本发明专利技术公开了一种基于固有子序列模式分解的主机入侵检测方法,包括以下步骤:①规则定义;②获取Windows Native API数据序列,将进程的序列首先分解为一个固有子序列模式集,然后对这些固有子序列模式依照其支持度进行分层;③将疑似序列分解为若干层,每层含有相似支持度的固有子序列模式;④将正常的进程序列与疑似序列按照相应的层进行匹配,根据匹配的数量,计算出异常程度,判断疑似序列的是否异常。该方法克服了现有技术中存在的不足,能够准确、有效地识别已有的攻击和日益增多的新的攻击。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体涉及一种主机入侵检测方法。技术背景计算机联网技术的发展改变了以单机为主的计算模式。但是,网络入侵的风 险性和机会也相应地急剧增多。设计安全措施来防范未经授权访问系统的资源 和数据,是当前网络安全领域的一个十分重要而迫切的问题。入侵检测就是在 这样的背景下产生和发展起来的一种网络安全技术。具体来说,入侵检测就是 对网络系统的运行状态进行监视,检测发现各种攻击企图、攻击行为或攻击结 果,以保证系统资源的机密性、完整性和可用性。入侵检测技术主要分为误用检测(misuse detection)和异常检测(anomaly detection)两类。其中,误用检测是根 据已知的攻击特征建立一个特征库,然后将采集的数据与特征库中特征进行匹 配,若存在匹配的特征,则表明其是一个入侵行为。传统的特征码检测技术就 是一种误用检测,其不能有效的检测出病毒的变种、加密病毒和新病毒等。而 异常检测则是将用户正常的行为特征存储在特征数据库中,然后将用户当前行 为与特征库中的特征进行比较,若偏离达到了一定程度,则说明发生了异常。 这两种技术各有优缺点,误用检测能够准确检测到已知攻击事例,但对新型攻 击行为却无能为力;异常检测可以检测到新型攻击,其误检率却比较高,且不 能描述入侵行为的类别。中国专利200510056935.2公开了 一种《基于序列模式挖掘的程序级入侵检测 系统和方法》,4支术方案如下一种基于序列模式挖掘的程序级入侵检测系统和方法,该系统由控制模块、 数据采集和预处理模块、训练模块、储存模块、检测模块、检测结果输出模块 組成,配置在需要监控的服务器上。该系统采用基于数据挖掘的异常检测技术, 通过监控网络服务器中特权进程的运行情况来检测网络中各种攻击活动;即以特权程序运行时产生的系统调用作为审计数据,利用数据挖掘技术中的序列模 式表示一个特权程序的正常行为,根据序列的支持度或可信度在训练数据中挖掘正常的序列模式,并建立相应的正常序列模式库;检测时通过将当前序列模 式和正常的序列模式进行比较和匹配来识别攻击行为,以便引起网络安全管理 员的密切注意和采取相应的处理措施来保证安全。 该系统的主要模块功能如下控制模块负责设置系统的工作状态和各种参数,并对数据采集和与处理 模块、训练模块、检测模块和整个系统的运行进行控制;数据采集和预处理模块,负责从服务器中获取原始的训练数据或者审计数 据,即程序运行过程中产生的系统调用,并将这些原始训练数据或者升级数据 进行预处理,滤除系统调用参数后,分别送入训练模块或者检测模块,用于训 练或检测;训练模块,负责利用训练数据进行训练,建立正常序列模式库;存储模块,用于存储训练模块所建立的正常序列模式库,并在检测时,供 检测模块进行检索比较;检测结果输出模块,负责显示检测模块产生的判决值,并根据检测模块的 报警信息对攻击行为进行报警。该专利技术提供的基于序列模式挖掘的程序级入侵检测方法的步骤简述如下(1) 系统启动;(2) 系统等待工作信息和指令的输入时,由控制模块设置系统的工作状态 和工作参数,以便在此后输入开始工作指令后,由控制模块自动查看系统设置 情况,分别进入两种不同的工作状态如果系统被设置为训练状态,执行后续 步骤;如果系统被设置为检测状态,则跳转执行步骤(7);(3) 数据采集和预处理模块从预先设定的数据接口输入原始训练数据,并 对该原始训练数据进行预处理后,将其输出至训练模块;(4) 训练模块从控制模块读取步骤(2)中设置的训练方案,如果设置为 第一种训练方案,执行后续步骤;如果设置为第二种训练方案,跳转执行步骤(6);(5) 训练模块利用训练数据,根据第一种训练方案进行训练,建立正常的 序列模式库,并将该序列模式库存入储存模块后,向控制模块发送训练结束的消息,结束训练工作,跳转执行步骤(7);(6) 训练模块利用训练数据根据第二种训练方案进行训练,建立正常序列 模式库,并将该序列模式库存入存储模块后,向控制模块发送训练结束的消息, 结束训练工作;(7) 控制模块自动查看步骤(2)种所设置的检测方案,如果设置为第一 种检测方案,执行后续步骤;如果设置为第二种训练方案,跳转执行步骤(9);(8) 系统按照第一种检测方案进行监测工作先由数据采集和预处理模块 实时的从服务器中获取原始审计数据并对其进行预处理,再由检测模块按照第 一种检测方案对预处理后的审计数据进行实时分析,生成至少包括判决值或报 警信息的检测结果,检测结果输出模块实时显示该检测判决值,并根据报警信 息对攻击行为进行"J艮警,结束检测操作;系统按照第二种检测方案进行检测工作先由数据采集和预处理模块实时 地从服务器中获得原始审计数据并对其进行预处理,再由检测模块按照第二种 检测方案对预处理后的审计数据进行实时分析,生成至少包含判决值或"l艮警信 息的检测结果,检测结果输出模块实时显示该检测判决值,并根据报警信息对 攻击行为进行才艮警,结束检测操作。上述技术方案主要注重于挖掘正常序列中的频繁序列和可信度高的序列形 成正常序列库用于异常检测,没有考虑到非频繁序列的重要性,并且不能检测 到异常序列中与正常序列出现相同频繁序列或者可信度高的序列。同时其频繁 序列的长度等参数需要人为设定,参数设置对于结果的影响较大,在复杂实时环 境中的适应性不强。中国专利200710098609.7公开了 一种主机入侵检测方法及系统,该专利技术涉 及一种作为网络安全的重要产品之一 主机入侵检测系统(HIDS: Host Intrusion Detection System)。其核心关键主机入侵检测方法包括i见则定义、部署和工作才菱 式。规则定义把入侵和主机上的异常行为关联起来,并定义响应的方式。部署 的方式支持多层次级联,可以适应较复杂的网络环境。工作模式定义了管理者 如何与入侵检测系统交互和系统工作的特点。该方法特征在截获主机行为的 基础之上,寻找主机行为与入侵行为间的关联性,并根据规则定义,产生报警 和其他指定行为;该方法包括如下步骤 步骤l:定义规则;步骤2:在控制中心应用规则,规则被自动下发到所有主机引擎上并被应用; 步骤3:根据入侵行为的增加、改变、实效更新规则库。 其定义规则包括如下步骤定义事件规则:可以针对主机系统的注册表、文件系统、日志系统、网络驱 动和关键应用程序的异常状况进行定义;定义事件响应规则针对事件规则中定义的异常提供只报警、只日志、阻 断、报警+日志、日志+报警、报警+阻断、报警+日志+阻断的处理。该系统中定义规则包括事件变量和行为标识两大部分;事件变量包括事件名称、事件ID、事件分类ID、可支持逻辑操作符描述和 事件文字描述5个要素;行为标识为对于事件对象有意义的行为,依赖事件变 量的分类不同而不同。该系统监控自身进程和检测结果被篡改的事件。对于系统检测到的异常,往往会有一个源头出现多次报警的情况,本系统 定义一次事件和二次事件的概念来进行控制。在定义规则时,提供根据发生事 件和重复次数为条件来进行控制。当条件被触发时, 一次事件可以生成二次事 件,任何情况下具有相似性可以被合并的一次事件不会发生重复出现。该系统 使用内核监视技术确保进程和检测结果的安全性,当发现进程被人本文档来自技高网...
【技术保护点】
一种基于固有子序列模式分解的主机入侵检测方法,其特征在于,包括以下步骤: ①规则定义: 序列:序列T是其元素按照时间顺序排列的数据集,T=t↓[1],…,t↓[n],n是序列的长度; 支持度:子序列S的支持度Sup(S)为其在序列T中出现的次数。 固有子序列模式:序列T中,如果某个子序列的所有子序列的支持度与它的支持度相同,并且在序列T中,不存在与其支持度相同的子序列包含它,则该子序列被称为固有子序列模式; 层:在序列T中,具有相似支持度的固有子序列模式组成一个层; 序列分解:序列分解就是将一条较长的序列分解为一些固有子序列模式并形成相应的层; ②获取WINdows Native API数据序列,某一进程的序列首先分解为一个固有子序列模式集,然后对这些固有子序列模式依照其支持度进行分层; ③将疑似序列分解为若干层,每层含有相似支持度的固有子序列模式; ④将正常的进程序列与疑似序列按照相应的层进行匹配,根据匹配的数量,计算出异常程度,判断疑似序列的是否异常。
【技术特征摘要】
【专利技术属性】
技术研发人员:朱莺嘤,叶茂,赵欣,李丽娟,孟喜,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。