![[工學]畢業(yè)翻譯電信計算機_第1頁](http://file3.renrendoc.com/fileroot_temp3/2022-2/5/c852fb41-b1bd-4598-bf44-59ed02d54405/c852fb41-b1bd-4598-bf44-59ed02d544051.gif)
![[工學]畢業(yè)翻譯電信計算機_第2頁](http://file3.renrendoc.com/fileroot_temp3/2022-2/5/c852fb41-b1bd-4598-bf44-59ed02d54405/c852fb41-b1bd-4598-bf44-59ed02d544052.gif)
![[工學]畢業(yè)翻譯電信計算機_第3頁](http://file3.renrendoc.com/fileroot_temp3/2022-2/5/c852fb41-b1bd-4598-bf44-59ed02d54405/c852fb41-b1bd-4598-bf44-59ed02d544053.gif)
![[工學]畢業(yè)翻譯電信計算機_第4頁](http://file3.renrendoc.com/fileroot_temp3/2022-2/5/c852fb41-b1bd-4598-bf44-59ed02d54405/c852fb41-b1bd-4598-bf44-59ed02d544054.gif)
![[工學]畢業(yè)翻譯電信計算機_第5頁](http://file3.renrendoc.com/fileroot_temp3/2022-2/5/c852fb41-b1bd-4598-bf44-59ed02d54405/c852fb41-b1bd-4598-bf44-59ed02d544055.gif)
版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、武漢科技大學本科畢業(yè)設計外文翻譯本科畢業(yè)設計外文翻譯外文譯文題目(中文) :系綜:以社區(qū)為基礎的流行應用程序的異常檢測學 院:信息科學與工程學院專 業(yè):電子信息工程學 號:200904135138學生姓名:陳杰指導教師:陳建良日 期:2013-5-81Ensemble:Community-Based Anomaly Detection for Popular ApplicationsFeng Qian, Zhiyun Qian, Z. Morley Mao, and Atul PrakashUniversity of Michigan, Ann Arbor MI 48109, USARobus
2、tNet Research Group系綜:以社區(qū)為基礎的流行應用程序的異常檢測馮倩,錢志云,Z.莫利毛,阿圖爾·普拉卡什 密西根大學安娜堡分校(密歇根州 48109),美國樂百氏網研究小組系綜:以社區(qū)為基礎的流行應用程序的異常檢測摘要:保衛(wèi)終端用戶系統(tǒng)的一個重大的挑戰(zhàn)是流行應用程序存在運行時被劫持的風險。由于傳統(tǒng)代碼本身是一成不變的并且局部異常探測器由于訓練數據不足難以調整為正確的閾值,傳統(tǒng)的措施很難阻止這些威脅??紤]到被攻擊目標的通常是受歡迎的進行交流溝通和社交網絡的應用程序,我們提出一個新穎的、自動化的方法,系綜,它是基于調用應用的本地的行為概要文件給一個全球概要文件合并引擎的
3、社區(qū)用戶信任的免費系統(tǒng)。這種信任可以被認為 存在于企業(yè)環(huán)境和可以進一步監(jiān)管聲譽系統(tǒng)中。例如,通過利用社交網絡中固有的信任關系。這些生成的全球配置文件可以被所有社區(qū)用戶用來對當地異常進行檢測和預防?;?7個惡意軟件的評價結果清楚說明系綜是一種能夠在企業(yè)環(huán)境中有效的防御約300或更多的用戶的技術。1 介紹由于多種多種原因終端用戶系統(tǒng)很難確保安全。他們是典型的非托管:用戶瘋狂的下載軟件、上網等等。在本文中,我們主要講解受歡迎的應用程序在運行時被劫持攻擊的防御。在過去,這些劫持已經導致了廣泛的攻擊,如Skype的蠕蟲通過使用Skype和緩沖區(qū)溢出在Outlook電子郵件客戶端傳播執(zhí)行任意代碼。傳統(tǒng)的
4、措施,例如殺毒掃描器,不能阻止這些威脅,因為應用程序代碼本身是未修改的。以前的工作表明,系統(tǒng)調用層次剖析可能有助于檢測這樣的攻擊,但一個重要的障礙是早期缺乏足夠的訓練數據,確保低誤判率。在本文中,我們提出一種新的無監(jiān)督整體異常檢測方法,基于的理念是一個值得信賴的社區(qū)的用戶貢獻本地應用程序配置文件給一個共同的合并引擎系統(tǒng)調用。全球概要文件可以用來在每一臺終端主機上的應用程序行為中進行實時異常檢測或防御。這種方法的承諾是,它有助于克服在每個主機上缺乏足夠的訓練數據問題,很大程度上的可以實現自動化。面臨的挑戰(zhàn)是要制定這樣一個的系統(tǒng)效率,克服在概要文件由于如安裝目錄或硬件的變化因素形成的分歧并確定適當
5、的信息收集在概要文件。潛在的假設集合是,隨著數量的本地配置文件增加,全球總體輪廓往往收斂,從而揭示了正常行為的目標應用程序。盡管我們確定在部分類型的應用程序會出現異常,但我們發(fā)現實驗中大多數應用程序滿足這個屬性。本文作以下方面的討論。處理執(zhí)行環(huán)境的多樣性?;谏鐓^(qū)的各種因素影響剖析,例如,同一個應用程序在不同的主機上可以安裝在不同的目錄中,在不同數量的內存中運行,甚至使用不同數量的cpu。所有這些因素都會導致在系統(tǒng)調用跟蹤他們的參數引起變化。我們確定類型的數據用于生成行為概要文件來處理這些變化,同時保持概要文件應用程序的緊湊和代表。社區(qū)規(guī)模和假陽性利率之間關系的分析。我們首先應用基于社區(qū)的異常
6、檢測到一個社區(qū)的12個用戶使用正常,干凈的即時消息應用程序。詳細的系統(tǒng)調用級別數據是在5個小時中抽取50分鐘的采樣數據,每一分鐘的采樣數據在局部剖面基礎上生成。我們發(fā)現,假陽性高費率將重點關注中,就像使用單一主機分析使用系統(tǒng)調用。一個試驗臺虛擬機被用于研究的影響擴大到一個更大的系統(tǒng)的用戶社區(qū)。我現發(fā)現,一般來說,技術會變得更加有效和適合更大的社區(qū)。在觀察在達到大約300用戶后我們發(fā)現誤判率顯著減少。技術通過分析應用程序生成分享總匯數據來減少數據傳輸。我們發(fā)現當每個主機收集詳細的系統(tǒng)調用級數據提供給局部分析時,它只需要發(fā)送一個適度的本地配置文件數據/應用程序(大約4 - 5 KB /秒)到一個共
7、同的服務器來創(chuàng)建社區(qū)的文件。一個通用的接口。我們的系統(tǒng)提供了一個有用的抽象接口來使得任何目標應用程序得到保護。多個應用程序可以訂閱系綜服務。在Windows中的系綜是目前在用戶空間實現。我們采用迂回庫27微軟研究院攔截系統(tǒng)調用為目標的應用。為提高效率,討論§4.2,系綜可以作為一個服務的操作系統(tǒng)的內核來實現。接下來的文章組織如下:§2概述相關工作;§3描述了整體模型的系綜;§4實現我們的細節(jié);和§5評估系統(tǒng)實驗。最后,§6結束前的討論局限性§7結束。2 相關工作我們的工作,提高現有的工作,在異常檢測領域的探索以社區(qū)為基礎的分
8、析,生成詳細的運行時行為的適用性在系統(tǒng)調用級別的應用程序的配置文件。下面我們將重點介紹一些相關的在惡意軟件檢測和遏制方法。異常檢測。第一個研究應用程序異常檢測是福里斯特等。他們多次執(zhí)行一個程序用不同的輸入來收集系統(tǒng)調用序列,然后使用這些形成基線行為的程序。任何重大偏離基線被認為是一個異常。許多后續(xù)的研究包括機如隱馬爾可夫模型和神經網絡的學習技術。后來的研究研究納入的系統(tǒng)調用參數,調用堆棧信息。生成通用模型從不同的運行是一個比較復雜的問題。在Ballardie和crowroft探索幾種典型模型,包括基于頻率的數據挖掘模型的方法,和一個有限狀態(tài)機的方法。所有以上方法能承受高的假陽性率。他的數據收集
9、過程通常是手動或可能需要很長時間才能覆蓋大多數正常的行為。如果應用程序的正常行為并不充分捕獲的,未被注意的正常行為是可能的錯誤歸類為不正常。雖然更好的機器學習算法,可以幫助解決一個很難獲得足夠的訓練數據去捕捉到全面的應用的行為而使這些計劃的實際根本的問題。我們的工作是建立在上述系統(tǒng)中的方法。主要的貢獻是要表明,如果廣大的用戶群體分享他們的培訓與IDS的數據在細粒級,行為可以生成更完整的配置文件和準確的本地配置文件。我們在社區(qū)環(huán)境延長審查技術的其中一個挑戰(zhàn)不只是投入問題,而且經營軟件的環(huán)境可以是不同的。在我們的實驗中,我們允許應用程序被安裝在不同的硬件配置各種系統(tǒng)隨機目錄和不同工作負載施加的其他
10、應用程序。我們結合配置文件來處理可能的變化擴展現有的算法。以社區(qū)為基礎的系統(tǒng)。“應用社區(qū)”這個概念的提出了通過生成適當的配置補丁和過濾器對于協(xié)同診斷和應對攻擊。系統(tǒng)目標是生成一個會提供對基層社區(qū)適用情況來預測即將到來的攻擊意識。不過,這并不專注于在我們的工作中檢測異常來幫助防止攻擊。一個類似“協(xié)作學習為安全”的概念應用于自動生成的一個問題軟件補丁而不影響應用程序的功能。然而,探測器使用的是靜態(tài)的探測器沒有訓練的方式,以及社區(qū)利用僅限于收集詳細的執(zhí)行限制在二進制,分布生成的補丁,并讓用戶社區(qū)評估他們。像賽門鐵克,微軟和谷歌這些公司還利用基于用戶識別惡意軟件程序或垃圾郵件反饋意見為概念社區(qū)提供幫助
11、。治安維持會成員和清潔工試圖通過自動檢測利用控制互聯網蠕蟲。都允許一個用戶在社區(qū)分享他們的抗體,預防和制止未來互聯網蠕蟲的攻擊。在其他應用程序上下文,社區(qū)的概念也會被探索。同行壓力利用通過假設大多數用戶在社區(qū)有正確的配置它來自動檢測和排除錯誤配置。伽馬系統(tǒng)提出了把監(jiān)控任務在社區(qū)用戶,使最小程度的程序分析和軟件進化。同樣,合作社問題隔離利用社區(qū)去做基于由社區(qū)用戶反饋數據自動生成的“統(tǒng)計調試”。與上面的身體工作相比,我們在更細粒度級別的社區(qū)的工作檢查的有效性的概念應用。而不是僅僅相結合進位反饋或簽名的蠕蟲病毒,我們整合了運行時的行為概況,包括整個社區(qū)的系統(tǒng)調用和相關參數,應用異構的用戶。這允許我們
12、增加額外的軟件應用程序類的異常檢測?;诤灻姆啦《拒浖T谶@種方法中,用戶通常使用一個已知的攻擊特征數據庫,導致誤報的優(yōu)勢可以忽略不計。不幸的是,很難保持簽名覆蓋新的襲擊。一項由Oberheide 等公司的調查發(fā)現商業(yè)殺毒軟件在過去一年攻擊發(fā)生檢測率只在54.9%至86.6%不等的范圍內。更重要的是,殺毒軟件對最近的惡意軟件樣本檢測率明顯較為貧窮。這意味著基于異常檢測仍然是不可或缺的。基于行為的入侵檢測系統(tǒng)(IDS)。這些系統(tǒng)在其運行時依賴于預定義的規(guī)則來檢測異常行為。他們可以更好的檢測試圖逃避基于代碼簽名的零時差攻擊。但是,獲得正確的規(guī)則是很困難的,因此規(guī)則往往是相對粗粒度。例如,在默認情
13、況下,McAfee病毒掃描企業(yè)8.5i版訪問保護規(guī)則塊出站端口25過濾惡意電子郵件程序。然而,為了獲得正常的電子郵件應用程序,42個流行的電子郵件客戶端,如Outlook.exe和thunderbird.exe,可豁免。請注意這些應用程序往往是那些刻錄軟件。3 方法 在本節(jié)中,我們首先提出高層次的樂團中所使用的方法,然后解釋詳細在§3.1 到§3.3中.整體的目標是檢測應用程序行為,尤其是零時差攻擊造成的。作為起始點我們的方法,我們?yōu)槊總€應用程序實例生成一個本地配置文件。配置文件是一個目標應用程序的總結單獨進程間通信其行為,可能導致在(變化,生存在重新啟動后)的文件系統(tǒng),注
14、冊表,網絡和其他系統(tǒng)設置持續(xù)變化。他們是從系統(tǒng)調用的痕跡中抽象出來的。據統(tǒng)計,它可以被看作是在樣本空間包含目標應用程序的行為的所有可能的狀態(tài)變化的代表數據點。我們的想法是,大量的社區(qū)用戶本地配置文件應用程序的定期聚集成一個作為基線來描述應用程序正常行為的全球的資料的中央服務器。全球剖面作為分類器把收集到的本地配置文件作為訓練數據來識別異常。我們隨著全球概要不斷地監(jiān)控應用程序的行為檢測和防止入侵。應用程序將要執(zhí)行不符合全球概要的操作時報警就會觸發(fā)。可以提醒用戶或配置系統(tǒng)來直接阻止操作。接下來我們探討我們的方法面臨的幾個重要挑戰(zhàn)。3.1 配置生成本地配置文件。本地配置文件是來自原始系統(tǒng)的調用跟蹤。
15、在Windows中,系統(tǒng)調用是非法,因此我們使用Windows API調用在我們的原型。為簡單起見,我們忽略一組API不修改主機文件系統(tǒng)或網絡狀態(tài),如圖形和用戶接口API,它不太可能濫用或者甚至認為在濫用我們監(jiān)控的其他API中是可見的。與此同時,我們只專注于業(yè)務目標應用程序為特定的應用程序給定的執(zhí)行概要文件,除了流程依賴關系,如下面所討論的。全局配置文件。全球的資料是從多個本地配置文件提取精煉出來的。我們?yōu)閍pi在功能方面(過程依賴、文件訪問,網絡訪問等)開發(fā)了一個分類法。對于每個類別,對應的記錄在本地配置文件聚合的關鍵屬性(表1)。一個例子的聚合文件訪問類別顯示在表2。它是通過相關的多個AP
16、I調用合成。直接依賴,比如一個叉依賴,沒有發(fā)生一個中介。它可以從一個單一的API調用推斷出。3.2 環(huán)境多樣性的挑戰(zhàn)對于分類除了流程依賴關系外,表2中簡化方法有一定的局限性。例如,對于一個文字處理器,不同的用戶編輯不同的文件,然而如果天真地使用文件名作為關鍵屬性,檔案存取類別不可聚會的。同樣,一個P2P客戶端可能跟隨機IP地址,導致聚合在全局配置文件是一組用的很少的事件的IP地址。我們應用兩種方法來解決這一挑戰(zhàn)。第一種,我們使用預定義的規(guī)則規(guī)范化路徑和文件名。例如,c:Documents and SettingsAlicea.dat is normalized to USER-DOCa.dat
17、.這也有助于保護社區(qū)用戶的隱私。第二種,我們的主要解決方案是堆棧簽名,它描述了堆棧調用每個API線程的歷史。該方法的核心是相同的功能的程序的“隨機事件”,如在Skype中發(fā)送消息或制作一個VoIP呼叫,應該被關聯到一個固定可以調用堆棧的執(zhí)行路徑。基于這樣的假設,我們介紹堆棧簽名,一個緊湊版本的調用堆棧。一個堆棧簽名是由所有當前線程的迭代計算和他們的返回地址進行異或運算的堆棧幀。對于遞歸調用,多次發(fā)生返回地址被算為一次。在全球的資料文件,堆棧之間的關系和對象(如簽名、文件名和IP地址),其特征是一個加權偶圖,其頂點分為兩個不相交的集X和Y,其中X是套堆棧簽名和Y是一組對象。有一條邊e:x ye
18、當x X和yY,當且僅當一個事件訪問對象y有堆棧簽名x在至少一個當地的形象。每個元素在X,Y和E的權值,表明其在當地檔案發(fā)生頻率的數量。除了流程依賴關系是相當穩(wěn)定的,我們?yōu)樗衅渌悇e介紹堆棧簽名和使用由兩部分構成的圖形作為其數據抽象。我們看到很多這樣的例子在我們的實驗。例如,在堆棧x61ae46f8,QQ,一個即時消息應用程序,從至少64個不同的服務器可以通過端口8000接收數據,如121.14 . *.*,219.133 . *.*,58.61 . *.*。所有服務器都發(fā)現在QQ總部所在地的中國廣東。接收的數據的大小一直是一個10240字節(jié)的倍數。3.3 異常檢測作為開頭提到的這部分,系綜
19、客戶定期把全球概要文件從服務器。異常檢測和預防的不斷進行。每個操作之前執(zhí)行監(jiān)控系綜,API調用被攔截,并與全球概要文件使用以下比較算法。(1)基于閾值過程的依賴異常檢測如果一個過程依賴D檢測(如一個叉或文件依賴),我們找到它的頻率f(D)=#本地配置文件包含D #本地配置文件。在全球的資料文件中,如果f(D)< thPD,thPD是一個閾值,那么D被視為異常。(2)堆棧特征分析如果操作執(zhí)行的目標程序不屬于在表1其他類別,那么它的棧簽名的計算,其對象x是計算,y是識別,和e:xy是與在全局配置文件的偶圖BG = XG,YG 匹配的。讓e和x的頻率在BG分別為f(e)和f(x)。(即,f(e
20、)= #本地配置文件包含e #本地配置文件)。我們還將介紹閾值the,thx 和degx.。我們確定e是一個異常的行動由幾個測試尋找可預測的關系的對象訪問棧簽名。4 實現我們的系綜的架構原型如圖4所示。它是通過使用不斷更新全球概要文件和生成的本地配置文件來設計執(zhí)行網絡異常檢測?,F有的工作主要是在Linux環(huán)境的評估,然而我們的系統(tǒng)是要在微軟Windows XP系統(tǒng)這一更常見的攻擊目標上實現的。我們會使用約10000行C + +代碼來實現原型。在我們的設計中,為代表的當地概況,我們最初試圖利用系統(tǒng)調用序列(n元語法之前建議,由于其聲稱有效性和簡單性。然而,我們發(fā)現,語法已經驚人地低為Window
21、s API序列收斂速度方面獲得應用程序的正常行為模式,很可能因為一個比在Linux更大的樣本空間(Windows API的數量是Linux系統(tǒng)調用的6倍數量)實現系綜。我們估計有兩個原因造成這樣大的差異:其一,有明顯差異Unix / Linux系統(tǒng)調用和Windows api;其二,現代應用程序變得越來越復雜。系統(tǒng)調用可能是太找到粒度表征程序行為。注意,很多研究人員對病毒或惡意軟件應用n元算法,其二進制大小遠低于合法應用程序。因此,我們采取了§3.1中描述基于頻率的有一個更快的收斂行為的簡單模型。4.1 生成配置文件和異常檢測我們使用迂回庫監(jiān)控和記錄106編程接口調用相關文件系統(tǒng)、注
22、冊表、文件映射、消息、線、過程、網絡、管、鉤、剪貼板、系統(tǒng)時間、DNS、處理管理和用戶帳戶管理,其中大部分是Windows特定的。我們所掌握的最好知識,他們覆蓋大多數可以導致進程間通信的編程接口,或導致持久文件系統(tǒng)、注冊表、網絡和其他系統(tǒng)設置的變更。注意,新的編程接口加入框架是相當容易的。我們在Windows調試庫中使用StackWalk64函數生成堆棧簽名??紤]到原始API跟蹤及其堆棧簽名,生成在§3.1(對于流程依賴關系)和§3.2(對于其他類別)中所述的本地配置文件。我們實現了七類配置文件。(1)流程依賴關系型,(2)文件訪問型,(3)目錄索引型,(4)目錄訪問注冊表
23、訪問型,(5)網絡連接型,(6)DNS型,(7)IP前綴訪問型。我們處理4類型的直接過程依賴關系:發(fā)送信息,設置鉤,創(chuàng)建/終止/中止進程(線程)和寫/讀/分配/ 釋放進程內存,以及8種間接依賴關系:文件、注冊表、文件映射、網絡、命名管道、匿名管道、系統(tǒng)時間和剪貼板。API是平凡地通過翻譯API參數轉換到其他類別(例如痕跡、文件訪問、網絡訪問)的。全球概要文件經過對各種本地配置文件分組生成。除了由如表2(b)代表的流程依賴關系,其他類別使用由兩部分構成的圖表(堆棧簽名對象名稱)作為代表。我們在§3.3描述的異常檢測算法是非常有效的。4.2 操作模型最后,我們提供了一個概述的系綜的操作模
24、型。在每個客戶端,總體運行作為一個系統(tǒng)服務和目標應用程序是透明的。驗證碼是用來防止機器人篡改系綜當訂閱或取消訂閱服務的。當應用程序正在運行,總體抽樣模塊定期記錄它的API調用堆棧簽名并生成與本地配置文件(如,每3個小時,利用API調用痕跡的一分鐘抽樣生成一個本地配置文件)。整體通信模塊定期提交本地配置文件到服務器,同時從中提取全球概要文件。系綜異常檢測模塊保持監(jiān)控目標應用程序的API調用并將他們與全球概要進行匹配。如果警報被觸發(fā),所請求的操作會被拒絕,否則決定權留給用戶自己。最初我們的異常檢測是抽樣的:當地一個概要文件生成定期并與全球概要文件比較。然后我們發(fā)現,即使是不斷進行異常檢測,額外的開
25、銷也是可以接受的(小于2%),因為在大多數情況下,應用程序的API調用不調用“叢發(fā)性”的方式。系綜服務可以大規(guī)模進行維護(如通過應用程序供應商),或小范圍的維護(如在企業(yè)網絡)。其任務包括收集本地配置文件,生成全局配置文件和其他管理功能。理想情況下,每個版本的應用程序應該有自己的全球形象。對于特定的應用程序,一個全局配置文件也可以描述幾個有輕微差異的版本。4.3 原型的限制我們目前的原型具有不是基本為我們的設計以下限制。在客戶端,采樣模塊是使用第三方庫在用戶級別實現。對于未來的工作,我們計劃將整個系統(tǒng)嵌入Windows內核。在服務器端,為防止污染的全球配置文件,我們將調查建立在社區(qū)用戶之間的信
26、任之上的聲譽系統(tǒng)的使用。目前,我們設想我們的的系統(tǒng),主要被部署在企業(yè)環(huán)境中,而在那里信任可以被假定。最新款Windows Vista的采用了地址空間負載隨機化的(ASLR)技術,這妨礙了棧的簽名功能。 我們可以通過使用從模塊的起始地址相對偏移的返回地址連同模塊簽名解決這個問題。5 評價和實驗在本節(jié)中,我們系統(tǒng)地評估系綜。首先,我們描述一個小規(guī)模部署為一個社區(qū)的12個用戶(§5.1)?;谪撁娼Y果由于尺寸受限制的社區(qū),我們介紹我們的試驗臺和用于實驗的目標應用程序(§5.2),然后分析生成的本地配置文件(§5.3)和由此產生的全球配置文件(§5.4)。接下來
27、,我們測量假陽性(§5.5)最后我們提出我們的系統(tǒng)的性能評價(§5.6)。5.1 小型真正的部署我們部署的系綜在12個真實用戶中,使用Windows Live Messenger(MSN)為目標應用程序。所有用戶用不同的軟件和硬件配置在使用Win XP SP2。在實驗前,我們手動升級他們的MSN到同一版本(版本號:2008Bulid 8.5.1302.1018),并確保無病毒的系統(tǒng)。用戶不熟悉技術細節(jié)的系綜,并被告知需要像往常一樣使用MSN。對于每個用戶,在一個5小時的時間內,我們收集了50個API調用的痕跡,每一次持續(xù)1分鐘。我們使用此數據集評估假陽性。我們曾經在600條
28、痕跡中用5倍交叉驗證評估假陽性。在每個追蹤測試組,如果任何API調用觸發(fā)一場虛驚,那么當地的形象被算作一個假陽性。當參數為§3.3中值,實證性地設置the = 1%,thx = 1%,degx = 10,winSize = 4 kb(我們嘗試了不同的參數,例如< 2%,thx < 2%,degx < 20),并得到了類似的結果。我們發(fā)現假陽性利率過高將難以被接受(大于30%的文件訪問和注冊表訪問)。原因是12個用戶并不足以形成一個社區(qū),覆蓋不同應用程序的行為。5.2 實驗基礎設施未了測試在一個更大的社區(qū)中的影響,我們創(chuàng)建了一個自動化測試平臺來模擬一個社區(qū)環(huán)境。想法很
29、簡單:目標應用程序執(zhí)行多次在試驗臺。在每次執(zhí)行時,當地的一個概要文件創(chuàng)建和美聯儲全球概要發(fā)生器,仿佛這是一個真實的社區(qū)提交的用戶。然后我們使用全局配置文件來對正常和異常行為進行測試并評估假陽性和否定。我們的試驗臺有兩個設計目標。多樣化的用戶行為。隨機用戶行為是注射在每個試驗中。分布的隨機性應該大致符合一個真正的社區(qū)。多樣化的系統(tǒng)環(huán)境。在每個試驗中,系統(tǒng)環(huán)境也應該用不同硬件和軟件來模擬一個真實的社區(qū)變化。例如,一個VoIP客戶可能根據可用的網絡帶寬調整其語音編碼策略,導致產生不同的本地配置文件。我們手動創(chuàng)建一個有限狀態(tài)機(FSM)為每個目標應用程從一個終端用戶的角度序來描述它的大部分主要功能。有
30、限狀態(tài)機(FSM)可以產生在一個更加自動化的時尚結合用戶跟蹤和添加一些擾動包括額外的使用行為。盡管手動工作,有限狀態(tài)機(FSM)是基于理解應用程序的使用的代表,甚至近似可以幫助對于一個給定的應用程序產生更多樣化的使用場景。圖5是一個簡化的FSM的MSN。在每一個自動執(zhí)行中,試驗臺基于馬爾可夫鏈模型進行部分迭代FSM,它描述了流行的應用程序的不同功能。每個狀態(tài)轉換SxSy在FSM代表一個用戶操作。權值e是給定當前狀態(tài)是Sx,指示下一個狀態(tài)是Sy的概率。例如,在圖5中,“登錄”是用戶啟動應用程序的初始狀態(tài)。用戶成功登錄(101 + 2 + 10 = 77%)的概率遠高于用戶輸入一個無效ID或密碼(
31、8%)的概率。這個試驗臺不僅隨機選擇了行動,同時也執(zhí)行了一些隨機性操作。例如,它可以在一個即時通訊的,選擇一個隨機的用戶,和他/她聊天通過隨機短信、情感圖標,手寫字或Flash使眼色。在另一個例子,“電話行動”在Skype中從我們收集到的3000免費電話號碼進行撥一個號碼。圖5是一個簡化的有限狀態(tài)機的MSN。邊緣上的標簽顯示狀態(tài)轉移概率。我們承認我們的方法包含主觀元素和因此可能不完全模擬一個社區(qū)環(huán)境。然而,一個社區(qū)本身是一套主觀用戶,并傾向于隨時變化。同時,我們將在§5.3展示用戶的行為的重尾分布的模擬,這是通常情況下在一個真正的社區(qū)。應對系統(tǒng)環(huán)境隨機性,試驗臺為每個實驗自動變化的硬
32、件/軟件配置。為便于管理,所有的實驗是在虛擬機(VMware 6.0.2)進行的。不同的配置包括內存、處理器數量安裝軟件,現有的運行過程、系統(tǒng)負載、防火墻設置,系統(tǒng)時間、網絡帶寬、DNS服務器等等。FSM的試驗臺包括一個腳本解析器,一個行動執(zhí)行人,負責維護狀態(tài)同步和發(fā)送鼠標/鍵盤輸入到目標應用程序,配置機械手,改變系統(tǒng)環(huán)境和傳播者,與系綜的內核。這個試驗臺是建立在使用約3000行C + +代碼的基礎上的。我們在微軟Windows XP SP2上選擇了四個應用程序作為我們最初的目標應用程序:skype (39版);Windows Live Messenger(MSN) (2008b
33、ulid8.5.1302.1018版);Tecnet QQ(2007 Beta 4,7.0.374.204版),一個在中國通常的超過3000萬在線用戶的ICQ客戶端;Serv-U(版),一個貿易FTP服務器。這些應用程序被選中是因為他們過去的聲望和他們被瞄準攻擊的歷史。5.3 本地配置文件表3顯示了本地配置文件的數量、取樣時間和API記錄的每個目標應用程序的本地配置文件的大小。采樣時間設置為符合高斯分布。抽樣過程無論是在應用程序啟動或啟動之后一,又或是在應用程序終止之前或已經停止都可以開始。整個收集當地檔案持續(xù)了一個星期。如前所述,我們在每個試驗中模擬不同社區(qū)的用戶行為而創(chuàng)建了隨
34、機性。因此每個用戶可能探索的不同子集的應用程序功能。圖6為Skype,MSN和QQ說明了FSM的分布模式。一個模式在一個試驗定義了狀態(tài)迭代的測試平臺。如果有n可能狀態(tài)在有限狀態(tài)機(FSM),然后有2 n1可能的模式(0,0,0,1),(1,1,1,1)。對于模式(a1,a2,an),ai = 1的狀態(tài)下,i-th 在一個試驗中至少被訪問一次。從我們的試驗臺產生圖6展示的重尾分布的用戶行為多樣性,以及大多數用戶的相似行為。雖然這可能不是完全匹配實際的用戶行為,但我們相信只要我們的方法添加足夠的隨機性就可以密切近似一般用戶活動。5.4 全球概要文件表4展示了統(tǒng)計的全球配置文件。表中的數字是數量的流
35、程依賴關系,對于其他類別,邊數在雙邊的圖表中。這個過程依賴類別的QQ,MSN和 Skype分別如圖9(a)、10和11(a)。只有部分與實線代表觀察到的依賴關系。邊緣上的百分比表示其發(fā)生的頻率。由兩部分構成的圖形的大小通常是更大的。圖7顯示了由兩部分構成的圖的例子。對于每個子圖,上部X是套堆棧簽名;下部Y是一組由一個號碼(對象ID)對象(注冊表鍵,目錄名稱等等)。在方括號的數字是頻率。子圖(a)是一種常見的情況下,固定棧簽名訪問一個固定物體。例如,堆棧簽名0 x7bf74721總是讀3個注冊表鍵值:REGISTRYMACHINESOFTWAREClassesQQCPHelper.REGISTR
36、YMACHINESOFTWAREClassesCLSID23752AA7.REGISTRYMACHINESOFTWAREClassesCLSID23752AA7.子圖(b)演示了一個隨機事件的問題。對于每個試驗中,堆棧簽名1814742014(0 x6c2ac3fe)在REGISTRYMACHINESOFTWAREClassesCLSID 和REGISTRYMACHINESOFTWAREClassesTypeLib 下寫不同的注冊表鍵值。子圖(c)說明了如§3.3中堆棧簽名的輕微變動。我們子圖(c)可以觀察到兩個集群的堆棧簽名:4582218?,1819194?.兩個集群都訪問用戶c
37、ookie目錄USER-DOCcookies.圖7是一式兩份的圖的例子。從上到下:(a)注冊表寫QQ類(b)注冊表寫Skype類(c)目錄寫MSN類。5.5 假陽性我們在實際部署(§5.1)中使用相同的方法(5倍交叉驗證)和參數評估試驗臺的假陽性。在表5中,列“有限合伙人”表示本地配置文件在測試組的數量;列“最差”和“最佳”分別表明在10個獨立實驗(每個實驗有5個通行證)中最高和最低數量的假陽性(包含至少一個API調用觸發(fā)虛假報警痕跡)。表6提供了一個細粒度的假陽性測量。與上面類似,我們使用相同的參數重復了十次5倍交叉驗證和實驗。在表6中,列“Avg E”表示在測試組的API 調用平
38、均數量,送入系綜異常檢測模塊;列“最差”和“最佳”分別表示檢測出異常錯誤的API調用最高和最低數量。對于Skype和ServU,沒有假陽性被觀察到。對于MSN和QQ,盡管他們的細粒度的假陽性的注冊表讀取和連接類別小幅上漲,甚至當假陽性率收斂(如圖8),但誤檢測主要集中在本地配置文件(通過人工觀察發(fā)現,在這些地方生成配置文件期間,應用程序意外終止是非??赡艿?的幾個API調用。理想情況下,如果他們確實是應用程序的自然行為,然后隨著池的訓練數據規(guī)模越來越大,最初的“奇怪”的行為將變得正常,大尺寸的訓練數據實際上是一個社區(qū)的優(yōu)勢。當我們測試Skype,這是產生網絡相關行為假陽性利率(在表5和表6中兩
39、個類別的假陽性標記為“N / A”)。在手動檢查時,我們發(fā)現,從相關的api的網絡堆棧簽名幾乎均勻分布在整個地址空間,準確的說,“Avg E”是在偶圖中過程依賴的邊緣頻率或數量。根據我們的估計,Skype可能采用一些模糊技術來針對逆向工程保護他們的代碼??傊覀兿嘈?,假陽性的系綜是可以接受的。此外,我們使用在實際部署中的600 條API的調用痕跡對由試驗臺MSN生成的1298條本地文件生成獲得的全球概要文件進行測試。我們得到了0%假陽性的比率(過程依賴),6%(文件讀取),4%(文件寫),2%(目錄讀取),1%(目錄寫),11%(注冊表讀取),6%(注冊表寫),9%(連接)和3%(IP前綴)
40、,表5中使用的就是這些值。在手動檢查時,假陽性的主要原因是我們的FSM模型不完備,其中一些例如視頻聊天的軟件都沒有包括進去。我們也使用5倍交叉驗證測量了社區(qū)關系大小和假陽性率的關系,并給出了使用最壞的情況下的結果(在10個獨立實驗數量最多的假陽性)。如圖8所示的三個應用程序,從中可以明確的是,細粒度的假陽性率顯著增大,而且隨著越來越多的本地配置文件,并收斂于一個穩(wěn)定值(在本節(jié)前面我們討論了高誤報率的QQ和MSN)。一個真正的活躍的社區(qū)被認為是由網友上傳的具有更大數量級的本地配置文件,從而確保有較低的假陽性率。5.6 績效評估每個應用程序都有一組“正常行為”(真正的基線)。當探測器定義的正常行為
41、超越真實的基線(即過于寬泛)假陰性就可能發(fā)生,因為特性或方法不適當或者說模型并不足夠精確(即一個不完美的探測器)。幾乎所有實際的id,檢測或定義的正常行為是比真正的基線更廣泛的,因此允許模仿攻擊。這不只是我們探測器的問題,任何探測器都有。聚合過程不應該引入過多額外的通病。當地的概要文件的聚合多樣性有以下原因:(i)用戶隨機性。不同的用戶可以生成不同的配置文件,但他們大多屬于真正的基線假設概要文件是可信的(用戶隨機性可以視為在應用程序中使用不同的正常執(zhí)行路徑)。(ii)系統(tǒng)環(huán)境的隨機性。我們承認不同的系統(tǒng)環(huán)境可能有不同的組“正常行為”。然而,如果有的話,應該引入有限的通病。在最壞的情況下,我們可
42、以如§4.2中的不同操作系統(tǒng)和軟件版本分配單獨聚合/池。6 系綜的局限性我們發(fā)現系綜是解決使用運行時配置文件檢測代碼入侵和其他運行時異常的一種很有前途的方法,并且還能指出在未來需要解決的局限性。我們還發(fā)現,一些太復雜的應用程序會局限于使用有限的系統(tǒng)調用抽樣。我們的實驗表明復雜的插件啟用的應用程序會和原來的不一致,如IE插件可能以微軟Word來表現。額外的取樣和更大的社區(qū)可以幫助幫助改變這種情況。我們要在一個真正的社區(qū)對數以百計的用戶做整體評價。隱私問題必須解決,即便系統(tǒng)只對調用匯總數據與服務器交換。如果一個顯著部分社區(qū)的用戶安裝一個協(xié)調攻擊污染全球概要,可想而知,全球配置文件會被破壞
43、。在開放社區(qū),污染攻擊是可能的。在封閉的社區(qū),在企業(yè)環(huán)境中,這樣的攻擊是不太可能。不同的應用程序可能需要不同類型的分析。例如,如果一個應用程序在功能或故意隨機地址指令級別(例如,§5.5中網絡接入模塊中提到的Skype會混淆這種行為),那么堆棧簽名是無效的??梢蕴砑犹娲椒?如路徑分析,來處理這樣的應用程序。在我們的設計中,堆棧生成簽名的獨特的返回地址棧幀。碰撞的概率在32位操作系統(tǒng)是不容忽視的,但在64位的系統(tǒng)中卻變得越來越流行。6.1 通病每個應用程序都有一組“正常行為”(真正的基線)。當探測器定義正常行為超越真實的基線過多(即,過于寬泛);因為特性或方法不適當的或并不足夠精確的
44、模型(即,一個不完美的探測器),假陰性可能發(fā)生。然而,幾乎所有檢測或定義的正常行為是比真正的基線更廣泛的,從而允許模仿攻擊。不只是我們存在在聚合過程引入過多的附加的通病,任何探測器都存在這樣的問題??紤]當地的概要文件的聚合多樣性的原因有:(i)用戶隨機性。不同的用戶可以生成不同的配置文件,但他們大多屬于真正的基線假設概要文件是可信的(用戶隨機性可以視為有不同的正常執(zhí)行路徑)。(ii)系統(tǒng)環(huán)境的隨機性。我們承認不同的系統(tǒng)環(huán)境可能有不同的組“正常行為”。然而,這是在任何情況下都應該被限制的通病。在最壞的情況下,我們可以有單獨的、如§4.2上的不同操作系統(tǒng)和軟件版本的聚合池。6.2 模仿攻
45、擊一個完美的探測器不應該因為以偏概全而給模仿攻擊留下任何機會。注意,聚合過程是用于異常檢測的獨立的特性或方法。模仿攻擊的存在主要是由于受特征選擇和檢測技術的限制,而不是在于剖面聚合。我們的重點是要指出,我們如何能夠用一個合理的探測器減少假陽性而不是使功能豐富達到足以排除的模擬攻擊可能性的地步。7 結論我們已經描述了系綜,一個依靠用戶社區(qū)在流行應用程序上檢測或阻止異常的無監(jiān)督異常檢測和預防系統(tǒng)的設計。當地行為概要文件組合成一個全球配置文件,可以用來檢測或防止代碼注入或行為修改。系綜的主機只需要在運行時定期總結貢獻的配置文件數據(大約0.5 MB)。系綜闡述了從可能有不同操作環(huán)境的主機合并配置文件
46、的問題?;趯λ膫€候選應用程序的57次測試的評估,我們發(fā)現全球配置文件的質量和由此產生的假陽性率,會隨著社區(qū)大小增長到約300用戶而極大地提高了,這些正好證明,使用社區(qū)來自動生成行為概要文件而不需要手工操作是一個可行的方法,以及由此產生的行為概要文件對實時異常檢測和預防是有效的。Ensemble:Community-Based Anomaly Detection for Popular ApplicationsAbstract: A major challenge in securing end-user systems is the risk of popular applications
47、being hijacked at run-time. Traditional measures do not prevent such threats because the code itself is unmodified and local anomaly detectors are difficult to tune for correct thresholds due to insufficient training data. Given that the target of attackers are often popular applications for communi
48、cation and social networking, we propose Ensemble, a novel, automated approach based on a trusted community of users contributing system-call level local behavioral profiles of their applications to a global profile merging engine. The trust can be assumed in cases such as enterprise environments an
49、d can be further policed by reputation systems, e.g., by exploiting trust relationships inherently associated with social networks. The generated global profile can be used by all community users for local anomaly detection or prevention. Evaluation results based on a malware pool of 57 exploits dem
50、onstrate that Ensemble is an effective defense technique for communities of about 300 or more users as in enterprise environments.1 IntroductionEnd-user systems can be difficult to secure for a variety of reasons. They are typically unmanaged: users download software, browser bugs, etc. In this pape
51、r, we focus on defending against a class of attacks in which popular applications are hijacked at run-time. In the past, this has led to wide-spread attacks such as the Skype worm spread using Skype and buffer overflows in Outlook email clients to execute arbitrary code . Traditional measures, such
52、as anti-virus scanners 5, do not prevent such threats because the application code itself is unmodified. Prior work indicates that system-call level profiling 23,33,37 may help detect such attacks early but a significant barrier is a lack of sufficient training data to ensure low false positive rate
53、s.In this paper, we present Ensemble, a novel unsupervised anomaly detection approach based on the idea of a trusted community of users contributing system-call level local profiles of an application to a common merging engine. The merging engine generates a global profile that captures the possible
54、 space of normal run-time behaviors of an application. The global profile can be used to detect or prevent anomalies in application behavior at each end-host in real time. The promise of this approach is that it helps overcome the problem of a lack of sufficient training data at each host and can be
55、 largely automated. The challenges are making such a system efficient, overcoming the differences in profiles due to factors such as variations in installation directories or hardware, and identifying the appropriate information to collect in profiles.The underlying hypothesis of Ensemble is that, a
56、s the number of local profiles increases,the aggregate global profile tends to converge, thus revealing the normal behavior of the target application. Most applications in our experiments were found to satisfy this property, though we also identified types of applications that would be exceptions. T
57、his paper makes the following contributions.Handling diversity in execution environments. Various factors impact community based profiling, e.g., the same application at different hosts may be installed in different directories, run with different amount of memory, and use different number of CPUs.
58、All these can cause variations in the system call traces with their parameters. We determined the types of data to use for generating behavioral profiles to handle these variations, while keeping profiles compact and representative of the application.Analysis of the relationship between the communit
59、y size and false positive rates. We first applied community-based anomaly detection to a community of 12 users using a normal, clean instant messaging application. The detailed system-call level data were sampled for 50 minutes during 5 hours with each local profile generated based on one minute of sampled data. We found that high false positive rates to be of
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025至2030年中國航海休閑風衣數據監(jiān)測研究報告
- 2025至2030年中國自動數顯擱板式磨耗試驗機數據監(jiān)測研究報告
- 2025至2030年中國肉鴨飼料數據監(jiān)測研究報告
- 二零二五年度天津特色房屋租賃管理服務協(xié)議
- 二零二五年度子女自愿離婚協(xié)議書范本及法律援助服務
- 工程鉆機租賃合同范本
- 2025年度海鮮餐廳廚房幫工勞動合同
- 二零二五年度工廠場地租賃合同附節(jié)能減排及綠色生產協(xié)議
- 2025至2030年中國竹節(jié)紋革數據監(jiān)測研究報告
- 2025至2030年中國纖維渣粉數據監(jiān)測研究報告
- 杭州市淳安縣國有企業(yè)招聘筆試真題2024
- 安徽省蕪湖市2024-2025學年第一學期期末考試七年級語文試卷(含答案)
- 2024政府采購評審專家考試真題庫及答案
- 2024年花盆市場分析現狀
- 2025山東省退役軍人事務廳所屬事業(yè)單位招聘人員歷年高頻重點提升(共500題)附帶答案詳解
- 2024年社區(qū)工作者考試時事政治模擬題及答案
- 物業(yè)服務行業(yè)禮儀培訓
- 退市新規(guī)解讀-上海證券交易所、大同證券
- 教育部中國特色學徒制課題:現代職業(yè)教育體系建設背景下中國特色學徒制治理體系與資源配置研究
- 22陳涉世家 司馬遷 公開課一等獎創(chuàng)新教學設計 度部編版初中語文九年級下冊
- 《抗戰(zhàn)中的英雄人物》課件
評論
0/150
提交評論