基于免疫原理非法系统调用检测.docVIP

基于免疫原理非法系统调用检测 　　摘要：入侵检测系统依赖于大量的数据检测以区别合法和非法的行为。通过检测操作系统内核的系统调用序列，应用免疫原理中的否定选择算法，以区分合法与非法的系统调用。实验验证了该方法的可行性和有效性。?? 　　关键词：计算机免疫； 系统调用； 否定选择 　　中图分类号：TP309.5文献标志码：A 　　文章编号：1001－3695(2007)08－0165－02 　　 　　随着计算机和网络的快速发展，计算机系统安全成为一个日益严重的问题。从UNIX的缓冲区溢出到Internet explore脚本漏洞，使操作系统和软件充满了各种陷阱。计算机系统不是静态的，其上的程序和配置被不同的用户和管理员不断地改变。一个静态的对系统的统计检测方法已经很难于奏效。在操作系统内核系统调用层次的监控和响应，这个基本的方法可以被用到有可编程接口的任何地方的系统中，用户程序并没有对硬件资源的直接访问权。当一个进程要得到额外的内存访问权时，它通过系统调用从内核请求这些资源，这些正常的调用通过软件中断（0x80），这些指令把处理器转变到一个内核模式。如果一个被请求的系统调用被允许，则内核执行此调用，然后返回控制到正在请求的进程或另外准备运行的进程被请求操作。?? 　　本文讨论基于系统调用序列的检测是因为：程序执行时的系统调用短序列的局部稳定性；系统调用种类的有限性[1，2]。此类方法分为两个阶段:训练阶段离线建立正常模式表；在训练阶段跟踪系统进程的执行过程，截取系统调用序列集合。对不同进程的系统调用进行过滤分组，形成模式表。?? 　　 　　1目前相关模型?? 　　 　　1．1 截获控制系统调用实现系统访问控制?? 　　其代表是M.Bernaschi等人[3]的REMUS模型，N.C. Suresh等人[4]建立的BuleBox模型。?? 　　这类以沙盒技术为代表系统是拦截控制系统调用，当系统版本不同时，需要人工更新规则库 　　以适应系统新版本，需要耗费很大精力。?? 　　1．2 利用统计分析原理判断异常系统调用?? 　　1.2.1马尔可夫链模型（HMM）?? 　　HMM模型[5]在检测器训练阶段，用正常系统调用作为数据生成状态转移矩阵，在检测时将检测数据通过状态转移矩阵求出状态序列，将之与正常状态库的向量作匹配，由此判断出下一步的调用序列是否允许。此模型训练时间较长，系统开销很大，但是误报率较低。?? 　　1.2.2基于神经网络的机器学习方法?? 　　此模型[6]在训练阶段采用方向传播算法调整神经网络权值，为程序选择一个最佳隐含节点。网络正向传播时用sigmoid函数计算每层的正向输出，传播误差时采用梯度下降的方法来调整每一个权值。网络训练的过程就是不断计算输出误差并调整网络权值直到达到一定误差标准为止，此时网络中产生了一个全局记忆，这些记忆自动地适应预测。但当节点太多时，网络规模就会很庞大且输入层接受反馈的神经元很难确定。?? 　　1.2.3基于数据挖掘的分析方法?? 　　此类分析方法是将入侵检测作为一个数据分类问题，对问题阈的数据使用KNN、RIPPER分类规则[7]、决策树等算法从数据集中提取分类规则构造检测器，然后用此检测器对实时数据进行分类。此过程反复迭代评估，以达到最优。?? 　　1.2.4短序列时序分析方法?? 　　Forrest领导的基于免疫原理的IDS系统提出对每个进程建立正常行为模式库来判断入侵。采用系统调用类型，采用Stide滑动窗口技术[1]从输入序列中提取模式以形成正常模式库。检测时采用海明距离计算正常序列集与待检测序列的匹配度。滑动窗口技术过分依赖于窗口大小和序列时序的限制，入侵者常常可以通过训练自己的行为模式库来躲避检测[8]。?? 　　 　　2基于免疫原理中否定选择的检测方法?? 　　 　　2．1检测器的生成?? 　　在基于免疫学的入侵检测系统中，首先应该具备识别自我与非自我的能力。此模型中 　　 　　2．2模型实现算法?? 　　由未成熟检测检测器和自体数据进行自体耐受的否定选择，若不匹配则删除该检测器，否则加入成熟检测器。使用成熟检测器与外部抗原数据作亲和力计算，若达到亲和力阈值则进入记忆检测器，否则删除该检测器。对记忆检测器达到匹配数的进行克隆选择以产生多样化的检测器。算法流程如图1所示。?? 　　 　　3实验和结果?? 　　 　　在实验中初始设置亲和力阈值delta=0.7，在入侵检测中选取1 000个自体，检测器长度为Sys_??N??＝1 000，抗原更新时间AgTime=未成熟细胞耐受阈gamma=50, 成熟细胞死亡年龄alpha=50, 抗体年龄age＝10, 匹配数count＝100。 　　 　　在抗体数量