[发明专利]一种Linux主机入侵检测方法

权利要求书

1.一种Linux主机入侵检测方法，其特征在于，构建基于文本分类的主机入侵检测系统；该主机入侵检测系统包括：监控进程模块、处理模块、检测模块和日志模块；

所述监控进程模块为进程筛查，白名单维护及监听进程生命周期管理；

所述处理模块处理监控进程模块输出，提取系统调用行为并进行系统调用事件文本序列的维护；

所述检测模块执行调用事件文本嵌入及基于Bert预训练模型的入侵检测；

所述日志模块为对检测结果的分析，入侵告警及日志存储。

2.根据权利要求1所述的一种Linux主机入侵检测方法，其特征在于，利用主机入侵检测系统调用映射获取带实际含义的系统调用文本序列，使用Bert预训练模型挖掘其时序潜在特性，主机入侵检测系统执行以下步骤实现入侵检测：

步骤1，启动监控进程；

步骤2，调用序列维护；

步骤3，入侵检测分类；

步骤4，日志处理；

步骤5，分类模型更新；

步骤6，重复步骤1-5，实现持续不断的Linux主机入侵检测。

3.根据权利要求2所述的一种Linux主机入侵检测方法，其特征在于，步骤1中，在Linux主机上建立进程白名单，对系统中在运行的进程展开筛查，如不在白名单中，则监控进程模块启动Linux系统进程跟踪工具即strace进程对其系统调用情况展开监控，监控模块将strace与被监听进程绑定，监控该进程的系统调用情况。

4.根据权利要求3所述的一种Linux主机入侵检测方法，其特征在于，步骤2中，在接收到被监听线程的strace进程输出后，处理模块为每个被监听进程都维护一个系统调用文本序列，并对对应进程的系统调用输出进行提取，提取出实际系统调用操作，根据映射转成实际系统调用语义，将其插入被监听进程的系统调用文本序列尾端，按系统调用顺序存储对应操作文本信息；使用文本序列保留操作的时序信息，捕捉潜在时序特征，匹配入侵操作的时序性。

5.根据权利要求4所述的一种Linux主机入侵检测方法，其特征在于，步骤3中，将对应系统调用文本序列传入检测模块，作为输入传入检测模块中基于Bert模型的文本分类模型；Bert模型经由大规模训练，挖掘文本隐含信息并映射至词嵌入向量，在下游部署分类任务进行词向量的分类；该文本分类模型在使用前经由同类文本序列数据微调训练，将经由训练后的表示层嵌入到主机入侵检测文本分类任务中；检测模块接受系统调用文本序列输入，通过Bert模型将对应文本映射到对应嵌入词向量中，再通过顶部的Softmax层输出词向量的分类结果。

6.根据权利要求5所述的一种Linux主机入侵检测方法，其特征在于，步骤4中，当被监听进程的系统调用文本序列输出分类结果为入侵事件时，则发出警报，将系统调用事件存入告警队列，并向用户发出告警信息，若分类输出结果为非入侵事件，则将系统调用事件视为一般事件，存入工作日志。

7.根据权利要求6所述的一种Linux主机入侵检测方法，其特征在于，步骤5中，系统在长时间运行过程中不断更新，支持导入日志中存储的、经分类并人工验证的系统调用序列，该序列带有标记，并对模型定期微调并更新，对检测库定期丰富并不断升级。

8.根据权利要求7所述的一种Linux主机入侵检测方法，其特征在于，所述监控进程模块能够维护可跳过检查的进程白名单，对于给定进程，如果其不在白名单中，则会启动并绑定监听进程，同时对监听进程的整个生命周期进行管理；所述处理模块能够获取对应监控进程的输出，屏蔽硬件底层差异，从中提取系统调用事件，对调用事件文本序列进行维护。

9.根据权利要求8所述的一种Linux主机入侵检测方法，其特征在于，所述检测模块能够将文本序列输入经Fine-tuning微调后的预训练模型，生成文本嵌入向量，再交由下游文本分类任务进行入侵检测分类。

10.根据权利要求9所述的一种Linux主机入侵检测方法，其特征在于，所述日志模块能够根据检测结果采取不同措施，对于入侵事件标记，则向用户发出告警，在警告日志中记录，对于一般事件，则存入一般工作日志，所有日志均可由用户在存储期内回顾并查看。