基于模式识别的信息系统入侵攻击在线发现技术研究

赵海涛 宋 倩

(海军驻南京地区航天机电系统军事代表室 南京 210006)

基于模式识别的信息系统入侵攻击在线发现技术研究

赵海涛 宋 倩

(海军驻南京地区航天机电系统军事代表室 南京 210006)

在信息系统安全防护领域的研究中,人们一直致力于研究如何挖掘并修复信息系统自身的安全漏洞。面对多变的安全入侵方式,只能根据先验经验进行甄别和防护,缺少智能识别和防护的手段。论文提出了一种基于模式识别的信息系统入侵攻击在线发现与自适应规避技术,通过自学习的方式丰富攻击模式库,并根据攻击模式库自动甄别入侵行为,进而启用相应的规避策略,保护信息系统的安全。

模式识别; 入侵攻击; 自适应规避高速高机动; 路径跳转; 判决函数

Class Number O235

1 信息系统安全防护发展现状

随着信息技术的发展和信息系统的广泛应用,企业生产、试验、管理等方式均向数字化、集成化、网络化、智能化的方向转变,然而电子信息系统在带给人们便利的同时也带来了安全隐患[5～6]。例如：在一些高安全领域,系统受到外部攻击或者内部信息泄漏将造成严重的后果；普通领域中的关键设备遭到攻击或敏感信息泄漏同样会造成不同程度的经济或政治影响。目前,大多数企业的信息系统建设大都遵循着相关标准构建一定级别的安全防护措施(防火墙、杀毒软件等),但是均属于被动防护措施,基于先验经验判断当前操作是否为攻击行为,当新的攻击方式出现时,不能进行在线判断,并给出相应的规避措施[1～2,6～8]。

模式识别技术的一般技术架构包括构建模式空间、针对模式空间构建特征空间、根据判决准则形成类别空间三部分。一般情况下,模式空间中包含已知的各种攻击模式,按照传统理论,首先由人类对现有攻击模式进行总结、分析和归纳,构造尽可能全面的攻击模式空间,对所有攻击模式进行特征提取,根据经验确定判决准则。然后把人类大脑加工的成果教给机器,让机器根据已有的攻击模式的特征对未知模式进行判别,甄别一般使用和安全攻击。这种方式即为离线方式,应用过程中受制于人类的经验,应用效果较差[3～5]。

针对上述问题,本文提出了一种基于模式识别的信息系统入侵攻击在线发现与自适应规避技术。根据信息系统自身的特点,提取路径跳转的运行规则模型,以运行规则模型为基础,研究入侵攻击的在线发现技术,使得检测机制无需事前获得大量的先验信息；通过自学习的方式不断扩充攻击模式空间库,当安全漏洞被攻击时,不依赖于已存在的模式空间,可以及时给出告警提示,为信息系统提供持续且不断增强的安全防护能力。

2 基于模式识别的信息系统入侵攻击在线发现与自适应规避模型

模式识别(pattern recognition),也可译作模式辨认、图像识别、图形识别,是近30年来得到迅速发展的一门新兴边缘学科。按照广义的定义,模式是一些供模仿用的、完美无缺的标本。模式识别就是识别出特定客体所模仿的标本。模式识别的目标包括对于系统的描述、理解与综合。模式识别的高级阶段是通过大量信息对复杂过程进行学习、判断和寻找规律,从这个意义上说,模式识别与“学习”或“概念形成”的意义是相近的。模式识别的一般过程如下图所示[4]。

图1 模式识别的一般过程

本文将模式识别过程引入到信息系统入侵攻击在线发现过程中,构建出基于模式识别的信息系统入侵攻击在线发现与自适应规避模型,具体见图2所示。不同于基于先验经验构造的入侵攻击检测,本文提出的基于自学习的在线入侵攻击检测机制。首先对信息系统的外部输入数据和行为进行模式采集,形成模式空间；对模式空间中的各元素进行综合分析,获取能揭示样本属性的观测量作为主要特征,构造特征空间；根据统计方法设计分类器,把被识别对象归为某一类,给出识别结果；若识别结果为安全攻击,则根据映射规则,启动安全攻击预警并启动相应的规避策略。然后比对此次攻击行为的攻击模式与现有的模式空间库,若此次攻击模式不属于已有的模式空间,则针对该攻击行为提取新的特征值,丰富特征空间、模式空间和规避规则库[9～11]。

图2 基于模式识别的入侵攻击在线检测及自适应规避模型

由图2可知,该模型可分为入侵攻击在线监测和入侵攻击自适应规避两部分,入侵攻击在线监测部分主要根据模式识别的理论框架,分别对模式空间构建技术、特征空间构建技术和类型空间划分的判决准则进行研究。大体的研究思路如下：首先把程序跳转流程进行形式化描述,存入到攻击模式空间库；特征空间库中存储的是节点间的跳转概率；跳转概率取多大作为判断行为为入侵行为的标准值叫做决策面,这个值一般关系到漏洞检测的漏报率和准确性；将取决策面的过程转化成数学模型中求函数极值的问题,将在2.3节进行详细介绍。

2.1 基于路径跳转的模式空间构建技术

在研究用机器进行模式识别的理论与技术中,模式是根据事物的一组主要的有意义的特征或属性,对事物的一种定量的或结构的描述,是以数量信息为特征的一种描述方法。用这种方法描述时,首先要选择事物的n个有意义的数量特征,通常用小写字母x1,x2,…,xn表示,然后把这n个特征表示为列向量形式,用大写字母X表示。具体为

X也可以表示成

上标T表示转置。X称为特征向量,又称为模式。一个模式向量可以表示为n维欧式空间中的一个点,称为点模式。同一类模式比较相似,在欧式空间中,它们一般相距较近,相互聚集在一起,不同类的模式差异较大,在欧式空间中相互相距较远。

本文以信息系统的路径跳转为基础,提取信息系统正常运转过程中的跳转路径,进行模式采集,构建模式空间。基于路径跳转的模式空间构建过程如下：

2) 基于自顶向下的方式分析信息系统的组织结构,生成信息系统的实体模块组成集合C和逻辑调用关系集合R；

3) 完成信息系统正常运行模式集合到实体模块组成集合C以及逻辑调用关系集合R的映射,并根据映射结果构建基于路径跳转的模式空间。

入侵检测机制初始化后,模式空间中包含的是根据先验经验构造的入侵攻击模式。首先提取系统的运行流程图,根据系统的业务功能,分析各节点间的跳转概率；接着,启动系统,根据系统运行过程中,节点的跳转概率判定此次执行是一般操作模式还是攻击模式,并记录此次操作的完整路径；若判定结果为攻击模式,则将此次操作的路径添加到模式空间；然后根据路径信息提取特征和判决准则,添加到特征空间库,过程如下图所示。

图3 基于路径跳转驱动的模式空间构建技术示意图

2.2 特征空间构建算法研究

特征空间分为两部分：跳转关系特征和攻击行为特征。跳转关系特征通过分析系统的运行流程图获得；攻击行为特征一部分通过经验获得,另一部分由在线学习过程得到的攻击行为路径获得。通过对跳转关系进行形式化描述,获取跳转关系模型,构建能够计算特征值的数据模型,从而构建跳转关系特征空间；攻击行为特征一部分通过经验获得,另一部分由自学习过程获取,对于自学习过程中获取的攻击行为,首先获取该攻击行为的行为路径和数据输入,分别提取其跳转关系特征和攻击行为特征,并对新特征进行形式化描述添加到特征空间中。

通过提取系统的跳转流程,构建运行规则模型,建立跳转行为的概率模型,通过对概率模型进行数学运算,基于跳转关系,生成的攻击模式；当攻击模式不属于攻击模式空间中任何一种类型时,分析该攻击行为的路径和数据,通过数学运算生成新的攻击模式,添加到攻击模式空间库。特征空间的构建算法如下图所示。

图4 特征空间构建算法示意图

2.3 判决准则生成技术研究

在判决过程中,判决结果的精确度和漏报率作为判决结果的重要指标,始终呈矛盾状态出现。业界通常的做法是选择一个折中的阈值,让判决结果的精确度和漏报率均落在可接受的区间内。判决准则的生成技术往往被转化称数学模型中求极值的问题,步骤如下：

第一步：应针对不同的实际情况,提出设计要求,设计判别函数,使得判别函数能更好地满足这些要求Q{q1,q2,…,qn}；

第二步：利用样本集估计判别函数中的未知参数,满足设计要求中“尽可能好”的要求；

第三步：求解判别函数取最优值,利用最优化技术解决模式识别问题。

根据本文要解决的问题可知模式空间有两类：攻击行为模式和非攻击行为模式,由ω1,ω2表示,因此可用线性判别函数把两类模式分割出来。令

g(X)=ω1x1+ω2x2+ω3=0

其中ω是参数,x1,x2是特征变量,属于ω1类的任一模式X代入g(X)后将得到正的数值,属于ω2类的任一模式代入g(X)后将得到负的数值,因此g(X)可作为一个判别函数。若给定一个位置的模式X,当g(X)>0时,X属于ω1类；当g(X)<0时,X属于ω2类；当g(X)=0时,X处于分割边界上,即处于不确定状态,此时需对特征变量的元素取值进行分析,如果取值为正的元素个数多余取值为负的元素个数,则规定X属于ω1类,反之,则规定X属于ω2类。

2.4 入侵攻击自适应规避技术

简单来讲是,通过比较用户行为和攻击模式库,对匹配上的攻击行为,启动已经存在的规避策略,若用户行为绕过了攻击模式库,但是被程序跳转识别机制识别为入侵攻击,此时规避规则库中是没有对应的规避策略的,解决方案就是按照相关度进行检索,寻找最大相关度的规避策略,若相关度都很小,则强制启动系统功能降级运行。

图5 自适应规避机制实现机制

信息系统入侵攻击在线自适应规避技术的核心是研究自适应规避技术的实现机制。基本实现流程是,当系统检测到入侵攻击时,自动启动对应规避策略,保护系统免遭破坏。但存在下述问题：如何将攻击模式对规避规则库中的规避策略对应起来；如果攻击模式是系统通过自学习获取的,则规避规则库中可能没有对应的规避规则,这种情况该如何处理。针对上述问题,采用相关性匹配的方式为新的攻击模式寻找规避策略,当相关性小于可接受域时,采取强制系统降功能运行的方式规避攻击,并给出攻击告警提示。自适应规避技术的实现机制如图5所示。

3 实验与分析

采用本文提出的技术模型构建信息系统的防御体系仿真模型,进行安全漏洞的在线发现与自适应规避效果验证,在漏洞发现时间、空间占用率、误报率、正确率等方面与传统的离线检测技术进行对比。

选用100种典型漏洞攻击进行实验分析,并对各项指标求取平均值,漏洞发现时间以秒为单位,空间占用率以CPU占用率进行衡量,误报率=误报次数/100,漏报率=漏报次数/100。结果如下表所示。

表1 实验分析结果

分析实验数据可知,与传统的漏洞检测技术相比,基于模式识别的漏洞检测技术的漏报率明显减少,但也不可避免地带来的误报率增大的问题。

4 结语

本文提出的基于模式识别的信息系统安全漏洞在线发现与自适应规避技术,给出了完整的技术框架和详细的技术实现。与现有的离线式安全漏洞发现与规避技术相比,本文提出的策略更智能、更灵活,能在信息系统使用过程中更早地发现系统的异常输入,并采取相应的规避措施。通过仿真实验,基于模式识别的信息系统安全漏洞在线发现与自适应规避技术能在更大程度上保证信息系统免遭攻击和破坏,具有良好的应用前景,如何在减小漏报率的前提下降低误报率是本文今后研究和改进的方向。

[1] 郎良,张玉清,钱秀槟,等.漏洞检测与自动防御系统模型的研究与实现[C]//中国计算机大会论文集,北京：清华大学出版社,2003:324-330.

[2] 张宪.基于复杂网络的联合作战指挥网络拓扑结构研究[J].指挥控制与仿真,2014,5:1-2.

[3] 西奥多里蒂斯.国外计算机科学教材系列:模式识别[M].第2版.北京:电子工业出版社,2004:1-29.

[4] 边肇琪,张学工.模式识别[M].第2版.北京：清华大学出版社,2007:31-67.

[5] 余精彩.网路漏洞扫描系统的必要性[J].2004,9:62-64.

[6] 殷虎.潜艇信息系统信息安全与纵深防护策略研究[J].指挥控制与仿真,2016,2:31-34.

[7] 唐正军.网络入侵检测系统的设计与实现[M].北京：电子工业出版社,2002:1-3.

[8] 刘蕊.指挥信息系统安全防护系统视图研究[J].指挥控制与仿真,2014,5:7-10.

[9] 盛立东.模式识别导论[M].北京:北京邮电大学出版社,2010:18-55.

[10] 洪文学等.基于多元统计图表示原理的信息融合和信息融合和模式识别技术[M].北京:国防工业出版社,2008:14-90.

[11] 杨纶标,高英仪.模糊数学原理及应用[M].广州:华南理工大学出版社,2008:31-51.

Intrusion Attack online Discovery Technology of Information System Based on Pattern Identification

ZHAO Haitao SONG Qian

(Navy Representative Office of Aerospace Mechanical and Eletrical System in Nanjing, Nanjing 210006)

In the research of information system security protection, excavating and repairing the security vulnerabilities of information system have always been the focus of attention. In the face of a variety of security intrusion, only priori experience of screening and protection can be supported and lack of intelligent means of identification and protection. In this paper, a new method based on pattern recognition is proposed. Following this method, the external input behavior of system is matched with the pattern feature which is extracted from the attack pattern. If they are matched, a corresponding strategy is going to be automatically enabled to protect the security of information system,at the same time. The attack pattern library is able to continuously enrich through self-learning.

pattern identification, intrusion attack, adaptive avoidance, path jump, decision function

2016年7月9日,

2016年8月26日

赵海涛,男,硕士,工程师,研究方向:武器系统与应用工程。宋倩,女,硕士,工程师,研究方向:计算机应用技术。

O235

10.3969/j.issn.1672-9730.2017.01.022