【技术实现步骤摘要】
一种主机入侵检测方法和装置
本专利技术涉及计算机
,尤其涉及一种主机入侵检测方法和装置。
技术介绍
随着Intentet的广泛应用和网络空间信息流的急剧增长,各领域在得益于网络发展的同时,其数据的安全性也受到了严重的威胁。就数据检测而言,入侵检测可以分为两大类型,基于网络的入侵检测和基于主机的入侵检测。网络型入侵检测主要是检测网络上的原始数据包,从而判断数据包中是否有攻击行为;主机型入侵检测主要通过分析主机上日志、主机流量、进程行为等多方面的信息,判断主机是否遭受攻击。对于主机型入侵检测,当前主要采用误用检测和异常检测两种手段:误用检测,就是利用已知的特征库对用户的行为进行检测;异常检测,就是收集大量正常数据,对行为进行建模,对不符合模型的行为,则会判别为攻击。现有的主机型入侵检测方法至少存在以下不足:(1)误用检测无法有效检测出未知攻击行为;(2)异常检测的误报率比较高,对正常业务有一定的影响。
技术实现思路
有鉴于此,本专利技术实施例提供一种主机入侵检测方法和装置...
【技术保护点】
1.一种主机入侵检测方法,其特征在于,包括:/n采集主机的信号数据,所述信号数据包括:静态信号数据n和动态信号数据s;/n从预设的特征库中查找与所述静态信号数据匹配的静态检测规则ret
【技术特征摘要】 【专利技术属性】
1.一种主机入侵检测方法,其特征在于,包括:
采集主机的信号数据,所述信号数据包括:静态信号数据n和动态信号数据s;
从预设的特征库中查找与所述静态信号数据匹配的静态检测规则rets;
根据所述动态信号数据和SVM模型获取动态预测结果retd;所述SVM模型的训练参数是采用粒子群优化算法得到的;
根据所述静态检测规则rets和所述动态预测结果retd判断所述主机的当前进程是否为攻击行为。
2.如权利要求1所述的方法,其特征在于,所述静态信号数据包括以下至少之一:CPU使用率,内存使用率,生成的套接字连接数,敏感文件变更信息;
所述动态信号数据是根据所述主机运行当前进程时产生的系统调用序列确定的。
3.如权利要求1所述的方法,其特征在于,所述预设的特征库包括:预设的多条检测结果,以及与每条检测结果对应的检测规则;从预设特征库中查找与所述静态信号数据匹配的静态检测规则rets,包括:
从预设的特征库中查找与所述静态信号数据匹配的检测结果;
以所述检测结果对应的检测规则作为与所述静态信号数据匹配的静态检测规则rets。
4.如权利要求1所述的方法,其特征在于,根据所述动态信号数据和SVM模型获取动态预测结果retd,包括:
步骤A:读取训练样本集,并将所述动态信号数据传递给SVM模型的训练参数完成第1次训练,得到初始预测模型;
步骤B:读取测试样本集,并利用初始预测模型完成测试样本的态势值预测,得到初始预测结果;
步骤C:使用粒子群算法中的适应度函数F计算初始预测结果与测试样本集中真实态势值的误差;
步骤D:若满足F收敛条件,则初始预测模型即为最终预测模型;否则,采用粒子群算法迭代并传递第2组训练参数给SVM模型,然后循环执行步骤A至步骤C,直至得到满足F收敛条件的最终预测模型为止;最终预测模型对应的预测结果即为所述动态预测结果retd。
5.如权利要求1所述的方法,其特征在于,根据所述静态检测规则rets和所述动态预测结果retd判断所述主机的当前进程是否为攻击行为,包括:
根据所述静态检测规则rets和所述动态预测结果retd生成当前进程的检测结果R(rets,retd);
当当前进程的检测结果R在预设的阈值范围内时,则判定所述主机的当前进程是攻击行为;否则判定所述主机的当前进程不是攻击行为。
6.如权利要求5所述的方法,其特征在于,判定所述主机的当前进程是攻击行为之后,还包括:
提取所述攻击行为的攻击特征码以形成所述攻击行为的检测规则,并将所述攻击行为对应的检测结果和检测规则保存所述主机的特征库。
7.如权利要求6所述的方法,其特征在于,还包括:将所述主机的特征库中保存的检测结果和检测规则更新至其他主机的特征库。
8.一种主机入侵检测装置,其特征在于,包括:
数据采集模块,采集主机的信号数据,所述信号数据包括:静态信号数据n和动态信号数据s;
技术研发人员:刘明浩,郝益壮,洪艳,
申请(专利权)人:北京京东金融科技控股有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。