[发明专利]基于子图挖掘的系统调用序列特征模式集生成方法

摘要

本发明涉及计算机软件技术领域，具体涉及的是一种能够用于软件异常行为的监控及入侵检测的基于子图挖掘的系统调用序列特征模式集生成方法。本发明包括：(1)定义相关概念；(2)汇聚系统调用参数类型；(3)确定系统调用属性关系规则；(4)确定子图特征值；(5)系统调用序列预处理；(6)候选子图拓展；(7)冗余子图精简；(8)构造特征模式集。本发明子图特征值的设定能够依照系统调用序列自身的不同情况,自动衡量候选子图的取舍,从而减少后续子图拓展挖掘过程中的工作量，为冗余子图重要程度的量化精简提供了良好的基础。

主权项

基于子图挖掘的系统调用序列特征模式集生成方法，其特征在于，包括如下步骤：(1)定义相关概念系统调用序列S:系统调用的有序序列；系统调用序列片段S’:系统调用短序列；系统调用总图G：指系统调用序列S经数据预处理后产生的有向图；G为一个三元组,即G＝<V,E,W>，其中:V为有穷节点集,E为系统调用总图G中有向边集，W为系统调用总图G中有向边的权值集，代表边在系统调用序列S中出现的次数；候选子图Gs:指在特征模式抽取过程中产生的任意连通子图；GS为一个四元组,即GS＝<V′,E′,W′>；其中:其中:V′为有穷节点集,E′为候选子图GS中有向边集，W′为候选子图Gs中有向边的权值集；原生特征模式GN:具有系统调用序列S局部特性的某种调用关系相对应的,并以图结构形式表征的特征模式；衍生特征模式GD:指以系统调用序列S在转换为有向图结构后所展现出的全局特性为基础,通过子图挖掘过程衍生出来的,并以图结构形式表征的特征模式；设图G＝<V,E>，如果有图G′＝<V′,E′>，且E‘∈E、V′∈V，则称G′为G的子图；设图G＝<V,E>、G′＝<V′,E′>，若存在对应映射g：vi→vi′，且e＝(vi,vj)是G的一条边，当且仅当e′＝(g(vi),g(vj))是G′的一条边，则称G与G′同构；设图G＝<V,E>、G′＝<V′,E′>，若G′为G的子图，且G′与G同构，则称图G包含图G′，记作G′∈G；设候选子图中边e的权重为为边e在候选子图中出现的总次数，T(e)为系统调用总图G中所包含的边e的数目；设候选由e1,e2,…,em共m条边组成，则子图的权重定义为m；设总图G中共包含n个不同的候选子图最大权重和最小权重分别为和则平均权重定义为：将候选子图的支持度记为min_sup为给定的最小支持度；为同构子图的个数与候选子图总数的比值,计算公式为：(2)汇聚系统调用参数类型汇聚后的5个宏类型以及它们的成员即原始定义的数据类型；(3)确定系统调用属性关系规则系统调用特征模式提供所需的上下文信息,用以区分执行不同上下文的同一系统调；设定两种规则分别针对原生特征模式及衍生特征模式；规则一原生特征模式序列实质对应程序一个特定任务的执行：Pi.Sj.Ak＝Pi.Sj′.Ak′其中Pi表示序列模式库中的一个模式，Pi.Sj.Ak即表示Pi模式第j个系统调用的第k个属性，Pi.Sj′.Ak′表示Pi模式第j′个系统调用的第k′个属性，A0表示返回值；规则二Pi.Sj.Akdist‾‾Pi′.Sj′.Ak′(dist<maxdist)]]>其中dist表示一个序列中Sj、Sj‘之间的距离，maxdist为给定的Sj与Sj‘之间的最大距离；(4)确定子图特征值R(GiS)=Size(V(GiS))×max(w(GiS)),sup(GiS)≥min_supSize(V(GiS))×min(w(GiS)),sup(GiS)<min_supMinSize≤V(GiS)≤MaxSize0,else]]>其中:为待评估候选子图；为的子图特征值；为的非空有穷节点集，为的节点集中的节点个数，其中MaxSize、MinSize为子图限定节点数目的最大值与最小值；(5)系统调用序列预处理每条系统调用由系统调用名、系统调用各个参数值、系统调用返回值三个部分组成，每个系统调用名分别对应一个系统调用号；系统调用的符号化形式为：No.(attr1,attr2,attr3,attr4,attr5)＝attr0，其中No.为所代表系统调用名所对应的系统调用号，attr1,attr2,attr3,attr4,attr5分别对应系统调用的5个属性值，attr0代表的是系统调用的返回值；(6)候选子图拓展按照深度优先搜索的方式进行候选子图的扩展：6.1)在添加一个新的节点时,同时添加该节点与当前待扩展子图中的所有节点间存在的前趋或后继关系；6.2)在进行子图扩展时,只考虑待扩展节点的出边；进行对于任一候选子图的一次拓展，添加中任一节点nodei,由该点出发，沿着该节点的任一出边访问并添加其下一节点nodej，再从nodej出发，沿着其任一出边进行类似的方式进行节点的添加，直至当前节点的所有出边节点都已被访问过为止；对于候选子图的每次后续拓展均从其第一次拓展的初始起点出发，在拓展过程当中，对于出边的选择，均从当前节点尚未被添加过的出边出发；(7)冗余子图精简7.1)计算出所有候选子图的平均权重；7.2)遍历候选子图列表，将所有权重值低于平均权重或特征值为0的候选子图从候选子图列表中进行删除；7.3)遍历候选子图列表，对表中的任意两个子图进行同构判断，删除链表中存在的多余同构子图；(8)构造特征模式集8.1)进行系统调用序列的预处理；8.2)创建候选子图列表、原生特征模式集列表、衍生特征模式列表、子图特征值列表、权重值列表、属性关系集列表，并将其设置为空；8.3)将经过预处理转换后获取的候选子图存入到候选子图列表中，以此完成对候选子图列表的初始化，其中的任意一项称之为候选父子图；8.4)按照本发明中的子图特征值设定方法及权重值计算公式，对所有的候选父子图的特征值及权重值进行计算，并分别将其存储在特征值数组及权重值数组中；8.5)根据本发明中的子图精简方法实现对候选子图列表中冗余子图的精简；8.6)从精简后的候选父子图列表中移除头部的候选父子图；8.7)依照本发明中的候选子图拓展方法进行候选父子图的一次扩展，扩展的结果称为候选子子图；8.8)如果当前父子图在候选子图列表中不存在前子图或当前候选子子图不是当前父子图的第一个拓展子图，跳转到8.12)；否则，转入8.9)；8.9)将两个候选子子图连接起来作为一个特征模式存入到衍生特征模式中；8.10)若前一父子图的最后一个候选子子图与当前候选子子图节点之间不存在着如规则二所示关系，跳转到8.12)；否则，转入8.11)；8.11)将这两个子子图之间的关系形式化存储到属性关系集列表中；8.12)将当前候选子子图存入原生特征模式集列表中；8.13)如果当前候选子子图内部节点之间不存在如规则一所示的关系，跳转到8.15)；否则，转入8.14)；8.14)将此关系形式化存储到属性关系集列表中；8.15)如果当前候选父子图能够继续拓展出新的子子图，返回8.7)；否则，转入8.16)；8.16)如果候选父子图列表不为空，返回8.6)；否则，转入8.17)；8.17)将原生特征模式集列表、衍生特征模式集列表及属性关系集列表作为最终结果返回,算法至此结束；8.18)系统调用序列的特征模式集由原生特征模式集和衍生特征模式集中的特征模式构成；属性关系集列表作为系统调用序列间属性关系的存储，反映的是特征模式集当中特征模式中存在的关系。