[发明专利]基于频繁子图挖掘的异常入侵检测方法有效
申请号: | 201010285726.6 | 申请日: | 2010-09-19 |
公开(公告)号: | CN101976313A | 公开(公告)日: | 2011-02-16 |
发明(设计)人: | 王俊峰;刘辉;高翔;佘春东;邢李泉 | 申请(专利权)人: | 四川大学 |
主分类号: | G06F21/00 | 分类号: | G06F21/00;G06N99/00;H04L29/06 |
代理公司: | 成都信博专利代理有限责任公司 51200 | 代理人: | 舒启龙 |
地址: | 610065 四川*** | 国省代码: | 四川;51 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | 一种基于频繁子图挖掘的异常入侵检测方法,属网络安全的入侵检测方法。本发明引入频繁子图挖掘理论,利用系统调用序列转化为有向图结构后所特有的衍生能力,能够以较小的训练数据规模获取数量可观且行之有效的衍生特征模式,较大程度地减少了离线学习过程对训练数据量的依赖,从而更易于应对实时检测中的各种情况。同时,经扩充的特征模式集具备识别未知程序行为的能力,能有效降低检测结果的误报率。 | ||
搜索关键词: | 基于 频繁 挖掘 异常 入侵 检测 方法 | ||
【主权项】:
一种基于频繁子图挖掘的异常入侵检测方法,其特征是:按以下方式进行:检测模型分为2个阶段:训练阶段和检测阶段;训练阶段用于完成特征模式集的构建;而检测阶段用于完成系统调用序列的匹配及特征模式集的更新;模型的参数配置部分用于设定训练阶段及检测阶段中相关方法所需的各种阈值;1)采用特征子图挖掘方法进行特征模式集的构建:将训练数据样本中的系统调用序列转换为有向图结构;再通过子图挖掘技术,发掘出具有代表性的候选子图结构;所挖掘的候选子图结构中,一部分为与系统调用序列相对应的原生候选子图,其余部分则是以当前系统调用序列为基础,由图结构衍生而来、用于检测未知程序行为的衍生候选子图;最后,对所有的候选子图结构进行重复性的剪枝及扩展工作,经取舍以后,完成对特征模式集的构建;在上述特征模式集构建的子图挖掘与剪枝工作中,通过子图特征值辅助判断衍生候选子图的衍生价值,最终决定将其舍弃还是保留并参与衍生过程;以及,在实际系统调用序列检测过程的特征模式匹配工作中,通过子图体征值辅助判断特征模式的选取,特征模式集中的各元素按特征值由高到低的顺序排列,其中,特征值较高的特征模式相应地具有较高的匹配权;子图特征值设定如下:C(GS)=Size(V(GS))*min(W(GS)),其中:GS为待评估候选子图;C(GS)为GS的子图特征值;V(GS)为GS的非空有穷结点集;Size(V(GS))为GS的结点集V(GS)中的结点个数,Size(V(GS))≥1;W(GS)为GS的有向边权值集;min(W(GS))为GS的有向边权值集W(GS)中的最小权值,min(W(GS))≥1;上述所有的候选子图按以下规则进行剪枝:规则1为特征模式集构建方法设定各种限制性阈值,其中:①阈值BeamWidth:用于设定每层子图扩展所需处理的候选子图数量上限;在扩展过程中,如果候选子图数量达到该扩展域宽上限,则对所有的候选子图依照特征值留大弃小的原则进行取舍;②阈值MaxSubSize:用于设定候选子图结点数目上限,即应满足Size(V(GS))≤MaxSubSize;③阈值MinSubSize:用于设定候选子图结点数目下限,即应满足Size(V(GS))≥MinSubSize;④阈值MinChValue:用于设定候选子图特征值下限,即应满足C(GS)≥MinChValue;如果当前候选子图的特征值低于该下限,表明该子图不具备足够的衍生价值,不能参与下一层的衍生过程;⑤阈值MaxBest:用于设定特征模式集规模上限;一旦超过该上限,取舍原则同阈值BeamWidth中的设定;⑥阈值LoopLimit:用于限制子图扩展层数;规则2忽略子图扩展过程中产生的所有不可序列化子图;规则3在进行子图扩展时,只考虑待扩展结点的出边,忽略其入边;上述子图扩展方法为:每次扩展添加一个结点,及该结点所有的相应边,或者,每次扩展仅仅添加一条边;2)在模型的检测阶段,采用系统调用序列匹配方法:首先,设置检测窗口阈值,以限制局部检测范围,然后重复如下过程:依次读入窗口序列中的单体系统调用,构成待检项,并与相应的特征模式进行匹配;完成窗口序列的匹配,将检测窗口顺移,准备下一次局部匹配过程,直至全部系统调用序列匹配完毕;并且,结合系统调用序列及图形式下的特征模式各自的特性,在检测过程中减少待检项匹配次数,降低整体匹配时耗;以及在进行特征模式匹配工作的同时,记录衍生特征模式被采纳的情况,检测结束后,根据该记录将被采纳的衍生特征模式转化为原生特征模式,完成对特征模式集的更新,并同时剔除长期未被采纳的冗余衍生特征模式,精简特征模式集规模,从而进一步提升检测效率。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010285726.6/,转载请声明来源钻瓜专利网。