基于系统调用的主机异常检测研究综述.pdf

资源描述

1、收稿日期:修回日期:基金项目:国家自然科学基金面上项目()作者简介:樊燚()男硕士生主要研究方向为主机异常检测:/基于系统调用的主机异常检测研究综述樊燚郭义伟胡涛伊鹏(.信息工程大学河南郑州 .河南信大网御科技有限公司河南郑州)摘要:系统调用记录了进程活动过程中最精确原始的行为信号通过对应用程序与操作系统交互产生的系统调用进行分析可以对进程的异常行为进行有效鉴别保障主机的安全运行对基于系统调用的主机异常检测的研究现状进行了梳理首先介绍了异常检测常用数据集其次总结了系统调用数据预处理的典型方法然后详细分析和对比了系统调用异常检测常用算法和模型并介绍了异常检测常用的评估指标最

2、后对未来研究方向及相关挑战进行了展望关键词:主机异常检测系统调用深度学习机器学习网络安全中图分类号:文献标识码:文章编号:().入侵检测系统已经成为现代计算机系统安全一个越来越重要的组成部分主机异常检测作为入侵检测的一个分支在成千上万的计算机系统中发挥着重要作用异常检测可以检测穿透防火墙等预防机制的恶意攻击它弥补了传统计算机防御手段的缺陷可以有效保护信息资产的安全主机异常检测可选用的数据源有多种包括系统日志、系统审计数据、文件系统、注册表等等但这些数据都是操作系统处理后的产物会不可避免地丢失一些原始重要数据而系统调用作为操作系统内核的主要产物其数据没有经过任何的过滤、解释或处理它记录了进程运

3、行时与底层操作系统交互的原始信息以此为数据源可以有效检测出进程的异常信息系统调用是应用程序和底层操作系统之间的第卷第期年月信息工程大学学报 .交流接口其执行过程如图所示它的存在一是为了实现系统用户态和内核态的隔离:防止用户随意访问系统重要数据而造成破坏以保证系统内核空间的安全二是为了屏蔽底层硬件的差异:为用户空间提供访问硬件的统一接口使用户只需关注所需要的操作而不用关注操作的具体实现图系统调用执行过程本文旨在介绍利用系统调用的主机异常检测的工作原理及相关研究重点以使相关人员对本领域有一个清晰的认识了解助力此方面研究的推进和发展本文首先梳理了基于系统调用的主机异常检

4、测的研究现状包括系统调用数据预处理的典型方法以及常用的异常检测模型和算法其次总结了基于系统调用的主机异常检测常用的数据集以及用于评估异常检测模型的常用指标最后讨论了基于系统调用的主机异常检测研究存在的一些问题并从系统调用数据集的扩充、降低误报率和跨平台的异常检测个方面进行了分析和展望基于系统调用的主机异常检测研究系统调用数据具有比应用程序更多的底层细粒度行为描述例如对硬件的操作请求、系统进程的管理、调度等进程的所有行为都可以表示为系统调用序列恶意进程比良性进程更频繁地生成特定的系统调用不同类型的恶意进程生成的系统调用顺序也不同此外系统调用之间的顺序包含大量的行为信息许多恶意行为在

5、系统调用的细粒度级别上非常相似因此研究系统调用序列的行为有助于检测未知攻击一般地入侵检测系统通常包括个基本组成部分:)数据收集:收集各种可供检测的原始数据这些数据有多种类型可以是系统日志、系统审计数据、进程的系统调用及网络数据流等等)数据预处理:收集到的原始检测数据一般不能直接用于检测模型的使用需要对这些原始数据进行预处理使数据的格式符合检测模型的要求这些经处理后的数据称为特征向量)决策引擎:通常为一种算法或启发式算法用来判定给定数据(处理后的特征向量)是否包含异常根据入侵检测系统的组成框架本节对基于系统调用的主机异常检测进行详细介绍.异常检测常用数据集数据集由麻省理工林肯实验室在系

6、统上收集包括、分别收集于年、年、年数据集由新墨西哥大学于年在系统上收集由于年代较早已不适合当今时代的研究使用数据集由澳大利亚国防学院于年发布包括适用于平台的数据集和适用于平台的数据集使用较多的为数据集它是在.操作系统的本地服务器下收集的包含、等种不同类型攻击的系统调用数据这些系统调用数据共有正常训练数据、正常验证数据、攻击数据种类别每种类别分别包含条、条、条系统调用是当前使用的主流数据集数据集由等人于年发布在商用硬件平台上收集包含用于主机入侵检测系统设计的个带有标签的主机日志文件以及用于网络入侵检测设计的网络数据包主机日志包含活动时间、进程号、执行路

7、径、系统调用等信息数据集于年被提出主要用于平台上利用系统调用的主机异常检测使用其中包括在系统中执行的个恶意样本的系统调用信息共有万条系统调用数据以上数据集包含不同类型的数据样本各有优劣表对各个数据集进行了对比分析第期樊燚等:基于系统调用的主机异常检测研究综述表各数据集对比分析数据集包含数据类型优点缺点网络和主机审计数据使用较为广泛常作为基准比较使用缺乏多样性、数据规模小系统调用信息不全面缓冲区溢出、符号链接攻击、木马程序、特权程序等使用较为广泛常作为基准比较使用数据样本不丰富缺乏多样性和准确性缺少系统调用参数等额外信息正常和异常的系统调用序列数据样本年代新包含当代攻击样本

8、是当今许多研究使用的主流数据集只包含系统调用标识号没有其他额外信息只有种类型攻击所生成的小规模数据带标签的主机日志和网络数据包综合全面包含主机和网络数据数据样本年代新学术研究使用较少系统上恶意样本的系统调用信息数据样本丰富全面还包括系统调用参数列表和返回值等额外信息数据样本年代新数据集仅适用于系统且相关学术研究较少.系统调用数据预处理方法原始的系统调用数据往往包含许多冗余信息所以必须应用预处理和特征选择来获得可用于训练的典型的特征一般来说这些系统调用数据预处理方法可分为基于短序列的方法、基于序列频率的方法和混合提取方法各方法的原理及优缺点对比分析如表所示表系统调用数据预处理方法对比

9、数据集包含数据类型优点缺点基于短序列的方法提取序列的上下文信息检测精度高处理开销大花费时间长基于序列频率特征的方法对序列中的系统调用频率特征进行提取处理开销小检测精度稍差混合提取方法综合提取序列的上下文信息和系统调用频率特征较好的检测效果和适当的开销结合系统调用参数等方法提取系统调用执行时的参数信息在某些方面具有突出的效果难以总结出一个通用的方法不易量化分析和应用.基于短序列的方法基于短序列的方法将每一个系统调用看成一个“”每一个系统调用序列看作一个“”利用自然语言处理中的技术对系统调用序列进行处理图为一个系统调用序列的示例不同序列中值的大小决定了每个短序列的长度值得注意的是当利

10、用基于序列的特征时检测结果对序列的长度是非常敏感的通常来说到是很好的选择短序列在训练期间提供的计算量较少但比长序列更容易绕过检测年文献第一次提出利用系统调用进行异常检测文中提出使用固定长度的序列来表征正常进程的系统调用序列该方法使用()滑动窗口分割系统调用序列创建正常行为数据库检测阶段若短序列出现在数据库中则匹配成功否则匹配失败当失配百分比超过设定阈值时则判定相应的系统调用序列为异常文图系统调用序列示例献对文献中的方法进行了进一步的改进该方法从长度为的子序列生成正常数据库并使用汉明距离计算测试序列与正常序列的偏差这两种方法的效果取决于正常数据集的完整性和滑信息

11、工程大学学报年动窗口的长度如果正常数据集不包括程序执行期间所有可能的子序列则这些子序列将被视为异常若滑动窗口的长度太短则可能会错过异常序列若窗口太长可能会占用太多系统资源文献提出了一种基于可变特征的特征提取方法该方法首先将系统调用轨迹分割成变长的序列根据词频逆文档频率()算法对序列中系统调用出现的频率进行加权计算并将这些序列映射到固定大小的稀疏特征向量然后使用这些向量来训练一类支持向量机()结果表明该方法实现了比基于马尔可夫过程和传统模型更高的检测准确性.基于序列频率特征的方法基于序列频率特征的方法关注系统调用序列中系统调用出现的次数而不考虑系统调用的上下文关系文献在

12、系统调用序列上应用文本分类技术将单独的系统调用视作单词每个应用程序执行所得到的系统调用集合视作文档使用加权向量构建特征向量使用最近邻()模型对这些样本进行分类在数据集上实现了的攻击检测率和较低的误报率文献应用、和的变种算法在系统调用跟踪上构建特征向量在使用算法进行检测时结果表明的性能更加稳定文献通过计算系统调用频率建立特征向量使用均值聚类算法检测安卓软件的恶意行为文献通过收集安卓应用程序的系统调用频率使用随机森林()和支持向量机()算法对样本分类.混合提取方法混合提取方法结合了基于短序列的方法和基于频率特征方法的优点该方法能够实现较高的检测精度同时将数据处理开销控制

13、在可接受范围内文献提取正常和攻击系统调用跟踪上的所有()序列并进一步从正常数据中选择个最频繁的序列从每种攻击数据中选择个最频繁的序列以表示系统调用轨迹然后用这些处理过的特征数据训练一个集成分类器在数据集上获得了.的准确率和.的误报率文献将与基于子序列频率的特征应用于数据集其模型达到了的检测精度平均误报率约为文献提出了一种与系统调用名称无关的特征提取方法此方法对每个序列出现的频率进行统计探索频率序列上固定数量的统计特征提取的特征与平台上系统调用的名称/索引无关由该方法提取的特征表示的样本可以直接用于跨平台应用程序.系统调用参数等额外特征系统调用参数也是用于系统调用异

14、常检测的重要特征对系统调用参数特征的分析和处理能够有效提高模型的检测精度和降低误报率由于不同系统调用的参数数量不同每个参数代表的意义也不尽相同因此想要量化分析和应用具有一定难度对于每个进程对应的系统调用序列文献为正常系统调用的参数信息构建一个模型这些信息包括参数的字符串长度、参数的结构特征等在训练模型时统计不符合该模型参数信息的最大次数并以此值为阈值若检测时相应的系统调用参数信息超过阈值则判定为异常其他类似的特征也在文献的研究中被应用它们标记了具有足够不同特征的参数在最终的测试中检测器显示出很强的检测精度文献开发了一个基于规则学习技术的异常检测系统该技术利用了系统调用及其参数结果表明

15、与仅使用系统调用相比这种方法能取得更好的检测效果但是模型的计算开销很大文献使用有限状态自动机()将系统调用(状态之间的转换)与程序计数器信息相结合对程序的代码路径进行建模为了创建系统调用之间的虚拟路径模型文献除了采用方法外还结合了动态提取返回地址从而在不增加成本的情况下提高了准确性.异常检测算法和模型.分类算法分类算法是机器学习中常用的算法这些算法已广泛应用于基于系统调用的异常检测如、决策树、以及朴素贝叶斯分类算法文献提出了一种基于行为的检测方法和语义分析方法“可执行文件”以汇编代码的形式呈现然后通过基于流的分析传输到控制流图基于控制流图构建运行树从中提取系统调用执行路第期樊燚等:

16、基于系统调用的主机异常检测研究综述径组合这些路径可以从“可执行文件”生成系统调用流采用方法结合滑动窗口算法和信息增益法提取特征形成归一化特征向量采用、决策树和分类器进行训练和测试为了在不牺牲检测精度的情况下快速从原始数据中提取出特征文献在数据集上使用系统调用序列的统计特征进行检测文中使用系统调用序列中最小/最大重复值和最小/最大值个特征来表示跟踪以检测攻击使用、等算法进行异常检测文献提出了一种适用于超长系统调用序列的异常检测方法在数据集上的测试结果表明该方法的分类结果与.(决策树算法)、和逻辑回归等领先的分类器相当且在某些子数据集上的检测率比这些分类器中的一些更好该方法在计算

17、分类概率时通过回溯、缩放和再乘技术结合标准浮点算法的相对误差估计来获得一个可接受的分类置信度从而有效地对非常长的隐身序列进行分类文献结合系统调用参数、上下文信息对系统调用序列进行聚类分析然后将处理后的序列提供给朴素贝叶斯监督分类器该分类器根据系统调用序列的马尔可夫模型构建类条件概率以进行异常检测上述分类算法各有不同特点适用于不同的场景:算法易于理解和实现但是计算量大、复杂度高不适合实时性要求较高的场合决策树算法的学习能力和泛化能力都比较好训练速度也很快但是容易出现过拟合的情况可以用算法来改进算法适用于小样本、高维度数据的处理贝叶斯分类算法适合运用到数据量较大的场景中具有简单、快速、分类

18、准确度高的优点支持增量式训练他通常与统计方案结合用于入侵检测.卷积神经网络、循环神经网络及其变体卷积神经网络()可以对参数进行降维快速有效地提取出数据的特征是处理海量数据的一种非常有效的方法长短期记忆网络()、门控循环单元()作为循环神经网络()的变种适合对序列数据进行处理它们能捕捉序列数据中的上下文关系和时序信息文献通过在之前应用提出了一种用于恶意软件分类的混合深度神经网络架构卷积层用于创建系统调用序列的表示这些“”被输入带有单元的以对恶意软件进行分类文献利用构建了一个端到端的系统调用异常检测模型该模型首先对系统调用进行语义建模并将序列到序列模型引入到异常检测之中

19、根据恶意进程运行过程中已执行的系统调用预测后续的系统调用序列该模型通过将预测序列和已知的系统调用序列相结合不仅显著提高了异常检测系统的性能而且能实时检测出恶意的系统调用序列文献提出了一种使用的端到端鲁棒系统调用异常检测系统如图所示该系统使用集成方法将多个弱分类器组合成一个集成分类器每个弱分类器都被单独训练以用于检测与其他集成方法相比该系统的误报率显著降低且具有较高的检测精度在文献的基础上文献使用了和的组合大大缩短了模型在数据集上的训练和检测时间在数据集上实现了的检测率和的误报率文献使用多通道和双向()的组合进行异常检测文中使用提取系统调用跟踪的关系并在数据集进

20、行测试结果表明与、相比该算法在平均低误报率和高检测率方面表现更好图利用集成模型的系统调用异常检测信息工程大学学报年人工神经网络具有很强的学习能力以及较强的鲁棒性和容错能力缺点是需要大量的参数其模型的学习、预测过程完全是一个黑盒的状态预测结果具有不可解释性等特点此外、不适合处理较长的系统调用序列此点可通过引入注意力机制来改进.隐马尔可夫模型隐马尔可夫模型()是一种包含有限个隐状态的双随机模型它具有极强的序列识别能力检测准确性高因此非常适合系统调用分析文献提出了一种基于多重隐马尔可夫模型()的预处理和训练方法该方法将长序列数据划分为若干等分的子序列每个子序列

21、在一个子模型上训练再利用加权平均算法将训练好的子模型逐步合并到最终的模型与传统的批处理训练方案相比该文提出的增量训练框架能在保证异常检测性能的同时将模型训练时间减少一半文献提出了一种基于的方法该方法使用不同数量的隐藏状态来训练每个与单和传统的序列匹配技术相比该方法在不同数据集上的测试都取得了良好的性能文献设计了一种使用和的混合异常检测模型该模型包括个模块基于的异常检测模块和用于状态预测的模块异常检测模块使用系统调用模式来模拟系统的正常行为这使它能够检测出包括零日攻击在内的许多未知攻击状态预测模块中每个对一个已知攻击进行建模它将一系列系统调用作为输入并预测攻

22、击期间接下来“”个最可能的系统调用虽然在序列数据的处理上有很多优点但是其建模期间的花费的时间复杂度较高当要处理的系统调用序列异常庞大和复杂时使用通常不是一个很好的选择此外单层的通常不能挖掘出系统调用序列中的深层信息.注意力机制注意力机制是广泛应用于各种机器学习模型中的数据处理方法它对不同的信息赋予不同的权重并可以动态调节权重能够有效获取数据中的重要信息为了解决传统机器学习方法无法处理过长系统调用序列的问题文献将注意力机制引入系统调用异常检测中文中对超长的系统调用序列进行去冗余和分割处理以得到适合模型处理的序列长度然后为恶意的系统调用使用一个“敏感度”的度量方法单词出现的频率越高其敏

23、感度越大利用此种方式处理得到的词向量记录了每个系统调用的位置信息和丰富的语义信息通过在和一个安卓数据集上的测试其检测准确率分别达到和且能有效地检测未知类型的攻击文献使用、添加注意力的、等不同模型对不同长度的系统调用序列进行检测实验结果表明在中添加注意力机制可显著提高模型的检测能力对于较长的系统调用序列使用纯注意力的取得了最好的结果且在所有长度的系统调用序列上的训练时间始终明显优于注意力机制借鉴了人类大脑处理视觉信息的方法相较于、等神经网络其具有参数少、速度快、效果好等优点传统的神经网络对长距离信息的处理能力较弱但是注意力机制通过对不同的信息赋予不同的权重很好地解决了这个问

24、题图为一个使用带有注意力机制的模型进行系统调用异常检测的例子对于一个系统调用序列该模型首先获取该序列的嵌入表示然后用添加了注意力的层进行异常检测检测时对系统调用序列中不同的系统调用给予不同的关注程度(权重)以获取最终的预测结果图添加注意力机制的系统调用异常检测模型.极限学习机人工神经网络具有强大的模式识别能力但其训练开销很大一般需要大量资源和多次迭代才能达到有效的训练水平极限学习机()却没有这方面的问题的关键特征是它在一次过程中进行训练使第期樊燚等:基于系统调用的主机异常检测研究综述用伪逆求解最小二乘方程从而避免了与神经网络相关的许多传统训练问题文

25、献提出了利用基于语义的上下文无关文法对系统调用序列进行处理来检测异常的新技术该方法首先提取系统调用序列中不连续的系统调用模式并将语义结构应用于内核级系统调用以反映隐藏在高级编程语言中的内在活动然后用在、等个数据集上进行检测其实验结果取得了.的误报率和的检测精度明显优于类似算法同样是使用基于语义的系统调用序列处理方法文献首先构建了包含特定长度短语的系统调用序列的数据字典然后从系统调用序列中提取语义特征再用进行检测其在数据集上的检测率和误报率都优于当前主流使用的模型虽然训练开销较小但是其处理数据花费开销较大耗时较长因此不适合实时检测和大量数据同步处理的应用场景.基于规则的学习文献

26、利用连续的系统调用序列实现了一种基于规则学习的方法以描述正常和异常的内核行为在数据预处理阶段采用滑动窗口算法遍历正常和异常系统调用数据生成短序列每个短序列表示为一个类标记的向量正常或异常这样就形成了一个标记的数据集并将其作为实验的训练和测试分区进行分离将规则学习算法应用于训练数据不符合预定义规则集的测试序列被判定为异常文献使用正常的系统调用序列生成了多个长度的并创建了一个正常行为的自动机该自动机用于检测异常行为文献设计了规则算法的一些变种生成带有系统调用序列及其参数的规则文献提出了一种基于粗糙集理论的异常检测方法该方法从正常系统调用序列中提取一组最小化的规则来定义正常行为

27、模型上述方法中描述的规则来自传统的小规模数据集对于从数据中心生成的大量系统调用跟踪数据这些规则可能已经过时异常检测性能评估指标.混淆矩阵在机器学习分类问题领域混淆矩阵常用于判断一个分类器的优劣是评判模型预测结果的重要指标混淆矩阵统计的是所有样本数据中不同类别样本的数量在所有样本数据中原始数据一般分为以下个类别:真阳性():样本实际类别为阳性预测结果也为阳性假阳性():样本的实际类别为阴性预测结果为阳性真阴性():样本的实际类别为阴性预测结果也为阴性假阴性():样本的实际类别为阳性预测结果为阴性.个二级指标混淆矩阵统计的是不同类别样本的数量但是只从数量上很难对一个模型的性能进行衡量看起来也

28、不够直观于是在其基本统计结果之上又延伸出了个基本的二级指标准确率():所有样本中模型正确预测结果数所占比重取值在之间越接近越好其计算方法为()精确率():所有被预测为阳性的样本中正确预测为阳性数所占比重取值在之间越接近越好其计算方法为()灵敏度/召回率(/):所有类别为阳性样本中正确预测为阳性数所占比重取值在之间越接近越好其计算方法为()特异度():所有类别为阴性样本中正确预测为阴性数所占比重取值在之间越接近越好其计算方法为()除了以上个评估指标之外误报率()也是一个对异常检测模型进行评估的重要指标其计算方法如式()所示误报表明模型将正常样本错误识别为异常

29、样本误报率表示所有类别为阴性的样本中被模型错误识别为阳性所占的比例取值在之间值越接近越好().曲线、值受试者工作特征曲线(信息工程大学学报年曲线):一条二维坐标系中的曲线曲线横轴、纵轴坐标分别为、该曲线可以直观地反映和之间的关系通过此曲线可对模型进行一定的定性分析值():曲线下任意两横坐标之间的曲线面积大小此值可通过对曲线横轴进行积分得到他可以用来对模型进行量化分析实际工作场景中曲线一般位于直线上方所以的取值范围一般为.越接近表明模型的性能越好未来研究方向与挑战虽然当前许多工作者都着眼于基于系统调用的主机异常检测研究并且取得了较为不错的成果但当前的研

30、究中仍有许多问题亟待解决)缺乏可用的数据集当今许多系统调用异常检测研究受到有限的可用数据集的影响对于许多数据源要么没有公开可用的数据集要么可用的数据集过时、质量低、缺乏攻击多样性或者包含其他严重缺陷目前此方面的大部分研究都基于少数几个数据集(、)由于真实主机/网络环境的复杂性使用这些数据集训练出来的模型可能并不能胜任实践因此如何构建可靠的、接近真实环境的、高质量的数据集是许多研究面临的一个挑战)降低误报率近些年的许多系统调用异常检测研究都结合机器学习、深度学习相关技术实现构建出的异常检测模型检测准确率已经达到很高水平且一些模型对零日漏洞也具有较好的检测效果虽然检测效果取得了令人可喜的

31、成就但模型的高误报率问题却没有得到有效地解决每当错误警报产生就必须对其进行处理误报会带来不必要的资源开销而且高误报率会影响异常检测系统的性能)跨平台异常检测当前基于系统调用的主机异常检测所使用的数据集、相关模型的设计和训练往往独立于特定的平台虽然不同的操作系统工作的逻辑不同但是与利用日志、文件系统等依赖于操作系统的数据源进行异常检测的方法不同进程的系统调用数据却有可能实现跨平台的处理和分析不同的操作系统上实现同样功能的系统调用只是系统调用名称和数字编号不同而已只要消除这些差异便可对进程在不同平台的系统调用数据进行统一量化处理这样不仅能将收集不同平台的系统调用数据来开发新的更加全面的数据集还

32、能实现跨平台的异常检测结束语系统调用作为应用程序与操作系统直接的交流接口包含了描述进程行为的丰富信息基于系统调用的主机异常检测方法可以有效检测出进程异常行为保护系统免受侵害因此得到了许多研究者的关注得益于机器学习和深度学习技术的发展许多工作利用相关模型和算法进行系统调用主机异常检测的研究并取得了非常有效的成果利用系统调用进行主机异常检测是一个很好的方法但是原始的系统调用数据一般不能直接利用需要首先对数据进行预处理以去除原始系统调用中的冗余数据当前主流的系统调用数据预处理方法包括基于短序列的方法、基于序列频率的方法、基于短序列和基于频率相结合的混合方法、以及结合系统调用参数等信息的方法经过

33、数据预处理之后就是设计异常检测模型此方面的工作一般是结合机器学习、深度学习相关技术开展虽然许多研究取得了不错的效果但是大部分的工作都是在有限的几个可用数据集上开展的有的数据集可能已经过时并不适用于当前大数据时代的背景而且许多研究仍有需要改进的地方因此在后续的研究中不仅需要充分利用当今深度学习等先进技术来指导研究工作而且需要开发出与时俱进的数据集解决高误报率等问题设计出能够应用于实际的、有效的异常检测模型参考文献:.():.():./.:./.:.():.:第期樊燚等:基于系统调用的主机异常检测研究综述 .:.():.:.():.:.():.:.():.:.:.:.:.:.():.:.:.:.陈仲磊伊鹏陈祥等.基于系统调用的入侵检测技术研究.网络安全技术与应用():.:.:.():.:.:.(/):.:.:.:.信息工程大学学报年 .:.:./.().:./././.:.():.():.:.:.任欢王旭光.注意力机制综述.计算机应用(增刊):.:.:.:.:.:.():.:.:.:.()():.:.:.:.:.:.:.:.(编辑:刘彦茹)第期樊燚等:基于系统调用的主机异常检测研究综述

展开阅读全文