[发明专利]一种主动对象存储系统上的入侵检测方法

权利要求书

1.一种主动对象存储系统上的入侵检测方法，其特征在于，包括如下步骤：

(1)使用主动对象存储系统中的审计功能监控应用程序，获取审计日志信息，根据审计日志信息得到应用程序调用的系统调用信息；根据系统调用信息得到应用程序的溯源信息；

(2)对溯源信息并行的进行入侵检测，得到检测结果，当检测结果异常时，说明主动对象存储系统被入侵，当检测结果正常时，说明主动对象存储系统安全；

所述系统调用信息包括read系统调用信息、write系统调用信息、fork系统调用信息、open系统调用信息和rename系统调用信息；

所述溯源信息包括used依赖关系、wasGeneratedBy依赖关系、wasControlledBy依赖关系、wasTriggeredBy依赖关系和wasDerivedFrom依赖关系；

所述used依赖关系表示一个进程使用某个生成的结果，

所述wasGeneratedBy依赖关系表示一个生成的结果由某个进程产生，

所述wasControlledBy依赖关系表示一个进程由某个代理控制，

所述wasTriggeredBy依赖关系表示若不知道进程P2使用的确切结果，但有另一个进程P1生成的某些结果，进程P2由P1触发，

所述wasDerivedFrom依赖关系表示即使结果A2可能由使用另外结果的进程产生，但并不会告诉A2具体依赖于哪个结果，因此为了显示依赖性，就需要断言A2由另一个结果A1导出；所述生成的结果即为文件对象；

所述根据系统调用信息得到应用程序的溯源信息包括：

对于read系统调用信息，根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系，used依赖关系表示进程对象依赖于文件对象；

对于write系统调用信息，根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系，wasGeneratedBy依赖关系表示文件对象依赖于进程对象；

对于fork系统调用信息，根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系，wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象；

对于open系统调用信息，根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系，used依赖关系表示进程对象依赖于文件对象；

对于rename系统调用信息，根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系，wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。

2.如权利要求1所述的一种主动对象存储系统上的入侵检测方法，其特征在于，所述步骤(1)还包括删除重复的溯源信息，消除溯源信息中的循环。

3.如权利要求1或2所述的一种主动对象存储系统上的入侵检测方法，其特征在于，所述入侵检测的具体实现方式为：

根据正常溯源信息建立规则库，判断溯源信息是否属于规则库，如果属于规则库则认为是检测结果正常，如果不属于规则库则根据溯源信息查找多条路径，得到每条路径的判决值，如果某条路径的判决值大于判决值阈值则认为该条路径的活动是异常活动，检测结果异常，如果某条路径的判决值小于判决值阈值则认为该条路径的活动是正常活动。