一種基于主動(dòng)學(xué)習(xí)的數(shù)據(jù)庫(kù)惡意行為檢測(cè)方法

車(chē)晶 張瑛

南京郵電大學(xué) 江蘇 210046

0 前言

本文設(shè)計(jì)并實(shí)現(xiàn)了一種適用于開(kāi)源數(shù)據(jù)庫(kù)軟件架構(gòu)的惡意行為檢測(cè)方法，并在MySQL系統(tǒng)上驗(yàn)證了該方法，測(cè)試表明，本文提出的方法具有較好的適用性和可擴(kuò)展性，可實(shí)現(xiàn)對(duì)多種流行惡意行為的檢測(cè)，同時(shí)對(duì)系統(tǒng)性能影響較小。表示將所有收集到的日志信息按時(shí)間排序。

數(shù)據(jù)庫(kù)會(huì)話原始行為特征收集算法如下：

1 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

1.1 會(huì)話行為簽名及生成算法

基于行為簽名的惡意行為檢測(cè)主要面臨兩大挑戰(zhàn)，其一是如何構(gòu)建正常數(shù)據(jù)庫(kù)會(huì)話的行為簽名使其盡可能覆蓋正常數(shù)據(jù)庫(kù)會(huì)話，其二是對(duì)正常和惡意行為簽名的在線重構(gòu)，實(shí)時(shí)擴(kuò)充和維護(hù)數(shù)據(jù)庫(kù)會(huì)話行為簽名特征庫(kù)，這樣就可以使檢測(cè)算法可檢測(cè)新的惡意行為。

基于開(kāi)源數(shù)據(jù)庫(kù)系統(tǒng)的特點(diǎn)，本文將數(shù)據(jù)庫(kù)會(huì)話定義為從連接數(shù)據(jù)庫(kù)開(kāi)始，所有的數(shù)據(jù)庫(kù)訪問(wèn)操作，直到斷開(kāi)數(shù)據(jù)庫(kù)連接的一系列動(dòng)作的集合。使用行為特征矩陣來(lái)表征數(shù)據(jù)庫(kù)會(huì)話的行為模式。

首先，需在數(shù)據(jù)庫(kù)管理系統(tǒng)的源代碼中增加對(duì)敏感系統(tǒng)資源的訪問(wèn)的監(jiān)控點(diǎn)，這些被監(jiān)控收集的信息合在一起構(gòu)成了數(shù)據(jù)庫(kù)會(huì)話的行為模式，鑒于開(kāi)源數(shù)據(jù)庫(kù)管理系統(tǒng)的所有源代碼均是可修改和重編譯的，我們?cè)诿恳活?lèi)功能實(shí)現(xiàn)點(diǎn)進(jìn)行監(jiān)控，然后對(duì)各個(gè)監(jiān)控點(diǎn)獲得監(jiān)控信息進(jìn)行融合，獲得數(shù)據(jù)庫(kù)會(huì)話的行為模式。

函數(shù) Access(DSID,FID)表示數(shù)據(jù)庫(kù)會(huì)話 DSID調(diào)用了關(guān)鍵敏感函數(shù)FID，函數(shù)Log(DSID, functionInfo, timestamp)表示將DSID何時(shí)訪問(wèn)FID的信息寫(xiě)入日志文件。函數(shù)Sort(logs)

1.2 基于行為簽名的惡意行為特征學(xué)習(xí)算法

目前大多數(shù)操作系統(tǒng)和網(wǎng)絡(luò)的惡意行為檢測(cè)采用的基于規(guī)則的檢測(cè)技術(shù)，這類(lèi)檢測(cè)技術(shù)僅能檢測(cè)出規(guī)則庫(kù)中事先定義的惡意行為，無(wú)法檢測(cè)已知惡意行為的變種和新的惡意行為。因此，基于異常的智能檢測(cè)技術(shù)成為目前的研究熱點(diǎn)。常用的異常檢測(cè)技術(shù)有：概率統(tǒng)計(jì)、人工神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊識(shí)別和人工免疫方法。

傳統(tǒng)的基于規(guī)則的惡意行為檢測(cè)大多采用統(tǒng)計(jì)的方法建模，將收集到的數(shù)據(jù)分成正常和異常兩類(lèi)。在解決分類(lèi)問(wèn)題時(shí)，首先需要標(biāo)注樣本的類(lèi)別來(lái)構(gòu)建訓(xùn)練樣本集，由于訓(xùn)練樣本集的建立主要依賴(lài)安全領(lǐng)域?qū)＜?，成本較高。為了提高分類(lèi)精度，在學(xué)習(xí)過(guò)程中需要的訓(xùn)練樣本必須足夠多，一方面增加了構(gòu)建訓(xùn)練樣本集的成本，同時(shí)對(duì)大量樣本的學(xué)習(xí)也需要耗費(fèi)大量的機(jī)器學(xué)習(xí)時(shí)間。

為解決這個(gè)問(wèn)題，需要一種學(xué)習(xí)方法能在訓(xùn)練樣本數(shù)量較少的情況下，獲得較好的分類(lèi)效果。主動(dòng)學(xué)習(xí)作為解決這類(lèi)問(wèn)題的一種方法被提出來(lái)，它是由Lewis和Gale等人提出的，它改變了傳統(tǒng)的從已知樣本集中進(jìn)行被動(dòng)學(xué)習(xí)的方法，它根據(jù)學(xué)習(xí)進(jìn)程，主動(dòng)選擇最佳的樣本進(jìn)行學(xué)習(xí)，從而有效減少所需評(píng)價(jià)樣本的數(shù)量。支持向量機(jī)(SVM)是一種能在訓(xùn)練樣本數(shù)很少的情況下達(dá)到很好分類(lèi)推廣能力的智能學(xué)習(xí)算法。本文將 SVM主動(dòng)學(xué)習(xí)算法應(yīng)用于數(shù)據(jù)庫(kù)惡意行為檢測(cè)中，使得在訓(xùn)練樣本集較少的情況下，分類(lèi)器達(dá)到較高的分類(lèi)精度，從而在數(shù)據(jù)庫(kù)惡意行為檢測(cè)中提高訓(xùn)練速度和降低構(gòu)建訓(xùn)練樣本成本的目的。

SVM的參數(shù)是通過(guò)訓(xùn)練得到的，需獲得兩類(lèi)訓(xùn)練樣本，即正常行為簽名模式樣本和異常行為簽名模式樣本。由于本文定義的行為簽名是數(shù)據(jù)庫(kù)會(huì)話的行為軌跡，可用一個(gè)長(zhǎng)度為k的窗口在數(shù)據(jù)庫(kù)會(huì)話行為簽名軌跡上滑動(dòng)來(lái)獲得系統(tǒng)資源訪問(wèn)短序列。系統(tǒng)資源訪問(wèn)短序列反映的數(shù)據(jù)庫(kù)會(huì)話過(guò)程中的資源訪問(wèn)次序關(guān)系。如何選擇滑動(dòng)窗口的大小是關(guān)鍵問(wèn)題。如果選取的段序列長(zhǎng)度為1則丟掉了資源訪問(wèn)的次序關(guān)系，如果長(zhǎng)度太大又無(wú)法反映正常和異常情況下的局部次序狀況。Hofmeyr SA等人從實(shí)驗(yàn)中得出結(jié)論：當(dāng)窗口大于30時(shí)，從調(diào)用序列中無(wú)法得到對(duì)數(shù)據(jù)庫(kù)會(huì)話行為判定有用的信息。Lee W等人的研究認(rèn)為最合適的資源訪問(wèn)段序列長(zhǎng)度為6或7。據(jù)此本文選擇系統(tǒng)資源訪問(wèn)短序列長(zhǎng)度為6?？捎萌缦滤惴▉?lái)對(duì)數(shù)據(jù)庫(kù)會(huì)話惡意行為的特征進(jìn)行學(xué)習(xí)。

Algorithm: malware character learning Input: original behavior sequence Output: malware character library 1234567891 0 11 12 NCS←slidewindow(nobs);NCL ←NCS;MCS ←slidewindow(mobs);for (mcs in MCS)for (ncs in NCS)if (mcs = ncs) del mcs from MCS;for (mcs in MCS) {d←MAX;for (ncs in NCS) {d(mcs,ncs) ←Harmin(mcs,ncs);if (d(mcs,ncs)＜d) d←d(mcs,ncs); }if d>D del mcs from MCS; }

用長(zhǎng)度為6的滑動(dòng)窗口對(duì)正常數(shù)據(jù)庫(kù)會(huì)話的行為簽名軌跡進(jìn)行掃描，可得到正常的系統(tǒng)資源訪問(wèn)短序列樣本，將這些樣本保存于正常樣本庫(kù)中。該庫(kù)中記錄最多條數(shù)為，其中為系統(tǒng)資源訪問(wèn)集。為系統(tǒng)資源訪問(wèn)類(lèi)型數(shù)目。實(shí)際應(yīng)用中可已將冗余記錄刪除，規(guī)模會(huì)小得多。

當(dāng)用長(zhǎng)度為6的滑動(dòng)窗口對(duì)惡意行為簽名進(jìn)行掃描時(shí)，會(huì)得到一組既有正常段序列又有異常短序列的系統(tǒng)資源訪問(wèn)短序列列表，由于惡意的非法行動(dòng)只占數(shù)據(jù)庫(kù)會(huì)話行為的小部分，故異常短序列只占全部數(shù)據(jù)庫(kù)會(huì)話行為簽名的很小部分。當(dāng)獲得惡意數(shù)據(jù)庫(kù)會(huì)話系統(tǒng)資源訪問(wèn)軌跡后，可將其中與正常樣本庫(kù)匹配的記錄刪除，對(duì)于不匹配的短序列，用哈明距離測(cè)量其與正常樣本的相似度。對(duì)于兩條短序列i和j，它們之間的哈明距離記為d(i,j)。對(duì)于，每一條新序列i，定義最短哈明距離為dmin(i)=min{d(i,j)}。dmin(i)的值表達(dá)了序列與正常模式的偏差程度。

最后，對(duì)于不匹配的序列i，根據(jù)dmin(i)與預(yù)定的閾值D進(jìn)行比較以判定其是否為異常，即若dmin(i)>=D，式中D為閾值，即認(rèn)為序列i為異常序列，據(jù)此可獲得異常短序列樣本集。

1.3 惡意行為檢測(cè)

本文采用的檢測(cè)是SVM主動(dòng)學(xué)習(xí)算法，SVM的最大特點(diǎn)是根據(jù)Vapnik結(jié)構(gòu)風(fēng)險(xiǎn)最小化原則，盡量提高學(xué)習(xí)的泛化能力，即由有限的訓(xùn)練樣本集得到小的誤差仍能保證對(duì)獨(dú)立的測(cè)試集保持小的誤差。

由于上述特征學(xué)習(xí)過(guò)程獲得的正常短序列樣本并不完備，導(dǎo)致在基于正常短序列上獲得的異常短序列樣本可能包含正常斷續(xù)里，使得SVM分類(lèi)器產(chǎn)生分類(lèi)錯(cuò)誤，所以引入檢測(cè)模塊，它使用下文提出的危險(xiǎn)程度來(lái)對(duì)惡意軟件進(jìn)行決策。

考慮到數(shù)據(jù)庫(kù)上不同的惡意行為對(duì)系統(tǒng)和用戶(hù)造成的損失是不同的，引入一個(gè)危險(xiǎn)系數(shù)(Risk Factor,RF)，RF用來(lái)對(duì)每一個(gè)惡意行為短序列賦予一個(gè)權(quán)值，基準(zhǔn)權(quán)值設(shè)為 1，如果這個(gè)行為對(duì)系統(tǒng)和用戶(hù)的安全威脅較大，則賦予一個(gè)大于1的RF。引入危險(xiǎn)程度(Risk Rank，RR)來(lái)作為衡量一個(gè)軟件是否為惡意軟件的定量標(biāo)識(shí)，RR定義如下。

設(shè)定一個(gè)惡意軟件檢測(cè)閾值D，該值由實(shí)驗(yàn)結(jié)果決定，我們的實(shí)驗(yàn)結(jié)果表明D取值17時(shí)檢測(cè)器檢測(cè)效果較好。當(dāng)計(jì)算所得的最終RR大于D則認(rèn)定此軟件為惡意軟件。系統(tǒng)將此惡意行為按上文提出的數(shù)據(jù)庫(kù)會(huì)話行為簽名算法和惡意特征學(xué)習(xí)算法進(jìn)行特征學(xué)習(xí)，并將學(xué)習(xí)到的特征擴(kuò)充進(jìn)惡意短序列特征庫(kù)，從而可以在運(yùn)行中不斷增強(qiáng)此檢測(cè)系統(tǒng)的檢測(cè)能力。

2 測(cè)試與評(píng)價(jià)

2.1 評(píng)價(jià)標(biāo)準(zhǔn)

評(píng)價(jià)一個(gè)數(shù)據(jù)庫(kù)惡意行為檢測(cè)方法的優(yōu)劣主要有三個(gè)要素：檢測(cè)率、誤報(bào)率和漏報(bào)率。

除了上述的三個(gè)參數(shù)外，處理能力，容錯(cuò)性和對(duì)原系統(tǒng)運(yùn)行性能的影響、對(duì)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)的兼容性也可用來(lái)評(píng)價(jià)一個(gè)數(shù)據(jù)庫(kù)惡意行為檢測(cè)系統(tǒng)。

2.2 實(shí)驗(yàn)設(shè)置

本文依據(jù)提出的檢測(cè)方法在開(kāi)源的MySQL數(shù)據(jù)庫(kù)上實(shí)現(xiàn)了一個(gè)惡意行為檢測(cè)原型系統(tǒng)。實(shí)驗(yàn)系統(tǒng)使用Ubuntu10.04操作系統(tǒng)，MySQL使用 5.0.19版本源代碼。實(shí)驗(yàn)設(shè)置了兩種類(lèi)型的攻擊場(chǎng)景，分別為：

(1) 合法用戶(hù)攻擊：合法授權(quán)用戶(hù)繞過(guò)安全機(jī)制，訪問(wèn)安全機(jī)制不允許訪問(wèn)的數(shù)據(jù)庫(kù)對(duì)象或有訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象的權(quán)限，但執(zhí)行了未授權(quán)的操作。

(2) 偽裝攻擊：通過(guò)合法的登錄過(guò)程進(jìn)入數(shù)據(jù)庫(kù)，而使用系統(tǒng)的方式異常。

另外還在惡意行為檢測(cè)系統(tǒng)工作過(guò)程中，對(duì)數(shù)據(jù)庫(kù)進(jìn)行了TPC-C測(cè)試來(lái)衡量惡意行為檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)性能的影響。

2.3 測(cè)試實(shí)施

攻擊測(cè)試時(shí)對(duì)每種場(chǎng)景分別產(chǎn)生100次正常行為和100次惡意行為，統(tǒng)計(jì)惡意行為檢測(cè)系統(tǒng)的檢測(cè)結(jié)果如圖1所示。

從圖1中可以看出，對(duì)合法用戶(hù)的攻擊的檢測(cè)率較高，都在82%以上，對(duì)偽裝攻擊的檢測(cè)率在70%以上。就漏報(bào)率來(lái)說(shuō)，對(duì)合法用戶(hù)的攻擊的漏報(bào)率較低，對(duì)偽裝的漏報(bào)率較高。對(duì)兩種攻擊行為的誤報(bào)率都在15%以下?？偟膩?lái)說(shuō)，對(duì)合法用戶(hù)的攻擊檢測(cè)效果較好。

圖1 攻擊測(cè)試結(jié)果曲線圖

3 結(jié)論及展望

本文基于機(jī)器學(xué)習(xí)中的主動(dòng)學(xué)習(xí)原理，設(shè)計(jì)了一個(gè)數(shù)據(jù)庫(kù)惡意行為檢測(cè)模型，并依據(jù)模型實(shí)現(xiàn)了一個(gè)原型系統(tǒng)。實(shí)驗(yàn)表明，原型系統(tǒng)能對(duì)合法用戶(hù)攻擊和偽裝攻擊進(jìn)行較好的檢測(cè)。目前系統(tǒng)尚不支持非開(kāi)源數(shù)據(jù)庫(kù)管理系統(tǒng)的惡意行為檢測(cè)，后期工作可考慮分析Oracle、SQL Server等商業(yè)數(shù)據(jù)庫(kù)的審計(jì)日志，利用審計(jì)日志，使用本文提出的方法進(jìn)行惡意行為檢測(cè)。

[1] 鐘勇,秦小麟.數(shù)據(jù)庫(kù)入侵檢測(cè)綜述.計(jì)算機(jī)科學(xué).2004.

[2] Jerne N K. Towards a Network Theory of the Immune System 1974,Annual Immunology, vol.125c.

[3] S.Forrest,A S Perelson,R Cherukuri. Self-Nonself Discrimination in a Computater.1994.5.Proceeding of IEEE Symposium on Research in Security and Privacy.

[4] Steven A. Hofmeyr amd S.Forrest Architecture for an Artificial Immune System 2000.Journal of Evolutionary Computation.

[5] 趙敏,王紅偉.AIB-DBIDM:一種基于人工免疫的數(shù)據(jù)庫(kù)入侵檢測(cè)模型.計(jì)算機(jī)研究與發(fā)展.2009.