[发明专利]一种Linux主机入侵检测方法

说明书

本发明公开了一种Linux主机入侵检测方法，本发明所涉及到的检测系统包括监控进程模块、处理模块、检测模块及日志模块。监控进程模块对进程进行筛查，启动监听进程。处理模块对所检测到的系统调用输出进行提取，维护系统调用事件时序文本序列，将其定期发送给检测模块。检测模块将经Fine‑tuning细调后的Bert模型放置在上游，在下游执行文本分类任务，输入特定进程的系统调用文本序列，通过模型嵌入至词向量，并输出分类结果。日志模块对检测、分类结果进行分析，根据分类结果进行日志记录及告警。该方法与硬件无关，具有普适性，方便模型的迁移及广泛使用。

技术领域

本发明涉及一种入侵检测方法，特别是一种Linux主机入侵检测方法。

背景技术

随着计算机网络的不断普及和发展，对计算机、网络安全防护的需求也随之升高。当主机遭受入侵时，将会对计算机正常运作及业务的正常运行产生极大的破坏。主机入侵检测在实现计算机及网络安全等方面均有很重要的作用。与网络入侵检测相比，主机入侵检测优点在于无需额外网络设备，减少实施成本，配置灵活，检测效果好。而作为普遍流行的开源操作系统，Linux操作系统安全也受到越来越多的关注。在此背景下，提出有效、高效的Linux操作系统主机入侵检测方法逐渐成为研究的重点。

目前国内外对于Linux主机入侵检测方法的研究有一定基础。系统调用作为用户访问系统资源的唯一途径，可以用来描述程序执行的轨迹，根据执行序列可以判断程序、入侵的异常。电子科技大学的林夏对变长模式系统调用序列匹配算法展开研究，实现新型双链树存储及搜集方法，显著减少了存储口康健，提高了搜索效率。湖南农业大学的戴小鹏通过构建函数的有限状态自动机，利用自动机检测系统调用流程是否发生了异常。试验结果表明，该技术能有效检测出入侵行为。广东工业大学的郑海祥构建了基于隐马尔可夫模型训练模块和检测模块，对检测方法进行了改进。综合而言，目前基于系统调用序列的主机入侵检测方法主要通过捕捉系统调用序列号，对数值化序列进行分析及检测，但仍存在系统调用数值与含义无直接联系、可解释性较差、时序特征难以充分利用、不同架构系统调用号不同导致模型难以迁移等缺点亟待解决。

发明内容

发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供一种Linux主机入侵检测方法。

为了解决上述技术问题，本发明公开了一种Linux主机入侵检测方法。

一种Linux主机入侵检测方法，构建基于文本分类的主机入侵检测系统；该主机入侵检测系统包括：监控进程模块、处理模块、检测模块和日志模块；

所述监控进程模块为进程筛查，白名单维护及监听进程生命周期管理；

所述处理模块处理监控进程模块输出，提取系统调用行为并进行系统调用事件文本序列的维护；

所述检测模块执行调用时间文本嵌入及基于Bert预训练模型的入侵检测；

所述日志模块为对检测结果的分析，入侵告警及日志存储。

本发明中，利用主机入侵检测系统调用映射获取带实际含义的系统调用文本序列，使用Bert预训练模型挖掘其时序潜在特性，主机入侵检测系统执行以下步骤实现入侵检测：

步骤1，启动监控进程；

步骤2，调用序列维护；

步骤3，入侵检测分类；

步骤4，日志处理；

步骤5，分类模型更新；

步骤6，重复步骤1-5，实现持续不断的Linux主机入侵检测。