[发明专利]基于固有子序列模式分解的主机入侵检测方法

权利要求书

1. 一种基于固有子序列模式分解的主机入侵检测方法，其特征在于，包括以下步骤：

①规则定义：

序列：序列T是其元素按照时间顺序排列的数据集，T＝t₁，...，t_n，n是序列的长度；

支持度：子序列S的支持度Sup(S)为其在序列T中出现的次数。

固有子序列模式：序列T中，如果某个子序列的所有子序列的支持度与它的支持度相同，并且在序列T中，不存在与其支持度相同的子序列包含它，则该子序列被称为固有子序列模式；

层：在序列T中，具有相似支持度的固有子序列模式组成一个层；

序列分解：序列分解就是将一条较长的序列分解为一些固有子序列模式并形成相应的层；

②获取WINdows Native API数据序列，某一进程的序列首先分解为一个固有子序列模式集，然后对这些固有子序列模式依照其支持度进行分层；

③将疑似序列分解为若干层，每层含有相似支持度的固有子序列模式；

④将正常的进程序列与疑似序列按照相应的层进行匹配，根据匹配的数量，计算出异常程度，判断疑似序列的是否异常。

2. 根据权利要求1所述的基于固有子序列模式分解的主机入侵检测方法，其特征在于，上述步骤②中将进程的序列建立一个序列图，找出序列图中的封闭路径作为固有子序列模式的候选序列，在原序列中找出构成每个候选序列的固有子序列模式，步骤如下：

①构造序列图：将序列T中每个不同数字编号对应于结点集V中的一个节点，LOC＝{L₁，…，L_N}记录V中每个结点在T中出现的位置；对T中每个长度为2的子序列，如果其对应的边存在于E中，则该边的权值增加1，如果该边不存在于E中，则建立该边，边权值为1；

②固有子序列挖掘：首先找到序列图中权值最大的边以及与该边权值近似的边加入集合EE，然后算法找出EE中的所有近似封闭路径作为固有子序列模式的候选，然后，回到序列T中找出产生每个近似封闭路径的所有近似固有子序列模式，最后，算法对每个固有子序列模式在图中的相应边进行权值更新，将边的权值减去其固有子序列模式在T中出现次数，如果权值小于等于0，则删除该边，算法重复以上步骤直到序列图为空图。

3. 根据权利要求1所述的固有子序列模式分解的主机入侵检测方法，其特征在于，所述异常检测步骤中首先找出疑似序列和正常的进程序列中出现最多的固有子序列模式以及出现次数与之近似的子序列构成一层，然后在该层中对疑似序列的固有子序列模式与正常子序列模式进行匹配，根据匹配的数量，计算出异常程度从而判断疑似序列是否异常，算法步骤如下：

输入：正常序列的固有子序列模式集NIS和疑似序列的子序列固有模式集TIS

输出：疑似序列的异常指数ADgree

Anormaly Detection(NIS，TIS)

1)分别找出NIS和TIS中的最大支持度序列以及与其支持度接近的序列分别加入Nlayer和Tlayer，并在NIS和TIS中去掉这些序列；

2)计算Tlayer中能与Nlayer中序列匹配的序列个数MA：对Tlayer中的每个序列，如果该序列对Nlayer中的某个序列满足DIS＝＝0，则MA增加1；

3)Tlayer中序列的个数为N，ADgree＝(N-MA)/MA，同时加上先前各层异常指数；

4)如果ADgree＞η，则返回ADgree，其中η为门限值；

重复1)，2)，3)，4)直到NIS或者TIS为空集，返回ADgree。