[发明专利]基于系统调用序列的主机入侵检测方法及装置

说明书

本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置，包括：对各系统调用序列进行深度嵌入，构建各系统调用的词嵌入向量；基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对；基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对，确定各系统调用之间的依赖关系；基于各系统调用之间的依赖关系确定各短序列的概率值；将各短序列的概率值确定的共现概率作为异常因子，采用阈值判断法确定各系统调用序列的检测结果；所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征，把系统调用序列看作是系统与进程之间交互的语言，对系统调用进行处理，具有很好是泛化性能，降低入侵检测误报率。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于系统调用序列的主机入侵检测方法及装置。

背景技术

近年来，计算机网络安全涉及到政治，军事，经济，科技，教育及企业，个人等各个领域，为了确保这些信息不被破坏，加大计算机网络安全的研究势在必行。基于网络和基于主机的入侵检测系统一直是网络安全研究领域的热门问题，在现代网络中，无线网络的渗透是一个持久的过程，就像其它类型的网络一样，如果外围被绕过，就只有内部安全措施站在攻击者和关键数据之间，基于主机的入侵检测系统是绕过网络外围的攻击者的最有效的方法之一。

内核层的入侵和攻击逐渐成为黑客入侵的主流技术，但是现有的入侵检测的基础数据大都是在应用层得到的，鉴于上述问题，在操作系统内核层研究入侵检测技术，精简和特征化与系统安全的数据源，是入侵检测的重要内容。因此本课题提出了一种基于系统调用的，面向内核守护进程的Linux系统入侵检测技术，此技术可以有效对抗当前不断出现的，对系统威胁最大的内核层入侵手段。

目前，系统调用的入侵检测主要分为两大方向，第一种是基于规则描述的方式，主要是通过定义一系列系统访问规则来控制系统调用的执行，实现系统访问控制；第二种是利用统计学方法，序列枚举方法，机器学习方法和深度学习方法等对系统调用序列进行分析，构造正常的系统调用行为模式库来判断异常。

基于规则的检测方法是通过定义一组规则来规定系统进程的正常或者异常行为，系统调用是进程访问系资源的接口，通过增加系统调用的访问策略是提高主机安全性的一种主要方法，ko等人通过观察特权进程的访问行为为其建立一个有限的资源访问集合，用沙箱技术限制特权进程的行为。这种方法的不足之处在于，由于Linux版本的不同会导致系统的访问控制不同，因此需要根据Linux版本更新规则库，同时，规则库需要人工建立，建立过程繁琐且困难，因此，这种检测方法受到了很大的限制。

统计学入侵检测方法主要是通过统计系统调用序列/短序列中单个系统调用出现的频率或者使用数学的方法统计出系统调用序列出现的一些规律，结果和正常的系统调用序列相差甚远的序列被认为异常。Haider等人通过统计系统调用中出现最多和最少次数的系统调用号，出现最大和最小的系统调用号甚至系统调用的奇数个数等特征及其不同的组合作为系统调用序列的特征，通过计算正常和异常系统调用特征的差异来进对系统调用序列进行判别。S.S.Murtaza等人提出将系统调用表示为内核模块的状态，分析状态交互，并通过比较正常和异常中状态出现的概率来识别异常，结果表明，该方法能够产生跟更少的假警率，并以更小的处理事件处理大的跟踪。基于统计的方法不需要入侵行为特征的先验知识，可以快速地构造词向量，不足之处在于由于位置的丢失，忽略了序列之间的依赖性，在正常建模过程中，形成的特征质量不高，导致检测效率低，误报率高。