[发明专利]一种结合溯源路径和溯源图的实时入侵检测系统

说明书

技术领域

本发明属于计算机安全技术领域，更具体地，涉及一种结合溯源路径和溯源图的实时入侵检测系统。

背景技术

随着计算机网络技术的飞速发展，社会经济、科学和文化等各个领域都离不开网络通信。利用计算机网络实施犯罪的事件已绝不少见。目前常见的安全技术包括防火墙、身份认证、蜜罐诱骗、访问控制和加密等。虽然这些技术在一定程度上可以减少攻击事件的发生，而且，人为的不安全操作同样会导致入侵的发生，例如系统文件配置错误，弱口令等。但并不能完全杜绝黑客的攻击行为。因此，入侵检测技术就成了系统保护的第二层屏障。

现有入侵检测系统多是基于主机的入侵检测，记录和分析入侵过程中的系统调用，该类方法没有详细的揭露入侵的内在事件，如系统漏洞在哪，是什么导致了这次入侵的发生等。另一方面，尽管可以通过日志来分析系统被入侵的过程，从大量包含有用户正常行为以及入侵者的非法行为中获取有用日志信息仍然是一个非常繁琐的过程。现有的基于溯源的入侵检测系统，虽然在一定程度上能够准确识别入侵行为，快速找到系统漏洞和入侵来源，但有溯源信息庞大，检测时要先从其中找出依赖关系信息，导致检测过长，并且采用基于溯源路径的检测方法，通过单一路径来判断入侵，导致检测精确度不高；且现有基于溯源的入侵检测系统检测过程都是在磁盘上进行的，实时性不高。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种结合溯源路径和溯源图的实时入侵检测系统，其目的在于拦截无用的溯源信息，将正常行为的依赖关系存入内存数据库中，通过将当前待检测的溯源路径与溯源图信息与正常的依赖关系进行实时比较来判断入侵是否发生，若发生就发出警报，若没有就实时更新正常的依赖关系，由此解决现有技术中入侵检测检测精确度和实时性不高的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种结合溯源路径和溯源图的实时入侵检测系统，所述系统包括：

溯源信息的收集与存储模块100，用于在没有外界入侵时拦截系统调用，将系统调用序列转换成溯源信息，拦截掉与入侵检测无关的溯源信息属性，保留溯源信息的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系并存入数据库；

规则库生成与压缩模块200，用于将溯源信息中的对象名称与对象节点号的映射关系和对象节点号之间的依赖关系转换为对象名称之间的依赖关系，并将其存入规则库，再对规则库进行压缩；

实时入侵检测模块300，用于获取待检测溯源信息的对象名称之间的依赖关系，并从中提取出溯源路径与溯源图信息，并与规则库中的溯源关系作比较来判断入侵攻击是否发生，若判断攻击发生则输出警报，警报内容包括可疑溯源关系，否则就用该待检测溯源信息的对象名称之间的依赖关系实时更新规则库。

进一步地，所述溯源信息的收集与存储模块100包括：

溯源生成单元101，用于在没有外界入侵时拦截系统调用，将系统调用序列转换成溯源信息，所述溯源信息包括：对象节点号、对象名称、环境、命令行参数、进程ID、时间、类型、对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系；

溯源拦截单元102，用于拦截所述溯源信息中和入侵检测不相关的属性信息，保留对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系；

溯源信息保存单元103，用于将拦截后的溯源信息存入数据库，其中对象名称与对象节点号之间的映射关系存入名称库，对象节点号之间的依赖关系存入依赖库。

进一步地，所述规则库生成与压缩模块200包括：

规则库生成单元201，用于从数据库中读取溯源信息的对象名称与对象节点号之间的映射关系和对象节点号之间的依赖关系，转换为对象名称之间的的依赖关系并存入规则库G，其中，G＝{Dep₁，…，Dep_n}，依赖关系Dep_i＝(A，B)表示父对象名A与其子对象名B之间的直接依赖关系；

规则库压缩单元202，用于遍历规则库中的每条规则，计算规则中每个字符串出现的次数N，若N！＝1，则对该字符串进行编码，否则对该字符串的前缀进行编码，其中，字符串的前缀为字符串中第一个“/”符和最后一个“/”符之间的部分，编码号由1开始依次递增；编码完成后将字符串和编码的映射关系写入编码库，编码后的规则写入新的规则库。

进一步地，其特征在于，