《以视窗登录机码为基础之使用者行为异常侦测方法【精品-ppt】》由会员分享,可在线阅读,更多相关《以视窗登录机码为基础之使用者行为异常侦测方法【精品-ppt】(19页珍藏版)》请在金锄头文库上搜索。
1、1,以視窗登錄機碼為基礎之使用者行為異常偵測方法,作者:陳奕明、李冠儀、施文富* 中央大學資訊管理研究所 中華民國95年11月2日,TANET 2006 台灣網際網路研討會,2,報告大綱,緒論 結合視窗登錄機碼與SVM 系統設計與實驗分析 結論,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,3,緒論,入侵偵測偵測系統Signature vs. Anomaly 每個人使用的行為模式不同 (Table 1)。 微軟視窗作業系統為目前市佔率最大的電腦作業系統。 視窗登錄機碼為微軟視窗作業系統大量使用,包含豐富個人使用資訊,幾乎所有程式皆會利用。,以視窗登錄機碼為基礎之
2、使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,4,結合視窗登錄機碼與SVM,視窗登錄機碼是以樹狀階層結構所組成,每個視窗登錄機碼的進入點稱為鍵 (key),並且其中存有其相對應的鍵值。當程式在對視窗登錄機碼做查詢時,其查詢資訊有下列五項特徵值:(1) 程序名稱 (2) 查詢種類(3) 鍵值 (4) 回應狀態(5) 回傳結果 Registry logs (file),以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,5,結合視窗登錄機碼與SVM,支援向量機(Support Vector Machine, SVM)是一用機器學習演算法的分法,在高維的空間之中,
3、找出可做為二元分的分割超平面。 OCSVM (one-class SVM):訓階段,假設使用者的為皆是正常。,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,6,結合視窗登錄機碼與SVM,我們經由擷取程式與視窗登錄機碼的互動情形做為正常模型的訓練資料,然後經由支援向量機進行訓練,以建立判別模型。 在使用者行為異常狀態判斷上,可能會有以下三種狀況:(1)真正的異常情形(2)使用者自身行為改變 (3)使用者正常行為模型不夠完備,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,7,系統設計,本系統以視窗登錄機碼與 SVM 結合,在系統架構方
4、面,主要是以訓練階段(資料前處理、正常模型建置)與異常偵測二大區塊所組成。,Registry Monitor:利用由 SysInternals 所開發出來的 Regmon.exe 做為主要程式。其程式利用 API Hooking (Application Program Interface Hooking) 的技術。,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,8,系統設計,Data Convert:此模組以Java開發,將Registry Monitor 所紀錄下來的登錄機碼存取紀錄做資料轉換的動作,以便能供 OCSVM 來做模型的訓練。,Redundant
5、 Data Deletion:其主要功能在於將資料中重覆的情形加以刪除 (),以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,9,系統設計,使用libSVM來進行模型訓練與測試。,Timing Module:使用者在不同的時間區段之中,會有不同的使用行為狀態,因此利用不同的時間區段產生訓練模型,並且依照時間區段來做測試資料的比對。,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,10,實驗分析-SVM參數選定,SVM參數之選定:我們以同樣的資料集進行5-fold Cross Validation,找出最適合的SVM參數。,以視窗登錄機
6、碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,11,實驗分析-實驗情境,不同時期,同使用者合法時間內使用之比較:驗證我們所提出的系統是否能夠辨別同一使用者的使用行為。 同一使用者使用相同電腦,日夜間行為比較:驗證我們能否辨別使用者習慣的改變所帶來的差異。 不同使用者使用相同電腦,且為相同時段:非法使用者所使用的程式與合法使用者正常狀況下使用的不相同,即使是在合法使用者平時所使用的時間之內,也可以時間模組來加以辨認該段時間有異常使用的情況產生。 同使用者使用相同電腦,有蠕蟲程式存在:觀察電腦遭受感染Blaster蠕蟲的狀況,我們的系統亦可察覺感染蠕蟲後作業系統產生的異常狀態。
7、,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,12,實驗分析-結果,同一使用者的操作行為與不同使用者操作的行為有非常顯著的差異。 而同一使用者在其使用行為模式未改變時,異常程度為0.55%,尚在我們容許的判斷誤差範圍之內。 系統感染了Blaster網蟲之後,經由我們的系統發現其異常程度也遠超過使用者正常使用下所造成的異常程度,因此我們也可以判別這是偏離使用者行為規範的異常行為情況。,13,結論,本論文提出一套基於使用視窗登錄機碼來判斷使用者行為是否有異常情形產生的行為異常偵測方法。透過使用者行為異常偵測的觀點,結合視窗登錄機碼與SVM的使用,來建置異常行為的辨
8、別系統。 關於本研究後續可能的研究方向,我們分為以下兩點進行探討:1.自動化收集視窗登錄機碼活動資料與訓練。2.如何以正確時間區段以表現使用者行為模式。,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,14,謝謝聆聽 敬請指教,15,由於 SVM 在訓練正常行為之模型所使用的時間複雜度為 O(dL3),而在做分類活動時,其所需用到之空間複雜度為 O(d(L+T) ,其中 d 為訓練時所使用到的空間維度, L 代表訓練資料的筆數, T 代表測試資料的筆數。倘若我們能有效的降低訓練資料與測試資料的數量,除了降低空間的需求外,最大的效益在於減少 SVM 所使用的訓練時間。,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,16,使用者慣用程式差異,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,17,Registry Logs,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,18,回傳結果的分類統計,以視窗登錄機碼為基礎之使用者行為異常偵測方法 中央大學資訊管理研究所 施文富,19,
