基于HPC的虚拟化平台异常检测技术研究与实现.pdf
《基于HPC的虚拟化平台异常检测技术研究与实现.pdf》由会员分享,可在线阅读,更多相关《基于HPC的虚拟化平台异常检测技术研究与实现.pdf(6页珍藏版)》请在咨信网上搜索。
1、NETINFOSECURITY入选论文2023年第10 期doi:10.39 6 9/j.is s n.16 7 1-112 2.2 0 2 3.10.0 0 9基于HPC 的虚拟化平台异常检测技术研究与实现一邢凌凯1.2,张健1.2(1.南开大学网络空间安全学院,天津30 0 350;2.天津市网络与数据安全技术重点实验室,天津30 0 350)摘要:文章针对虚拟化平台异常行为检测问题提出一种基于硬件性能计数器(H a r d w a r e Pe r f o r m a n c e Co u n t e r,H PC)和集成学习的动态检测方法。该方法基于KVM虚拟化平台,采集平台运行样本时
2、的HPC值,按照随机森林(RandomForest,RF)学习时产生的特征重要性分数进行特征筛选,提高RF分类模型的准确率,实现异常检测。文章在平台上采集了10 40 个良性程序样本和10 40 个恶意程序样本,在特征筛选阶段选取8 个判断恶意样本的重要HPC事件。实验结果表明,特征筛选后的RF分类模型在测试集上可以达到9 5.38%的准确率,相较于特征筛选前的同类模型和其他传统机器学习模型具有更高的准确性和稳定性。关键词:异常行为检测;虚拟化;硬件性能计数器;集成学习中图分类号:TP309文献标志码:A文章编号:16 7 1-112 2(2 0 2 3)10-0 0 6 4-0 6中文引用格
3、式:邢凌凯,张健.基于HPC的虚拟化平台异常检测技术研究与实现 J.信息网络安全,2023,23(10):64-69.英文引用格式:XING Lingkai,ZHANG Jian.Research and Implementation on Abnormal Behavior DetectionTechnology of Virtualization Platform Based on HPCJJ.Netinfo Security,2023,23(10):64-69.Research and Implementation on Abnormal Behavior DetectionTechno
4、logy of Virtualization Platform Based on HPCXING Lingkail-2,ZHANG Jianl,2(1.College of Cyber Science,Nankai University,Tianjin 300350,China;2.Tianjin Key Laboratory of Networkand Data Security Technology,Tianjin 300350,China)Abstract:This paper proposed a dynamic detection method based on HardwarePe
5、rformance Counter(HPC)and ensemble learning to solve the abnormal behavior detectionproblem of virtualization platform.This method collected HPC values of samples runningon the KVM virtualization platform,and used feature importance scores generated duringRF learning to filter features,so as to impr
6、ove the accuracy of RF classification model andrealized anomaly detection.This paper collected 1040 benign program samples and 1040收稿日期:2 0 2 3-0 6-2 6项目基金:国家重点研发计划 2 0 2 2 YFB3103202;天津市重点研发计划 2 0 YFZCGX00680;天津市新一代人工智能科技重大专项19ZXZNGX00090作者简介:邢凌凯(2 0 0 1一),男,江苏,硕士研究生,主要研究方向为云安全、网络安全;张健(19 6 8 一),男,
7、天津,正高级工程师,博士,CCF会员,主要研究方向为云安全、网络安全和系统安全。通信作者:张健64NETINFOSECURITY2023年第10 期入选论文malicious program samples on the platform,and selected 8 important HPC events to judgemalicious samples in the feature selection stage.The experimental results show that the RFclassification model after feature selection c
8、an reach 95.38%accuracy on the test set,whichhas higher accuracy and stability than the similar model before feature selection and othertraditional machine learning models.The method proposed in this paper can effectivelydetect the abnormal behavior on the virtualization platformKey words:abnormal b
9、ehavior detection;virtualization;hardware performance counter;ensemble learning0引言近年来,随着云计算技术的广泛应用,用户可享受到更便捷多样的计算服务,但与此同时,针对虚拟化平台的恶意代码、漏洞攻击等破坏行为也日渐增多 1,2 。对恶意代码等攻击导致的异常行为进行研究可以提升恶意行为发现效率,帮助安全研究人员提升计算机安全系数。针对虚拟化平台的漏洞攻击以及病毒人侵等行为具有一些共同特征,通过收集并分析大量攻击对平台产生影响的实例,研究人员能够发现恶意攻击的行为模式和深层影响。基于此可以研究设计异常行为检测模型,形成
10、系统化的检测框架,及时发现或者阻断攻击对计算机系统的破坏。本文针对虚拟化平台上恶意程序的攻击行为,通过提取虚拟化平台运行目标程序时产生的HPC值,使用集成学习方法训练机器学习模型,从而形成检测引擎,提升检测发现虚拟化平台异常行为的能力和水平。1相关工作目前针对云环境的恶意代码检测主要采用带内检测技术和带外检测技术 3。带内检测技术是在目标虚拟机内部安装进程检测单元,获取其状态信息。检测单元与其对象同处一个系统环境下。该技术具有获取信息速度快、开销小、语义重构过程相对简单的优势。该技术高度依赖内核数据保护机制,但Rootkit等内核级攻击有可能绕开内核数据保护机制 45,导致内核数据泄露或被篡改
11、。带外检测技术将检测单元存储在目标虚拟机外,可以使进程检测单元有效规避目标虚拟机内的内核级攻击,但其采集的相关数据仍然可能被篡改 6,导致判断失败,且该技术需要跨越语义鸿沟,开销较大。带内检测技术和带外检测技术均基于软件或操作系统层面实现,难以对抗混淆、加密等反制手段 7 ,检测单元及其数据存在被攻击的风险 8 。因此,本文选择基于HPC的虚拟化平台异常检测技术。HPC是一组用于存储与硬件活动计数相关的寄存器,是现代微处理器性能监控单元(PerformanceMonitoring Unit,PM U)的组成部分。在指定某些具体事件后,HPC将与事件选择器以及硬件事件发生后用于采样的计数器一起工
12、作。HPC最初是为复杂软件系统的性能调试设计的,后来逐渐将其应用于计算机安全领域并取得了一定成果。2 0 17 年,PATEL9等人使用HPC值辅助训练机器学习模型,以区分良性和恶意应用程序,同时证明了基于该模型的恶意程序捕获系统极具成本效益。2 0 2 1年,牛伟纳 10 等人设计了基于HPC的ROP(Re t u m O r i e n t e d Pr o g r a mmi n g)攻击实时检测方法,在仅消耗约5%系统性能的条件下有效检测真实的ROP攻击。基于HPC的检测技术能够从硬件开销层面收集目标行为特征,对恶意代码造成的网络频繁连接断开、注册表修改等典型异常行为进行捕捉,有效进行
13、恶意程序检测。此外,基于HPC的检测方法可以有效规避内核级攻击、数据被篡改问题,能够以远低于软件级别分析的开销提供对计算机底层相关性能信息的访问,也无需修改源代码。目前该技术主要应用于单机上,本文将基于HPC的恶意程序检测技术应用于虚拟化环境中。当前各类主流操作系统都内置了HPC事件计数采集工具。对于Linux平台,Perf工具实现了对HPC分析采样的支持 11,该子系统已经内置于2.6 及以上版65NETINFOSECURITY入选论文2023年第10 期本的系统中。Perf分为用户层和内核层,用户层代码为用户提供命令行,指定事件与采样方式;内核层为Perf提供采样引擎。随着工具的完善,Pe
14、rf可以对虚拟化平台进行数据采集。针对KVM(K e r n e l-Ba s e d V i r t u a lMachine)12 平台,Perf提供的perfkvm方法 13 可实现KVM跟踪功能,帮助研究人员统计与分析KVM的资源占用情况。2模型设计本文设计的基于HPC的虚拟化平台异常检测模型架构如图1所示。模型首先借助KVM虚拟化平台进行样本布置;然后从主机上调用Perf,收集客户机运行样本时产生的HPC值;最后将这些数据转储于主机上,用于后续的模型训练。对于采集的数据,本文采用RF算法进行训练,使用决策树的信息原理确定不同HPC事件的特征重要性,并分析对比各事件特征对模型决策的重要
15、程度,选取合适的HPC事件作为特征进行特征筛选与模型优化。预设HPC事件特征重要性样本集合Perf采集筛选良性样本特征获取特征筛选恶意样本分类恶意样本图1模型设计架构2.1 HPC特征获取本文设计的特征采集模块如图2 所示。本文借助Perf工具从主机获取虚拟化平台运行样本产生的HPC事件。搭建好KVM平台后,创建Windows7客户虚拟机并安装virtIO驱动,以便主机与客户机通信。在虚拟机中安装正常程序并置入恶意程序,同时在客户机中置入相应脚本以操控运行样本。通过虚拟化管理工具virsh发出指令,保存此时的环境快照。每次运行时使用virsh从虚拟机外部发送激活客户机内脚本的命令,依次运行目标
16、程序。主机预设好2 0 个常用的HPC事件后启动Perf工具,对每个程序样本每次采集10 s,进行5次独立采集,消除偶然情况带来的影响。采集完成后,将所得数据保存在主机文档中。恶意程序客户虚拟机环境快照采集脚本物理主机图2 特征采集模块2.2特征筛选不同的HPC事件对于判断该样本是否为恶意程序具有不同的重要程度 14,因此本文依据RF学习过程中产生的特征重要性分数对这些HPC事件进行重要程度排序。HPC事件X的重要性分数Jx的近似值jx可通过公式(1)进行计算。M口Mm=良性样本其中,M为树的数量,事件X在单棵树中的重要程度为模型训练+jx,其近似值ix如公式(2)所示。&=2i(v=X)n=
17、1其中,L为树的叶子节点数量,L-1为树的非叶子节点数量,In表示非叶子节点n分裂时均方误差MSE的减少值,vn表示结点n关联的特征。MSE的计算如公式(3)所示。MSE=之(X-2)S其中,S为样本总数,Y表示样本的真实标签,Y表示模型的预测标签。经过多次训练,得出该2 0 个HPC事件的重要性分数,将排序前8 的HPC事件用于后续的模型训练。通过缩减输入事件数量,可以精简模型输人,降低相关良性程序样本集合KVM平台perfkvm539Faults107,585branch-loads647,112.cycles特征向量提取数据集(1)(2)(3)66NETINFOSECURITY2023年
18、第10 期入选论文开销。2.3模型训练与评价模块以自适应增强算法Adaboost、RF算法等为代表的集成学习技术能够将多个学习器相结合,获得比单一学习器更优越的泛化性能,提升学习能力。本文选用的RF算法原理如图3所示。一生成森林一训练集抽样训练子集1训练子集2人决策树1决策树2分类模型进行决策测试集决策树1决策树2投票结果1投票结果2投票分类结果图3RF算法原理实验面对的问题为二分类问题,最终训练出的分类器为二分类分类器,因此将恶意程序样本设置为标志“1,将良性程序样本设置为标志“0 。对特征筛选后的HPC事件重新采集数据,并输入模型进行训练。本文采用网格搜索法(GridSearch)与交叉验
19、证法(CrossValidation,CV)从树的数量、度量分裂标准、寻找分裂点时考虑的特征数量、是否放回样本等方面确定最适合模型的超参数,从而生成较优的分类模型 15。本文使用准确率Accuracy、F1分数、ROC曲线及其线下面积AUC等指标对模型进行评价 16 ,计算公式如公式(4)公式(6)所示。TP+TNAccuracy=TP+FN+FP+TN2PrecisionxRecallF1=Precision+RecallPos(IPos+1)2AUC=iePos|Pos|Negl其中,TP表示真阳事例,FP表示假阳事例,TN表示真阴事例,FN表示假阴事例,Pos表示阳性集合,Neg表示阴性
20、集合,r表示元素在全集(Pos+Neg)中按照预测分数排名的位置(排名从1开始计数)。真阳率TPR训练子集n和假阳率FPR的计算如公式(7)和公式(8)所示。TPTPR=决策树nTP+FNFPFPR=TN+FP3实验及分析3.1实验环境与数据集决策树n本文的实验环境为Ubuntu 18.04操作系统,Intel(R)Core i5-9300H2.40GHz处理器,8 GBRAM,512 G B固态投票结果n硬盘。安装的KVM版本为2.11.1,获取HPC计数的脚本由Python编写,客户虚拟机为Windows7专业版,分配4GBRAM,50 G B硬盘空间。进行数据处理、特征筛选及模型训练与优
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 HPC 虚拟 平台 异常 检测 技术研究 实现
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。