巫冬
(四川职业技术学院 计算机科学系,四川 遂宁 629000)
随着Windows系统的不断升级,对Windows系统的安全性提出了更高的要求。在分布式网络组网模式下,Windows系统容易受到网络攻击,产生Windows系统漏洞。特别是在Windows系统漏洞提权攻击下,Windows系统的安全性和稳定性受到严重威胁,需要构建Windows系统漏洞提权攻击检测模型,分析Windows系统漏洞提权攻击的状态特征量,结合信息融合和大数据挖掘方法,进行Windows系统漏洞提权攻击检测。研究Windows系统漏洞提权攻击的安全检测方法,在提高Windows系统的稳定性和安全性方面具有重要意义,相关的Windows系统漏洞提权攻击检测方法研究受到人们的极大关注[1]。
当前,对Windows系统漏洞提权攻击的检测方法主要采用关联规则检测方法、统计分析方法以及模糊相关性检测方法等[2,3]。建立Windows系统漏洞提权攻击信号波束模型,采用模糊度特征分解方法,进行Windows系统漏洞提权攻击检测。文献[4]中提出基于上下门限联合判别的Windows系统漏洞提权攻击检测算法,以时间均值和谱密度为漏洞攻击的特征量,对提取的特征量进行信息融合和特征分解,实现漏洞提权攻击信号检测。但该方法进行漏洞提权攻击检测的计算开销较大,实时性不好。文献[5]中提出基于模糊度特征分析的Windows系统漏洞提权攻击检测方法,通过模糊度特征分离和信号融合实现Windows系统漏洞提权攻击检测,但该方法进行Windows系统漏洞提权攻击检测的输出稳定性不好,抗干扰能力不强。
针对上述问题,因为Windows系统漏洞提权攻击属于隐性攻击,检测过程的干扰性较强,对此,本文提出基于模拟攻击的Windows系统漏洞提权攻击检测方法。首先构建Windows系统漏洞提权攻击的信号拟合模型。然后采用匹配滤波方法进行Windows系统的漏洞提权攻击模拟,在模拟攻击下提取Windows系统的漏洞信息的参数融合模型,采用自适应加权学习方法进行Win‐dows系统的漏洞提权攻击检测的收敛性控制,实现攻击检测算法的优化设计。最后进行仿真测试分析,展示了本文方法在提高Windows系统的漏洞攻击检测能力方面的优越性能。
为了实现基于模拟攻击的Windows系统漏洞提权攻击检测,需要首先构建Windows系统漏洞提权攻击的信号拟合模型,结合极速学习方法进行Windows系统的漏洞提权攻击的特征提取。结合信号拟合加权方法[6],建立Windows系统漏洞提权攻击的特征序列{x(t1),…x(tn)},采用信号拟合方法,建立Windows系统漏洞提权攻击的参数辨识模型,得到辨识参数为:
对Windows系统的近邻漏洞提权攻击信号采用统计分析方法进行特征分解,通过子空间降噪进行Windows系统漏洞提权攻击信号的滤波检测,降低攻击检测的抗干扰性[7],得到匹配滤波检测器为:
其中,x(s)为x(s)的复共轭。采用机器学习方法进行Windows系统漏洞提权攻击信号的谱密度检测,得到谱密度分布表示为:
采用高阶信息统计特征检测方法,建立Windows系统漏洞提权攻击的信号加权模型[8],得到信号加权输出为:
Windows系统漏洞提权攻击检测的频率标准差:
根据上述分析,采用信号拟合方法进行Windows系统漏洞提权攻击模拟,根据模拟攻击检测结果进行Windows系统漏洞提权攻击检测。
建立Windows系统漏洞提权攻击的信号特征提取模型,根据Windows系统的漏洞提权攻击特征提取结果[9],得到输出包络特征为:
上式中,a(t)称为Windows系统漏洞提权攻击信号的z(t)瞬时幅度,φ(t)称为Windows系统漏洞提权的瞬时相位。结合二乘规划模型,进行Windows系统漏洞提权攻击的输出参数融合,分析Windows系统漏洞提权攻击的空间阵列[10],采用波束形成方法,得到Windows系统漏洞提权攻击的波束表示如下:
对于漏洞提权攻击信号s(t),采用相关性检测和统计特征分析方法[11],得到Windows系统漏洞提权攻击的特征分量为:
假设Windows系统漏洞提权攻击的时间间隔为n∈[n1,n2],结合模拟攻击方法,进行Windows系统漏洞提权攻击的统计特征量分析[12],得到统计特征分布为:
其中,υs表示Windows系统漏洞的攻击的差异度函数,表示为时间函数Xs与加权系数ωi的偏差。采用非线性统计分析方法,进行Windows系统漏洞检测,从而提高Windows系统漏洞提权攻击检测的抗干扰能力[13]。
建立Windows系统的漏洞提权攻击信号的盲源分离模型,采用匹配滤波方法进行Windows系统的漏洞提权攻击模拟[14],得到Windows系统漏洞提权攻击特征分布矩阵的第i列矢量可表示为:
采用贯序不均衡估计方法,得到Windows系统漏洞提权攻击的源参量Φ,Ω,Λ分别为:
通过空间波束集成性分析,得到Windows系统漏洞攻击的加权参数为C2,其元素C2(m,n)为:
采用尺度分解方法,建立Windows系统漏洞攻击的矩阵分布模型[15],构造如下的4P×4P矩阵:
式中,E=[e1,e2,…e4P]为Windows系统漏洞提权攻击的传输链路(a,bm)上的酉矩阵;∑=iag[σ1,σ2,…σ4P]为对角矩阵,且:
采用门限检测的方法,建立Windows系统的漏洞提权攻击信号的盲源分离模型,由此构建Windows系统漏洞提权攻击的参数融合模型为:
采用收敛性控制和特征匹配处理方法进行Windows系统漏洞提权攻击的统计信息模型构建,建立Windows系统的信息融合模型,得到Windows系统漏洞的传递函数:
其中,A是一个维数为P×L的漏洞提权攻击特征高阶统计特征。通过自适应学习方法,得到Windows系统漏洞提权攻击检测的稳态概率得到:
其中,f表示Windows系统漏洞提权攻击信号的瞬时频率,x*表示对原始信号取卷积。根据上述分析,采用如图1所示的分类器,实现对采用自适应加权学习方法进行Windows系统的漏洞提权攻击检测的特征分类识别。
图1 漏洞提权攻击分类器
为了测试本文方法在实现Windows系统漏洞提权攻击检测中的应用性能,进行仿真实验。实验采用Mat l ab设计,对Windows系统漏洞提权攻击的种类设定为DoS漏洞提权攻击,Pr obe漏洞攻击以及撞库攻击。采用随机样本分析方法进行攻击样本采样,采集的攻击样本数据包括600组测试样本,对Windows漏洞提权攻击检测的训练样本集为100,攻击信息的关联系数为0.34,相似度为0.78,迭代次数为500,攻击的干扰强度为24dB。根据上述参数设定,进行Windows系统漏洞提权攻击检测仿真,得到采集的Windows系统传输数据如图时域波形如图2所示。
图2 Windows系统的流量序列采样波形
以图2的数据为测试样本,采用特征量拟合方法进行漏洞提权攻击的阈值判断,采用门限检测的方法实现攻击特征检测,得到攻击检测结果如图3所示。
图3 Windows系统漏洞提权攻击检测结果
分析图3得知,本文方法进行Windows系统漏洞提权攻击检测的波峰较为明显,说明检测的精度较高。测试检测准确概率,得到对比结果见表1,分析表1得知,本文方法进行Windows系统的漏洞提权攻击检测的准确概率较高。
表1 检测准确性对比
本文提出基于模拟攻击的Windows系统漏洞提权攻击检测方法。采用信号拟合方法进行Windows系统漏洞提权攻击模拟,采用波束形成方法,得到Windows系统漏洞提权攻击的阵位分布,采用自适应加权学习方法进行Windows系统的漏洞提权攻击检测的收敛性控制,提高Win‐dows系统的漏洞提权攻击检测的收敛性和自适应学习能力。实验结果表明,采用该方法进行Windows系统的漏洞提权攻击检测的收敛性较好,检测准确概率较高。