基于系统行为分类检测模型描述中有关漏警与空警的分析研究

摘 要 检测系统关健技术是从数据中获得系统的入侵行为的知识并加以定义和描述为入侵的行为，在Intrusion detection system的构建中，相关的知识获取技术，特点选取，各种分类算法，进程运行迹的系统调用短序列集合以及序列中系统调用的排列关系来描述进程行为的特点，这些特点中存在着检测系统在检测过程中出现漏警与空警现象。

【关键词】入侵检测模型 行为特点 特点描述 normal abnormal 漏警 空警

1 Intrusion detection system模型

Intrusion detection system是一个多数据处理系统，这样的系统要求建立恰当的抽象系统模型，要对问题域实体及其关系进行抽象并能用算式定义和表述，这样才能够正确并较为全面解决的各种复杂问题。在现实环境中，不同类型的问题域有不同解决问题的方法。由此可知系统的数据处理模型不仅要求对数据集合空间相关实体的提取和表述，并进一步强调了问题解决过程中需要处理的重点。由此，解决系统数据处理模型的建立对系统的体系结构分析和设计是处理问题的关键。

Intrusion detection system是一个现实的数据处理重要模块。它必须收集众多的系统数据进行审计处理并提交检测控制系统判别它是否是入侵的行为的那一个类别。具体到系统的检测机制，其实就是一个系统主体行为的分类系统，它需要把对系统具有恶意的行为特点并在众多的系统行为中把它们区分开来。解决问题的重点是怎样定义、表述入侵行为特点。这样，在Intrusion detection system中有关的知识获取技术，通过数据挖掘、知识表述和获取、特点选取、机器学习技术和各种分类算法方法。这里采用进程运行综迹的系统调用短序列集合以及序列中系统调用的排列关系来表述进程行为的特点。下面重点讨论基于系统行为分类的检测模型和数据处理的Intrusion detection system模型。

2 基于系统特点分类的检测模型

基于系统行为入侵检测的主要问题就是在给定的系统环境中，如何对系统的特点pattern进行定义、识别和分类。

这样的分类方法就是须要采用分类的算法，把一个数据项归类给事先定义类别中的某一类。我们这里从系统行为pattern的分类的方法来讨论检测系统的检测模型。由于系统的行为可以通过运行软件和对应的服务程序来实现的，这样可以通过判别系统中每个系统关键程序的“abnormal”或“normal ”活动的数据比较，而后指定“abnormal”与“normal ”两个类别并用分类算法进行学习，然后建立一个两类的分类器，这样的分类器是基于统计概率、规则的方式来对系统进程的评审并进行数据分类和分析，由此来判断被监控进程的行为是否normal 或abnormal。

下面讨论系统进程行为pattern的定义和标识。由于程序运行不仅有一定的顺序性而且它的功能也各不相同，因此根据不同的程序运行的综迹，假如按同一长度提取对应的系统调用序列集合时，系统调用序列集合之间必然存在不同的系统调用子序列。由此这里就能够达到分出不同程序的目的。为此，我们可以使用系统关键程序运行综迹长度为L的系统调用子序列集合来构造该程序的normal 运行的特点。在这里我们把系统中被监控的所有关键程序的normal 运行特点的同一长度的系统调用子序列集合的并集合记为A来作为系统的normal 运行特点。为此，我们就可以设计基于行为的Intrusion detection system。

假设C为被监控系统的系统调用集合合。系统行为pattern空间M被定义为某一固定长度L的系统调用序列的全集合M={Q=a1a2，aL|ai∈C，i=1，2，l}，式中Q被称为长度为L的系统行为pattern。

设定系统调用序列的长度L时必须注意：如果L较小，那么系统normal 运行特点的集合A就有可能满足：A=M，这时M中的系统调用序列都是系统程序normal 运行迹的某个子序列，因而无法判定程序的运行是否normal 。因为程序是完成一定功能的，所以当L大于某一长度时，U中就会出现不在S中出现的系统调用子序列，即AM。记S=M-A，集合N表示在系统程序的normal 运行中不会出现的系统调用子序列。

下面给出定义在系统行为pattern空间U上的入侵检测分类模型见图1，其中：W=（f， G）。

图1中，G为系统normal 数据集合，而A为精确的系统normal pattern集合）。f是一个二维函数。给定一个行为pattern p∈M，f可判断它是否是系统的normal 行为。且定义如下：

收集数据时常是不全面，有些程序的正确运行pattern不包含在检测系统D=（f，G）的pattern集合G中，这样在检测时就可能出现把系统的正确行为误判为入侵类行为错误，这样的错误被称为空警。检测系统在检测过程中出现空警。过多的空警会使检测结果不可信。因此空警率也是评判检测系统性能的一个重要指标。

检测分类器的建立采用电脑学习来实现，所用的方法有决策树、规则提取、神经网络以及贝叶斯学习方法等。使用分类模型建立abnormal检测器的一个重要条件是，这里必须有“充足”而能够含涵盖最多系统normal 行为的数据得到收集，只有这样才能够使检测器保持一个尽可能低的空警率。这里要先通过一个有限的数据收集从而获得一个基本的分类器，最后用在线学习的方法不断分类更新。

由于谁也保证不了收集合数据没有受到污染、损坏等种种因素的存在，检测系统D=（f，G）的行为pattern集合G中，很有可能会存在一些abnormal pattern。这样检测系统在检测时就可能把某些入侵行为错判为normal 行为，或者就根本检测不到这一行为，这种错误或检测不到的现象称为漏警。漏警现象在基于知识的Intrusion detection system中比较普遍，因为基于知识的Intrusion detection system是根據已知入侵行为pattern来检测针对系统入侵的这类Intrusion detection system，这对于未知的入侵行为肯定会出现漏警，检测系统在检测过程中出现的漏警。

由上述可知：检测系统在数据捕获、特点选取、知识表述、机器学习以及各种分类算法的检测系统D=（f，G）的系统行为pattern集合G中，这样的检测系统在检测时就可能把某些入侵动作误判为normal 行为，也可能检测不到这种入侵行为，这种现象称为漏警。因为基于知识的Intrusion detection system是根据已知入侵行为的pattern来进行检测的，然而这类Intrusion detection system对于未知的入侵行为就会出现漏警。而出现漏警的危害更加突出，这值得引起研究者的高度重视。

参考文献

[1]胡建伟.网络对抗原理[M].西安：电子科技大学出版社，2010.

[2]杨义先.钮心忻.网络安全理论与技术[M].北京：人民邮电出版社，2003.

[3]张兵利，裴亚辉.贝叶斯网络模型概述[J].电脑与信息技术，2008.

[4]吴鹏.MATLAB高效编程技巧与应用[M].北京：航空航天大学出版社，2010.

作者简介

杨玉新，硕士学历。副教授。通信与信息系统专业。研究方向为网络安全。

作者单位

云南省德宏州师范高等专科学校现代教育技术中心 云南省德宏傣族景颇族自治州 678400