基于危险理论和NSA的主机入侵检测系统及检测方法技术方案

本发明专利技术公开了一种主机入侵检测方法，主要解决现有技术误检率高和适应性差的问题。其检测步骤为：（１）采集主机特权进程的资源使用情况和系统调用序列；（２）将采集到的资源使用情况转化为信号数据，将采集到的系统调用序列转化为抗原数据；（３）对上述信号数据和抗原数据进行训练，得到信号数据检测规则和抗原信号的检测规则；（４）利用信号数据检测规则对信号数据进行检测，确定危险区域；（５）在危险区域内，检测抗原数据，如果抗原数据检测结果异常，则认为主机中存在入侵进程，从而暂停异常进程，并将异常情况记录到日志文件中。本发明专利技术具有误检率低和适应性强的优点，可用于在网络环境中对主机的监控。

【技术实现步骤摘要】

【技术保护点】
一种基于危险理论和ＮＳＡ的主机入侵检测系统包括：　信号数据采集模块，用于采集主机特权进程的系统资源使用情况，包括ＣＰＵ的占用率，内存的占用率，生成的ｓｏｃｋｅｔ连接数，并将所得到的信号数据分别传输到信号数据训练模块和数据检测模块；　 　抗原数据采集模块，用于采集主机特权进程运行时产生系统调用序列，并将所得到的抗原数据传输到抗原数据训练模块和数据检测模块；　信号数据训练模块，用于利用新颖发现算法对信号数据采集模块所采集的信号数据进行训练，并将所得到检测规则用于数据 检测模块中信号数据的检测；　抗原数据训练模块，用于利用否定选择算法对抗原数据采集模块所采集的抗原数据进行训练，并将所得到检测规则用于数据检测模块中抗原数据的检测；　数据检测模块，用于利用信号数据训练模块所得到的训练规则，完成对检 测信号数据采集模块所采集数据的检测，利用抗原数据训练模块所得到的训练规则，完成对检测抗原数据采集模块所采集数据的检测，并依据危险理论的思想，把信号数据的检测结果作为危险信号，确定抗原数据的危险区域；　行为响应模块，用于对主机特权进程的 异常情况发生响应，根据数据检测模块的检测结果，暂停进程，把异常情况的详细信息记录到日志文件。...

【技术特征摘要】

【专利技术属性】
技术研发人员：公茂果，焦李成，张康，刘芳，马文萍，高宜楠，王爽，侯彪，马晶晶，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：87[中国|西安]