[发明专利]一种基于Docker虚拟化的信息系统入侵检测方法

权利要求书

1.一种基于Docker虚拟化的信息系统入侵检测方法，其特征在于，包括如下步骤：通过监听主机和容器间网络中的数据包来获取数据来源，然后通过捕获的数据流完成数据的采集工作，进而经过支持向量机的学习和分类，区分正常信息和外来入侵，实现对外来入侵的检测；

其中支持向量机的学习和分类过程分为两个阶段，第一个阶段为训练阶段，使用支持向量库中的训练数据训练SVM即支持向量机分类器，训练时采用SVM主动学习算法，具体如下：

第一个阶段，训练阶段：

(1)从候选样本集u中选择i个样本并正确标注其类别，构造初始训练样本集T，使T中至少包含一个输出y为1和y为-1的样本；其中候选样本集u是指未带类别标注的候选样本集u，每次从u中采样个数为1；

(2)根据训练集T构造SVM分类器f即分类器，预标记样本；

(3)对u中所有样本使用SVM分类器f，标注为其中为分类器SVM分类器f给向量x预先打上的标注；

(4)从样本集u中选择一个离分类边界最近的未标注样本

(5)将该样本正确标注后加入训练集T中，其中y为x的正确标注；

(6)计算检测精度；

(7)当检测精度大于等于95％时，算法终止，返回SVM分类器f；否则重复第(2)步；

第二个阶段，检测阶段：

(1)通过捕获流进主机和Docker容器间的数据流，完成数据采集工作；

(2)检测阶段对数据的处理：

a)将捕获的数据包进行特征提取；

b)将所有类型的数据转换成以二进制表示的数字形式，具体是采用基于距离度量函数HVDM即异构距离函数的方法，对数据进行归一化处理；

c)对这些特征值的范围进行处理，使得每类特征数据的取值范围在[0,1]中，捕获的数据包经过数据预处理后，转化为支持向量机能够处理的向量化形式；

d)将处理的数据存入支持向量库，支持向量库中保存了SVM训练数据、实时检测数据及检测结果；

(3)将经过数据预处理的数据包进行检测，得到预测输出值y，当y为1时 ，表示为正常网络通信；当y为-1时，表示异常的网络通信，即有外来事件入侵Docker容器；

(4)检测结果存入支持向量库；

(5)将入侵检测系统以app的形式封装到Docker的容器中，将此容器和主机组成host主机模式，而其它容器以bridge网桥形式和主机进行网络通信；

(6)当检测到入侵时，封装有入侵检测系统的容器通过和主机的网络连接给被入侵的容器发送指令docker stop来终止被入侵容器的运行，或者发送指令docker rm直接删除被入侵的容器；

(7)若时间检测有误，则进行误差分析，并重新训练SVM分类器。