文档介绍:基于隐马尔可夫模型的系统脆弱性检测
摘要在计算机平安领域,特别是网络平安领域,对计算机系统进展脆弱性检测非常重要,其最终目的就是要指导系统管理员在“提供效劳〞和“保证平安〞这两者之间找到平衡。
本文首先介绍了基于隐马尔可夫模型〔基于H的入侵检测系统
审计数据预处理器负责将原始审计记录转变为分析引擎可以承受的标准格式。过滤器负责决定哪些审计事件是合适系统的、哪些审计数据字段对系统分析来说是充分有用的。基于H的分类器负责对过滤后的数据进展分类,产生检测结果。
整个系统的工作过程分为两个阶段:训练阶段和检测阶段。在训练阶段,根据的正常审计数据和异常审计数据来训练分类器,并得出相应的参数。在检测阶段,预处理器将审计数据转换成标准格式,再通过过滤器得到充分有用的数据,然后通过基于H的分类器进展分类,从而区分出正常行为和入侵行为。
马尔可夫模型是一个离散时域有限状态自动机,隐马尔可夫模型〔H〕是指这一马尔可夫模型的内部状态外界不可见,外界只能看到各个时刻的输出值。[4]隐马尔可夫模型本质上是一种双重随机过程有限状态自动机,其中的双重随机过程是指满足arkv分布的状态转换arkv链以及每一状态的观察输出概率密度函数,共两个随机过程。
设Xi是一个随机变量,它表示时刻t系统的状态,其中t=0,1,2,…。用H建模系统正常行为特征需做出如下两个假设:
P〔Xi+1=it+1|X/t=it,Xi-1=it-1,…,x0=i0〕=P(Xi+1=it+1|Xt=it(1)
P〔Xi+1=it+1|Xt=it〕=P(Xi+1=j|Xt=i)=Pij(2)
对每个t和所有的状态都成立。其中Pij表示系统在时刻t处于状态的条件下,在时刻t+1处于状态j的概率。等式〔1〕说明在时刻t+1系统状态的概率分布只与时刻t时的状态有关,而与时刻t以前的状态无关。等式〔2〕说明由时刻t到时刻t+1的状态转移与时间无关。
假如系统有有限数目的状态:1,2…,s,那么H可以用转移概率矩阵P和初始概率分布Q来定义:
(3)
(4)
其中qi是系统在时刻0时处于状态i的概率,并且:
(5)
给定状态序列Xt-k,...,Xt在时刻t-k,...,t出现的结合概率表示为:
P(Xt-k,…,Xt)=(6)
训练数据提供了在时刻t=0,1,...N-1时刻状态X0,X1,X2,...XN-1的观察值,H的转移概率矩阵和初始概率分布通过学****训练数据来得到。由训练数据计算转移概率矩阵和初始概率分布如下:
Pij=Nij/Ni(7)
qi=Ni/N(8)
其中Nij表示Xt在状态i、Xt+1在状态j的观察值对〔Xt,Xt+1〕的数目,Nt表示Xt在状态i、Xt+1在任何状态的观察值对〔Xt,Xt+1〕的数目,Ni表示Xt在状态i的数目,N表示观察值总数。
为了检测入侵,通常使用两类数据来捕捉计算机和网络中的行为:网络通信数据和审计踪迹数据〔审计数据〕。在研究中,采用的是SUn微系统公司开发的Slsris作系统的审计数据,重点考虑的是攻击主机的入侵。Slsris操作系统的根本平安模块(BS)有大约284个不同类型的审计事件。对每种类型的事件,BS审计记录包括如下信息:事件类型、用户ID、