论文部分内容阅读
计算机安全是系统的安全。随着黑客入侵事件的日益猖獗,人们发现只从静态防御的角度构造安全系统是不够的。入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意行为进行识别和响应。它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动,并在网络资源受到危害之前通过对防御体系自动配置进行拦截和响应。入侵检测是对传统计算机安全机制的一种补充,它的开发应用增大了网络与系统安全的保护纵深,成为目前动态安全工具的主要研究和开发的方向。 传统的观点根据入侵行为的属性将其分为异常和滥用两种,然后分别对其建立异常检测模型和滥用检测模型。近四五年来又涌现出了一些新的检测方法,它们产生的模型对异常和滥用都适用,如人工免疫方法、遗传算法、数据挖掘等。这类检测方法称为混合检测。这类检测在做出决策之前,既分析系统的正常行为,同时还分析可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。 现有入侵检测产品存在以下缺点:缺乏有效性、自适应性。入侵检测系统的有效性可用检测率、虚报率两个参数来标记。虚报率又可分为误报率和漏报率。好的入侵检测系统应具有高的检测率,低的虚报率。低虚报率的关键是降低漏报率。自适应性是指除了能检测到已知的入侵外,还能检测到与已知入侵不同的入侵,即能检测到未知的入侵。当前,建造一个有效的入侵检测系统是个巨大的知识工程。系统构造员依赖他们直觉和经验选择某种统计标准度量异常检测。专家首先对攻击场景和系统弱点进行分析和分类,用手工方式写出适合违规检测的反应规则。因为采用手动和专家的人工处理过程,使入侵检测系统欠缺有效性、自适应性。在入侵检测系统中运用数据挖掘技术可以有效 # 地从各为数据中提取出有m的信B、。数掂挖o以《术-卜常适川丁从历史行为的大量数据丁!。 进行特征提取,入侵检测系统在建立入侵模式知u则1!时可采川数据挖掘技术。Wenke Lee 从数抿挖掘中得到启示,介发出了一个混升检测器RIPPER。它什不为不同的入侵行为 分别建立模型,而是首先通过大量的】沛州1数抓挖删方法来学习什么是入侵行为以及什 么是系统的汇常行为,发现掀述系统特征的一致仙门1帧式,然后丙形成对异常和滥用都 适川的检测 模呗,这是了 合价测 的 个此呷的多 门1。 J、。本文的卞要工作是针对未知的恶意。。J执行代码的检测,构进:)&于卞动学习的朴素贝 叶斯分类器,采用最大最小悯选抒训练样本,对义件的机器代码段进行分析、训练贝叶 J旧}类器,仲分类器。。]”以对小常和北总代码进订卜分。达到检测术知恶谕丁执行代码义 件的门的。人泰的安个威胁火门于恶怠的。山入行‘代码,特别足米知的代码。这种未知的 恶意代码*现有基于特征扫拙的炳毒门描器发现不了。而恶意可执行代码与汇常可执行 代码的机器代码是不同的,可用数抓挖倔的介类V法对其进行区分。与数抓挖掘的义它 方法相比,贝卜I嘶网络的优点是可以综合光验信恩和样本信息,这在样本难得时特别有 o],所以贝叶斯网络分类器特别适合检测未知恶意可执行代码。根抓分类学习对训练样 本的处理方法,可将分类算法分为两类:被动学习算法和卞动学习算法。传统的帅11嘶 分类器学习算法多属被动学习方沦。山-]‘贝ill嘶网络分类只fi增垦学习的特忏,它史适 “l丫1{动学习,在增量地分类和增量学习概率分hifj而叮以大大地提高效率。传统的叩l! 斯分类器学习算法仙*给定的训纳朴小f判不L;帅序‘了习分类参数,学习效率较低以训练 抖本必须是带有类训休汀的,并n 回般部假定各训练样本是独立问分h川v。棚反门二动 学刀算法丁动在候选什本集中选择测试例十,斤将这‘》实例以一定的方式加入到训练柒 中。一般地在卞动学习的初始训练集小,,川何f川I峭b样本个数都很少。它利用这些带有 类另标注的U!1练样水学习-个分类x,然} 宋且 大的选怦策略,从们选拧小集(A卅 玉 类乡佃杆Z)选Z!2包日最9MV罗回譬本酉入* 训练坎邑,卫豁修号分类8V参数口按有/修.卜 的介类器卜,选挥卜-个最好的什个进订训练,0‘f到候选什木集为个或达到故利·付卅为 且正二。 子一刁F乏三多二1卜】<正、一亡兰二一一手气了一丫珍一二直3之圭一羊主一孟一气主:专享喜吾乏u吾主一亨J是三三>右三一一二IJ‘二一千,-j一塞一二一二言>二三;I’l<J二一一乏三宅土丝。一三i是二一一一二一三一>三二,且。J民有多飞亏丫且一二直M二瑟二‘吾生一一乞上主一二圭;多乏三土:哼一二气广)飞L上一耳二J一\