[发明专利]一种主动对象存储系统上的入侵检测方法

说明书

本发明公开了一种主动对象存储系统上的入侵检测方法，属于计算机网络安全领域，包括：使用主动对象存储系统中的审计功能监控应用程序，获取审计日志信息，根据审计日志信息得到应用程序调用的系统调用信息；根据系统调用信息得到应用程序的溯源信息；对溯源信息并行的进行入侵检测，得到检测结果，当检测结果异常时，说明主动对象存储系统被入侵，当检测结果正常时，说明主动对象存储系统安全。本发明在主动对象存储系统上收集溯源信息，使得入侵检测效率高、入侵检测准确率较高。

技术领域

本发明属于计算机网络安全领域，更具体地，涉及一种主动对象存储系统上的入侵检测方法。

背景技术

溯源数据是一种用来描述对象历史数据的元数据。利用溯源数据可以实现很多新的功能，包括实验文档、安全、搜索和程序调试等。因此，很多学术研究机构构建了收集溯源的系统。目前主流的溯源信息收集系统，比如PASS系统只能收集系统本身上的溯源信息，很难收集其他系统的溯源信息，主动对象存储系统是现在主流的存储系统，PASS系统很难收集主动对象存储系统中的溯源信息进行入侵检测。

网络安全问题越来越严重，个人信息泄密事件频繁发生，目前用于实时入侵检测的方法有很多，采用的方法更多的是对以前入侵检测算法的改进，或者说是通过对硬件的升级来加快入侵检测的效率，然而，现有技术存在入侵检测效率低、入侵检测误检率较高的技术问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种主动对象存储系统上的入侵检测方法，由此解决现有技术存在入侵检测效率低、入侵检测误检率较高的技术问题。

为实现上述目的，本发明提供了一种主动对象存储系统上的入侵检测方法，包括：

(1)使用主动对象存储系统中的审计功能监控应用程序，获取审计日志信息，根据审计日志信息得到应用程序调用的系统调用信息；根据系统调用信息得到应用程序的溯源信息；

(2)对溯源信息并行的进行入侵检测，得到检测结果，当检测结果异常时，说明主动对象存储系统被入侵，当检测结果正常时，说明主动对象存储系统安全。

进一步的，步骤(1)还包括删除重复的溯源信息，消除溯源信息中的循环。

进一步的，系统调用信息包括read系统调用信息、write系统调用信息、fork系统调用信息、open系统调用信息和rename系统调用信息。

进一步的，溯源信息包括used依赖关系、wasGeneratedBy依赖关系、wasControlledBy依赖关系、wasTriggeredBy依赖关系和wasDerivedFrom依赖关系。

进一步的，根据系统调用信息得到应用程序的溯源信息包括：

对于read系统调用信息，根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系，used依赖关系表示进程对象依赖于文件对象；

对于write系统调用信息，根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系，wasGeneratedBy依赖关系表示文件对象依赖于进程对象；

对于fork系统调用信息，根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系，wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象；

对于open系统调用信息，根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系，used依赖关系表示进程对象依赖于文件对象；