巫冬

（四川職業(yè)技術(shù)學(xué)院 計算機(jī)科學(xué)系，四川 遂寧 629000）

0 引言

隨著Windows系統(tǒng)的不斷升級，對Windows系統(tǒng)的安全性提出了更高的要求。在分布式網(wǎng)絡(luò)組網(wǎng)模式下，Windows系統(tǒng)容易受到網(wǎng)絡(luò)攻擊，產(chǎn)生Windows系統(tǒng)漏洞。特別是在Windows系統(tǒng)漏洞提權(quán)攻擊下，Windows系統(tǒng)的安全性和穩(wěn)定性受到嚴(yán)重威脅，需要構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊檢測模型，分析Windows系統(tǒng)漏洞提權(quán)攻擊的狀態(tài)特征量，結(jié)合信息融合和大數(shù)據(jù)挖掘方法，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測。研究Windows系統(tǒng)漏洞提權(quán)攻擊的安全檢測方法，在提高Windows系統(tǒng)的穩(wěn)定性和安全性方面具有重要意義，相關(guān)的Windows系統(tǒng)漏洞提權(quán)攻擊檢測方法研究受到人們的極大關(guān)注[1]。

當(dāng)前，對Windows系統(tǒng)漏洞提權(quán)攻擊的檢測方法主要采用關(guān)聯(lián)規(guī)則檢測方法、統(tǒng)計分析方法以及模糊相關(guān)性檢測方法等[2,3]。建立Windows系統(tǒng)漏洞提權(quán)攻擊信號波束模型，采用模糊度特征分解方法，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測。文獻(xiàn)[4]中提出基于上下門限聯(lián)合判別的Windows系統(tǒng)漏洞提權(quán)攻擊檢測算法，以時間均值和譜密度為漏洞攻擊的特征量，對提取的特征量進(jìn)行信息融合和特征分解，實(shí)現(xiàn)漏洞提權(quán)攻擊信號檢測。但該方法進(jìn)行漏洞提權(quán)攻擊檢測的計算開銷較大，實(shí)時性不好。文獻(xiàn)[5]中提出基于模糊度特征分析的Windows系統(tǒng)漏洞提權(quán)攻擊檢測方法，通過模糊度特征分離和信號融合實(shí)現(xiàn)Windows系統(tǒng)漏洞提權(quán)攻擊檢測，但該方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測的輸出穩(wěn)定性不好，抗干擾能力不強(qiáng)。

針對上述問題，因?yàn)閃indows系統(tǒng)漏洞提權(quán)攻擊屬于隱性攻擊，檢測過程的干擾性較強(qiáng)，對此，本文提出基于模擬攻擊的Windows系統(tǒng)漏洞提權(quán)攻擊檢測方法。首先構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊的信號擬合模型。然后采用匹配濾波方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊模擬，在模擬攻擊下提取Windows系統(tǒng)的漏洞信息的參數(shù)融合模型，采用自適應(yīng)加權(quán)學(xué)習(xí)方法進(jìn)行Win‐dows系統(tǒng)的漏洞提權(quán)攻擊檢測的收斂性控制，實(shí)現(xiàn)攻擊檢測算法的優(yōu)化設(shè)計。最后進(jìn)行仿真測試分析，展示了本文方法在提高Windows系統(tǒng)的漏洞攻擊檢測能力方面的優(yōu)越性能。

1 Windows系統(tǒng)漏洞提權(quán)攻擊信號模型和特征提取

1.1 Windows系統(tǒng)漏洞提權(quán)攻擊信號模型

為了實(shí)現(xiàn)基于模擬攻擊的Windows系統(tǒng)漏洞提權(quán)攻擊檢測，需要首先構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊的信號擬合模型，結(jié)合極速學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊的特征提取。結(jié)合信號擬合加權(quán)方法[6]，建立Windows系統(tǒng)漏洞提權(quán)攻擊的特征序列{x(t1),…x(tn)}，采用信號擬合方法，建立Windows系統(tǒng)漏洞提權(quán)攻擊的參數(shù)辨識模型，得到辨識參數(shù)為：

對Windows系統(tǒng)的近鄰漏洞提權(quán)攻擊信號采用統(tǒng)計分析方法進(jìn)行特征分解，通過子空間降噪進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊信號的濾波檢測，降低攻擊檢測的抗干擾性[7]，得到匹配濾波檢測器為：

其中，x(s)為x(s)的復(fù)共軛。采用機(jī)器學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊信號的譜密度檢測，得到譜密度分布表示為：

采用高階信息統(tǒng)計特征檢測方法，建立Windows系統(tǒng)漏洞提權(quán)攻擊的信號加權(quán)模型[8]，得到信號加權(quán)輸出為：

Windows系統(tǒng)漏洞提權(quán)攻擊檢測的頻率標(biāo)準(zhǔn)差：

根據(jù)上述分析，采用信號擬合方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊模擬，根據(jù)模擬攻擊檢測結(jié)果進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測。

1.2 Windows系統(tǒng)漏洞提權(quán)攻擊特征提取

建立Windows系統(tǒng)漏洞提權(quán)攻擊的信號特征提取模型，根據(jù)Windows系統(tǒng)的漏洞提權(quán)攻擊特征提取結(jié)果[9]，得到輸出包絡(luò)特征為：

上式中，a(t)稱為Windows系統(tǒng)漏洞提權(quán)攻擊信號的z(t)瞬時幅度，φ(t)稱為Windows系統(tǒng)漏洞提權(quán)的瞬時相位。結(jié)合二乘規(guī)劃模型，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊的輸出參數(shù)融合，分析Windows系統(tǒng)漏洞提權(quán)攻擊的空間陣列[10]，采用波束形成方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊的波束表示如下：

對于漏洞提權(quán)攻擊信號s(t)，采用相關(guān)性檢測和統(tǒng)計特征分析方法[11]，得到Windows系統(tǒng)漏洞提權(quán)攻擊的特征分量為：

假設(shè)Windows系統(tǒng)漏洞提權(quán)攻擊的時間間隔為n∈[n1,n2]，結(jié)合模擬攻擊方法，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊的統(tǒng)計特征量分析[12]，得到統(tǒng)計特征分布為：

其中，υs表示W(wǎng)indows系統(tǒng)漏洞的攻擊的差異度函數(shù)，表示為時間函數(shù)Xs與加權(quán)系數(shù)ωi的偏差。采用非線性統(tǒng)計分析方法，進(jìn)行Windows系統(tǒng)漏洞檢測，從而提高Windows系統(tǒng)漏洞提權(quán)攻擊檢測的抗干擾能力[13]。

2 Windows系統(tǒng)漏洞提權(quán)攻擊檢測優(yōu)化

2.1 模擬攻擊的參數(shù)融合

建立Windows系統(tǒng)的漏洞提權(quán)攻擊信號的盲源分離模型，采用匹配濾波方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊模擬[14]，得到Windows系統(tǒng)漏洞提權(quán)攻擊特征分布矩陣的第i列矢量可表示為：

采用貫序不均衡估計方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊的源參量Φ,Ω,Λ分別為：

通過空間波束集成性分析，得到Windows系統(tǒng)漏洞攻擊的加權(quán)參數(shù)為C2，其元素C2(m,n)為：

采用尺度分解方法，建立Windows系統(tǒng)漏洞攻擊的矩陣分布模型[15]，構(gòu)造如下的4P×4P矩陣：

式中，E=[e1,e2,…e4P]為Windows系統(tǒng)漏洞提權(quán)攻擊的傳輸鏈路(a,bm)上的酉矩陣；∑=iag[σ1,σ2,…σ4P]為對角矩陣，且：

采用門限檢測的方法，建立Windows系統(tǒng)的漏洞提權(quán)攻擊信號的盲源分離模型，由此構(gòu)建Windows系統(tǒng)漏洞提權(quán)攻擊的參數(shù)融合模型為：

2.2 Windows系統(tǒng)漏洞提權(quán)攻擊檢測輸出

采用收斂性控制和特征匹配處理方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊的統(tǒng)計信息模型構(gòu)建，建立Windows系統(tǒng)的信息融合模型，得到Windows系統(tǒng)漏洞的傳遞函數(shù)：

其中，A是一個維數(shù)為P×L的漏洞提權(quán)攻擊特征高階統(tǒng)計特征。通過自適應(yīng)學(xué)習(xí)方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊檢測的穩(wěn)態(tài)概率得到：

其中，f表示W(wǎng)indows系統(tǒng)漏洞提權(quán)攻擊信號的瞬時頻率，x*表示對原始信號取卷積。根據(jù)上述分析，采用如圖1所示的分類器，實(shí)現(xiàn)對采用自適應(yīng)加權(quán)學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測的特征分類識別。

圖1 漏洞提權(quán)攻擊分類器

3 仿真實(shí)驗(yàn)與結(jié)果分析

為了測試本文方法在實(shí)現(xiàn)Windows系統(tǒng)漏洞提權(quán)攻擊檢測中的應(yīng)用性能，進(jìn)行仿真實(shí)驗(yàn)。實(shí)驗(yàn)采用Mat l ab設(shè)計，對Windows系統(tǒng)漏洞提權(quán)攻擊的種類設(shè)定為DoS漏洞提權(quán)攻擊，Pr obe漏洞攻擊以及撞庫攻擊。采用隨機(jī)樣本分析方法進(jìn)行攻擊樣本采樣，采集的攻擊樣本數(shù)據(jù)包括600組測試樣本，對Windows漏洞提權(quán)攻擊檢測的訓(xùn)練樣本集為100，攻擊信息的關(guān)聯(lián)系數(shù)為0.34，相似度為0.78，迭代次數(shù)為500，攻擊的干擾強(qiáng)度為24dB。根據(jù)上述參數(shù)設(shè)定，進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測仿真，得到采集的Windows系統(tǒng)傳輸數(shù)據(jù)如圖時域波形如圖2所示。

圖2 Windows系統(tǒng)的流量序列采樣波形

以圖2的數(shù)據(jù)為測試樣本，采用特征量擬合方法進(jìn)行漏洞提權(quán)攻擊的閾值判斷，采用門限檢測的方法實(shí)現(xiàn)攻擊特征檢測，得到攻擊檢測結(jié)果如圖3所示。

圖3 Windows系統(tǒng)漏洞提權(quán)攻擊檢測結(jié)果

分析圖3得知，本文方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊檢測的波峰較為明顯，說明檢測的精度較高。測試檢測準(zhǔn)確概率，得到對比結(jié)果見表1，分析表1得知，本文方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測的準(zhǔn)確概率較高。

表1 檢測準(zhǔn)確性對比

4 結(jié)語

本文提出基于模擬攻擊的Windows系統(tǒng)漏洞提權(quán)攻擊檢測方法。采用信號擬合方法進(jìn)行Windows系統(tǒng)漏洞提權(quán)攻擊模擬，采用波束形成方法，得到Windows系統(tǒng)漏洞提權(quán)攻擊的陣位分布，采用自適應(yīng)加權(quán)學(xué)習(xí)方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測的收斂性控制，提高Win‐dows系統(tǒng)的漏洞提權(quán)攻擊檢測的收斂性和自適應(yīng)學(xué)習(xí)能力。實(shí)驗(yàn)結(jié)果表明，采用該方法進(jìn)行Windows系統(tǒng)的漏洞提權(quán)攻擊檢測的收斂性較好，檢測準(zhǔn)確概率較高。