guī)則化的特性彌補了前面兩種方法的不足，近年來得到了諸多關(guān)注，其中最常見的方法就是基于馬爾科夫鏈的模式匹配。文獻(xiàn)[6]提出用十進(jìn)制數(shù)表示TCP 報文首部的flag 字段以標(biāo)志TCP 報文，從而得到一系列離散值序列來訓(xùn)練Markov鏈，任何偏離此模型的都被認(rèn)為是入侵行為；文獻(xiàn)[7]用均值評估法改進(jìn)了基于Markov 模型的檢測；文獻(xiàn)[8]將隱馬爾可夫模型（Hidden Markov Model，HMM）引入?yún)f(xié)議異常檢測，以隱含狀態(tài)表示協(xié)議行為，證明了基于HMM 的方法比Markov 模型更能準(zhǔn)確地描述協(xié)議行為并獲得了較好的檢測率。然而僅用首部標(biāo)志位的量化值作為觀測樣本特征的模型描述能力有限，而且還會削弱其他特征的作用（如時間、數(shù)據(jù)包大小等）。文獻(xiàn)[9]則使用協(xié)議關(guān)鍵詞來描述HMM 的觀測序列來擴展樣本空間，具有較好的通用性。

現(xiàn)有的協(xié)議異常檢測方法通常是面向單一協(xié)議的建模，僅能檢測單一協(xié)議的惡意攻擊，在涉及多協(xié)議交互的網(wǎng)絡(luò)環(huán)境下適用性有限。例如在視頻監(jiān)控網(wǎng)絡(luò)中，一次會話中會包含SIP 呼叫管理、RTP 實時傳輸數(shù)據(jù)兩類協(xié)議數(shù)據(jù)流，此外還有RTCP 與ICMP 共同監(jiān)視連接狀況[10]。在這種網(wǎng)絡(luò)中經(jīng)常會存在跨協(xié)議的攻擊，如消息篡改攻擊利用SIP協(xié)議漏洞來偽造SIP數(shù)據(jù)包來達(dá)到會話劫持、中斷會話的目的，以及猜測攻擊會未授權(quán)地發(fā)送帶有不同質(zhì)詢響應(yīng)字段的REGISTER消息，都會同時涉及到SIP 和RTP 兩類協(xié)議[11]。例如，正常交互中檢測到SIP BYE 消息后不會再有RTP 流，而在BYE 攻擊過程中攻擊者會偽造會話一方發(fā)送BYE消息來拆除會話，同時真正的用戶仍在發(fā)送RTP 消息，在這種情況下如果僅依靠SIP模型進(jìn)行匹配是無法識別出異常的，只有對兩種協(xié)議的整體行為進(jìn)行合理建模才可以實現(xiàn)檢測。由此可見，依靠單個協(xié)議的模型匹配而忽略協(xié)議之間的關(guān)聯(lián)性在涉及多協(xié)議的網(wǎng)絡(luò)環(huán)境中很容易造成誤判。針對以上問題，提出一種適用于復(fù)雜的多協(xié)議交互的網(wǎng)絡(luò)環(huán)境的協(xié)議交叉檢測方法，該方法利用HMM在協(xié)議異常檢測方面的優(yōu)勢，通過考慮協(xié)議報文之間的語義和時序關(guān)聯(lián)實現(xiàn)了協(xié)議報文合并算法，使基于HMM的協(xié)議異常檢測的準(zhǔn)確率得到提高，最后利用傳輸層數(shù)據(jù)輔助分析以降低誤報率。

2 算法框架

由于現(xiàn)有的關(guān)于HMM 協(xié)議異常檢測的研究都是根據(jù)各類協(xié)議數(shù)據(jù)包分別建立相應(yīng)的HMM，然后根據(jù)分離出的不同協(xié)議的觀測序列分別計算檢測結(jié)果，這樣做缺乏對協(xié)議間的關(guān)聯(lián)性的考慮，不適用于復(fù)雜的多協(xié)議交互的網(wǎng)絡(luò)環(huán)境。本文提出的協(xié)議異常檢測方法，將在同一會話中出現(xiàn)的多類協(xié)議進(jìn)行建模（如SIP與RTP）使用正常交互下的協(xié)議數(shù)據(jù)流作為樣本來實現(xiàn)異常檢測。具體的算法流程實現(xiàn)如圖1所示，主要包括模型構(gòu)建和異常檢測兩部分。

圖1 交叉協(xié)議異常檢測算法框架設(shè)計

要實現(xiàn)協(xié)議異常檢測，首先要對協(xié)議行為進(jìn)行建模：通過對樣本數(shù)據(jù)流進(jìn)行協(xié)議分類，以關(guān)鍵字為屬性表示為可觀測狀態(tài)，使用狀態(tài)合并算法通過時間標(biāo)記尋找協(xié)議間的關(guān)聯(lián)，經(jīng)過對單個協(xié)議報文序列進(jìn)行合并、銜接、去除循環(huán)等操作之后，得到多協(xié)議交叉的HMM，從而提高模型的處理效率和檢測率；之后的異常檢測過程需要使用Baum-Welch算法估算模型參數(shù)得到交叉協(xié)議模型后，將待檢測的網(wǎng)絡(luò)流量經(jīng)過預(yù)處理后提取出協(xié)議數(shù)據(jù)和少量特征，經(jīng)過前向算法計算樣本與模型的偏離程度，并與報文特征兩種指標(biāo)進(jìn)行歸一化處理，將計算結(jié)果作為判斷依據(jù)決定是否為攻擊行為。

3 協(xié)議交叉模型

為判別多類型的協(xié)議數(shù)據(jù)流是否存在異常，首先需要建立一個協(xié)議交叉模型，本章講述協(xié)議交叉模型的建立方法。從HMM協(xié)議異常檢測的原理（3.1節(jié)）出發(fā)；首先通過構(gòu)建協(xié)議報文（3.2節(jié)）實現(xiàn)對樣本數(shù)據(jù)流的分類與序列化處理；然后提出協(xié)議報文合并算法（3.3節(jié)），為協(xié)議報文序列建立語義與時序關(guān)聯(lián)，經(jīng)過合并、銜接、去除循環(huán)等一系列操作后，得到精簡的可觀測狀態(tài)集；最后經(jīng)過協(xié)議交叉模型的初始化和一系列訓(xùn)練過程（3.4節(jié)），得到一個多協(xié)議交叉的HMM，用于協(xié)議異常行為的檢測。

3.1 傳統(tǒng)的HMM異常檢測

HMM是一個能夠用參數(shù)表示隨機過程統(tǒng)計特性的概率模型，它包含隱藏和觀測兩種狀態(tài)，其中隱藏狀態(tài)間的轉(zhuǎn)移是間接地通過觀測序列來描述的[12]，HMM 的狀態(tài)變遷如圖2 所示。任何一個HMM 都可以定義為λ={A,B,π}，其中包含五個元素：

（1）隱含狀態(tài)S：模型中允許出現(xiàn)的有限狀態(tài)有N個，隱藏狀態(tài)集合可表示為S={S1,S2,…,SN}，它們滿足Markov性質(zhì)但是無法直接觀測到。

圖2 隱馬爾可夫模型基本結(jié)構(gòu)圖

（2）觀測狀態(tài)O：模型中可見觀測變量個數(shù)為M ，則觀測狀態(tài)集合可表示為O={o1,o2,…,oM}，可觀測狀態(tài)與隱含狀態(tài)不是一一相關(guān)。

（3）初始狀態(tài)分布概率π ：表示隱含狀態(tài)在初始時刻t 時的概率分布矩陣π={πi}，其中πi=P(qt=Si)，其中qt表示t 時刻模型所處的隱藏狀態(tài)，qt∈S,πi≥0,

（4）隱含狀態(tài)轉(zhuǎn)移概率矩陣A：描述隱含狀態(tài)之間的轉(zhuǎn)移概率，用N×N 的矩陣A={aij}表示，其中aij=

（5）觀測狀態(tài)轉(zhuǎn)移矩陣B：表示隱藏狀態(tài)下取得所有觀測矩陣的概率分布B={bij}，其中bij=P(oi|Si),1 ≤i ≤N,1 ≤j ≤M 。

在應(yīng)用于協(xié)議異常檢測的HMM中，由網(wǎng)絡(luò)流量得到的協(xié)議報文序列經(jīng)過處理可視為觀測序列，而隱藏在這些流量背后的協(xié)議行為則為不可見的狀態(tài)轉(zhuǎn)移序列，即隱含狀態(tài)。利用HMM 可解決兩類常見問題：一種是模型參數(shù)λ 未知，通過調(diào)整參數(shù)使觀測狀態(tài)序列{o1,o2,…,oM}的概率盡可能大，來反推模型參數(shù)；另一種是給定的可觀測狀態(tài)序列{o1,o2,…,oM}和模型λ={A,B,π}，它通過計算O 可能出現(xiàn)的概率檢測結(jié)果與已知模型是否吻合。將HMM 映射到協(xié)議異常檢測問題中，Baum-Welch 重估算法可以根據(jù)從網(wǎng)絡(luò)流量中提取的觀測樣本序列解決第一類問題，即通過量化正常的網(wǎng)絡(luò)流量訓(xùn)練出完整的HMM模型；再通過向前算法計算待檢測樣本序列的出現(xiàn)概率解決第二類問題，判斷協(xié)議行為是否不符合正常行為輪廓，從而得出異常。

3.2 協(xié)議報文序列構(gòu)建

現(xiàn)有的HMM 協(xié)議異常檢測方法將標(biāo)志位量化后作為觀測樣本，對模型進(jìn)行訓(xùn)練，這種方法會造成觀測值樣本空間有限，不能滿足多樣的協(xié)議行為描述需求。網(wǎng)絡(luò)流量可以看作由不同類型的協(xié)議報文組成，而協(xié)議規(guī)范定義了每個報文類型，所以協(xié)議的語義關(guān)鍵詞可以用來表示不同的報文類型[13]。本文選用語義關(guān)鍵詞和時間標(biāo)記來描述協(xié)議報文，即報文p=(t,k)；其中，k 是唯一標(biāo)志報文類型的特定字符串，如SIP中的關(guān)鍵字可以是INVITE、INFO、CANCEL等請求命令碼和180、200、403等響應(yīng)狀態(tài)碼；t 是該報文的截獲時間，單位為s。

以往的基于HMM 的協(xié)議異常檢測方法都是根據(jù)需求文檔（Request For Comments，RFC）或?qū)嶋H實現(xiàn)對不同協(xié)議單獨建模的，本文為實現(xiàn)交叉驗證的HMM考慮了協(xié)議報文的語義先后順序。因此，需要采集協(xié)議在實際實現(xiàn)中的協(xié)議數(shù)據(jù)報文作為樣本數(shù)據(jù)，這里假設(shè)訓(xùn)練集是完備的，即用于訓(xùn)練的協(xié)議數(shù)據(jù)報文可以覆蓋到協(xié)議交互的所有行為。具體的構(gòu)建步驟如圖3 所示。首先，根據(jù)RFC文檔中的關(guān)鍵字，使用基于正則表達(dá)式的動態(tài)協(xié)議識別方法[14]分離出不同協(xié)議的數(shù)據(jù)流量，并依次設(shè)置協(xié)議名s；通過WinDump 工具從報文中提取各個協(xié)議報文的語義關(guān)鍵詞k；接著為后續(xù)實現(xiàn)序列合并，對各個協(xié)議樣本序列進(jìn)行協(xié)議類型標(biāo)記，將協(xié)議報文表示為p=(t,k,s)。最終，可以得到一系列具有語義特征和時序標(biāo)記的協(xié)議報文序列，即L={p1,p2,…,pn}。

圖3 協(xié)議報文序列構(gòu)建步驟

3.3 協(xié)議報文序列合并

考慮到協(xié)議間的關(guān)聯(lián)，本文提出基于語義和時序關(guān)聯(lián)的協(xié)議報文序列合并算法，以實現(xiàn)對多個協(xié)議報文序列進(jìn)行合并、銜接、去除循環(huán)等操作，從而得到針對不同協(xié)議報文合并化的可觀測序列，并根據(jù)該序列訓(xùn)練得到協(xié)議交叉的HMM進(jìn)行多協(xié)議攻擊的異常檢測。

通過上一節(jié)的協(xié)議報文序列構(gòu)建得到帶有時間標(biāo)記的不同協(xié)議的報文序列Li。正常的協(xié)議交互行為都是按照協(xié)議規(guī)范進(jìn)行通信的，它們從開始按照規(guī)范運作直至結(jié)束，有一定的先后關(guān)系，即協(xié)議報文序列滿足一定的時序關(guān)系。因此，通過時間標(biāo)記t 確認(rèn)合并的先后順序，并把要合并的序列Li的報文p 進(jìn)行銜接，生成一個新序列LT。另一方面，為減少HMM 中的狀態(tài)空間并考慮到協(xié)議間的依賴關(guān)系，設(shè)置一個時間窗ω=0.1 s,將LT中s 值不同但包的前后間隔不超過ω 的報文pi中的關(guān)鍵字進(jìn)行合并，記為ot，合并后的新序列為O={ot}。此外，由于協(xié)議交互過程中可能出現(xiàn)的一些重復(fù)交互動作而產(chǎn)生重復(fù)的子序列會影響HMM 訓(xùn)練過程中狀態(tài)轉(zhuǎn)移概率的計算，為保證對主要序列的準(zhǔn)確建模，報文序列的合并過程有必要對協(xié)議報文中的重復(fù)子序列進(jìn)行刪減序。一般情況下，長度為n 的母序列為O={o1,o2,…,on} ，子序列為C={or,or+1,…,or+m-1} ，其中m ＜n。在這里以一次交互為單位將子序列長度設(shè)置為2，并用δi記錄子序列Ci的最大重復(fù)數(shù)，在后期判斷異常時使用。具體算法描述如下所示。

算法1 協(xié)議報文序列交叉縮減算法

輸入：報文序列L={p1,p2,…,pn}，其中pi=(t,k,s)。

輸出：精簡后的協(xié)議交叉報文序列O={o1,o2,…,oM}，子序列的最大重復(fù)數(shù)δ。

1. List LT=New List(L1,L2)

2. LT.sortedBy(pi.t)

3. for (i=0;i ＜LT.length-1;i++)

4. if (pi+1-pi.t ＜w&&pi+1.s!=pi.s) do{

5. LT.add(new Tuple2(pi,pi+1)).delete(piand pi+1)}

6. end for

7. for (i=1;i ＜LT.length-1;i++)

8. δi=1

9. Ci= ||oi,oi+1

10. for (j=1;j ＜LT.length/2,j++)

11. while |oi+2j,oi+2j+1|==Ci//搜索相同子序列

12. delete |oi+2j,oi+2j+1|//刪除重復(fù)子序列

13. δi++,Update Stemp//更新序列

14. end while

15. end for

16. end for

17. δ=max(δi)

18. O=Stemp

通過算法1，可以獲得合并且精簡后的協(xié)議交叉報文序列O={o1,o2,…,oM}，將該序列作為HMM 的觀測狀態(tài)序列用來訓(xùn)練交叉協(xié)議的HMM 模型。該算法對多協(xié)議組合建模的思想適用于涉及網(wǎng)絡(luò)協(xié)議較多的網(wǎng)絡(luò)環(huán)境，如VoIP網(wǎng)絡(luò)、視頻會議等。

3.4 協(xié)議交叉模型構(gòu)建

訓(xùn)練HMM模型的主要任務(wù)是通過觀測序列o1,o2,…,oM直接計算模型參數(shù)。首先，根據(jù)協(xié)議異常檢測的需求對HMM模型λ={A,B,π}的參數(shù)進(jìn)行初始化：

（1）初始狀態(tài)空間S 應(yīng)包含兩個狀態(tài)數(shù)，用0 表示正常狀態(tài)，1表示異常狀態(tài)，即S={0,1}。

（2）初始分布π 表示完全正常的情況下，初始時刻的數(shù)據(jù)包正常的概率為1，即π={0,1}。

（3）狀態(tài)轉(zhuǎn)移矩陣A 表示協(xié)議行為中正常態(tài)轉(zhuǎn)正常態(tài)、異常態(tài)轉(zhuǎn)正常態(tài)的概率均為1，即

（4）可觀測狀態(tài)O={o1,o2,…,oM},oi=(ki),M 為可觀測值的總數(shù)，k 為協(xié)議關(guān)鍵字。

（5）觀測狀態(tài)轉(zhuǎn)移矩陣B={bij}表示在正?；虍惓顟B(tài)下不同觀測值oi出現(xiàn)的概率，在異常狀態(tài)下的概率采用均勻分布，在正常狀態(tài)下的概率需要根據(jù)協(xié)議的不同設(shè)置相應(yīng)的值。

確定了初始參數(shù)λ(0)={A(0),B(0),π(0)}后，本文采用Baum-Welch重估算法來實現(xiàn)模型參數(shù)的估算。該算法利用前向概率αt(i)和后向概率βt(i)計算符合觀測序列O 出現(xiàn)概率的數(shù)學(xué)期望，再通過期望值迭代更新參數(shù)使之不斷逼近最優(yōu)解。其中，觀測序列o1,o2,…,oT的出現(xiàn)概率可以根據(jù)前向變量得到：

由于Baum-Welch 算法在迭代過程中，αt(i)和βt(i)的遞推會涉及到多次相乘，隨著t 的增加，遞推值會越來越小，導(dǎo)致下溢問題。避免浮點數(shù)下溢，本文設(shè)置一個比例系數(shù)將每次的迭代結(jié)果放大，每次迭代結(jié)束后，再把比例系數(shù)取消，繼續(xù)下一次迭代。處理方法如下：

通過比較前后兩代參數(shù)下觀測序列o1,o2,…,oT的概率，根據(jù)式（4）判斷參數(shù)訓(xùn)練是否達(dá)到收斂：

若計算結(jié)果滿足式（4），則表示上一次參數(shù)評估的結(jié)果與此次差異小于某個閾值（如0.05），意味著模型收斂可以停止計算，輸出模型參數(shù)。使用訓(xùn)練好的模型參數(shù)通過前向算法則可實現(xiàn)異常檢測的模型匹配過程，通過計算觀測序列概率P(O|λ)來匹配相應(yīng)的模型，檢測算法的計算復(fù)雜度為O=(N2T)，其中N 為模型中的可觀測狀態(tài)數(shù)，T 為待觀測序列長度，由此可見模型中的狀態(tài)數(shù)對模型的效率有很大的影響。假設(shè)單個協(xié)議建模過程中每個協(xié)議平均會產(chǎn)生長度為N 的可觀測狀態(tài)集，若需合并建模的協(xié)議有m 個，那么多協(xié)議建模會產(chǎn)生m×N 個狀態(tài)數(shù)，因此檢測復(fù)雜度會以m2倍增長。而算法1通過刪除重復(fù)子序列、合并短時內(nèi)協(xié)議連續(xù)序列等操作可以縮減協(xié)議模型中的可觀測狀態(tài)數(shù)，利用第5章的多組交互樣本證明算法1的縮減效率可以達(dá)到6～10 倍，由此可見m ≤3 時，整個檢測算法的檢測速率仍能和單協(xié)議建模檢測持平并有機會在m=2 的時候有所突破，足夠滿足多數(shù)情況。

4 異常檢測

異常檢測過程中，首先需要對待檢測數(shù)據(jù)流進(jìn)行預(yù)處理操作，處理結(jié)果作為觀測序列并依據(jù)已建立的模型計算出現(xiàn)概率P ，結(jié)合序列化過程中統(tǒng)計的特征δ 作為影響異常判斷的兩個指標(biāo)，通過歸一化處理得到異常程度D，確定閾值后可用于判斷異常行為。

4.1 檢測指標(biāo)計算

首先根據(jù)協(xié)議報文序列構(gòu)建（3.2 節(jié)）、協(xié)議報文序列合并（3.3 節(jié)）對SIP 和RTP 的待檢測數(shù)據(jù)流進(jìn)行預(yù)處理，得到合并后的觀測序列O={o1,o2,…,oM}并統(tǒng)計報文特征δi。

在正常的協(xié)議交互過程中，某些行為是有限重復(fù)的，即子序列重復(fù)數(shù)應(yīng)該保持在一個正常的范圍內(nèi)，例如一些端口探測、Flooding攻擊則是重復(fù)多次地進(jìn)行一種協(xié)議行為，因此被檢測的觀測序列中子序列重復(fù)數(shù)小于等于δi才能視為正常。本文利用正常模型的子序列最大重復(fù)數(shù)δ={δi}來體現(xiàn)序列的一個特征，并要求待檢測序列的子序列C′j={P′j,P′j+1}的重復(fù)數(shù)δ′i＜δ，同樣，也為最大重復(fù)數(shù)特征計算偏差值D1j=δ′i-δ。

對于基于HMM 的協(xié)議交叉檢測模型λ，利用前向算法計算每個需要檢驗的觀測序列的概率P( )O|λ,P 越小說明偏離模型的可能性越大，是異常行為的可能性就越大。由于本文選擇對正常行為建模，因此需要為正常行為序列的出現(xiàn)概率設(shè)置下限K 。由于前向算法中只有對有相同長度的觀測序列計算概率才有效，因此，為保證不同長度的觀測序列具有可比性，本文采用滑動窗口算法，依文獻(xiàn)[8]的最佳實驗結(jié)果將窗口長度w 取值為6，通過計算長度為w 的子序列q 的概率得到整個觀測序列的概率P=min P(q|λ)，而K 則設(shè)置為所有可能出現(xiàn)的正常短序列的最小概率值，即K=min lg P(l|λ)，其中l(wèi) 為觀測序列O 中的一個連接[15]。為后續(xù)結(jié)合其他特征，放棄直接比較的方法，設(shè)計一個新的統(tǒng)計量D2表示計算觀測序列與HMM 協(xié)議模型的偏差，即D2j=Pj-Kj。

4.2 異常判斷

利用子序列重復(fù)數(shù)δ 可以幫助識別HMM 模型不能檢測的異常，并且統(tǒng)計過程包含在構(gòu)建序列內(nèi)，并未造成計算負(fù)擔(dān)。因此，本文采用最大重復(fù)數(shù)δ 和觀測序列的概率P 兩個指標(biāo)來判斷異常，利用極差變換法對兩個指標(biāo)的偏差值進(jìn)行歸一化處理，其中D1屬于正向指標(biāo)，?。?/p>

對于逆向指標(biāo)D2，則?。?/p>

經(jīng)過極差變換后，指標(biāo)值在0～1之間，越靠近0說明異常的可能性越大。本文將兩個指標(biāo)加權(quán)求和得到判斷指標(biāo)：

最后通過預(yù)先設(shè)置好的閾值ψ 來判斷異常，如果D ＜ψ，則屬于異常行為。其中，通過改變權(quán)值θ 和閾值ψ 的大小可得到不同的檢測率。

5 實驗評估

為了驗證本文提出的檢測模型，在實驗室下搭建了視頻監(jiān)控網(wǎng)絡(luò)的通信環(huán)境，包含一個交換機、接入24臺攝像頭、兩臺NVR，攝像頭與NVR之間進(jìn)行視頻傳輸業(yè)務(wù)，流量大小在450～600 Mb/s。將正常交互行為下獲取的網(wǎng)絡(luò)數(shù)據(jù)中的主要通信協(xié)議SIP 與RTP 提取出來作為模型的訓(xùn)練數(shù)據(jù)集。檢測數(shù)據(jù)集來源于中科院信息工程研究所研發(fā)的鷹眼平臺，這是一款對目標(biāo)設(shè)備進(jìn)行漏洞掃描和驗證的視頻監(jiān)控系統(tǒng)安全測評工具，其中包含了諸多惡意攻擊腳本和漏洞驗證腳本。在實施模擬攻擊之前，對該工具中涉及到實驗內(nèi)容的腳本按攻擊種類進(jìn)行了標(biāo)記，包含消息篡改、緩沖區(qū)溢出、DDos攻擊、重放攻擊、猜測破解5大類惡意腳本。通過鷹眼平臺執(zhí)行標(biāo)記后的攻擊腳本，將產(chǎn)生的應(yīng)用層異常交互信息作為檢測數(shù)據(jù)集，對本文的協(xié)議交叉檢測方法進(jìn)行性能檢測。然后將只要涉及到RTP 的腳本標(biāo)記為RTP 下的攻擊，涉及到SIP的腳本即標(biāo)記為SIP下的攻擊，這樣協(xié)議標(biāo)記間是存在重疊樣本的，分開標(biāo)記可以方便后續(xù)對單協(xié)議建模方法進(jìn)行性能檢測，用來與多協(xié)議交叉建模方法進(jìn)行對比。整體檢測數(shù)據(jù)集的內(nèi)容如表1。

表1 用于檢測的攻擊數(shù)據(jù)的攻擊數(shù)目

5.1 參數(shù)訓(xùn)練

為驗證檢測算法在上述環(huán)境的有效性，需要通過狀態(tài)合并算法和Baum-Welch 算法為SIP 和RTP 訓(xùn)練好協(xié)議交叉的HMM。在算法的參數(shù)評估過程中，主要通過對式（7）中的權(quán)值θ 和閾值ψ 進(jìn)行調(diào)整來獲得最優(yōu)的檢測率。首先，計算指標(biāo)時為獲得最優(yōu)的加權(quán)比例，分別記錄了正常數(shù)據(jù)流和異常數(shù)據(jù)流下θ 從0～1 時D 值的平均值，計算結(jié)果如圖4。當(dāng)θ=0.6 時，正常數(shù)據(jù)流和異常數(shù)據(jù)流的Dˉ相差最大，說明此時分類效果最為明顯。

圖4 正常與異常數(shù)據(jù)流下D 與權(quán)值的關(guān)系

然后，以0.6作為最優(yōu)權(quán)值，通過調(diào)整檢測閾值ψ 來獲取最優(yōu)的檢測率，檢測結(jié)果如圖5所示。根據(jù)實驗結(jié)果可知，當(dāng)ψ=0.42 時，誤報率和漏報率能夠維持在一個較為理想的區(qū)間。因此，本文將模型中的權(quán)值θ 設(shè)置為0.6，閾值ψ 設(shè)置為0.42，并將該協(xié)議交叉HMM用于后續(xù)的性能比較。

圖5 模型中誤報率和漏報率與閾值的關(guān)系

5.2 檢測性能評估

利用以上實驗數(shù)據(jù)對文獻(xiàn)[7]中基于頭部標(biāo)示數(shù)值化屬性訓(xùn)練的HMM以及文獻(xiàn)[9]中以關(guān)鍵字、頻率為狀態(tài)屬性訓(xùn)練的HMM的檢測方法進(jìn)行模擬，與本文的協(xié)議交叉模型（Protocol-cross HMM，簡稱Pc）進(jìn)行性能方面的比較。表2給出以上三種檢測方法針對SIP和RTP協(xié)議在不同類型攻擊下的綜合檢測率。

表2 三種檢測方法在不同攻擊行為下的檢測率 %

由實驗結(jié)果可見，本文提出的檢測方法對SIP和RTP協(xié)議的攻擊檢測的準(zhǔn)確率均高于文獻(xiàn)[7，9]的檢測方法：

（1）由于前兩種檢測方法根據(jù)標(biāo)示位或關(guān)鍵詞建立協(xié)議報文序列建立HMM，而未考慮協(xié)議報文間的時序與語義關(guān)聯(lián)，因此對DDoS、消息篡改等需要多包完成或涉及多協(xié)議的攻擊行為下，會產(chǎn)生較高的漏報率、誤報率。

（2）同時Pc 檢測方法對后兩類攻擊行為的檢測率有顯著提高，這是因為本文在不改變計算復(fù)雜度的同時添加了第二個檢測指標(biāo)——子序列重復(fù)數(shù)δ，該指標(biāo)對于存在大量循環(huán)操作的攻擊行為具有進(jìn)一步的校驗作用，如端口掃描、重放攻擊等。

此外，還將文獻(xiàn)[9]中對SIP、RTP 兩類協(xié)議建立的HMM單獨拿出來與Pc方法的兩類協(xié)議交叉HMM的檢測性能進(jìn)行比較，分別標(biāo)記為SIP、RTP、SIP&RTP 三種模型，結(jié)果如圖6所示。

圖6 三種模型的檢測性能

由圖6的實驗結(jié)果可見，本文提出的協(xié)議交叉檢測方法對攻擊的檢測性能略高于兩個協(xié)議獨立建模的檢測方法。同時，在實驗過程中有超過122個攻擊樣本未在兩類協(xié)議的單獨模型中識別，卻在本文提出的新模型檢測算法中檢測到，由此可見，該檢測方法的漏報率低，即檢測覆蓋率有所提升。以上均證明協(xié)議交叉檢測方法優(yōu)化了對以往只面向單一協(xié)議攻擊的協(xié)議異常檢測方法。因此，協(xié)議交叉檢測方法對于具有多協(xié)議協(xié)作的網(wǎng)絡(luò)環(huán)境有較好的檢測能力。

6 總結(jié)

本文采用協(xié)議異常交叉驗證的思想，考慮了協(xié)議報文的時間和語義關(guān)聯(lián)，提出了協(xié)議報文合并算法應(yīng)用于HMM 的協(xié)議行為建模，因此提高了此類模型對協(xié)議異常的檢測能力，并在模型建立的過程中統(tǒng)計數(shù)據(jù)特征“子序列重復(fù)數(shù)”檢驗循環(huán)操作類攻擊來提高檢測方法的覆蓋率。該檢測方法不僅可以對協(xié)議異常進(jìn)行有效檢測，而且對泛洪攻擊、端口掃描等攻擊也具有較好的檢測效果。此外，本文算法在合并協(xié)議數(shù)量不超過3類時可達(dá)到較好的檢測速率，適用于多協(xié)議交互的網(wǎng)絡(luò)環(huán)境，如VoIP網(wǎng)絡(luò)、視頻會議系統(tǒng)等。由于建模過程依賴對正常協(xié)議數(shù)據(jù)的采集質(zhì)量，一些采集過程艱難的協(xié)議數(shù)據(jù)（例如只能靠RFC的數(shù)據(jù)）在建模方面有較大難度。