一种结合溯源路径和溯源图的实时入侵检测系统技术方案
【技术实现步骤摘要】
一种结合溯源路径和溯源图的实时入侵检测系统
本专利技术属于计算机安全
,更具体地,涉及一种结合溯源路径和溯源图的实时入侵检测系统。
技术介绍
随着计算机网络技术的飞速发展,社会经济、科学和文化等各个领域都离不开网络通信。利用计算机网络实施犯罪的事件已绝不少见。目前常见的安全技术包括防火墙、身份认证、蜜罐诱骗、访问控制和加密等。虽然这些技术在一定程度上可以减少攻击事件的发生,而且,人为的不安全操作同样会导致入侵的发生,例如系统文件配置错误,弱口令等。但并不能完全杜绝黑客的攻击行为。因此,入侵检测技术就成了系统保护的第二层屏障。现有入侵检测系统多是基于主机的入侵检测,记录和分析入侵过程中的系统调用,该类方法没有详细的揭露入侵的内在事件,如系统漏洞在哪,是什么导致了这次入侵的发生等。另一方面,尽管可以通过日志来分析系统被入侵的过程,从大量包含有用户正常行为以及入侵者的非法行为中获取有用日志信息仍然是一个非常繁琐的过程。现有的基于溯源的入侵检测系统,虽然在一定程度上能够准确识别入侵行为,快速找到系统漏洞和入侵来源,但有溯源信息庞大,检测时要先从其中找出依赖关系信息,...
【技术保护点】
一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述系统包括:溯源信息的收集与存储模块(100),用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,拦截掉与入侵检测无关的溯源信息属性,保留溯源信息的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系并存入数据库;规则库生成与压缩模块(200),用于将溯源信息中的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系转换为对象名称之间的依赖关系,并将其存入规则库,再对规则库进行压缩;实时入侵检测模块(300),用于获取待检测溯源信息的对象名称之间的依赖关系,并从中提取出溯源路径与溯源图信息,并与规...
【技术特征摘要】
1.一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述系统包括:溯源信息的收集与存储模块(100),用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,拦截掉与入侵检测无关的溯源信息属性,保留溯源信息的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系并存入数据库;规则库生成与压缩模块(200),用于将溯源信息中的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系转换为对象名称之间的依赖关系,并将其存入规则库,再对规则库进行压缩;实时入侵检测模块(300),用于获取待检测溯源信息的对象名称之间的依赖关系,并从中提取出溯源路径与溯源图信息,并与规则库中的溯源关系作比较来判断入侵攻击是否发生,若判断攻击发生则输出警报,警报内容包括可疑溯源关系,否则就用该待检测溯源信息的对象名称之间的依赖关系实时更新规则库。2.根据权利要求1所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述溯源信息的收集与存储模块(100)包括:溯源生成单元(101),用于在没有外界入侵时拦截系统调用,将系统调用序列转换成溯源信息,所述溯源信息包括:对象节点号、对象名称、环境、命令行参数、进程ID、时间、类型、对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系;溯源拦截单元(102),用于拦截所述溯源信息中和入侵检测不相关的属性信息,保留对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系;溯源信息保存单元(103),用于将拦截后的溯源信息存入数据库,其中对象名称与对象节点号之间的映射关系存入名称库,对象节点号之间的依赖关系存入依赖库。3.根据权利要求1所述的一种结合溯源路径和溯源图的实时入侵检测系统,其特征在于,所述规则库生成与压缩模块(200)包括:规则库生成单元(201),用于从数据库中读取溯源信息的对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系,转换为对象名称之间的的依赖关系并存入规则库G,其中...
【专利技术属性】
技术研发人员:谢雨来,石珍珍,谭支鹏,冯丹,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。