基于HMMCPU行为模型及其在系统主动防御中应用.docVIP

基于HMMCPU行为模型及其在系统主动防御中应用 　　摘要：传统的系统防御方法是基于特征库的被动防御，它们无法实时发现零日攻击。本文基于隐马尔科夫模型建立描述系统CPU行为的模型。该方法根据系统用户的行为习惯动态调整模型参数，利用观测序列相对于代表正常行为轮廓的模型的似然概率衡量系统CPU行为的正常度。由于该方法不需要特征库，可以更有效地应用于未知主机威胁的早期检测。 　　关键词：HMM模型CPU性能异常检测 　　随着科技的不断发展，计算机已经成为人们日常生活和工作必备的、不可或缺的主要工具。计算机的运行速度越来越快，处理的信息量越来越大，用户对计算机的性能也提出更高的要求。CPU作为计算机的核心，是进行数据处理运算和指令操作的中枢，容易受到工作负荷、病毒等外来因素的影响，使计算机的性能严重下降。目前使用的主流杀毒软件、防火墙和系统监控程序仅仅依靠病毒库中存在的病毒进行识别和需要人工参与，不能自动识别系统的异常，保证不了系统的安全。本论文所阐述的基于HMM的CPU行为模型主动防御异常检测技术，实现了CPU 性能异常行为的早期预测。 　　1 隐式马尔科夫模型 　　隐式马尔科夫模型（Hidden Markov Models，简称HMM）可以表示为： 　　λ=(N，M，π，A，B) 　　上述参数：N为Markov链的状态数目；M为每个状态θ对应的可能出现的观测值数目；π为初始状态概率矢量；A为状态转移概率矩阵；B为观察值概率矩阵。 　　应用HMM 可以解决以下三个方面的问题： 　　①评估问题：对于给定的模型λ和观察值序列O，求这个观察值序列O的概率P(0|λ)。常用算法是前向算法和后向算法。②解码问题：对于给定的观察值序列和模型λ，求出现可能性最大的状态序列。常用算法是Viterbi 算法。③训练问题：对于给定的观察值序列O，调整参数λ，使观察值出现概率(0|λ)最大。常用算法Baum-Welch算法。 　　2 CPU性能异常检测系统模型 　　CPU性能异常检测系统模型如图1所示，该模型主要由两部分组成： 　　2.1 数据收集与处理：利用Windows 系统提供的性能监控器收集CPU的性能计数器日志数据，通过图形帮助显示性能监视数据。 　　2.2 HMM 模型部分： 　　HMM 模型主要由HMM 训练与异常检测两部分组成。 　　①正常状态下的HMM 训练。通过导入处理过的、多个或大量正常状态下的性能日志数据，训练CPU正常状态下的参考模型，运用到Baum-Welch算法和前向-后向算法确定λ=(N，M，π，A，B)与正常状态阈值。②异常检测部分。往参考模型导入检测的CPU性能日志数据，利用前向-后向算法计算P(0|λ)值，并与阈值比较，判断该日志数据的状态。 　　3 基于HMM模型的CPU性能异常检测实验 　　本实验主要运用基于一维HMM的异常检测，必须选择具有最佳的异常检测效果的计数器。由于Processor time 显示的是CPU 处于用户模式和特权模式之下，执行非闲置线程总的百分比；经过数据记录分析证明，Processor Time的计数值等于Privileged Time和User Time的计数值之和。因此，Processor Time 的数据能够反映出Processor Time和User Time的数据特征。考虑Processor Time是由CPU的工作状态所决定，我们进一步用“轻负荷”、“中度负荷”， “高度负荷”来描述CPU的三种工作状态，并假设CPU的工作状态符合Markov链特性。即状态的跳转代表CPU工作状态的变化。由于CPU的真实工作状态并不可见，只能通过可观测过程Processor Time来估计，因此，我们可以通过隐马尔科夫模型来描述CPU的工作过程。 　　3.1 CPU 性能日志数据收集和处理 　　首先，有目的性地进行CPU 性能日志数据收集，即Processor time在正常状态和异常状态下收集两种并分别标记，以便于HMM 可行性的判断。 　　在正常状态下，CPU 一般处于低占用率的过程之中，CPU 还有大量的空闲资源没有使用；而在异常状态下，异常进程无节制占用CPU 的资源，导致占用率一直处于较大的过程，这是CPU 性能降低的征兆。 　　实验中采集了100份实验样本，将Processor time 的计数值作为观察值，将日志数据进行离散化处理，确定观察值O，可得到离散化处理后的正常状态和异常状态下观察值概率分布如表1所示： 　　正常状态下观察值主要处于1、2、3 之中，分布比较集中；而在异常状态下，观察值大部分集中于10、11、12，也有高于10%的一部分分布比较分散。正常状态，观察值较小；异常状态，观察值较大。 　　将性能计数器的计数值分段作