[发明专利]基于频繁子图挖掘的异常入侵检测方法

说明书

技术领域

本发明涉及一种网络安全中的入侵检测方法，特别是将频繁子图挖掘理论与系统调用序列相结合来对网络中异常入侵进行检测的方法。

背景技术

随着计算机网络的迅猛发展，应用领域的日益广泛，计算机的安全问题受到人们越来越多的关注。入侵检测技术作为保护计算机安全的一种有效手段，已逐步发展成为计算机网络安全领域的核心研究方向。

系统进程执行时产生的系统调用序列中包含了进程的某些特定行为模式，提取并分析这些系统调用表现出的模式，并将该模式与进程实时产生的系统调用序列进行匹配，能够有效地监管特权程序活动及识别针对主机的异常入侵行为，是入侵检测的重要检测途径之一。

时延嵌入序列(Time Delay Embedding，TIDE)方法是最早利用系统调用检测入侵行为的方法。该方法利用定长短序列作为特征模式描述正常程序行为，将这些特征模式在检测轨迹中的匹配情况作为入侵评判的依据。该方法的出现引起了众多学者的关注，并得到了深入研究。目前，在特征模式集构建方法及检测手段上，众多基于系统调用序列的入侵检测研究都各具特色，多种数学模型的引入是其中一个重要特点，其中典型方法包括：隐马尔科夫模型，该模型是较早被引入的数学模型，众多学者已给出了较为详尽的评估与总结；对隐马尔科夫模型的扩展，如运用齐次马尔科夫链分析系统调用序列，通过检测序列与特征模式的相似度以鉴别是否为入侵行为，又如将隐马尔科夫模型与粗糙集理论相结合，以增强实际检测中某些模糊行为的模式匹配能力；以改进的有限自动机形式获取特征模式集，并以此构建入侵检测平台；引入层次化交错贝叶斯网络，旨在提高模式信息的完整性；其他如人工免疫、神经网络模型等也分别应用在基于系统调用序列的入侵检测上，并取得了一定的效果。

上述方法主要面临两方面的问题：

第一，离线训练数据量的选取。各种复杂数学模型的引入，导致目前绝大部分基于系统调用序列的入侵检测方法均采用离线学习的方式获取特征模式集，从而达到在线检测的目的。而这些方法均遵从一个预设的前提：离线学习所需的数据必须是充足而完备的，由此保证获取的特征模式集能够精准地刻画正常程序的行为。而在实际应用中，这个前提往往无法得以充分满足。

第二，特征模式长度的确定标准。一般情况下，特征模式越长，检测过程倾向于捕捉越多的异常行为，但模式精度过粗易于对正常行为产生误判，导致误报率增加；而特征模式越短，检测过程倾向于识别越多的正常行为，但模式精度过细难以对异常行为进行捕捉，导致漏报率增加。由于进程行为兼具规律性与随机性，因此，使用不定长特征模式刻画进程行为会更加合理。然而在方法上，不定长特征模式的获取存在一定难度，难以进行合理的权衡。

发明内容

本发明的目的在于提出并设计一种基于频繁子图挖掘的异常入侵检测方法，以降低检测结果的误报率。

本发明的目的是这样实现的：一种基于频繁子图挖掘的异常入侵检测方法，按以下方式进行：

检测模型分为2个阶段：训练阶段和检测阶段；训练阶段用于完成特征模式集的构建；而检测阶段用于完成系统调用序列的匹配及特征模式集的更新；模型的参数配置部分用于设定训练阶段及检测阶段中相关方法所需的各种阈值；

1)采用特征子图挖掘方法进行特征模式集的构建：

将训练数据样本中的系统调用序列转换为有向图结构；再通过子图挖掘技术，发掘出具有代表性的候选子图结构；所挖掘的候选子图结构中，一部分为与系统调用序列相对应的原生候选子图，其余部分则是以当前系统调用序列为基础，由图结构衍生而来、用于检测未知程序行为的衍生候选子图；

最后，对所有的候选子图结构进行重复性的剪枝及扩展工作，经取舍以后，完成对特征模式集的构建；

在上述特征模式集构建的子图挖掘与剪枝工作中，通过子图特征值辅助判断衍生候选子图的衍生价值，最终决定将其舍弃还是保留并参与衍生过程；以及，在实际系统调用序列检测过程的特征模式匹配工作中，通过子图体征值辅助判断特征模式的选取，特征模式集中的各元素按特征值由高到低的顺序排列，其中，特征值较高的特征模式相应地具有较高的匹配权；

子图特征值设定如下：

C(G^S)＝Size(V(G^S))*min(W(G^S))，其中：

G^S为待评估候选子图；

C(G^S)为G^S的子图特征值；

V(G^S)为G^S的非空有穷结点集；