一种入侵检测模型的建立方法和装置制造方法及图纸

本发明专利技术公开了一种入侵检测模型的建立方法和装置，属于计算机系统安全领域，所述方法包括：S1：收集多种易受入侵应用对应的原始溯源信息并对粗略过滤；S2：对原始溯源信息进行预处理将冗余信息与入侵检测无关的信息进行过滤及剪枝；S3：引入SSD和HDD两种存储介质实现预处理后的溯源信息的冷热存储，利用预处理后的各进程节点间的依赖关系建立溯源规则库；S4：根据查询请求对预处理后溯源信息的查询情况进行记录，并根据记录结果进行冷热数据的调度将长期未被使用到的溯源信息进行压缩；S5：利用主动学习方法完善溯源规则库，利用完善后的溯源规则库建立目标入侵检测模型。本发明专利技术根据正常样本建立的目标入侵检测模型具备高识别率，准确性高。

【技术实现步骤摘要】
一种入侵检测模型的建立方法和装置
本专利技术属于计算机系统安全领域，更具体地，涉及一种入侵检测模型的建立方法和装置。
技术介绍
随着现代攻击方法变得越来越隐蔽和复杂，一方面导致选择用于入侵检测数据的可靠性与有效性变得尤为重要；另一方面导致在大数据环境中带标记的样本更难以获取。因此如何在大数据环境下基于可靠的数据使用少量标记样本实现准确的入侵检测，这对当前用户构成了挑战。传统的入侵检测系统通常使用系统调用来分析和识别基于主机的入侵。由于这些方法未提及系统漏洞的位置和入侵原因，因此检测精度较低。与系统调用相比，系统日志或溯源提供了对象所有权及其之间的依赖关系的详细结构化历史记录，从而极大地确保了数据的完整性和安全性。然而基于溯源的异常检测方法通常需要大量标记的数据集样本进行学习和训练，这也导致对检测模型的训练需要大量的人力和时间。
技术实现思路
针对现有技术的以上缺陷或改进需求，本专利技术提供了一种入侵检测模型的建立方法和装置，解决现有技术中未考虑异常检测模型特点以及溯源数据特征，从而导致无法以少量的标签数据建立准确高识别率的目标入侵检测模型的技术问题。为实现上述目的，按照本专利技术的一个方面，提供了一种入侵检测模型的建立方法，包括：S1：利用溯源收集系统收集多种易受入侵应用对应的原始溯源信息，并对所述原始溯源信息粗略过滤，所述原始溯源信息包括：进程节点的名称及各个所述进程节点之间的依赖关系；S2：对所述原始溯源信息进行预处理，将包括临时文件及环境变量的冗余信息与入侵检测无关的信息进行过滤及剪枝，以压缩所述依赖关系的数量；S3：引入固态硬盘SSD和硬盘驱动器HDD两种存储介质实现所述预处理后的溯源信息的冷热存储；利用预处理后的溯源信息中各个进程节点之间的依赖关系建立溯源规则库，将所述溯源规则存入所述两种存储介质；S4：根据用户发来的查询请求对所述预处理后的溯源信息的查询情况进行记录，并根据记录结果进行冷热数据的调度，将长期未被使用到的溯源信息进行压缩，以节约溯源信息的空间开销；S5：基于所述溯源规则库在原始溯源入侵检测模型上，利用主动学习方法完善所述溯源规则库，利用所述溯源规则库建立目标入侵检测模型。在其中一个实施例中，所述溯源收集系统包括网络溯源拦截层、网络溯源观察层、网络溯源分析层和网络溯源分布层；所述步骤S1包括：利用所述网络溯源拦截层拦截accept、connect、send和recv系统调用；利用所述网络溯源观察层初始化socket结构中加入的溯源变量，收集与所述socket结构连接相关联的IP地址、端口号信息、用户ID和连接创建时间；利用所述网络溯源分析层处理所述原始溯源信息，去掉重复的信息并且保证不会出现环；利用所述网络溯源分布层将获得的所述原始溯源信息写入溯源文件系统并保存。在其中一个实施例中，所述步骤S2包括：将收集到的所述原始溯源信息表现为节点与节点之间相互依存进而建立相应的依赖关系；相互连接的每个节点中包含对进程以及文件对象进行描述的属性信息；从溯源流中选择用于检测入侵的关键数据，以节省存储空间并提高检测效率；省略程序执行期间生成的临时文件或管道的来源来过滤数据；其中，删除pid和时间戳相关的冗余信息。在其中一个实施例中，所述步骤S3包括：将预处理得到的溯源信息进行处理，获取溯源规则数据，并利用溯源规则混合存储模块建立所述溯源规则库；引入SSD和HDD两种存储介质实现溯源信息的冷热存储，首先全部所述预处理得到的溯源信息无差别的存入HDD中，当收到主动学习的查询请求后，进行实时冷热调度；溯源查询时常会根据节点的依赖关系对节点的全部子节点进行递归查找，以发现节点的全部历史变化过程；将查询的反馈结果返回并将查询到的规则迁移到SSD中，同时在SSD中维护规则数据的淘汰列表，所述淘汰列表用于存储规则关系并使用LRU队列，每次查询后重新维护所述LRU队列，所述LRU队列中的队尾数据为最近且最少使用的规则关系。在其中一个实施例中，所述步骤S3还包括：当SSD存放满之后，将SSD中变冷的数据替换出HDD，以实现冷热数据分级存储，提高查询效率。在其中一个实施例中，所述步骤S4包括：根据主动学习查询请求对溯源信息的查询情况进行记录，并根据记录结果进行冷热数据的调度，将磁盘中的数据分为温数据和冷数据；周期性启动一次并将周期内未被查询到的溯源文件进行bzip压缩，且将之前的查询记录清空。在其中一个实施例中，所述步骤S5中利用主动学习方法完善所述溯源规则库，包括：S51：从正常数据集中随机选择学习样本，将所述学习样本添加到训练集中进行学习，并生成初始规则库；S52：利用所述溯源入侵检测模型对所述初始规则库进行学习，检测其他未选择样本，并判断所述未选择样本是否为异常样本以及图可疑程度；S53：通过主动学习查询策略优先选择所述溯源入侵检测模型判断为异常且对应图可疑度大的目标样本，将所述目标样本添加到训练集中并更新规则库；S54：重复步骤S51至步骤S53不断添加样本更新所述溯源规则库，以少量的标签数据实现完整的溯源规则库的更新。按照本专利技术的另一方面，提供了一种入侵检测模型的建立装置，包括：收集模块，用于利用溯源收集系统收集多种易受入侵应用对应的原始溯源信息，并对所述原始溯源信息粗略过滤，所述原始溯源信息包括：进程节点的名称及各个所述进程节点之间的依赖关系；预处理模块，用于对所述原始溯源信息进行预处理，将包括临时文件及环境变量的冗余信息与入侵检测无关的信息进行过滤及剪枝，以压缩所述依赖关系的数量；存储模块，用于引入SSD和HDD两种存储介质实现所述预处理后的溯源信息的冷热存储；利用预处理后的溯源信息中各个进程节点之间的依赖关系建立溯源规则库，将所述溯源规则存入所述两种存储介质；记录模块，用于根据用户发来的查询请求对所述预处理后的溯源信息的查询情况进行记录，并根据记录结果进行冷热数据的调度，将长期未被使用到的溯源信息进行压缩，以节约溯源信息的空间开销；建立模块，用于基于所述溯源规则库在原始溯源入侵检测模型上，利用主动学习方法完善所述溯源规则库，利用所述溯源规则库建立目标入侵检测模型。总体而言，通过本专利技术所构思的以上技术方案与现有技术相比，能够取得下列有益效果：(1)本专利技术中的目标入侵检测模型是根据正常样本建立的，而以往主动学习方法均根据正常样本集和异常样本集提出的，解决了以往主动学习方法难以适用于溯源入侵检测模型，导致无法选取到能够极大地改善检测模型的样本的缺点，提高了目标入侵检测模型的识别准确率。(2)定义溯源样本与当前规则库之间的差异程度的指标，由于入侵行为可以通过记录入侵过程和受感染文件之间的依赖关系来描述。基于溯源入侵检测模型使用溯源节点之间的关系进行入侵检测，对于溯源信息通过当前规则库的入侵检测模型对样本进行检测，判定该样本是否为异常以及其图怀疑度本文档来自技高网...

【技术保护点】
1.一种入侵检测模型的建立方法，其特征在于，包括：/nS1：利用溯源收集系统收集多种易受入侵应用对应的原始溯源信息，并对所述原始溯源信息粗略过滤，所述原始溯源信息包括：进程节点的名称及各个所述进程节点之间的依赖关系；/nS2：对所述原始溯源信息进行预处理，将包括临时文件及环境变量的冗余信息与入侵检测无关的信息进行过滤及剪枝，以压缩所述依赖关系的数量；/nS3：引入固态硬盘SSD和硬盘驱动器HDD两种存储介质实现所述预处理后的溯源信息的冷热存储；利用预处理后的溯源信息中各个进程节点之间的依赖关系建立溯源规则库，将所述溯源规则存入所述两种存储介质；/nS4：根据用户发来的查询请求对预处理后的溯源信息的查询情况进行记录，并根据记录结果进行冷热数据的调度，将长期未被使用到的溯源信息进行压缩，以节约溯源信息的空间开销；/nS5：基于所述溯源规则库在溯源入侵检测模型上，利用主动学习方法完善所述溯源规则库，利用所述溯源规则库建立目标入侵检测模型。/n

【技术特征摘要】
1.一种入侵检测模型的建立方法，其特征在于，包括：
S1：利用溯源收集系统收集多种易受入侵应用对应的原始溯源信息，并对所述原始溯源信息粗略过滤，所述原始溯源信息包括：进程节点的名称及各个所述进程节点之间的依赖关系；
S2：对所述原始溯源信息进行预处理，将包括临时文件及环境变量的冗余信息与入侵检测无关的信息进行过滤及剪枝，以压缩所述依赖关系的数量；
S3：引入固态硬盘SSD和硬盘驱动器HDD两种存储介质实现所述预处理后的溯源信息的冷热存储；利用预处理后的溯源信息中各个进程节点之间的依赖关系建立溯源规则库，将所述溯源规则存入所述两种存储介质；
S4：根据用户发来的查询请求对预处理后的溯源信息的查询情况进行记录，并根据记录结果进行冷热数据的调度，将长期未被使用到的溯源信息进行压缩，以节约溯源信息的空间开销；
S5：基于所述溯源规则库在溯源入侵检测模型上，利用主动学习方法完善所述溯源规则库，利用所述溯源规则库建立目标入侵检测模型。


2.如权利要求1所述的入侵检测模型的建立方法，其特征在于，所述溯源收集系统包括网络溯源拦截层、网络溯源观察层、网络溯源分析层和网络溯源分布层；所述步骤S1包括：
利用所述网络溯源拦截层拦截accept、connect、send和recv系统调用；
利用所述网络溯源观察层初始化socket结构中加入的溯源变量，收集与所述socket结构连接相关联的IP地址、端口号信息、用户ID和连接创建时间；
利用所述网络溯源分析层处理所述原始溯源信息，去掉重复的信息并且保证不会出现环；
利用所述网络溯源分布层将获得的所述原始溯源信息写入溯源文件系统并保存。


3.如权利要求1所述的入侵检测模型的建立方法，其特征在于，所述步骤S2包括：
将收集到的所述原始溯源信息表现为节点与节点之间相互依存进而建立相应的依赖关系；相互连接的每个节点中包含对进程以及文件对象进行描述的属性信息；
从溯源流中选择用于检测入侵的关键数据，以节省存储空间并提高检测效率；省略程序执行期间生成的临时文件或管道的来源来过滤数据；其中，删除pid和时间戳相关的冗余信息。


4.如权利要求1所述的入侵检测模型的建立方法，其特征在于，所述步骤S3包括：
将预处理得到的溯源信息进行处理，获取溯源规则数据，并利用溯源规则混合存储模块建立所述溯源规则库；
引入SSD和HDD两种存储介质实现溯源信息的冷热存储，首先全部所述预处理得到的溯源信息无差别的存入HDD中，当收到主动学习的查询请求后，进行实时冷热调度；溯源查询时常会根据节点的依赖关系对节点的全部子节点进行递归查找，以发现节点的全部历史变...

【专利技术属性】
技术研发人员：谢雨来，李锦，吴雅锋，冯丹，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：湖北;42