多维进程行为评估模型建立和最优化方法.docVIP

多维进程行为评估模型建立和最优化方法 　　摘 要：针对目前进程行为评估模型所存在的模型优化问题和模型选取问题，定义进程行为，采用隐马尔可夫模型（HMM）来描述进程行为。讨论了准确率与误报率的关系，提出多维进程行为评估模型，以弥补单一进程行为评估模型的不足，基于布尔运算对多维进程行为评估模型进行融合，提高了评估性能。并基于代价决策树理论，给出了选取最优进程行为评估模型的目标函数，用于在融合后的多维进程行为评估模型上选择最优进程行为评估模型。最后，对所提出的多维进程行为评估模型的性能进行了测试，并与传统的STIDE和HMM方法进行了比较，结果证明了其有效性和优越性。 关键词：进程行为；异常检测；多维进程行为评估模型；布尔运算；代价决策树；最优进程行为评估模型 中图分类号： TP309 文献标志码：A 0 引言 在信息技术飞速发展的同时，其安全性也遭受着不同程度的威胁。恶意攻击、木马、病毒肆虐，作为其攻击目标的进程，也是信息系统中各项任务和操作的承担者和执行者。在信息系统中，进程作为现实世界中用户的延伸，根据用户的指令执行各项任务。当它遭到恶意的破坏后，就会违背用户的意愿，执行非法操作，进而导致系统崩溃和信息泄漏等严重后果。为防止此种后果的出现，必须能够发现进程是否在执行非法操作，即进程行为是否正常。 1996年， Forrest等[1]通过实验证实，对于正常运行的进程，其行为序列是稳定的、呈规律性的，而当进程被攻击后，行为序列中会出现一些不常见的短序列。这项发现可以用于区别进程的正常行为与异常行为。基于此发现，Forrest等首先提出TIDE（TImeDelay Embedding）方法列举现在训练数据中所有唯一的、固定长度为K的短序列来构造进程正常行为轮廓的数据库。文献[2]中论证了局部区域的不配数目有时也能够较好地表征异常行为，进而提出了改进的STIDE（Sequence TImeDelay Embedding）方法。Wagner等[3]考虑了进程行为序列的出现概率，提出了带频率门限的STIDE方法，即tSTIDE。 在上述基于固定长度短序列的建模方法基础上，Debar等[4]首次提出采用变长序列作为行为模式。Eskin等[5]提出了基于变长时间窗的方法提取变长序列，Wespi等[6]引入寻找DNA序列中不定长模式的思想，采用Teiresias算法发现进程行为的变长模式，变长模式兼顾长序列带来的精度以及短序列带来的计算有效性。 基于进程当前行为只与前一时刻行为有关的假设，文献[7]引入马尔可夫链，从状态转移的角度来描述进程行为。 Lee等[8]将数据挖掘引入进程行为建模，利用改进的RIPPER算法挖掘进程行为的规则以建立进程行为评估模型；用改进的Apriori算法从训练序列中挖掘模式，建立模型来评估进程。 Marceau[9]、Gent等[10]和Ghosh等[11]借助神经网络的自组织和自学习能力，使用一种再生的神经网络来学习进程行为轨迹中的时间序列来描述进程行为。 然而，现有研究存在如下两个问题： 1）关于进程行为评估的研究大多是对进程行为建模方法（如STIDE、Markov、数据挖掘等）的研究，很少对所建模型进行优化； 2）单纯地比较其准确率与误报率的优劣，没有对准确率与误报率的关系进行讨论，以及给出最优进程行为评估模型的选取方法。 鉴于此，本文定义了进程行为，并基于隐马尔可夫模型（Hidden Markov Model，HMM）来描述进程行为。本文的工作包括：基于布尔运算构建了多维进程行为评估模型，以弥补单一进程行为评估模型的不足，提高了评估性能；基于代价决策树理论给出了选取最优进程行为评估模型的目标函数，用于在融合后的多维进程行为评估模型上选择最优进程行为评估模型。 1 进程行为的定义 1.1 进程行为的定义 文献[12]将进程的行为定义为“主体施用一个服务于一个客体，称为一个行为，行为是由主体、客体、行为体、行为输入、行为输出、行为状态和行为属性等组成的。”然而，这种定义方式并没有考虑到进程行为对于进程状态的影响，而进程的行为也是在某种进程状态下产生的，以及行为的时间信息也能够区别两个不同行为。因此，本文引入状态转移及行为时间信息，对进程行为作如下扩展： ProBehav={action=s applies（f） to （obj）：S→S′|t} 其中：s表示行为的主体，f表示施用函数，obj表示行为的客体，S表示进程状态，S→S′表示状态的迁移，t表示时间域。进程行为评估模型可理解为：在生命周期任意一时间点上，主体期望对客体施加的操作并由此引起的进程状态迁移。 1.2 进程行为的层次划分