[发明专利]基于固有子序列模式分解的主机入侵检测方法

说明书

技术领域

本发明涉及计算机安全技术领域，具体涉及一种主机入侵检测方法。

背景技术

计算机联网技术的发展改变了以单机为主的计算模式。但是，网络入侵的风险性和机会也相应地急剧增多。设计安全措施来防范未经授权访问系统的资源和数据，是当前网络安全领域的一个十分重要而迫切的问题。入侵检测就是在这样的背景下产生和发展起来的一种网络安全技术。具体来说，入侵检测就是对网络系统的运行状态进行监视，检测发现各种攻击企图、攻击行为或攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测技术主要分为误用检测(misuse detection)和异常检测(anomaly detection)两类。其中，误用检测是根据已知的攻击特征建立一个特征库，然后将采集的数据与特征库中特征进行匹配，若存在匹配的特征，则表明其是一个入侵行为。传统的特征码检测技术就是一种误用检测，其不能有效的检测出病毒的变种、加密病毒和新病毒等。而异常检测则是将用户正常的行为特征存储在特征数据库中，然后将用户当前行为与特征库中的特征进行比较，若偏离达到了一定程度，则说明发生了异常。这两种技术各有优缺点，误用检测能够准确检测到已知攻击事例，但对新型攻击行为却无能为力；异常检测可以检测到新型攻击，其误检率却比较高，且不能描述入侵行为的类别。

中国专利200510056935.2公开了一种《基于序列模式挖掘的程序级入侵检测系统和方法》，技术方案如下：

一种基于序列模式挖掘的程序级入侵检测系统和方法，该系统由控制模块、数据采集和预处理模块、训练模块、储存模块、检测模块、检测结果输出模块组成，配置在需要监控的服务器上。该系统采用基于数据挖掘的异常检测技术，通过监控网络服务器中特权进程的运行情况来检测网络中各种攻击活动；即以特权程序运行时产生的系统调用作为审计数据，利用数据挖掘技术中的序列模式表示一个特权程序的正常行为，根据序列的支持度或可信度在训练数据中挖掘正常的序列模式，并建立相应的正常序列模式库；检测时通过将当前序列模式和正常的序列模式进行比较和匹配来识别攻击行为，以便引起网络安全管理员的密切注意和采取相应的处理措施来保证安全。

该系统的主要模块功能如下：

控制模块：负责设置系统的工作状态和各种参数，并对数据采集和与处理模块、训练模块、检测模块和整个系统的运行进行控制；

数据采集和预处理模块，负责从服务器中获取原始的训练数据或者审计数据，即程序运行过程中产生的系统调用，并将这些原始训练数据或者升级数据进行预处理，滤除系统调用参数后，分别送入训练模块或者检测模块，用于训练或检测；

训练模块，负责利用训练数据进行训练，建立正常序列模式库；

存储模块，用于存储训练模块所建立的正常序列模式库，并在检测时，供检测模块进行检索比较；

检测结果输出模块，负责显示检测模块产生的判决值，并根据检测模块的报警信息对攻击行为进行报警。

该发明提供的基于序列模式挖掘的程序级入侵检测方法的步骤简述如下：

(1)系统启动；

(2)系统等待工作信息和指令的输入时，由控制模块设置系统的工作状态和工作参数，以便在此后输入开始工作指令后，由控制模块自动查看系统设置情况，分别进入两种不同的工作状态：如果系统被设置为训练状态，执行后续步骤；如果系统被设置为检测状态，则跳转执行步骤(7)；

(3)数据采集和预处理模块从预先设定的数据接口输入原始训练数据，并对该原始训练数据进行预处理后，将其输出至训练模块；

(4)训练模块从控制模块读取步骤(2)中设置的训练方案，如果设置为第一种训练方案，执行后续步骤；如果设置为第二种训练方案，跳转执行步骤(6)；

(5)训练模块利用训练数据，根据第一种训练方案进行训练，建立正常的序列模式库，并将该序列模式库存入储存模块后，向控制模块发送训练结束的消息，结束训练工作，跳转执行步骤(7)；

(6)训练模块利用训练数据根据第二种训练方案进行训练，建立正常序列模式库，并将该序列模式库存入存储模块后，向控制模块发送训练结束的消息，结束训练工作；

(7)控制模块自动查看步骤(2)种所设置的检测方案，如果设置为第一种检测方案，执行后续步骤；如果设置为第二种训练方案，跳转执行步骤(9)；