第4期 罗隽，等：基于SVDD的网络安全审计模型研究 ·71· 参数C类似于SVM中的控制变量， K(x,y=tanh[b(x·y以-cl.12) 利用Lagrange函数求解上述约束下的最小化 引入核函数后，原来的公式变成了如下形式： 问题，其约束条件不变 L=,Kx,xW-,0K(,,I3) Lagrange函数为 约束不变，而决策函数变为 L(R,a,x,a.g)R Cax- fsvDD (=:a,R)I(l()a)2R)= 1(K,-2K2,xW+ aaf R+x:-(x Xx:2a Xx:a Xa)-agixi. 9K,≤R) 14) (5) 这里判别函数I定义为 令L分别对a、R、y求偏导，并令偏导为0，可得 1 if A is true L ,x·W·,a,x动， 1(A)= (15) 0 otherwise. 约束为：)=1：20≤a≤C,1 3 小样本SVDD的系统调用序列分 对上述问题相对求·最大，可以用标准的二次 类器仿真实验 规划算法来解决.这样就可以求得ā的最优值，对于 为了检测单类分类器在安全审计记录上的效 0,≤C,其对应的样本点是支持向量，位于球面 果，利用MIT LPR程序的相关数据来对该模型的 上：而a=0则表示对应的样本点位于球体内.在这 异常检测能力进行评估.试验将少量的正常程序执 里并没有显式表出a和R,它们可以用a隐含表出. 行迹作为训练样本.在测试数据集中正常的执行迹 假设：为测试样本，那么当如下公式满足，即判 为2704个，而异常执行迹为1001个 别：是正常类，否则为异常类.相当于：落在该超球 首先对训练集中的系统执行迹进行预处理，获 体内部 得的长度为K的系统调用短序列集作为训练样本 :-aP=(2·-2,e·x)+ 输入SVDD单类分类器，训练后的分类器就可以实 现对在线样本的异常检测.在测试阶段，将测试的程 ∑，0(x:·x)≤R (7) 序执行迹进行预处理，得到的一系列的短序列输入 式中：R是任意一个支持向量xk到球心a的距离： 单类分类器，根据式(14)，当fsvpD(z;a,R)输出为 R2=(k·x-2,(x·x划+ +1时，判断为正常的短系列：当SVDD输出为-1 时，可以认为对应的短序列偏离了正常模式，判断为 d(x.x 8) 异常短序列.为了更加正确地判断整个系统执行迹 当输入空间的样本点不满足球状分布时，可以通过 的异常状态，需设置相应的规则来提高整个检测系 核技巧把输入空间先映射到高维空间，然后在映射 统的性能.针对监控状态下整个系统调用执行迹，选 后的高维空间内求解.也就是将上述公式中的内积 定一个阈值a,当该执行迹中的短序列被判断为异 形式都变换成核函数形式： 常的数目超过·，则判定该系统调用执行迹为异常 x:·x→x)·x=K(x,x. (9) 在本实验中，当给定的系统执行迹中短序列输 式中：中为非线性映射，对于某些核函数可以显式地 出为-1（即异常样本）的个数超过a时，即整个用户 求出中，而绝大多数则难以表出. 系统调用执行迹为异常：否则，判断为正常」 选择一个适当的核函数也是比较重要的，如果 通过前期的研究与实验)，当序列长度K取 选取的核函数能够将输入空间正好映射成高维空间 9~12时，系统的检测率和误报率即虚警率，将正常 的一个球体分布，那么所求得的分类器也会比较吻 误报为异常的比率)非常理想.但在K取值为6~8 合实际的分布情况.常用的的核函数有 的时候，系统的误报率比较高.如图1所示 1)多项式核函数： 但序列长度的增加意味着训练样本数目和训练 L(x,以=(1+x以日 (10) 时间的增加，为了更好地满足检测的实时性需要，必 2)Gaussian RBF核函数： 须把序列长度控制在一个较小的范围内，因此选取 合适的核参数是很关键的，为了验证核参数的调整 K(x.y)=exp- LxyE 2560 11) 对实验结果的影响，选取比较典型的K=7的样例 3)Sigmoid核函数： 进行调整，具体实验步骤以及使用的参数为 1994-2009 China Academic Journal Electronic Publishing House.All rights reserved.http://www.cnki.net参数 C 类似于 SVM 中的控制变量. 利用 Lagrange 函数求解上述约束下的最小化 问题 ,其约束条件不变. Lagrange 函数为 L ( R , a , x , a , g) = R 2 + C a 。 i x i - a 。 i ai{ R 2 + xi - ( xi ×xi 2 a ×xi a ×a) } - a 。 i g i x i . (5) 令 L 分别对 a、R、γ求偏导 ,并令偏导为 0 ,可得 L = ∑i αi ( xi ·xi) - ∑i , j ααi j ( xi ·x j) , (6) 约束为 :1) ∑i αi = 1 ; 2) 0 ≤αi ≤C, Πi. 对上述问题相对求α最大 ,可以用标准的二次 规划算法来解决. 这样就可以求得α的最优值 ,对于 0 ≤αi ≤C, 其对应的样本点是支持向量 , 位于球面 上;而αi = 0 则表示对应的样本点位于球体内. 在这 里并没有显式表出 a 和 R ,它们可以用α隐含表出. 假设 z 为测试样本 ,那么当如下公式满足 ,即判 别 z 是正常类 ,否则为异常类. 相当于 z 落在该超球 体内部. ‖z - a ‖2 = ( z ·z) - 2 ∑i αi ( z ·xi) + ∑i , j ααi j ( xi ·x j) ≤R 2 . (7) 式中 : R 是任意一个支持向量 x k 到球心 a 的距离 : R 2 = ( xk ·xk ) - 2 ∑i αi ( xi ·xk ) + ∑i , j ααi j ( xi ·x j) . (8) 当输入空间的样本点不满足球状分布时 ,可以通过 核技巧把输入空间先映射到高维空间 ,然后在映射 后的高维空间内求解. 也就是将上述公式中的内积 形式都变换成核函数形式 : xi ·x j →<( xi) ·<( x j) = K( xi , x j) . (9) 式中 :<为非线性映射 ,对于某些核函数可以显式地 求出 <,而绝大多数则难以表出. 选择一个适当的核函数也是比较重要的 ,如果 选取的核函数能够将输入空间正好映射成高维空间 的一个球体分布 ,那么所求得的分类器也会比较吻 合实际的分布情况. 常用的的核函数有 1) 多项式核函数 : L ( x , y) = (1 + x ·y) d . (10) 2) Gaussian RBF 核函数 : K( x , y) = exp - ‖x - y ‖2 256σ2 . (11) 3) Sigmoid 核函数 : K( x , y) = tan h[ b( x ·y) - c]. (12) 引入核函数后 ,原来的公式变成了如下形式 : L = ∑i αi K ( xi , xi) - ∑i , j ααi j K ( xi , x j) , (13) 约束不变 ,而决策函数变为 f SVDD ( z;α, R) = I ( ‖<( z) - <( a) ‖2 ≤R 2 ) = I ( K( z , z) - 2 ∑i αi K ( z , xi) + ∑i , j ααi j K ( xi , x j) ≤R 2 ) . (14) 这里判别函数 I 定义为 I ( A) = 1 , if A is true , 0 , otherwise. (15) 3 小样本 S V DD 的系统调用序列分 类器仿真实验 为了检测单类分类器在安全审计记录上的效 果 ,利用 MIT L PR 程序的相关数据来对该模型的 异常检测能力进行评估. 试验将少量的正常程序执 行迹作为训练样本. 在测试数据集中正常的执行迹 为 2 704 个 ,而异常执行迹为 1 001 个. 首先对训练集中的系统执行迹进行预处理 ,获 得的长度为 K 的系统调用短序列集作为训练样本 输入 SVDD 单类分类器 ,训练后的分类器就可以实 现对在线样本的异常检测. 在测试阶段 ,将测试的程 序执行迹进行预处理 ,得到的一系列的短序列输入 单类分类器 ,根据式 (14) ,当 f SVDD ( z;α, R) 输出为 + 1 时 ,判断为正常的短系列;当 SVDD 输出为 - 1 时 ,可以认为对应的短序列偏离了正常模式 ,判断为 异常短序列. 为了更加正确地判断整个系统执行迹 的异常状态 ,需设置相应的规则来提高整个检测系 统的性能. 针对监控状态下整个系统调用执行迹 ,选 定一个阈值α,当该执行迹中的短序列被判断为异 常的数目超过α,则判定该系统调用执行迹为异常. 在本实验中 ,当给定的系统执行迹中短序列输 出为 - 1 (即异常样本) 的个数超过α时 ,即整个用户 系统调用执行迹为异常;否则 ,判断为正常. 通过前期的研究与实验[13 ] ,当序列长度 K 取 9～12时 ,系统的检测率和误报率(即虚警率 ,将正常 误报为异常的比率) 非常理想. 但在 K 取值为 6～8 的时候 ,系统的误报率比较高. 如图 1 所示. 但序列长度的增加意味着训练样本数目和训练 时间的增加 ,为了更好地满足检测的实时性需要 ,必 须把序列长度控制在一个较小的范围内 ,因此选取 合适的核参数是很关键的 ,为了验证核参数的调整 对实验结果的影响 ,选取比较典型的 K = 7 的样例 进行调整 ,具体实验步骤以及使用的参数为 第 4 期 罗 隽 ,等 :基于 SVDD 的网络安全审计模型研究 ·71 · © 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net