基于條件隨機(jī)場(chǎng)的入侵檢測(cè)方法研究.pdf

1、入侵檢測(cè)是一項(xiàng)歷久彌新的技術(shù),只要有信息技術(shù)的地方就有計(jì)算機(jī)入侵,只要存在入侵就需要入侵檢測(cè)系統(tǒng)。入侵檢測(cè)從產(chǎn)生至今發(fā)生了非常大的變化,從簡(jiǎn)單到復(fù)雜,從單一到多樣化。PE文件作為計(jì)算機(jī)程序的核心能夠體現(xiàn)程序的行為,其行為通過(guò)系統(tǒng)服務(wù)接口API來(lái)完成。因此API序列的組成就代表了程序的行為組成。條件隨機(jī)場(chǎng)模型是一種近幾年提出的一種用于語(yǔ)言處理方面的序列標(biāo)注問(wèn)題和命名實(shí)體識(shí)別方面的機(jī)器學(xué)習(xí)的方法,是一種判別式的無(wú)向圖模型,該模型通過(guò)可觀(guān)測(cè)狀

2、態(tài)序列構(gòu)建未觀(guān)測(cè)標(biāo)注序列的條件分布,根據(jù)概率公理選擇條件概率較大的標(biāo)注序列作為其對(duì)應(yīng)的狀態(tài)序列,實(shí)現(xiàn)對(duì)分析對(duì)象的分類(lèi)。序列數(shù)據(jù)的處理和豐富的特征標(biāo)簽結(jié)合在一起,使條件隨機(jī)場(chǎng)模型特別適用于感知上下文要求的分類(lèi)。
　　基于以上理論,本文采用一種基于統(tǒng)計(jì)和條件隨機(jī)場(chǎng)模型的機(jī)器學(xué)習(xí)的方法,以PE文件為數(shù)據(jù)源,進(jìn)行入侵檢測(cè)方面的研究。
　　本文的研究工作主要包括以下創(chuàng)新點(diǎn):
　　(1)針對(duì)PE文件結(jié)構(gòu),獲取并分析PE文件頭部信息

3、,總結(jié)PE文件的結(jié)構(gòu)性異常,無(wú)需對(duì)程序監(jiān)控和文件脫殼,在程序運(yùn)行之前就可以根據(jù)異常項(xiàng)判斷程序是否為病毒文件或者被病毒感染入侵。
　　(2)通過(guò)分析程序的PE文件提取API函數(shù)調(diào)用序列,將其分割為長(zhǎng)度為k的短序列與攻擊樹(shù)匹配,再對(duì)攻擊樹(shù)各節(jié)點(diǎn)計(jì)算其發(fā)生的概率及惡意性權(quán)值,最后綜合計(jì)算攻擊樹(shù)根節(jié)點(diǎn)代表事件的危險(xiǎn)指數(shù)用來(lái)估計(jì)該程序與木馬的相似程度,從而判斷程序?yàn)槟抉R程序或者包含木馬部分的可能性,以準(zhǔn)確地檢測(cè)和防范木馬攻擊。
　　(

4、3)結(jié)合PE文件中API函數(shù)的上下文信息和領(lǐng)域知識(shí),以API調(diào)用序列作為觀(guān)察序列,文件類(lèi)別作為標(biāo)記序列,對(duì)每一個(gè)API函數(shù)進(jìn)行標(biāo)注,運(yùn)用條件隨機(jī)場(chǎng)模型,通過(guò)訓(xùn)練集的訓(xùn)練判斷每個(gè)API函數(shù)的標(biāo)注類(lèi)別,最終對(duì)待測(cè)文件的API序列中的每一個(gè)觀(guān)察序列進(jìn)行標(biāo)注,根據(jù)標(biāo)注的具體比例,判斷PE文件的類(lèi)別,最終實(shí)現(xiàn)將基于PE文件的入侵檢測(cè)問(wèn)題轉(zhuǎn)換成入侵與非入侵的二分類(lèi)問(wèn)題,同時(shí)結(jié)合病毒文件的結(jié)構(gòu)性異常分析,實(shí)現(xiàn)較好的入侵檢測(cè)的效果。
　　(4)在