《基于模式挖掘的用户行为异常检测》由会员分享,可在线阅读,更多相关《基于模式挖掘的用户行为异常检测(6页珍藏版)》请在金锄头文库上搜索。
1、第 25 卷 第 3 期 2002年 3月计 算 机 学 报 CHINESE J. COMPUT ERSVol. 25 No. 3 M ar. 2002基于模式挖掘的用户行为异常检测连一峰 戴英侠 王 航( 中国科学院研究生院信息安全国家重点实验室 北京 100039)收稿日期: 2001-06-04; 修改稿收到日期: 2001-08-31. 本课题得到国家“ 九七三” 重点基础研究发展规划项目( G1999035801) 和国家信息化工作领导小组计算机网络系统安全技术研究项目( 2001 研 1- 08) 资助. 连一峰, 男, 1974 年生, 博士研究生, 研究方向为信息安全、 入侵检
2、测.E-mail:. 戴英侠, 女, 1942 年生, 教授, 研究方向为信息安全. 王 航, 男, 1976 年生, 硕士研究生, 研究方向为网络安全.摘 要 行为模式通常反映了用户的身份和习惯, 该文阐述了针对 T elnet 会话中用户执行的 shell 命令, 利用数据挖掘中的关联分析和序列挖掘技术对用户行为进行模式挖掘的方法, 分析了传统的相关函数法在应用于序列模式比较时的不足, 提出了基于递归式相关函数的模式比较算法, 根据用户历史行为模式和当前行为模式的比较相似度来检测用户行为中的异常, 最后给出了相应的实验结果.关键词 行为模式, 数据挖掘, 相似度, 递归式相关函数中图法分类
3、号:TP18Anomaly Detection of User Behaviors Based on Profile MiningLIAN Yi- Feng DAI Ying- Xia WANG Hang( State Key Laboratory of Inf ormation Security, T he Graduate School of Chinese A cademy of Sciences, Beijing 100039)Abstract Anomaly detection acts as the major direction of research in intrusion
4、detection. De-tecting anomalies in system/ user behavior profiles can help us to discover unknown attacks. T he critical problem of Anomaly Detection lies in how to construct the normal usage profiles and howto perform profile comparison. Fortunately, researchers of Columbia University pointed out a
5、feasible solution for us: data mining. T hey also presented some inspiring results of experiments. As a kind of application-specific approach for data- processing, data mining has the ability to dis-cover hidden knowledge from large volumes of security audit data. Data mining techniques, in-cluding
6、association analysis, sequence mining and data classification, can greatly improve the a-bility of mining user behavior profiles which usually reflect identities and habits of users. We use Bro, a stand-alone system for detecting network intruders in real- time, to extract siell commandspresented by
7、 users during telnet sessions. Commands are formatted and organized into auditrecords. After that, the apriori algorithm and the sliding window division algorithm are intro- duced to mine behavior profiles which are composed of association rules and sequence patternsfrom these audit records. After d
8、emonstrating the defect of traditional comparison algorithmwhich makes use of correlation functions to compare similarities between history profiles and pre-sent ones, we present our algorithm named recursive correlations to complete the comparison task and calculate similarities for detecting anoma
9、lous behaviors. In order to verify the validity of ourapproach, we simulate some kinds of anomalous behaviors based on telnet sessions and comparethe mined profiles with those from normal behaviors. Results of experiments show distinct differ- ences between them. With the help of such kinds of data
10、mining techniques and profile-compari-son algorithms, we are provided with the capability of detecting anomalies which often indicatemalicious attacks.Keywords behavior profiles, data mining, similarity, recursive correlation function1 数据挖掘在入侵检测中的应用异常检测( anomaly detection) 是目前入侵检测系统的主要研究方向, 其特点是通过对系
11、统异常行为的检测, 可以发现未知的攻击模式. 异常检测的关 键问题在于正常使用模式( normal usage profiles)的建立以及如何利用该模式对当前用户行为进行比较和判断.行为模式是指程序执行或用户操作过程中体现 出的某种规律性. 大量的实践经验告诉我们, 无论是程序的执行还是用户的行为, 在系统特性上都呈现出紧密的相关性. 例如, 某些特权程序总是访问特定 目录下的系统文件, 程序员则经常编辑和编译 C 程序. 这些带有强一致性的行为特征正是我们希望挖掘出的行为模式的组成部分.数据挖掘( data mining) 是一种特定应用的数据 分析过程, 可以从包含大量冗余信息的数据中提
12、取出尽可能多的隐藏知识, 从而为作出正确的判断提供基础. 将数据挖掘技术应用到入侵检测中, 用于对海量的安全审计数据进行智能化处理, 目的是抽象出利于 进行判断和比较的特征模型, 这种特征模型可以是基于误用检测( misuse detection) 的特征向量模型, 也可以是基于异常检测( anomaly detection) 的行为描 述模型. 在针对安全审计数据的处理上, 目前应用较多的数据挖掘算法是关联分析( association analy-sis) 、 序列挖掘( sequence mining) 和数据分类( dataclassification) , 哥伦比亚大学的 Wenke
13、 Lee 在这方 面已进行了较长时间的研究 13.2 用户行为模式挖掘原理图 1 是系统的模块示意图.我们的应用系统基于 T elnet 协议, 通过截取网络中传输的数据包并进行相应的协议解析, 可以完全复原用户向 T elnet 主机提交的命令和主机返回 的结果. 我们把用户提交的每一条命令结合与之相关的其它属性, 形成一条审计记录. 每条审计记录包含以下字段( 如表 1 所示) .表 1用户名时间戳主机 IP用户 IP命令命令参数U sernameT imestampHostIPU serIPCommandParam我们的目的就是要从复原的用户命令审计记录 集中, 应用数据挖掘中的关联分析
14、和序列挖掘, 提取出正常情况下用户所执行命令中存在的相关性, 建立每个用户的历史行为模式, 为实际检测过程中用 户行为的判别提供比较的依据. 目前, 我们所提取的用户行为特征包括关联和序列两方面内容.所谓关联, 是指同一条审计记录中不同字段 之间存在的关联关系. 例如,Username= A Timestamp= amHostIP = 192. 168. 0. 1UserIP= 192. 168. 0. 10( 0. 98,0. 60) 该关联规则表示用户 A 通常在每天的上午登录, 登录的主机是 192. 168. 0. 1, 登录时的 IP 地址是 192. 168. 0. 10. 关联规
15、则的关键属性包括支持度( support) 和置信度( confidence) . 对于关联规则 R, 我们采用的支持度和置信度的计算公式为( 1) 支持度: Support( R) =NR N.( 2) 置信度: Conf idence( R) =NR NUsername= A.其中 N 代表审计记录集所包含的记录总数, NR表示满足规则R 的记录数, NUsername= A则代表用户名字 段值为 A 的记录数. 上述关联规则的置信度是98% , 支持度是 60%.所谓序列, 则是指不同审计记录之间存在的相关性. 例如,Command= vi, Param= . cCommand= gcc
16、, Param= - g- oCommand= gdb( 0. 4) .表示用户 A 经常执行的命令序列是: 首先用 vi 编辑 C 程序, 然后用gcc 编译, 再使用 gdb 进行程序326计 算 机 学 报 2002 年的调试.序列模式的关键属性是模式的支持度. 对于序列模式 P, 假设其长度为 l, 则支持度计算公式为Supp ort( P) =Np Nl, 其中 Np代表序列模式 P 在审计记录集中出现的次数, Nl表示审计记录集所包含的所有长度为 l 的序列数目. 上述序列模式的支持度是 40%. 依照以上挖掘出的关联规则和序列模式, 可以判断出用户 A 应该是一个 C 程序员, 其工作时间是每天的上午, 通常从 IP 为 192. 168. 0. 10 的客户机 登录到 IP 为 192. 168. 0. 1 的主机上进行编程操作.如果在检测过程中, 发现某一天该用户突然在晚间登录, 或者从一个陌生的 IP 地址登录到系统主机,或者在登录过程中执行了大量与编程无关的操作, 访问主机的敏感目录和文件
