基于模拟攻击的Windows系统漏洞提权攻击检测方法

第31卷第2期vol.31No.2四川职业技术学院学报JournalofSichuanVocationalandTechnicalCollege2021年04月Apr.2021基于模拟攻击的Windows系统漏洞提权攻击检测方法巫冬（四川职业技术学院计算机科学系，四川遂宁629000）摘要：Windows系统漏洞提权攻击属于隐性攻击，检测过程的干扰性较强，为此提出基于模拟攻击的Windows系统漏洞提权攻击检测方法。构建Windows系统漏洞提权攻击的信号拟合模型，结合极速学习方法进行Windows系统的漏洞提权攻击的特征提取。仿真结果表明，采用该方法进行Windows系统的漏洞提权攻击检测的准确概率较高，误检率较低，提高了Windows系统的安全性。关键词：模拟攻击；漏洞；提权攻击；检测中图分类号：TP393文献标志码：A文章编号：1672-2094（2021）02-0153-05DetectionofWindowsSystemVulnerabilityWeightedAttackBasedonSimulatedAttackWUDong(DepartmentofComputerScience,SichuanVocationalandTechnicalCollege,Suining629000,China)Abstract:ThevulnerabilityextractionattackofWindowssystemisahiddenattack,rabilityextractionattacknalfittingmodelofvulnerabilityclaimattackinWindowssystemisbuilt,andthefeatureextractionofvulnerabilityclaimattackulationresultsshowthatthismethodhasahigheraccuracyprobabilityandalow-erfalsedetectionrateinthedetectionofvulnerabilityweightliftingattack,ds:simulatedattack;vulnerabilities;claimattack;detection0引言随着Windows系统的不断升级，对Windows系统的安全性提出了更高的要求。在分布式网络组网模式下，Windows系统容易受到网络攻击，产生Windows系统漏洞。特别是在Windows系统漏洞提权攻击下，Windows系统的安全性和稳定性受到严重威胁，需要构建Windows系统漏洞提权攻击检测模型，分析Windows系统漏洞提权攻击的状态特征量，结合信息融合和大数据挖掘方法，进行Windows系统漏洞提权攻击检测。研究收稿日期：2021-01-15作者简介：巫冬（1986—），女，四川遂宁人，讲师，研究方向为计算机网络。·153·

巫冬Windows系统漏洞提权攻击的安全检测方法，在提高Windows系统的稳定性和安全性方面具有重要意义，相关的Windows系统漏洞提权攻击检测方法研究受到人们的极大关注[1]。当前，对Windows系统漏洞提权攻击的检测方法主要采用关联规则检测方法、统计分析方法以及模糊相关性检测方法等[2,3]。建立Windows系统漏洞提权攻击信号波束模型，采用模糊度特征分解方法，进行Windows系统漏洞提权攻击检测。文献[4]中提出基于上下门限联合判别的Windows系统漏洞提权攻击检测算法，以时间均值和谱密度为漏洞攻击的特征量，对提取的特征量进行信息融合和特征分解，实现漏洞提权攻击信号检测。但该方法进行漏洞提权攻击检测的计算开销较大，实时性不好。文献[5]中提出基于模糊度特征分析的Windows系统漏洞提权攻击检测方法，通过模糊度特征分离和信号融合实现Windows系统漏洞提权攻击检测，但该方法进行Windows系统漏洞提权攻击检测的输出稳定性不好，抗干扰能力不强。针对上述问题，因为Windows系统漏洞提权攻击属于隐性攻击，检测过程的干扰性较强，对此，本文提出基于模拟攻击的Windows系统漏洞提权攻击检测方法。首先构建Windows系统漏洞提权攻击的信号拟合模型。然后采用匹配滤波方法进行Windows系统的漏洞提权攻击模拟，在模拟攻击下提取Windows系统的漏洞信息的参数融合模型，采用自适应加权学习方法进行Win‐dows系统的漏洞提权攻击检测的收敛性控制，实现攻击检测算法的优化设计。最后进行仿真测试分析，展示了本文方法在提高Windows系统的漏洞攻击检测能力方面的优越性能。1Windows系统漏洞提权攻击信号模型和特征提取1.1Windows系统漏洞提权攻击信号模型为了实现基于模拟攻击的Windows系统漏洞提权攻击检测，需要首先构建Windows系统漏洞提权攻击的信号拟合模型，结合极速学习方法进行Windows系统的漏洞提权攻击的特征提取。结154·基于模拟攻击的Windows系统漏洞提权攻击检测方法合信号拟合加权方法[6]，建立Windows系统漏洞提权攻击的特征序列{x(t1合方法，建立Windows系统漏洞提权攻击的参数),⋯x(tn)}，采用信号拟辨识模型，得到辨识参数为：E{x(t)}=m∈C(1)E{|x(t)|2E{[x(t)-}

第31卷第2期vol.31No.2四川职业技术学院学报JournalofSichuanVocationalandTechnicalCollege2021年04月Apr.2021ϕ(t)=arctan{x(t)s(t)}(8)上式中，a(t)称为Windows系统漏洞提权攻击信号的z(t)瞬时幅度，ϕ(t)称为Windows系统漏洞提权的瞬时相位。结合二乘规划模型，进行Windows系统漏洞提权攻击的输出参数融合，分析Windows系统漏洞提权攻击的空间阵列[10]，采用波束形成方法，得到Windows系统漏洞提权攻击的波束表示如下：H12(k+1)=H12e)对=于X漏洞)-(提Hk)+u1(k)⋅e1(k)⋅conj(X1(k))(9)1(k2(k12权(攻k)击⋅X1信(号k)s(t)，采用相关性(10)检测和统计特征分析方法[11]，得到Windows系统漏洞提权攻击的特征分量为：P∫(t,f)=∞-∞s(u+τ2)s∗(u-τ2)α(τ,v)e-j2π(vt+fτ-vu)dudvdτ(11)假设Windows系统漏洞提权攻击的时间间隔为n∈[n1系统漏洞提权攻击的统计特征量分析,n2]，结合模拟攻击方法，进行[12]，Windows得到统计特征分布为：ìïïci(t)=Xsïï-nωX2,s=1,…,nïï∑iii=12ïïíυ1sï(12)ïnï+λïïïhi(t)=∑j=1υjïnυs,s=1,…,nïî∑j=1其中，∑nj=1υj+λυs表示Windows系统漏洞的攻击的差异度函数，表示为时间函数Xs与加权系数ωi的偏差。采用非线性统计分析方法，进行Windows系统漏洞检测，从而提高Windows系统漏洞提权攻击检测的抗干扰能力[13]。2Windows系统漏洞提权攻击检测优化2.1模拟攻击的参数融合建立Windows系统的漏洞提权攻击信号的盲源分离模型，采用匹配滤波方法进行Windows系统的漏洞提权攻击模拟[14]，得到Windows系统漏洞提权攻击特征分布矩阵的第i列矢量可表示为：aP-1)ϕi=[1,ej2ϕi,⋯ej2(i采用贯序不均衡]T(13)估计方法，得到Windows系统漏洞提权攻击的源参量Φ,Ω,Λ分别为：Φj2ϕ1j2ϕ2Ω==diagdiag[[e-j2γ1,ej2γ,2⋯⋯ej2ϕIe-j]2γLΛ=diag[eej2w1](14)(15)通过空间,e,e-j2w2波束,⋯,集ej2wL成]性分析，得到Windows(16)系统漏洞攻击的加权参数为C2，其元素C2C((m,n)为：2m,n)=cum{x*m(t+1),xm+1(t),x*n+1(t),xn(t)}(17)采用尺度分解方法，建立Windows系统漏洞攻击的矩阵分布模型[15]，构造如下的4P×4P矩阵：éêCCêC1HC2C5C4ùC=êê2C1CH6C7úú(18)êúêCH=ˉC4sAˉHëC5H4C6CH1CH3úúúA7C3C1û式中Aˉ=Windows系统攻击[AH,(AΛ)H,(AΩ)H,(AΦ)H的高阶统计量，由此]H，表示得到漏洞提权攻击信号的特征分解模型：C=E∑EH(19)式中，E=[e1权攻击的传输链,e2路,⋯(e4Pa,]b为Windows系统漏洞提mdiag[σ)上的酉矩阵；∑=1,σ采用⋯2,门σ⋯σ4Pσ]为对角矩阵限检测的方法σ，且：1>L>σL+1=⋯4P，建=立0Windows系统(20)的漏洞提权攻击信号的盲源分离模型，由此构建Windows系统漏洞提权攻击的参数融合模型为：XT1(k)=FFT[x1(k),x1(k+1),......,x1(k+N-1)(21)]X2(k)=FFT[x2(k),x2(k+1),......,x2(k+N-1)(22)]T其中X11N/2+1项组成的序列。根据参数融合结果(k)，X2(k)分别是X(k)，X2(，k进行)前漏洞提权攻击检测的优化设计。·155·

巫冬2.2Windows系统漏洞提权攻击检测输出采用收敛性控制和特征匹配处理方法进行Windows系统漏洞提权攻击的统计信息模型构建，建立Windows系统的信息融合模型，得到Windows系统漏洞的传递函数：CL1(m,n)=∑cj2ϕi(m-n)=14sie(23)i式中，c4si=cum{|si(t)|4}表示Windows系统漏洞提权攻击信源si的峰度。采用自适应加权学习方法进行Windows系统的漏洞提权攻击检测的收敛性控制，得到控制约束参数[：C4S=diagc4s1,c4s2,⋯,c4sL已知a(t)≥|s(t)|，这表示](24)a(t)大于检测阈值|s(t)|的分布特征量。采用统计特征分析方法，得到网络漏洞提权攻击检测的输出奇异矢量满足0为≤：m,n≤P-1，网络漏洞提权攻击的一阶统计量C1其中=AC4SAH(25)，A是一个维数为P×L的漏洞提权攻击特征高阶统计特征。通过自适应学习方法，得到Windows系统漏洞提权攻击检测的稳态概率得到：WDt,f)=∫x(t+τ)x*(t-τx()e-j2πftdτ(26)其中，f表示Windows2系统漏洞提权攻击信号2的瞬时频率，x*表示对原始信号取卷积。根据上述分析，采用如图1所示的分类器，实现对采用自适应加权学习方法进行Windows系统的漏洞提权攻击检测的特征分类识别。X(t)LPHPL1H1LPHPLPHPLL2LH2HL2HH2图1漏洞提权攻击分类器3仿真实验与结果分析为了测试本文方法在实现Windows系统漏洞156·基于模拟攻击的Windows系统漏洞提权攻击检测方法提权攻击检测中的应用性能，进行仿真实验。实验采用Matlab设计，对Windows系统漏洞提权攻击的种类设定为DoS漏洞提权攻击，Probe漏洞攻击以及撞库攻击。采用随机样本分析方法进行攻击样本采样，采集的攻击样本数据包括600组测试样本，对Windows漏洞提权攻击检测的训练样本集为100，攻击信息的关联系数为0.34，相似度为0.78，迭代次数为500，攻击的干扰强度为24dB。根据上述参数设定，进行Windows系统漏洞提权攻击检测仿真，得到采集的Windows系统传输数据如图时域波形如图2所示。32BK1/0-1-2-3???/s图2Windows系统的流量序列采样波形以图2的数据为测试样本，采用特征量拟合方法进行漏洞提权攻击的阈值判断，采用门限检测的方法实现攻击特征检测，得到攻击检测结果如图3所示。0.80.60.40.2V/值0幅-505侵Time Delay(s=1.005)入x 100.80.60.40.20-505Time Delay(s=1.015)x 100.50.40.30.20.10-505Time Delay(s=1.025)x 10图3Windows系统漏洞提权攻击检测结果分析图3得知，本文方法进行Windows系统漏0.80.60.40.20-50.80.60.40.20-50.50.40.30.20.10-5·

第31卷第2期vol.31No.2四川职业技术学院学报JournalofSichuanVocationalandTechnicalCollege2021年04月Apr.2021洞提权攻击检测的波峰较为明显，说明检测的精度较高。测试检测准确概率，得到对比结果见表1，分析表1得知，本文方法进行Windows系统的漏洞提权攻击检测的准确概率较高。表1迭代次数1检测准确性对比文献[3]0.8740.8930.9030.912文献[4]0.7830.7920.8340.8984结语本文提出基于模拟攻击的Windows系统漏洞提权攻击检测方法。采用信号拟合方法进行Windows系统漏洞提权攻击模拟，采用波束形成方法，得到Windows系统漏洞提权攻击的阵位分布，采用自适应加权学习方法进行Windows系统的漏洞提权攻击检测的收敛性控制，提高Win‐dows系统的漏洞提权攻击检测的收敛性和自适应学习能力。实验结果表明，采用该方法进行Windows系统的漏洞提权攻击检测的收敛性较好，检测准确概率较高。本文方法0.9340.98911参考文献：[1]任维武,张波辰,底晓强,等.基于人工蜂优化的密度聚类异常入侵检测算法[J].吉林大学学报(理学版),2018,56(1):95-100.[2]宋勇,蔡志平.大数据环境下基于信息论的入侵检测数据归一化方法[J].武汉大学学报(理学版),2018,64(2):121-126.[3]李佳,范巍.基于改进D-S证据理论的网络入侵检测[J].控制工程,2017,24(11):2362-2367.[4]李永忠,陈兴亮,于化龙.基于改进DS证据融合与ELM的入侵检测算法[J].计算机应用研究,2016,33(10):3049-3051+3082.[5]王伍柒,周立萍.基于证据推理算法的入侵检测系统[J].电脑知识与技术,2017,13(28):32-3.[6]ZHANGHaoshenglun,LIChong,KEYong,ibutedUserBrowseClickModelAlgorithm[J].ComputerEngineering,2019,45(3):1-6.[7]GAOJun,andImplementationofCorrelationWeightAlgorithmBasedonHadoopPlat‐form[J].ComputerEngineering,2019,45(3):26-31.[8]ZHOUQi,CHAIXiaoli,MAKejie,andImplementationofTuckerDecompositionModuleBasedonCUDAandCUBLAS[J].ComputerEngineering,2019,45(3):41-46.[9]高妮,贺毅岳,高岭.海量数据环境下用于入侵检测的深度学习方法[J].计算机应用研究,2018,35(4):1197-1200.[10]夏秦,王志文,卢柯.入侵检测系统利用信息熵检测网络攻击的方法[J].西安交通大学学报,2013,47(2):14-19.[11]张晶,陈诚,郑焕科.面向软件漏洞检测的Fuzzing样本优化方法[J].山东大学学报(理学版),2019,54(9):1-8+35.[12]汤俊伟,刘家帧,李瑞轩,等.Android应用软件漏洞静态挖掘技术[J].华中科技大学学报(自然科学版),2016,44(S1):20-24.[13]蔡军,邹鹏,杨尚飞,等.软件漏洞分析中的脆弱点定位方法[J].国防科技大学学报,2015,37(5):141-148.[14]FAKHARM,MAHYARINIAMR,moothrobustmultiobjectiveoptimizationundergeneralizedconvexitywithapplicationstoportfoliooptimization[J].EuropeanJournalofOperationalResearch,2018,265(1):39-48.[15]SUNXK,LIXB,LONGXJ,stapproximateoptimalsolutionsforuncertainconvexop‐timizationandapplicationstomulti-objectiveoptimization[J].PacificJournalofOptimization,2017,13(4):621-643.[责任编辑：李进东]·157·