[发明专利]应用程序的入侵检测方法

说明书

本发明公开了一种应用程序的入侵检测方法，具体包括如下步骤：步骤100：有序调取系统调用记录，生成实时系统调用列表；步骤200：采用N‑Gram算法将实时系统调用列表分成多个字节片段，并根据每条系统调用记录中出现的字节片段的种类及频次生成系统调用包；步骤300：根据正常行为数据库和异常行为数据库，通过分类算法对系统调用包进行预分类，统计每个属于异常行为的系统调用包的频次是否超过规定值，并根据统计结果更新正常行为数据库及异常行为数据库。根据上述技术方案的应用程序的入侵检测方法，通过采用N‑Gram算法将有序的系统调用分成若干字节片段，降低入侵检测方法的存储空间需求，同时保证入侵检测方法的准确率。

技术领域

本发明涉及计算机领域，特别涉及一种应用程序的入侵检测方法。

背景技术

容器是将进程和文件系统抽象为独立与内核的单个单元的方法，它提供一个 轻量级的虚拟环境，将一组进程和资源(如内存、CPU、磁盘等)与主机和任何 其他容器进行分组和隔离。Docker是容器技术的一个例子。通过使用控制组和安 全组件，可以最小化攻击面，但是，对容器中运行的应用程序的攻击仍然有可能 发生，随着容器在个人和工业用途中的吸引力越来越大，越来越多的关键任务集 成到了容器中，因此恶意攻击的实时检测显得尤为重要。

现有的对系统调用的异常检测常用两种基本方法：基于序列的方法和基于频 率的方法。前者要求系统调用序列完全有序，有较差的准确率和较高的存储要求， 后者忽略系统的调用顺序，使得基于频率的技术需要更少的存储空间和更好的性 能，但也使得误报率大大增加。

发明内容

发明目的：本发明的目的是提出一种应用程序的入侵检测方法，可以在保证 需要较少的存储空间的同时，具有较高的准确率及误报率。

技术方案：本发明所述的应用程序的入侵检测方法，包括如下步骤：

步骤100：有序调取系统调用记录，生成实时系统调用列表；

步骤200：采用N-Gram算法将实时系统调用列表分成多个字节片段，并根 据每条系统调用记录中出现的字节片段的种类及频次生成系统调用包；

步骤300：根据正常行为数据库和异常行为数据库，通过分类算法对系统调 用包进行预分类，统计每个属于异常行为的系统调用包的频次是否超过规定值， 并根据统计结果更新正常行为数据库及异常行为数据库。

进一步的，所述步骤300中的正常行为数据库和异常行为数据库，由以下步 骤训练生成：

步骤400：当操作执行完毕，系统调用停止新增时，调取所有的系统调用记 录并生成系统调用列表副本；

步骤410：采用N-Gram算法将系统调用列表副本分成多个字节片段，并统 计每个字节片段的出现频次；

步骤420：取所有字节片段中出现频次排名前N的字节片段，依据出现频次 为每个字节片段标记索引1至N生成字节片段索引表，在字节片段索引表的末尾 增加索引N+1用于对应所有未出现在字节片段索引表内的字节片段，其中N为 大于0的自然数；

步骤430：根据已知的正常行为及异常行为将系统调用列表副本分为正常行 为样本及异常行为样本，并根据正常行为样本及异常行为样本中每条调用记录中 出现的字节片段的种类及频次生成系统调用包，统计正常行为样本中的调用记录 生成的系统调用包及其出现频次构建正常行为数据库，统计异常行为样本中的调 用记录生成的系统调用包的种类及频次构建异常行为数据库。

进一步的，所述步骤200及所述步骤430中的系统调用包都根据所述步骤420 中的字节片段索引表生成，系统调用包的结构为＜k₁,k₂...k_n＞，其中k_i表示该条 系统调用中，字节片段索引表中索引为i的字节片段出现的次数。

进一步的，所述步骤300包括：