基于隐马尔可夫模型的系统脆弱性检测摘要在计算机安全领域，特别是网络安全领域，对计算机系统进行脆弱性检测十分重要，其最终目的就是要指导系统管理员在“提供服务”和“保证安全”这两者之间找到平衡。本文首先介绍了基于隐马尔可夫模型的入侵检测系统框架，然后建立了一个计算机系统运行状况的隐马尔可夫模型，最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能，从而使系统更加高效。实验表明，用这种方法建模的系统在不影响检测率的情况下，比传统的用所有数据建模大大地节省了模型训练的时间，降低了误报率。因此，适合用于在计算机系统上进行实时检测。关键字入侵检测；隐马尔可夫模型；特权流；系统安全;网络安全;脆弱性1引言计算机网络的出现使得独立的计算机能够相互进行通信，提高了工作效率。然而，人们在享受网络带来的种种方便、快捷服务的同时，也不得不面临来自网络的种种威胁——黑客入侵、计算机病毒和拒绝服务攻击等等。早在主机终端时代，黑客攻击就已经出现，当时黑客的主要攻击对象还主要是针对单个主机。而计算机病毒也不是网络出现后的新鲜产物，在独立的PC时代它已经开始通过各种途径传播。然而网络为上面两种攻击提供了更多的攻击对象、更新的攻击方式，从而也使得它们危害性更大。近年来，随着互联网的迅速发展，黑客、病毒攻击事件越来越多。按照检测方法，入侵检测可以分为两类：误用检测和异常检测。误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。异常检测：首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测需要已知入侵的行为模式，所以不能检测未知的入侵。异常检测则可以检测未知的入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测入侵。文章提出了基于隐马尔可夫模型的入侵检测系统，它是一种异常检测技术。因此，不仅可以检测已知的入侵，而且还可以检测未知的入侵。更重要的是，它通过仅仅考虑基于攻击域知识的特权流事件来大大缩短建模时间并提高检测性能。因此，更加适合用于在计算机系统上进行实时检测。2计算机脆弱性在研究计算机脆弱性的过程中，对于“计算机脆弱性”(computervulnerability)这个词组的精确定义争论很大，下面是众多被广泛认可的定义中的两个。1)1996年Bishop和Bailey给出的关于“计算机脆弱性”的定义[1]:“计算机系统是由一系列描述构成计算机系统的实体的当前配置的状态(states)组成，系统通过应用状态变换(statetransitions)(即改变系统状态)实现计算。从给定的初始状态使用一组状态变换可以到达的所有状态最终分为由安全策略定义的两类状态:已授权的(authorized)或者未授权的(unauthorized)。”“脆弱(vulnerable)状态是指能够使用已授权的状态变换到达未授权状态的已授权状态。受损(compromised)状态是指通过上述方法到达的状态。攻击(attack)是指以受损状态结束的已授权状态变换的顺序。由定义可得，攻击开始于脆弱状态。”“脆弱性(vulnerability)是指脆弱状态区别于非脆弱状态的特征。广义地讲，脆弱性可以是很多脆弱状态的特征;狭义地讲，脆弱性可以只是一个脆弱状态的特征……”2)LongleyD.，ShainM.，CaelliW.对于“计算机脆弱性”的解释是这样的:(1)在风险管理领域中，存在于自动化系统安全过程、管理控制、内部控制等事件中的，能够被渗透以获取对信息的未授权访问或者扰乱关键步骤的弱点。(2)在风险管理领域中，存在于物理布局、组织、过程、人事、管理、硬件或软件中的，能够被渗透以对自动数据处理(ADP)系统或行为造成损害的弱点。脆弱性的存在本身并不造成损害。脆弱性仅仅是可能让ADP系统或行为在攻击中受损的一个或者一组条件。(3)在风险管理领域中，任何存在于系统中的弱点和缺陷。攻击或者有害事件，或者危险主体可以用于实施攻击的机会。(4)在信息安全领域中，被评价目标所具有的能够被渗透以克服对策的属性或者安全弱点。从上面的两个定义我们得出一个计算机脆弱性的简单定义:计算机脆弱性是系统的一组特性，恶意的主体(攻击者或者攻击程序)能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。3系统结构基于隐马尔可夫模型的入侵检测系统主要有审计数据预处理器、过滤器和基于HMM的分类器三部分组成，如图1所示。图1基于HMM的入侵检测系统审计数据预处理器负责将原始审计记录转变为分析引擎可以接受的标准格式。过滤器负责决定哪些审计事件是适合系统的、哪些审计数据字段对系统分析来说是充分有用的