基于條件隨機(jī)場的入侵檢測方法研究.pdf

1、入侵檢測是一項(xiàng)歷久彌新的技術(shù),只要有信息技術(shù)的地方就有計(jì)算機(jī)入侵,只要存在入侵就需要入侵檢測系統(tǒng)。入侵檢測從產(chǎn)生至今發(fā)生了非常大的變化,從簡單到復(fù)雜,從單一到多樣化。PE文件作為計(jì)算機(jī)程序的核心能夠體現(xiàn)程序的行為,其行為通過系統(tǒng)服務(wù)接口API來完成。因此API序列的組成就代表了程序的行為組成。條件隨機(jī)場模型是一種近幾年提出的一種用于語言處理方面的序列標(biāo)注問題和命名實(shí)體識(shí)別方面的機(jī)器學(xué)習(xí)的方法,是一種判別式的無向圖模型,該模型通過可觀測狀

2、態(tài)序列構(gòu)建未觀測標(biāo)注序列的條件分布,根據(jù)概率公理選擇條件概率較大的標(biāo)注序列作為其對應(yīng)的狀態(tài)序列,實(shí)現(xiàn)對分析對象的分類。序列數(shù)據(jù)的處理和豐富的特征標(biāo)簽結(jié)合在一起,使條件隨機(jī)場模型特別適用于感知上下文要求的分類。
　　基于以上理論,本文采用一種基于統(tǒng)計(jì)和條件隨機(jī)場模型的機(jī)器學(xué)習(xí)的方法,以PE文件為數(shù)據(jù)源,進(jìn)行入侵檢測方面的研究。
　　本文的研究工作主要包括以下創(chuàng)新點(diǎn):
　　(1)針對PE文件結(jié)構(gòu),獲取并分析PE文件頭部信息

3、,總結(jié)PE文件的結(jié)構(gòu)性異常,無需對程序監(jiān)控和文件脫殼,在程序運(yùn)行之前就可以根據(jù)異常項(xiàng)判斷程序是否為病毒文件或者被病毒感染入侵。
　　(2)通過分析程序的PE文件提取API函數(shù)調(diào)用序列,將其分割為長度為k的短序列與攻擊樹匹配,再對攻擊樹各節(jié)點(diǎn)計(jì)算其發(fā)生的概率及惡意性權(quán)值,最后綜合計(jì)算攻擊樹根節(jié)點(diǎn)代表事件的危險(xiǎn)指數(shù)用來估計(jì)該程序與木馬的相似程度,從而判斷程序?yàn)槟抉R程序或者包含木馬部分的可能性,以準(zhǔn)確地檢測和防范木馬攻擊。
　　(

4、3)結(jié)合PE文件中API函數(shù)的上下文信息和領(lǐng)域知識(shí),以API調(diào)用序列作為觀察序列,文件類別作為標(biāo)記序列,對每一個(gè)API函數(shù)進(jìn)行標(biāo)注,運(yùn)用條件隨機(jī)場模型,通過訓(xùn)練集的訓(xùn)練判斷每個(gè)API函數(shù)的標(biāo)注類別,最終對待測文件的API序列中的每一個(gè)觀察序列進(jìn)行標(biāo)注,根據(jù)標(biāo)注的具體比例,判斷PE文件的類別,最終實(shí)現(xiàn)將基于PE文件的入侵檢測問題轉(zhuǎn)換成入侵與非入侵的二分類問題,同時(shí)結(jié)合病毒文件的結(jié)構(gòu)性異常分析,實(shí)現(xiàn)較好的入侵檢測的效果。
　　(4)在