[发明专利]基于频繁子图挖掘的异常入侵检测方法有效
| 申请号: | 201010285726.6 | 申请日: | 2010-09-19 |
| 公开(公告)号: | CN101976313A | 公开(公告)日: | 2011-02-16 |
| 发明(设计)人: | 王俊峰;刘辉;高翔;佘春东;邢李泉 | 申请(专利权)人: | 四川大学 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00;G06N99/00;H04L29/06 |
| 代理公司: | 成都信博专利代理有限责任公司 51200 | 代理人: | 舒启龙 |
| 地址: | 610065 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 频繁 挖掘 异常 入侵 检测 方法 | ||
1.一种基于频繁子图挖掘的异常入侵检测方法,其特征是:按以下方式进行:
检测模型分为2个阶段:训练阶段和检测阶段;训练阶段用于完成特征模式集的构建;而检测阶段用于完成系统调用序列的匹配及特征模式集的更新;模型的参数配置部分用于设定训练阶段及检测阶段中相关方法所需的各种阈值;
1)采用特征子图挖掘方法进行特征模式集的构建:
将训练数据样本中的系统调用序列转换为有向图结构;再通过子图挖掘技术,发掘出具有代表性的候选子图结构;所挖掘的候选子图结构中,一部分为与系统调用序列相对应的原生候选子图,其余部分则是以当前系统调用序列为基础,由图结构衍生而来、用于检测未知程序行为的衍生候选子图;
最后,对所有的候选子图结构进行重复性的剪枝及扩展工作,经取舍以后,完成对特征模式集的构建;
在上述特征模式集构建的子图挖掘与剪枝工作中,通过子图特征值辅助判断衍生候选子图的衍生价值,最终决定将其舍弃还是保留并参与衍生过程;以及,在实际系统调用序列检测过程的特征模式匹配工作中,通过子图体征值辅助判断特征模式的选取,特征模式集中的各元素按特征值由高到低的顺序排列,其中,特征值较高的特征模式相应地具有较高的匹配权;
子图特征值设定如下:
C(GS)=Size(V(GS))*min(W(GS)),其中:
GS为待评估候选子图;
C(GS)为GS的子图特征值;
V(GS)为GS的非空有穷结点集;
Size(V(GS))为GS的结点集V(GS)中的结点个数,Size(V(GS))≥1;
W(GS)为GS的有向边权值集;
min(W(GS))为GS的有向边权值集W(GS)中的最小权值,min(W(GS))≥1;
上述所有的候选子图按以下规则进行剪枝:
规则1为特征模式集构建方法设定各种限制性阈值,其中:
①阈值BeamWidth:用于设定每层子图扩展所需处理的候选子图数量上限;在扩展过程中,如果候选子图数量达到该扩展域宽上限,则对所有的候选子图依照特征值留大弃小的原则进行取舍;
②阈值MaxSubSize:用于设定候选子图结点数目上限,即应满足Size(V(GS))≤MaxSubSize;
③阈值MinSubSize:用于设定候选子图结点数目下限,即应满足Size(V(GS))≥MinSubSize;
④阈值MinChValue:用于设定候选子图特征值下限,即应满足C(GS)≥MinChValue;如果当前候选子图的特征值低于该下限,表明该子图不具备足够的衍生价值,不能参与下一层的衍生过程;
⑤阈值MaxBest:用于设定特征模式集规模上限;一旦超过该上限,取舍原则同阈值BeamWidth中的设定;
⑥阈值LoopLimit:用于限制子图扩展层数;
规则2忽略子图扩展过程中产生的所有不可序列化子图;
规则3在进行子图扩展时,只考虑待扩展结点的出边,忽略其入边;
上述子图扩展方法为:每次扩展添加一个结点,及该结点所有的相应边,或者,每次扩展仅仅添加一条边;
2)在模型的检测阶段,采用系统调用序列匹配方法:
首先,设置检测窗口阈值,以限制局部检测范围,然后重复如下过程:依次读入窗口序列中的单体系统调用,构成待检项,并与相应的特征模式进行匹配;完成窗口序列的匹配,将检测窗口顺移,准备下一次局部匹配过程,直至全部系统调用序列匹配完毕;并且,结合系统调用序列及图形式下的特征模式各自的特性,在检测过程中减少待检项匹配次数,降低整体匹配时耗;以及在进行特征模式匹配工作的同时,记录衍生特征模式被采纳的情况,检测结束后,根据该记录将被采纳的衍生特征模式转化为原生特征模式,完成对特征模式集的更新,并同时剔除长期未被采纳的冗余衍生特征模式,精简特征模式集规模,从而进一步提升检测效率。
2.根据权利要求1所述基于频繁子图挖掘的异常入侵检测方法,其特征是:所述子图挖掘方法如下:
第1步,通过数据预处理过程,将系统调用序列转换为系统调用总图;
第2步,创建待扩展候选子图列表、扩展候选子图列表、特征模式集列表,置其为空;创建扩展次数变量,置其为0值;
第3步,获取所有长度以阈值MinSubSize限定的原生候选子图,并以此完成对待扩展候选子图列表的初始化,其中的任一项称为父子图结构;
第4步,将待扩展候选子图列表的各项依照特征值降序插入到特征模式集列表中;如果特征模式集列表中特征模式数目超出阈值MaxBest的限定,则移除特征模式集列表中从末尾起的第一个非原生特征模式;
第5步,移除待扩展候选子图列表头部的父子图结构;
第6步,依照本发明中的子图扩展方法,对该父子图结构进行扩展,扩展结果称之为子子图结构;
第7步,如果子图结构的结点数大于阈值MaxSubSize限定,跳至第十步;
第8步,如果子子图结构为衍生候选子图,但不能通过本发明中的子图剪枝规则,则抛弃该子子图结构,跳至第十步;
第9步,计算子子图结构的特征值,并将其依照特征值降序插入到扩展候选子图列表中;如果扩展候选子图列表中子图数目超出阈值BeamWidth限定,则移除扩展候选子图列表中从末尾其的第一个非原生候选子图;
第10步,如果通过父子图结构能够扩展出其他子子图结构,回到第六步;
第11步,如果待扩展候选子图列表不为空,回到第五步;
第12步,将待扩展候选子图列表和扩展候选子图列表中内容进行互换;
第13步,如果扩展次数变量没有超出阈值LoopLimit限定,并且待扩展候选子图列表不为空,回到第四步;
第14步,将特征模式集列表作为最终结果返回,算法至此结束。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010285726.6/1.html,转载请声明来源钻瓜专利网。
