书书书

第!"卷!第"期

!##$年"月

计!!算!!机!!学!!报

%&’()*)+,-.(/0,1%,23-4).*5678!" (68"

*9:;8!##$!

收稿日期!!##$<#=<!>"修改稿收到日期!!##$<#$<?=8本课题得到国家自然科学基金#$#@>=?=$$%国家&八六三’高技术研究发展计划项目

基金#!##@//?!?@>#$和现代通信国家重点实验室基金#@?A=$#@#$#@BC#?#!$资 助8唐!勇(男(?">"年 生(博 士(研 究 方 向 为 网 络 与 信

息安全%入侵检测%&6D9E:6;8)<FGH7!E;GDI!DJK;89KJ8LD8卢锡城(男(?"A$年生(教授(博士生导师(中国工程院院士(主要研究领域为

网络技术%高性能计算%并行与分布处 理%信 息 安 全8胡 华 平(男(?"$>年 生(教 授(博 士 生 导 师(研 究 领 域 为 网 络 与 信 息 安 全%密 码 学8朱培栋(男(?">?年生(博士(副教授(研究方向为网络安全和路由技术等8

基于多序列联配的攻击特征自动提取技术研究

唐!勇!卢锡城!胡华平!朱培栋#国防科技大学计算机学院!长沙!A?##>=$

摘!要!误用入侵检测系统的检测能力在很大程度上取决于攻击特征的数量和质量8该文提出一种基于多序列联

配的攻击特征自动提取方法!首先将可疑的网络数据流转化为序列加入到可疑数据池中"通 过 聚 类 将 这 些 序 列 分

为若干类别"最后利用该文提出的多序列联配算法对 同 一 类 中 的 序 列 进 行 联 配(并 以 产 生 的 结 果 代 表 一 类 攻 击

的特征8该方法的核心 是 该 文 提 出 的 两 种 序 列 联 配 算 法!奖 励 相 邻 匹 配 的 全 局 联 配 算 法%2)(M#%6D;HIJ6JN!2G;LO9N)DL6JPGIHDI(99K79FGD!MJDNLO$和 层 次 式 多 序 列 联 配 算 法&2*/#&H9PGPLOHLG72J7;H!*9QJ9DL9/7HID<F9D;$8%2)(M算法克服了(99K79FGD!MJDNLO算法易产生碎片的问题(使得连续的特征片段能够尽量地予以保

留"&2*/算法以层次式策略对多序列进行联配(支持通配符(并带有剪枝功能8该方法可以自动地提取 包 括 变 形

病毒和缓冲区溢出在内的新攻击的特征(其主要优点 是!#?$产 生 的 攻 击 特 征 包 含 位 置 相 关 信 息(因 而 相 对 传 统 的

方法结果更加准确"#!$具有良好的抗噪能力8

关键词!攻击特征提取"入侵检测"序列联配"变形蠕虫"缓冲区溢出攻击

中图法分类号 43=#"

!"#$%&#’()*+*,&#’$+$-!##&(./’0+&#",*12&1*3$+4"5#’!/*6"*+(*!5’0+%*+#

4/(CR6DI!0-SH<%O9DI!&-&JG<3HDI!T&-39H<U6DI#"#$%%&%’(%)*+,-."#/-0#-(12,/%02&30/4-.5/,6%’7-’-05-8-#$0%&%96(($2095$2!A?##>=$

!71#,&(#! 4O9K9;9L;H6DLG:GVH7H;E6WFHNJN9’U*HNK9:9DK9D;6D;O9DJFV9PGDKQJG7H;E6WG;<;GLXNHIDG;JP9N84OHN:G:9P:P9N9D;NGDG;;GLXNHIDG;JP9NGJ;6FG;HLI9D9PG;H6DG::P6GLO(VGN9K6DFJ7;H<N9QJ9DL9G7HIDF9D;!4O9NJN:HLH6JNW76YNGP9;PGDNW9PP9KHD;6N9QJ9DL9NGDKGKK9K;6GNJN:HLH6JN;PGWWHL:667"YH;OL7JN;9PHDI(;O9N9N9QJ9DL9NGP9KHZHK9KHD;6N9Z9PG7L7JN;9PN"VE9[<:76H;HDI;O9:P6:6N9KN9QJ9DL9G7HIDF9D;G7I6PH;OFN(;O9N9QJ9DL9NWP6FL9P;GHDL7JN;9PGP9G7HID9KGDK6D9NHIDG;JP9;OG;P9:P9N9D;N6D9;E:96WG;;GLXHNI9D9PG;9K84O9:6HD;6W;O9G:<:P6GLOHNGI76VG7G7HIDF9D;G7I6PH;OF<%2)(M#%6D;HIJ6JN!2G;LO9N)DL6JPGIHDI(99K79FGD<MJDNLO$GDKGFJ7;H<N9QJ9DL9G7HIDF9D;G7I6PH;OF<&2*/#&H9PGPLOHLG72J7;H<*9QJ9DL9/7HID<F9D;$8\E9DL6JPGIHDIL6D;HIJ6JNVE;9N;6V9G7HID9K;6I9;O9P(%2)(MP9KJL9N;O9HDW7J9DL96WWPGIF9D;NHD;O9:P6L9NN6WG7HIDF9D;"&2*/G7I6PH;OFHNLOGPGL;9PH]9KVEYH7KLGPKLOGPGL<;9PNNJ::6P;HDIGDK:PJDHDIWJDL;H6D84O9FGHDGKZGD;GI9N6W;O9GJ;O6PN)G::P6GLOGP9!#?$4O9I9D9PG;9KNHIDG;JP9NL6DNHN;6W:6NH;H6DHDW6PFG;H6DYOHLOHNP9N9PZ9KKJPHDIG7HIDF9D;N"#!$&GZ9P6VJN;D9NNGIGHDN;D6HN9N8

8*9:$,31!G;;GLXNHIDG;JP9NI9D9PG;H6D"HD;PJNH6DK9;9L;H6D"N9QJ9DL9G7HIDF9D;":67EF6P:OHLY6PFN"VJWW9P6Z9PW76Y

;!引!言

误用入侵检测系统的检测能力在很大程度上取

决于攻击特征的数量和质量8当前攻击特征主要依靠

专家以事后分析的方式来提取!缺点是过程长"速度

慢8往往是新攻击出现几天甚至几周后相应的特征才

发布!并且这样提取出的特征也不一定准确8在新的

攻击层出不穷!特别是蠕虫病毒能够快速传播且破坏

极大的情况下!入侵检测技术不断受到新的挑战8攻击特征自动提取技术就是在这样的背景下产

生的!主要研究在没有人工帮助的情况下!如何快速

准确 地 检 测 新 攻 击 并 提 取 出 其 特 征8从!##=年 开

始!攻击特征自动提取得到越来越多研究者的关注!已经成为入侵检测技术研究的一个新热点8

综合分析目前典型的攻击特征自动提取系统!攻击特征提取总体上有两个基本步骤#$?%获取可疑

的数据!当 前 比 较 有 效 的 方 法 是 通 过 &6D9E:6;进

行获取&$!%对可疑数据进行分析和比较!从中提取

出共性的"不变的成分!形成攻击的特征!目前已提

出的主要方法包括最大公共子串$0%*%提取’?!!("基于 .GVHDWHDI9P:PHD;N 算 法 的 内 容 的 数 据 流 划

分’=!A("概 率 有 效 状 态 自 动 机’@("基 于)[:9L;G;H6D<2G[HFH]G;H6D$)2%和CHVVN*GF:7HDI算法的*HI<DHWHLGD;.9IH6D计算’$(等8

序列联配’>!(是将两个或多个符号序列进行比

较和对齐!从而尽可能确切地反映它们之间的相似

或相异!获取有用的信息和知识8序列联配在生物信

息学中应用非 常 广 泛!如 用 于 解 决U(/序 列 和 蛋

白质序列比 较"生 物 同 源 性 分 析 等 问 题8在 序 列 聚

类"文本分析"网络安全等领域序列联配算法得到了

应用8通过借鉴序列联配算法在生物信息学中的应

用!本文提出了一种基于多序列联配的攻击特征自

动提取方法8该方法的基本过程是#首先将包含某一

新攻击的网 络 数 据 流 表 示 为 多 个 序 列&然 后!利 用

多序列的 全 局 联 配 算 法 对 这 些 序 列 进 行 分 析!产

生的联配结果代 表 着 新 攻 击 的 特 征&最 后!将 联 配

的结果转 化 为’U*规 则!应 用 于’U*8面 向 攻 击 特

征提取的应用!本文提出了两种序列联配算法#奖励

相 邻 匹 配 的 全 局 联 配 算 法%2)(M$%6D;HIJ6JN!

2G;LO9N)DL6JPGIHDI(99K79FGD<MJDNLO%和 层 次

式 多 序 列 联 配 算 法 &2*/$&H9PGPLOHLG72J7;H<*9QJ9DL9/7HIDF9D;%8

本文 第!节 介 绍 现 有 两 序 列 全 局 联 配 算 法 应

用于攻 击 特 征 提 取 时 的 不 足&在 第=节 中 提 出 了

%2)(M 算法 和 &2*/算 法!并 介 绍 了 基 于 多 序

列联配的攻击特征自动提取方法&第A节给出了若

干实验!用以验证本文提出的方法的有效性&第@节

是本文的总结8

<!相关研究

两序列的联配算法是多序列联配的基础!(99K<79FGD<MJDNLO’>(算法 是 其 中 具 有 代 表 性 的 应 用 广

泛的一种全局联配算法8面向攻击特征提取的应用!本节 首 先 说 明 (99K79FGD<MJDNLO算 法 存 在 的 问

题&然后介绍367EIPG:O系统’"(提出的解决方法!并

分析该方法的局限8<=;!>**35*%&+?@"+1(A算法

对于序列:和6!如果 序 列 联 配 的 相 似 度 计 算

函数定义为

"$:!6%_;匹 配 字 母 数‘)a;不 匹 配 字 母 数‘<a;空 位 数‘!$?%

其中!)是字 母 匹 配 得 分!<是 字 母 不 匹 配 得 分!!是空位罚分&;匹 配 字 母 数 是联配结果中匹 配 的 字 母 数!

;不 匹 配 字 母 数 是联配结果中不匹配的字母数!;空 位 数 是联

配结果中含有的空位符数=(99K79FGD<MJDNLO算 法 基 于 动 态 规 划 思 想!

算法结束时将得到一个全局的联配结果!根据该联

配结果计算出的相似度值最大=该算法具有两个主

要步骤#$?%计 算 所 给 定 的 两 个 序 列 整 个 的 相 似 分

值!并得到一个相似度矩阵&$!%根据相似度矩阵!按照动态规划的方法回溯寻找最优的联配=

若序列:和6联配后得到序列5$记为:!6"5%!为了方便比较和显示!如图?所示!联配结果可以表

示为三个序列:>!6>和5=其中!:>和6>分别由:和6插入适当的空位符产生!5中包含:>和6>对齐后相

同的字母以及通配符)？*和)#*=5体现了: 和6的

相似关系!本文将5中被)#*和)？*分开的部分称为

片段=

联配!"#$$!%&&’(&)"*!+,*-./算法的结果!""""""""""""""""""""""""""""""""联配012"!最佳结果"

图?!序列)6[D[9[][;Y6[*和)E;Y6E6EDE9E]*两个可能的联配结果

A=@? 计!!算!!机!!学!!报 !##$年

!!实验中发现!(99K79FGD<MJDNLO算法存在"易

产生碎片#的问题$"%!并不适合应用于特征提取=考

虑下面的例子=例;=!联 配 字 符 序 列:_"6[D[9[][;Y6[#和

6_"E;Y6E6EDE9E]#=参数设置为&匹配得分)_?!不匹配得分<_b#c !空位罚分!_b?=

图?中联配’G(和联配’V(是两个可能的联配结

果!其中联配’G(是(99K79FGD<MJDNLO算法输出的

结果=比较这 两 个 联 配&联 配’G(的 相 似 度 值_?‘Aa’b#c ‘=(a’b?‘?#(_bcA!联配’V(的相

似度值_?‘=a’b#c ‘!(a’b?‘?A(_b?!c$)联配’G(匹配的字母有A个!联配’V(是=个)如果将

只含有一个字母的片段称为碎片!则联配’G(有A个

碎片!而联配’V(没有碎片=尽管联配’G(的相似度值要大于联配’V(!匹配

上的字母数 目 也 大 于 联 配 结 果’V(=然 而 对 于 攻 击

特征提取的应用来说!联配’V(要优于联配’G(!这是

因为&’?(碎片容易导致误报

若将联配’G(表示成特征#6#D#9#]#!该特征

与随机 产 生 的 长 度 为?###的 字 符 串 相 比 较!有

@Ac d的 概 率 被 匹 配!而 联 配’V(表 示 成 的 特 征

#;Y6#只有#c####@"@d的概率被匹配$"%=可见!联配结果中的碎片可能成为无用的干扰信息!使得提

取出的攻击特征不准确=’!(连续的片段更可能含有语义信息

相比之 下!联 配’V(中 含 有 连 续 字 母 的 片 段

";Y6#显然更 具 有 语 义 信 息=网 络 协 议 的 字 段 一 般

是由多个字母组成的’例如"&443#!"C)4#等(!而

=!位 机 器 上 一 条 指 令 由 连 续 的A个 字 节 组 成=所

以!网络数据流中含有连续字母的片段显然更有可

能含有语义信息!应该尽可能地保留到联配结果中=<=<!B$590,&CA

367EIPG:O$"%是一个 主 要 针 对 变 形 蠕 虫 进 行 攻

击特 征 自 动 提 取 的 系 统8针 对 (99K79FGD<MJDNLO算法易产生 碎 片 的 问 题!367EIPG:O首 先 计 算0个

序列中至少 出 现;次 的 所 有 互 不 包 含 的 子 字 符 串

’称为;6X9D(!然后通过特殊符号"和;6X9D重新表

示原来的序列!最后再对新的序列串进行联配8例!举例说明了367EIPG:O的工作过程=

例<=!用367EIPG:O的 方 法 联 配 字 符 串"GV<L/K/\%9W)1IO#和"He/X/\%7F)1#8

首先!计算出现次数大于?的互不包含的子字符

串’;6X9D(!得 到"/\%#和")1#’"/#因 为 包 含 在

"/\%#中而被丢弃()然后!用"/\%")1"代替原来

的 序 列"GVL/K\%9W)1IO#!用"/\%")1代 替"He/X</\%7F)1#)最后!对"/\%")1"和"/\%")1进行

联配!联配的结果表示成特征为"#/\%#)1##=虽然367EIPG:O解决了(99K79FGD<MJDNLO算

法易产生碎片的 问 题!但 是 因 为 要 求;6X9D互 不 包

含!所以可能会丢失一些有用的片段’如例!中"/#因为包含 在"/\%#中 而 被 丢 弃(8考 虑 如 果 对 例!进行联 配 后 能 够 得 到 如 图!所 示 的 结 果!并 以 此

结果 产 生 特 征"#/？\%？？)1##8显 然 该 特 征 比

367EIPG:O产生的特征"#\%#)1##更加"精确#8一

方面!片段"/#得 以 保 留)另 一 方 面!通 过 单 字 母 通

配符"？#!"/？\%？？)1#可以成为一个描述能力更加

准确的整体=

图!!序列"GVL/K/\%9W)1IO#和"He/X/\%7F)1#

联配的结果

D!基于多序列联配的攻击特征提取

D=;!奖励相邻匹配的全局联配算法E4F>@为了消除基本(99K79FGD<MJDNLO算法容易产

生碎片的问 题!同 时 避 免367EIPG:O方 法 产 生 的 特

征不够精确的缺点!本文提出一种奖励相邻匹配的全

局联配算法%2)(M’%6D;HIJ6JN!2G;LO9N)DL6JP<GIHDI(99K79FGD<MJDNLO(=

与(99K79FGD<MJDNLO算 法 一 样!%2)(M 算

法也是一种动态规划算法!其时间和空间复杂度都为

?’0)(’0和) 分别是两个序列的长度(=%2)(M算法关键 的 改 进 是&为 了 鼓 励 将 连 续 的 字 母 联 配

在一起!引入 了 连 续 匹 配 奖 励 函 数-0#’:(!其中:是 连 续 匹 配 的 字 母 数 目=考 虑 线 性 的 空 位 罚 分!

%2)(M 算法所对应的序列联配得分函数为

"’2!@(A;匹 配 字 母 数 B)C;不 匹 配 字 母 数 B<C

;空 位 数 B!C $5是 联 配 结 果 中 的 片 段

-0#’%5%(’!(

举例说明连续匹配奖励函数的作用=如果定义

-0#’:(_=’:b?(!则 例?中 联 配’@(的 相 似 度 值

b$c$’?‘=a’b?(‘?Aa’b#c (‘!a=‘!’=b!((!大于联配’G(的相似度值bcA’?‘Aa’b#c (

‘=a’b?(‘?#(=因此!%2)(M 算法将输出最佳

的结果!即图?中的联配’V(=

@=@?"期 唐!勇等&基于多序列联配的攻击特征自动提取技术研究

算法;=!%2)(M 算法=输入!序列2"@输出!2"@的最大的相似度值及最优联配

?=初始化=

G=D##"#$_#"8##"#$_#V=16P9GLOE_?"!"%"1

D##"E$_E!"8##"E$_#L=16P9GLO/_?"!"%"F

D#/"#$_/!"8#/"#$_#!=主迭代=填充局部的联配结果

16P9GLO/_?"!"%"F16P9GLOE_?"!"%"1

8/"E_8/b?"Eb?a?"HW2/_@E#" HW2/&@&

E

D#/"E$_

FG[

D#/b?"Eb?$a5#2/"@E$a-0##8/"E$"’LGN9?(

D#/b?"E$a!" ’LGN9!(

D#/"Eb?$a!" ’LGN9=’(

) (

G,.#/"E$_

U’/C"HW ’LGN9?(

0)14"HW ’LGN9!(

-3" HW ’LGN9=’(

) (

==结束=

G=输出最大的相似度值D#F"1$"

V=从G,.#F"1$回溯路径得到最优的联配结果=

D=<!层次式多序列联配算法G4/!

第!层

第"层

第#层

第$层

多序列联配结果 样本序列

噪音序列

剪枝

图=!&2*/算法运行的示意图

基于变形和隐蔽技术"攻击#蠕虫$可能具有多

种形态=所 以 必 须 对 同 一 攻 击 的 多 个 样 本 进 行 分

析"也就是进行多 序 列 的 联 配"才 能 得 到 准 确 的 泛

化程度高的 攻击特征=在两序列联配算法%2)(M的基础上"本文提出了一种适合于攻击特征提取应

用 的 层 次 式 多 序 列 联 配 算 法 &2*/#&H9PGPLOHLG72J7;H<*9QJ9DL9/7HIDF9D;$=该 算 法 主 要 具 有=个

特点!#?$俩俩配对"逐层得到结果)#!$支持序列含

有通配符)#=$带有剪枝功能=为了支持含通配符序列的联配"我们对两序列

联配算法#%2)(M 算 法 和 (99K79FGD<MJDNLO算

法$进行了扩展"方法是!#?$引入单字母通配符*？+和多字母通配符*#+)#!$将两序列联配的结果表示

为一个含上述两种通配符的序列)#=$按照表?对含

通配符序列中的元素进行比较"其 中#和$分 别 表

示两个普通字母=

表;!含通配符序列中的元素比较关系

联配结果中的:>’/( 联配结果中的6>’/( 联配结果中的5’/(# # ## $ ？

# ？ ？

？ ？ ？

# # #？ # #b # ## # ## b #？ b #

算法<=!层次式多序列联配算法 &2*/8输入!序列集合"输出!多序列联配结果

?=初始化=H*"!=层次迭代K6

8*&,

YOH79%H%+?"K6HW%H%_?"即H中只剩序列2";O9D将2加入897N9

从H中任意选取两个序列2和@"应 用 两 序 列 联 配 算 法#%2)(M 或 (99K79<

FGD<MJDNLO$对2"@联配"联配结果为I&/2"@判断剪枝!

!’WI&/2"@包含 的 片 段 数+=GDK有 两 个 片 段

的长度大于等于=

!!;O9D将I&/2"@加入8H*8JD;H7%8%,?

==结束=输出8中的元素

图=说明了&2*/算法的剪枝过程=剪枝的作

用是及时去掉平凡解"以提高算法收敛的速度"并使

算法可以抵抗噪音的干扰=因此"判断剪枝是 &2*/算法的关键=以*联配结果中片段的数目要大于等于

="并且有两个 片 段 的 长 度 大 于 等 于=+作 为 剪 枝 的

条件"其的依据是!#?$文献’?#(给出了一种可以有

效描述攻 击 的):NH76D!CGFFG!3H模 型"该 模 型 说

明攻击往往具有三个关键片段)#!$连续三字节可以

比较有效地描述攻击特征’??"?!(=

$=@? 计!!算!!机!!学!!报 !##$年

定理?给出了&2*/算法的一个重要性质!即在多序列联配过程中!片段之间的位置信息能够在

一定程度上得到保留=本文第A节将进一步说明该

性质的作用=定理;=!多序列联配的位置保留定理=设0个

序列:?!:!!"!:0应 用 &2*/算 法 得 到 的 联 配 结

果是5!如果5中 相 邻 两 个 片 段 /和\之 间 含 有;个#？$通配符!则对于任意一个的序列:/%?,/,0&!

:/中/和\之间至少含有;个字母=证明=!%?&首先 证 明 两 个 不 含 通 配 符 的 序 列 联 配!满

足定理?=设不含通配符的序列:/!:E"5/!E!若5/!E中

相邻两个片段 /和\之 间 的5/!E’&(_#？$!必 然 是

:>/’&(&:>E’&(=由于:>/!:>E和5/!E相匹配的字母和片段

是对齐的!且:>/!:>E是由:/!6/插入若干空位符生成!所以:>/’&(!:>E’&(分别也是在:/!:E中 /和\之间

的一个字母=由于被联配序列的一个字母只能对应

到联配结果中的一个位置!所以若5/!E中相邻两个片

段/和\之间有;个#？$!则:/!6/中/和\之间至

少也有;个字母=%!&含有通配符的5.!5,"5.!,=设:.?!:.!!"!:.#."

5.!:,?!:,!!"!:,#,"5,!且满足定理?=则如果5.!,中相

邻两个片段/和\之间的5.!,’&(_#？$!则根据算法

扩展%表?&!只可能是下面=种情况)%H&5>.’&(_#&$_5>,’&(!那 么 由 归 纳 定 义:.?!

:.!!"!:.#.中相邻两个片段/和\之间肯定包含字

母#!而:,?!:,!!"!:,#,中相邻两个片段/和\之间

肯定包 含 字 母$!因 此:.?!:.!!"!:.#.!:,?!:,!!"!:,#,中相邻两个片段 /和\之间一定 包 含 一 个 字 母%#或$&=

%HH&不失一 般 性5>.’&(_#!5>,’&(_#？$!则:.?!

:.!!"!:.#.中相邻两个片段/和\之间肯定包含字

母#!而:,?!:,!!"!:,#,中相邻两个片段/和\之间

肯定包含某一字母=%HHH&5>.’&(_#？$!5>,’&(_#？$!则:.?!:.!!"!:.#.中

相邻两 个 片 段 /和\之 间 肯 定 包 含 某 一 字 母!而

:,?!:,!!"!:,#,中相邻两个片段/和\之间肯定也包

含某一字母=因为被联配序列的一个字母只能对应到联配结

果中的一个位置!由上面三种情况的分析可以得到)若5.!,中相邻两个片段/和\之间含有;个#？$!则

:.?!:.!!"!:.#.!:,?!:,!!"!:,#,中相邻两个片段/和\之间至少含有;个字母=

%=&由于 &2*/算 法 反 复 调 用 两 序 列 联 配 以

及%?&!%!&的结果!定理得证= 证毕=D=D!攻击特征自动提取系统框架

主要针对变形病毒和缓冲区溢出攻击!建立在

&6D9E:6;系统之上!本文设计并基本实现了一个攻

击特 征 自 动 提 取 系 统!其 框 架 如 图A所 示8其 中

%2)(M 算法和 &2*/算法是该系统的核心=

分布式!"#$%&"’

系统

去除噪音()*’+,-."#/01’$2’3"*

3*/4"*$%&"’5攻击聚类

多序列联配!!678算法"96:;<算法#

=>7中应用新规则 特征转化

图A!基于多序列联配的攻击特征自动提取系统框架

!!该系统的主要工作过程如下)%?&面向 大 规 模 网 络!利 用 基 于 代 理 的 分 布 式

&6D9E:6;系统’?=(采集可疑的数据和事件*%!&&6D9E:6;系 统 采 集 到 的 数 据 可 能 含 有 噪

声%正常的数据和行为&!为此我们提出了两种针对

&6D9E:6;系统的攻击检测模型+++41.33模型和

贝叶斯模型’?A(!基于这两种模型进一步确定攻击行

为!从而去除掉噪声*%=&对可 疑 数 据 进 行 攻 击 聚 类!使 得 同 一 类 或

相似的攻击聚合到一类中!目前本系统采用与367<

EIPG:O相同的聚类方法’"(*%A&对 于 同 一 类 攻 击!应 用 &2*/ 算 法 和

%2)(M 算法进行多序列联配*%@&将联配的结果转化为标准的*D6P;规则’?@(*%$&将提取出的特征应用于’U*!如*D6P;=

H!测试结果及分析

H=;!测试数据和算法参数的选择

为了 便 于 比 较!本 文 选 取 /:GLO9!BDGLX9P",

\’(U!4*’C# 和/43O;;:K$ 这三种漏洞利用攻击

>=@?"期 唐!勇等)基于多序列联配的攻击特征自动提取技术研究

"

#

$

%8%/(!!##=<#!A@8O;;:)--YYY8N9LJPH;EW6LJN8L6F-VHK->>!=-KHNLJNNH6D-8*/(*’DN;H;J;9)0H6DY6PF8O;;:)--YYY8NGDN86PI-E!X-7H6D8O;F8O;;:)--YYY8N9LJPH;E8DD6Z8PJ-K6LN=$=A8O;F78

作为 测 试 用 例!并 利 用 病 毒 变 形 引 擎 %79;"?$#和

/U2FJ;G;9" 进行了变形处理!使得每种攻击各产

生A#个 样 本#8为 了 评 估 误 报 率 和 漏 报 率!本 文 使

用两 个 不 含 攻 击 的 测 试 数 据 集!U./3/""数 据

库"?>#中的第一 周 数 据 以 及 从 国 防 科 技 大 学 内 部 网

络中采集的@天的 网 络 数 据$以 &443和U(*协

议为主!包 含 !#?个 数 据 流%8%2)(M 算 法 的 参

数设置为&匹配得分)_?!不 匹 配 得 分<_b#c!!空位罚分!_b?=并且!将%2)(M 算法的连续匹

配奖励函数定义为

-0#$:%_$:b?%‘?c@! 若:,==a$:b=%‘#c@! 若:-’ =

$=%

H=<!生成的攻击特征

表!给出了367EIPG:O方法(&2*/算法配合

%2)(M 算法(&2*/算法配合(99K79FGD<MJD<NLO算法 对 三 种 攻 击 所 产 生 的 攻 击 特 征8从 表!中

可以看出!&2*/a%2)(M 算法产生的攻击特征

比367EIPG:O方 法 产 生 的 攻 击 特 征 准 确8一 方 面!

&2*/a%2)(M 算 法 产 生 的 特 征 片 段 更 多 更 准

确8例如&对于\’(U!4*’C攻击!367EIPG:O产生的

特征中就缺少与后面的).[##.[##.[1/*有联系的

).[##*8另 一 方 面!由 于 引 入 了 单 字 符 通 配 符)？*!在&2*/a%2)(M 算法所产生的特征中!片段之

间的位置关系更加准确8例如!对于/:GLO9!BDGLX<9P攻 击!&2*/a%2)(M 算 法 产 生 了).[11.[\1？？？？？？？？？？.P.D*!其中?#个)？*表明特征片段

).[11.[\*和).P.D*之间具有?#个可变的字母8而这?#个字母很可能恰恰反映了攻击隐藏或攻击变

形技术的效果8表=给出了 &2*/a%2)(M 算法和 &2*/

a(99K79FGD<MJDNLO算法在产生碎片数和运行时

间上的 对 比8可 以 看 出!&2*/a%2)(M 算 法 和

&2*/a(99K79FGD<MJDNLO算 法 的 计 算 时 间 相

当!&2*/a%2)(M 算 法 产 生 的 碎 片 略 少 于

&2*/a(99K79FGD<MJDNLO算法8由 于 &2*/a%2)(M 算法 尽 可 能 地 保 留 含 连 续 字 母 的 片 段!其产生特 征 的 质 量 要 优 于 &2*/a(99K79FGD<MJDNLO算法8例如在表!中对于 /43O;;:K攻击!

&2*/a(99K79FGD<MJDNLO算法因为碎片的干扰

而缺少了重要的特征片段).[11.[\1*8

表<!G4/!算法和B$590,&CA方法产生的攻击特征的对比

/:GLO9!BDGLX9P的攻击特征 \’(U!4*’C的攻击特征 /43O;;:K的攻击特征

367EIPG:OC)4%#&443+?c?.P.D#&#.P.D&6N;&#.P.D#&#.P.D&6N;&#.[11.[\1#.P.D

.[11.[\1#.[##.[##.[1/ C)4%+#.[11.[\1#%&443+?c?.P.D

&2*/a(99K79FGD<MJDNLO

C)4？？？？？？？？？？%&443+?c?.P.D#.P.D&6N;&%%#.P.D&6N;&%#.[11.[\1？？？？？？？？？？.P.D

#.[##？？？？？？？？？？？？？？.[##.[##.[1/？？

C)4%+#%&443+?c?.P.D

&2*/a%2)(MC)4%#%&443+?c?.P.D#&%#.P.D&6N;&%#.P.D#&%#.P.D&6N;&%#.[11.[\1？？？？？？？？？？.P.D

#.[11.[\1#.[##？？？？？？？？

？？？？？？.[##.[##.[1/？？C)4%+#.[11.[\1？？？？？？？？？？？？？？？？？？？？？？？

？？？？？？？？？？？？？？？？？？？？？"?# 个#&443+?c?.P.D

表D!联配过程中的碎片数和性能比较

&2*/a%2)(M算法碎片数

&2*/a(99K79FGD<MJDNLO算法碎片数

&2*/a%2)(M算法运行时间$N%

&2*/a(99K79FGD!MJDNLO算法运行时间$N%

/:GLO9!BDGLX9P !!$ !A= ?A# ?==

\’(U!4*’C ?= ?A@ =@ =#

/43O;;:K !=? !A! ??# ?##

H=D!产生IJ/规则

根据表!所示的序列联配结果!可以产生相应

的’U*检 测 规 则!图@给 出 了 由 表!中 &2*/a%2)(M算法的联 配 结 果 产 生 的 三 条*D6P;规则8值得说明的是!根据定理?!联配结果中的通配符)？*可用于确定特征片段之间至少含有的字母数!从而

反映特征片段 之 间 的 相 对 位 置 关 系8而ND6P;的 规

则选项)6WWN9;*和)KHN;GDL9*$恰好可以准确地表达

此关系8

本文将图@给 出 的 三 条 规 则 应 用 于*D6P;系

统!利用Ac?节介绍的测试数据对它们进行误报率

和漏报率测试8结果显示!这三条规则的误报率和漏

报率都为零8从而说明了基于&2*/a%2)(M 算

法产生的攻击特征是准确的8

=@? 计!!算!!机!!学!!报 !##$年

"

#$

B!!GKFFJ;G;98O;;:&++YYY8X;Y68LG+L+/U2FJ;G;9!#ccA8;GP8I]感谢(9YN6F9+8提供367EIPG:O的相关源代码和数据8)6WWN9;*说 明 在 数 据 流 的 多 少 偏 移 量 后 才 开 始 匹 配!)KHN<;GDL9*说明从上一个特征开始 忽 略 多 少 个 字 符 才 开 始 匹 配下一个特征8

/:GLO9!BDGLX9P!G79P;;L:GDEGDEb-GDEGDE"FNI!f/:GLO9!BDGLX9Pf#NHK!?#####?#L6D;9D;!fC)4f#L6D;9D;!f&443$?8?%#U#/%f#KHN;GDL9!?##L6D;9D;!f.!f#L6D;9D;!f%#U#/%&6N;.!f#L6D;9D;!f%#U#/%f#L6D;9D;!f.!f#L6D;9D;!f%#U#/%&6N;.!f#L6D;9D;!f%11\1%f#L6D;9D;!f%#U#/%f#KHN;GDL9!?##P9Z!?#%\’(U4*’C!G79P;;L:GDEGDEb-GDEGDE"FNI!f\’(U4*’Cf#NHK!?#####!#L6D;9D;!f%11\1%f#6WWN9;!=?=#L6D;9D;!f%##%f#KHN;GDL9!??#L6D;9D;!f%####1/%f#KHN;GDL9!?A#P9Z!?#%/43O;;:K!G79P;;L:GDEGDEb-GDEGDE"FNI!f/43O;;:Kf#NHK!?#####=#L6D;9D;!fC)4$f#L6D;9D;!f%11\1%f#L6D;9D;!f&443$?8?%#U#/%f#KHN;GDL9!?# #P9Z!?#%

图@!根据序列联配结果产生的*D6P;规则

!"#

$%&

$%’

$%(

#%)

##******************!******************)*****************+******************(******************,******************’*****************-******************&

理想情况有结果有正确结果

概率

噪音.样本

!%#

#%&

#%’

#%(

#%)

##*****************!******************)*****************+******************(*******************,******************’*****************-******************&

理想情况有结果有正确结果

概率

噪音.样本

!%#

#%&

#%’

#%(

#%)

##******************!*****************)******************+*****************(******************,*****************’*****************-******************&

理想情况有结果有正确结果

概率

噪音.样本

!"#$%&"’()!*+"’,)-溢出攻 击 !.#$/012$3405溢出攻击

6’#7%38(99&:溢出攻击

图$!&2*/a%2)(M算法抗噪能力实验的结果

H=H!抗噪能力测试

首先在理 论 上 分 析 &2*/ 算 法 的 抗 噪 能 力8若)是算法输入中的样本数&0是样本数和噪音数

之和8考虑理想情况&即满足以下两个假设!"?%任意

两个噪音联配都会产生平凡解而被剪枝#"!%任意两

个样本联配都不会被剪枝&并且可以产生准确的攻

击特征8那么参考图=的示例&只要在第一层中有两

个样本配对在一起&&2*/算法便能返回正确的结

果8因此&理想情况下算法返回正确结果的概率分为

下面两种情况!"?%)-0$!&由于在第一层中共有0$!个配对&

从而根据抽屉原理&算法成功的概率是?="!%),0$!&则算法成功的概率为

G_?b?‘ 0$!b?0$" %! ‘ 0

$!b!0$" %! ‘’‘

0$!b)b?0$" %! _?b?0)/

)J?

/A?

"0b!/%=

本文还进 行 了 &2*/算 法 的 抗 噪 能 力 实 验8固定使用!#个样本&不断插入更多完全随机产生的

噪声&分别测试算法返回结果(返回正确结果"得到

的攻击特征准确%的概率8实验结果如图$所示8算法返回结果的概率略

低于理想情况&主要原因是没有满足理想情况的假

设?8也就是说某些噪声之间联配后没有被剪枝掉&从而与样本之间的联配结果进行联配&导致没有结

果返回8图$显示&算法返回的结果中有很多不是准

确的攻击特征8我们发现其主要原因是没有满足理

想情况的假设!&也就是说仅仅通过两个样本得 到

的特征因为泛化程度不够而不准确8因而&算法的结

果只有来自于多个样本的联配&才会是正确的8实验结果表明 &2*/算法有较强的抗噪音能

力8噪声数小于或等于样本数"噪声数$样本数,?%&算法都能以较大的概率返回正确结果8同时&该算法

"=@?"期 唐!勇等!基于多序列联配的攻击特征自动提取技术研究

在抗噪能力上还存在较大的改进余地8例如!可以通

过多次调用算法得到多个结果!然后再对这些结果

进行联配!便可以以更高概率获得正确结果8

K!小!结

本文借鉴生物信息学中的序列分析方法!提出

了一种基于多序列联配的攻击特征自动提取方法8该方法的核心是两序列 联 配 算 法%2)(M 和 多 序

列联配算法 &2*/8通过在联配过程中奖励相邻的

匹配!%2)(M 算 法 克 服 了 (99K79FGD<MJDNLO算

法易产生碎片的问题!使得含有连续字母的片段尽

可能地予以保留8&2*/算法建立在两序列联配算

法之上!是一种支持通配符"带剪枝的层次式多序列

联配算法8实验结果表明该方法具有如下优点#$?%该方法

产生的攻击特征包含位置相关信息!因而相对传统

方法结果更加准确&$!%有效的剪枝策略使该方法可

以有效抵抗噪音的干扰&$=%该方法产生的攻击特征

与主流的’U*规则有着天然的相似性!易于应用 到

’U*中去8下一步主要研究如何提高该方法的性能"减少空间开销!进一步提高算法的抗噪能力等8

参 考 文 献

? BP9HVHLO%8!%P6YLP6W;+88&6D9EL6FVLP9G;HDIHD;PJNH6DK9<;9L;H6DNHIDG;JP9NJNHDIO6D9E:6;N8’D#3P6L99KHDIN6W;O9!DKM6PXNO6:6D&6;46:HLNHD(9;Y6PXN$&6;(9;N!’’%!%GF<VPHKI9!2/-*/!!##=!@?%@$

! MGDIB8!*;67W6*88/D6FG76JN:GE76GK!VGN9KD9;Y6PXHD;PJ<NH6DK9;9L;H6D8’D#3P6L99KHDIN6W;O9./’U!*6:OHG/D;H:67HN!

1P9DLO.HZH9PG!!##A!!#?%!!!= BHF&8!BGP:\88/J;6IPG:O#46YGPKGJ;6FG;9K!KHN;PHVJ<;9KY6PFNHIDG;JP9K9;9L;H6D8’D#3P6L99KHDIN6W;O9-*)(’S*9LJPH;E!*GDUH9I6!%/!!##A!!>?%!$

A *HDIO*8!)N;GD%8!5GPIO9N9C8!*GZGI9*88/J;6FG;9KY6PFWHDI9P:PHD;HDI8’D#3P6L99KHDIN6W;O9$;O/%2’-*)<(’S*EF:6NHJF6D,:9PG;HDI*EN;9FU9NHIDGDK’F:79F9D;G<;H6D$,*U’%!*GD1PGDLHNL6!%/!!##A!A@%$#

@ R9ID9NYGPGD58!CHWWHD+8!\GPW6PK38!+OG*88/DGPLOH;9L<;JP9W6PI9D9PG;HDIN9FGD;HLN!GYGP9NHIDG;JP9N8’D#3P6L99K<HDIN6W;O9-*)(’S*9LJPH;E!\G7;HF6P9!2U!!##@!">%??!

$ 4GDIR8!%O9D*88U9W9DKHDIGIGHDN;’D;9PD9;Y6PFN#/NHI<DG;JP9!VGN9KG::P6GLO8’D#3P6L99KHDIN6W;O9’(1,%,2!

2HGFH!176PHKG!!##@!?=A%?="A> (99K79FGD*8\8!MJDNLO%8U88/I9D9PG7F9;O6KG::7HLGV79;6;O9N9GPLOW6PNHFH7GPH;H9NHD;O9GFHD6GLHKN9QJ9DL96W;Y6:P6;9HDN8+6JPDG76W2679LJ7GP\H676IE!?">#!A $=%#AA=%A@=

^ *FH;O48!MG;9PFGD288’K9D;HWHLG;H6D6WL6FF6DF679LJ7GPNJVN9QJ9DL9N8+6JPDG76W2679LJ7GP\H676IE!?"?!?A>$?%#

?"@%?">" (9YN6F9+8!BGP:\8!*6DIU88367EIPG:O#/J;6FG;HLG77EI9D9PG;HDINHIDG;JP9NW6P:67EF6P:OHLY6PFN8’D#3P6L99KHDIN6W;O9’)))*g3!##@!,GX7GDK!%G7HW6PDHG!!##@!!!$%!A?

?# %PGDKG77+8.8!MJ*818!%O6DI18488)[:9PH9DL9NJNHDI2H<D6NGNG;667W6PLG:;JPHDIGDKGDG7E]HDID6Z97Y6PFNW6PJD<XD6YDZJ7D9PGVH7H;H9N8’D#3P6L99KHDIN6W;O9C’*’C*’U/.%6DW9P9DL96DU9;9L;H6D6W’D;PJNH6DNGDK2G7YGP9GDK5J7D9P<GVH7H;E/NN9NNF9D;!5H9DDG!!##@!=!%@#

?? %PGDKG77+8.8!*JTO9D<U6DI!MJ*818!%O6DI18488,DK9PHZHDIJDXD6YDZJ7D9PGVH7H;H9NWP6F T9P6UGE:67EF6P:OHLGDKF9;GF6P:OHLY6PF9[:76H;N8’D#3P6L99KHDIN6W;O9/%2%%*!##@!/79[GDKPHG!5HPIHDHG!!##@!!=@%!A

?! SJ+8!(HDI38!BH7%8!TOGHR8!\66XO67;%88/J;6FG;HLKH<GID6NHNGDKP9N:6DN9;6F9F6PEL6PPJ:;H6DZJ7D9PGVH7H;H9N8’D#

3P6L99KHDIN6W;O9/%2 %%*!##@!/79[GDKPHG!5HPIHDHG!

!##@!!!=%!=A?= MGDI+H9!&J&JG:HDI!4GDIR6DI8*;JKEGDKHF:79F9D;G<

;H6D6WKHN;PHVJ;9KZHP;JG7O6D9ED9;NEN;9F(28*8KHNN9P;G<;H6D)8(G;H6DG7-DHZ9PNH;E6WU9W9DN949LOD676IE!%OGDINOG!

!##A$HD%OHD9N9%$汪!洁8分布式 虚 拟 陷 阱 网 络 的 设 计 与 实 现(研 究 生 学 位 论

文)8国防科学技术大学!长沙!!##A%

?A 4GDIR6DI!&J&JG<3HDI!0JSH<%O9DI!MGDI+H98)DOGD<LHDI&6D9E:6;NEN;9F YH;OHD;PJNH6DK9;9L;H6D F6K97N8’D#

3P6L99KHDIN6W;O9A;O’)))’D;9PDG;H6DG7’DW6PFG;H6D/NNJP<GDL9M6PXNO6:!!##$

?@ .69NLO288*D6P;#0HIO;Y9HIO;HD;PJNH6DK9;9L;H6DW6PD9;<Y6PXN8’D#3P6L99KHDIN6W;O9?=;O%6DW9P9DL96D*EN;9FN/K<FHDHN;PG;H6D!\9PX979E!%/!?"""!!!"%!=

?$ U9;PHN;GD48!-79DN:H9I9748!2G7L6FR8!-DK9PKJX28588367EF6P:OHLNO977L6K99DIHD9JNHDIN:9L;PJFGDG7ENHN83OPGLX,D7HD92GIG]HD9!!##=!$?

?> 0H::FGDD.838!1PH9KU8+8!CPGW’8-,2&8)ZG7JG;HDIHD;PJ<NH6DK9;9L;H6DNEN;9FN#4O9?"" U/.3/6WW!7HD9HD;PJNH6DK9;9L;H6D9ZG7JG;H6D8’D#3P6L99KHDIN6W;O9!###U/.3/’D<W6PFG;H6D *JPZHZGVH7H;E %6DW9P9DL9GDK )[:6NH;H6D!&H7;6D&9GK!*%!!###!!#?#?!%?#=@

L!>)M$+0!V6PDHD?">"!3O8U8LGDKHKG;98&HNP9N9GPLOHD;9P9N;NHDL7JK9D9;Y6PXN9LJPH;E!HD;PJNH6DK9;9L;H6D!&6D9E:6;!GDKKG;GFHDHDI;9LODHQJ9!9;L8

NOP’?EA*+0!V6PDHD?"A$!:P6W9NN6P!3O8U8NJ:9PZH<N6P!F9FV9P6W%OHD9N9/LGK9FE6W)DIHD99PHDI8&9FGHD7E9DIGI9KHDP9N9GPLOGDKK9Z976:F9D;6WL6F:J;9PD9;Y6PX!

OHIO:9PW6PFGDL9L6F:J;HDI!:GPG7797GDKKHN;PHVJ;9K:P6<L9NNHDIHDW6PFG;H6DN9LJPH;E!9;L8

GOG"&?B’+0!V6PDHD?"$>!:P6W9NN6P!3O8U8NJ:9PZH<N6P8&HNP9N9GPLOHD;9P9N;NHDL7JK9D9;Y6PXGDKHDW6PFG;H6DN9LJPH;E!GDKLPE:;6IPG:OE8

#A@? 计!!算!!机!!学!!报 !##$年

QGOB*’?J$+0!V6PDHD?">?!3O8U8!GNN6LHG;9:P6W9N<N6P8&HNP9N9GPLOHD;9P9N;NHDL7JK9D9;Y6PXGDKHDW6PFG;H6D

N9LJPH;E!P6J;HDI;9LODHQJ9!9;L8

2&(.0,$"+34OHN:G:9PHN:GP;7ENJ::6P;9KVE;O9(G;H6DG7(G;JPG7

*LH9DL916JDKG;H6D6W%OHDGJDK9P:P6e9L; "4O9*9LJPH;E49LOD676IE*;JKE6W0GPI9*LG79 2/()4#YH;O IPGD;(6c$#@>=?=$!GDK;O9(G;H6DG7&HIO49LOD676IE.9N9GPLOGDKU9Z976:F9D;3P6IPGF $$=3P6IPGF%6W%OHDGJDK9P:P6<e9L;"1JDKGF9D;G74O96PEGDK B9E49LOD676IH9NW6P(9YC9D9PG;H6D’D;9PD9;.6J;HDI#YH;OIPGD;(6c!##@//?!?@>#!GDK;O91JDK6W(G;H6DG70GV6PG;6PEW6P26K9PD%6FFJDH<LG;H6DN6W%OHDGJDK9P:P6e9L;"5**!\GN9K*23%3P6;6L67#YH;OIPGD;(6c@?A=$#@#$#@BC#?#!8

4O9K9;9L;H6DLG:GVH7H;E6WFHNJN9’U*HNK9:9DK9D;6D;O9DJFV9PGDKQJG7H;E6WG;;GLXNHIDG;JP9N84O9N9NHIDG<;JP9NW6P;O9’U*9NGP9JNJG77EI9D9PG;9KFGDJG77E6PN9FH<FGDJG77E!G:P6L9NN;66N76YW6PK9W9DKHDIGIGHDN;N97W<:P6:<GIG;HDIFG7HLH6JNL6K9N!6PY6PFN8&9DL9GJ;6FG;HLNHIDG<;JP9I9D9PG;H6DW6PG;;GLXIGHDNL6DNHK9PGV79G;;9D;H6DNHDD9;<Y6PXN9LJPH;EK6FGHD!GDKN6F9NHIDG;JP9GJ;6FG;HLI9D9PG<

;H6DNEN;9FNGP9:P6:6N9KHDP9N9D;E9GPN8*9QJ9DL9G7HIDF9D;OGNV99D9[;9DNHZ97EG::7H9KHD;O9

WH97K6WVH6HDW6PFG;HLN8’D;OHN:G:9P!;O9GJ;O6PN:P9N9D;GNHIDG;JP9I9D9PG;H6DG::P6GLO;OG;JN9FJ7;H<N9QJ9DL9G7HID<F9D;G7I6PH;OFN;6GJ;6FG;HLG77E:P6KJL9NHIDG;JP9N6WN6F9D6Z97G;;GLXN!NJLOGN:67EF6P:OHLY6PFNGDKVJWW9P6Z9P<W76YG;;GLXN84O9D6Z97;E6W;O9GJ;O6PN&G::P6GLOP9NJ7;NWP6F;Y6N9QJ9DL9NG7HIDF9D;G7I6PH;OFN’%2)(M $%6D<;HIJ6JN!2G;LO9N )DL6JPGIHDI (99K79FGD<MJDNLO%G7I6<PH;OFGDK&2*/ $&H9PGPLOHLG72J7;H<*9QJ9DL9/7HIDF9D;%G7I6PH;OF84O9FGHDGKZGD;GI9N6W;O9GJ;O6PN&G::P6GLOGP9NJFFGPH]9KGNW6776YN8$?%4O9I9D9PG;9KNHIDG;JP9NGP9GL<LJPG;9;OGDLJPP9D;NHIDG;JP9N!NHDL9;O9:6NH;H6DHDW6PFG;H6DGP9P9N9PZ9KKJPHDI;O9G7HIDF9D;:P6L9NN($!%4O9G::P6GLOHNP6VJN;GIGHDN;D6HN9N!NHDL9;O9&2*/G7I6PH;OF&N:PJD<HDIWJDL;H6D8

?A@?"期 唐!勇等’基于多序列联配的攻击特征自动提取技术研究