[发明专利]一种基于人工免疫的存储异常检测方法

说明书

技术领域

本发明属于计算机存储安全领域，具体涉及一种基于人工免疫的存储异常检测方法。该方法通过分析存储元数据实现对存储系统的异常检测目的，它不仅具有自学习、自适应、计算并行等人工智能特点，而且能达到高检测率和低误警率的检测效果。

背景技术

异常检测通常是指将用户正常的行为特征存储在特征数据库中，然后将用户当前行为特征与特征数据库中的特征进行比较，如果二者的偏差超过了一定的范围，就认为发生了异常。这里将存储系统中出现的违背访问规则、破坏完整性等相关行为或现象称为‘存储异常’。传统的存储异常检测技术体现在文件加密、访问控制、文件权限等技术中，这些技术的主要优点是它们比较成熟，应用范围广泛，能在一定程度上防御用户的违规操作。但它们都无法对用户的存取行为进行诊断。例如，如果入侵者使用一个盗窃帐号，存储系统中的认证子系统就会将该使用者视为合法用户，入侵者将对该存储系统造成威胁，甚至破坏现有存储数据，即传统的认证系统无法对合法用户的越权行为形成有效检测。

近年来有研究者提出了基于规则的过滤、统计分析、模式匹配、隐性马尔可夫模型、数据挖掘等新技术，在一定程度上改善了传统的存储异常检测技术无法检测用户行为、检测率低下等缺陷，但它们在技术上都具有先天性不足。例如，基于规则的过滤是通过事先定义好一组规则，然后用这组规则与用户的存取行为进行匹配，即它采用一种预设置式、特征分析式工作原理，由于检测规则的更新总是落后于攻击手段的更新，这样就无法做到对存储异常的主动防御能力，不具有实时性和自适应的功能。对于使用较多的统计分析方法，如贝叶斯统计方法，也存在阈值难以有效确定的问题，这里阈值是指判断行为是否异常的临界值，阈值太小会产生大量的误报，阈值太大又将产生大量的漏报，它们都是一种被动的安全防护措施，只能检测预定义规则下的异常特征，对新型的存储异常无能为力，因此检测率无法保证，达不到真正意义上的存储安全系统的要求。

发明内容

为了弥补现有的存储异常检测技术无法针对用户的存取行为进行诊断以及在新型异常检测上的缺陷，本发明提供了一种基于人工免疫的存储异常检测方法，该方法具有自适应性、动态防御性的特点，不仅能够有效地从用户访问行为级对非法的、越权的读/写请求进行检测，而且因为它的自学习和遗忘等人工智能特点，能够对新型存储异常进行有效的检测，同时保证较高的检测率和较低虚警率。

本发明提供的基于人工免疫的存储异常检测方法，首先按照(1)～(3)建立有效特征库，再在每次检测时，按照步骤(4)～(6)进行处理；

(1)定义用户读/写请求的元数据数据结构，并转换为特征序列，应用统计学方法获得一组基本特征构成基本特征库；

(2)对基本特征库里的基本特征进行组合，生成检测器，构成待训练特征库；

(3)收集一批事先判别好是合法或非法的读/写请求，利用这些请求对应的特征序列与待训练特征库中的检测器进行逐个匹配，检测器每匹配到一个特征序列，就根据该特征序列的合法性更新检测器对应的权值，所有检测器与这些特征序列匹配结束后，对检测器进行筛选，得到有效特征库；

(4)截获读/写请求，按照元数据数据结构得到所需的元数据，将其转换成对应的特征序列，并为该待检测的特征序列设置两个权值；

(5)将有效特征库中的每一个检测器与待检测的特征序列进行匹配，当匹配成功时，同时更新该待检测的特征序列和检测器的权值；全部匹配结束后，如果该待检测的特征序列所对应的两个权值之比大于给定的阈值，则视为‘异己’，据此给特征库一个反馈，为成功匹配该特征序列的所有检测器增加一个分值，如果特征库更新时间到，转到步骤(6)，否则转到步骤(4)，等待新的读/写请求到来；

(6)对特征库进行更新，然后转到步骤(4)。