国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于溯源信息的入侵檢測系統(tǒng)及方法

      文檔序號:10660865閱讀:335來源:國知局
      一種基于溯源信息的入侵檢測系統(tǒng)及方法
      【專利摘要】本發(fā)明公開了一種基于溯源信息的入侵檢測系統(tǒng)及方法,該系統(tǒng)包括收集器、檢測器和分析器;收集器包括溯源生成單元、溯源修剪單元和溯源存儲單元,檢測器包括規(guī)則庫建立單元、規(guī)則匹配單元和輸出預(yù)警報告單元,分析器包括傳播查詢單元和追溯查詢單元;其方法是通過收集溯源信息,將溯源信息以文件的形式存放在文件系統(tǒng)上,同時存放到溯源數(shù)據(jù)庫中,提取溯源數(shù)據(jù)庫中的依賴信息,根據(jù)該依賴信息建立規(guī)則數(shù)據(jù)庫,入侵檢測時,將被檢測的溯源信息與規(guī)則庫中的溯源信息作比較,發(fā)現(xiàn)入侵時,輸出預(yù)警報告,通過預(yù)警報告提供的入侵檢測點,對入侵行為進(jìn)行全面查詢,得到整個入侵過程,分析出系統(tǒng)漏洞和入侵來源;本發(fā)明提供的系統(tǒng)及方法,提高了入侵檢測的實時性。
      【專利說明】
      一種基于溯源信息的入侵檢測系統(tǒng)及方法
      技術(shù)領(lǐng)域
      [0001 ]本發(fā)明屬于計算機(jī)系統(tǒng)安全技術(shù)領(lǐng)域,更具體地,涉及一種基于溯源信息的入侵 檢測系統(tǒng)及方法。
      【背景技術(shù)】
      [0002] 目前,利用計算機(jī)網(wǎng)絡(luò)實施犯罪的事件已絕不少見。面對越來越開放的網(wǎng)絡(luò)環(huán)境, 數(shù)據(jù)安全也受到很大威脅。信息系統(tǒng)的安全一般采用標(biāo)識與鑒別、訪問控制、加密技術(shù)等安 全機(jī)制來加以保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間使用防火墻類技術(shù)保護(hù),但通過這些方法并 不能完全杜絕入侵的發(fā)生,攻擊者可利用各種系統(tǒng)漏洞(如未打補(bǔ)丁的操作系統(tǒng),程序 bugs,防火墻配置錯誤,密碼簡單等)來危害計算機(jī)系統(tǒng),導(dǎo)致敏感數(shù)據(jù)被泄露或者修改。因 此,入侵檢測技術(shù)是系統(tǒng)保護(hù)的第二層屏障。
      [0003] 現(xiàn)有的入侵檢測技術(shù)多是基于主機(jī)的入侵檢測,記錄和分析入侵過程中的系統(tǒng)調(diào) 用;該類方法沒有詳細(xì)的揭露入侵的內(nèi)在事件,如系統(tǒng)漏洞在哪,是什么導(dǎo)致了這次入侵的 發(fā)生等?;谌罩镜娜∽C分析加強(qiáng)了對入侵過程是如何進(jìn)入系統(tǒng)的和哪些文件受到了影響 的處理,但是基于日志的取證分析方法是手動獲得這些信息,相當(dāng)繁瑣的;并且,由于日志 中不僅包含了入侵者的非法行為也包含了用戶的正常行為,因此無法實行實時入侵檢測。 盡管一些研究嘗試減少日志大小,但相比于實時入侵檢測,從系統(tǒng)日記中識別入侵的類型 和優(yōu)先檢測重要部分,挖掘出有用的信息是相當(dāng)慢的過程,實時性不高。

      【發(fā)明內(nèi)容】

      [0004] 針對現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求,本發(fā)明提供了一種基于溯源信息的入侵檢 測系統(tǒng)及方法,其目的在于解決現(xiàn)有技術(shù)中入侵檢測實時性不高的技術(shù)問題。
      [0005] 為實現(xiàn)上述目的,按照本發(fā)明的一個方面,提供了一種基于溯源信息的入侵檢測 系統(tǒng),該系統(tǒng)包括收集器、檢測器和分析器;
      [0006] 其中,收集器用于根據(jù)系統(tǒng)調(diào)用序列進(jìn)行轉(zhuǎn)換生成溯源信息;
      [0007] 檢測器用于根據(jù)上述溯源信息建立規(guī)則數(shù)據(jù)庫;入侵檢測時,將被檢測的溯源信 息與規(guī)則庫中的溯源信息作比較;發(fā)現(xiàn)入侵時,輸出預(yù)警報告,所說預(yù)警報告中包括上述比 較過程中識別出的異常路徑;根據(jù)所述入侵路徑,確定入侵檢測點;
      [0008] 分析器用于在上述入侵檢測點,對入侵過程進(jìn)行傳播查詢和追溯查詢,檢測系統(tǒng) 漏洞和入侵來源;
      [0009] 上述基于溯源信息的入侵檢測系統(tǒng)通過對溯源信息的分析,實時輸出入侵路徑, 可及時檢測到入侵。
      [0010]優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其收集器包括溯源生成單元、修剪單 元和存儲單元;
      [0011]其中,溯源生成單元用于攔截系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用序列轉(zhuǎn)換成溯源信息;修剪單 元用于刪除上述溯源信息中與入侵檢測無關(guān)的信息;存儲單元用于將修剪單元輸出的溯源 信息轉(zhuǎn)換成文件的形式,將獲得的文件存儲在文件系統(tǒng)上,并將該文件存儲到溯源數(shù)據(jù)庫 中;其中文件系統(tǒng)是只能寫入文件,不能修改和刪除文件的文件系統(tǒng)。
      [0012] 優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其檢測器包括規(guī)則庫建立單元、規(guī)則 匹配單元和預(yù)警報告單元;
      [0013] 其中,規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息,根據(jù)該依賴信息建立 規(guī)則數(shù)據(jù)庫;
      [0014] 規(guī)則匹配單元用于將檢測到的溯源信息與規(guī)則數(shù)據(jù)庫進(jìn)行比較,獲得比較結(jié)果;
      [0015] 預(yù)警報告單元用于根據(jù)上述比較結(jié)果生成預(yù)警報告,確定入侵檢測點。
      [0016] 優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其分析器包括傳播查詢單元和追溯 查詢單元;
      [0017] 其中,傳播查詢單元用于根據(jù)入侵來源對入侵進(jìn)行傳播查詢;
      [0018] 追溯查詢單元用于根據(jù)受損文件對入侵行為進(jìn)行追溯查詢。
      [0019]優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其溯源數(shù)據(jù)庫包括主數(shù)據(jù)庫和索引 數(shù)據(jù)庫;
      [0020] 其中,主數(shù)據(jù)庫用于存儲對象的身份信息,包括文件節(jié)點號、進(jìn)程ID;索引數(shù)據(jù)庫 包括名字?jǐn)?shù)據(jù)庫、父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫;
      [0021] 其中,名字?jǐn)?shù)據(jù)庫用于存儲對象名字與對象的序號(pnode號)之間的映射關(guān)系;父 節(jié)點數(shù)據(jù)庫用于存儲對象與其父節(jié)點之間的映射關(guān)系;子節(jié)點數(shù)據(jù)庫用于存儲對象與其子 節(jié)點之間的映射關(guān)系。
      [0022] 為實現(xiàn)本發(fā)明目的,按照本發(fā)明的另一個方面,提供了一種基于上述基于溯源信 息的入侵檢測系統(tǒng)的入侵檢測方法,包括如下步驟:
      [0023] (1)實時攔截系統(tǒng)調(diào)用,通過轉(zhuǎn)換系統(tǒng)調(diào)用序列生成第一溯源信息;
      [0024] (2)對所述第一溯源信息進(jìn)行檢測,刪除與檢測無關(guān)的臨時文件和管道文件,獲得 第二溯源信息;
      [0025] (3)將所述第二溯源信息存儲到溯源數(shù)據(jù)庫中;
      [0026] (4)根據(jù)從本地緩存收集的系統(tǒng)或用戶正常行為的溯源信息,提取依賴信息,根據(jù) 所述依賴信息建立規(guī)則數(shù)據(jù)庫;
      [0027] (5)將被檢測事件的溯源信息與規(guī)則數(shù)據(jù)庫中的信息進(jìn)行比較,根據(jù)比較結(jié)果識 別被檢測事件是否異常,以及異常路徑;將檢測到的異常路徑中出現(xiàn)的受損文件作為檢測 占 .
      [0028] (7)根據(jù)所述檢測點追溯查詢,獲取入侵來源或入侵漏洞;
      [0029] (8)根據(jù)入侵來源或入侵漏洞查詢受損或被竊取文件的信息。
      [0030] 優(yōu)選地,上述基于溯源信息的入侵檢測方法,步驟(4)建立規(guī)則數(shù)據(jù)庫的步驟包括 如下子步驟:
      [0031] (4-1)從運行的程序中獲取正常行為的溯源信息R;其中,正常行為是指在沒有外 界入侵的情況下,管理員或用戶所做的操作;
      [0032] (4-2)將上述溯源信息R進(jìn)行分解,獲得對象間的依賴關(guān)系R={Depl,…,Depn}; [0033]其中,Depi = (A,B),Depi是指父節(jié)點A與其子節(jié)點B兩個對象之間的直接依賴關(guān) 系;
      [0034] (4-3)根據(jù)上述依賴關(guān)系Depi,建立規(guī)則數(shù)據(jù)庫G,G= {Depl,…,Depk}。
      [0035] 優(yōu)選地,上述基于溯源信息的入侵檢測方法,其步驟(5)包括以下子步驟:
      [0036] (5-1)將被檢測事件的溯源信息R'進(jìn)行分解,獲得對象間的依賴關(guān)系R' = {Depl,,…,Depi,,···Depn,};
      [0037] (5-2)對于所述溯源信息R'中每個依賴關(guān)系Depi ' = (A,B),判斷依賴關(guān)系Depi '是 否屬于所述規(guī)則數(shù)據(jù)庫G;若是,則將依賴關(guān)系Depi '的可疑度設(shè)為0 ;若否,則將依賴關(guān)系 Depi'的可疑度設(shè)為1;
      [0038] (5-3)查找所述溯源信息R'中路徑長度為w的路徑(Depl',…,Depw');
      [0039] (5-4)獲取所述路徑的路徑判決值
      1其中,Μ是指依賴性關(guān)系Depj'的可疑 度,
      是指w個依賴性關(guān)系可疑度之和,j從1到w取值;
      [0040] (5-5)判斷是否P>T,若是,則判定被檢測事件異常;若否,則判定被檢測事件正常; 其中,Τ是指判決門限,根據(jù)檢測率設(shè)置。
      [0041] 優(yōu)選地,上述基于溯源信息的入侵檢測方法,通過在入侵檢測點對入侵行為進(jìn)行 傳播查詢和追溯查詢構(gòu)造溯源圖;根據(jù)所述溯源圖獲取攻擊路徑;根據(jù)所述攻擊路徑上的 事件,查詢找到被入侵過程影響的所有文件。
      [0042] 總體而言,通過本發(fā)明所構(gòu)思的以上技術(shù)方案與現(xiàn)有技術(shù)相比,能夠取得下列有 益效果:
      [0043] (1)本發(fā)明提供的基于溯源信息的入侵檢測系統(tǒng),由于可以根據(jù)入侵檢測點,通過 傳播查詢和追溯查詢,能夠起到及時查出系統(tǒng)漏洞或入侵來源的作用;
      [0044] (2)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于通過比較被檢測溯源信息 和規(guī)則庫,確定異常路徑,其中包含系統(tǒng)漏洞和入侵來源,以及受損文件;根據(jù)其構(gòu)造溯源 圖,分析整個入侵過程;
      [0045] (3)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于入侵路徑中可能包含受損 文件,以受損文件為入侵檢測點,對入侵行為進(jìn)行查詢,從而確定整個入侵過程,管理員可 以及時采取相應(yīng)措施,如修補(bǔ)漏洞和恢復(fù)受損文件;
      [0046] (4)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于溯源的收集是和入侵操作 同步的,因此,具有提尚檢測實時性的優(yōu)點。
      【附圖說明】
      [0047] 圖1本發(fā)明實施例提供的基于溯源信息的入侵檢測系統(tǒng)的示意框圖;
      [0048] 圖2是本發(fā)明實施例提供的系統(tǒng)的收集器的功能示意圖;
      [0049] 圖3是本發(fā)明實施例提供的系統(tǒng)的檢測器的功能示意圖;
      [0050] 圖4是本發(fā)明實施例提供的系統(tǒng)的分析器的功能示意圖。
      【具體實施方式】
      [0051] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并 不用于限定本發(fā)明。此外,下面所描述的本發(fā)明各個實施方式中所涉及到的技術(shù)特征只要 彼此之間未構(gòu)成沖突就可以相互組合。
      [0052] 本發(fā)明實施例提供的基于溯源信息的入侵檢測系統(tǒng)其功能示意圖圖如圖1所示; 該系統(tǒng)包括收集器、檢測器和分析器;
      [0053] 其收集器用于根據(jù)系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用的系統(tǒng)調(diào)用序列進(jìn)行轉(zhuǎn)換,生成溯源信 息;檢測器用于對溯源信息進(jìn)行入侵檢測處理,根據(jù)入侵路徑,確定入侵檢測點;分析器用 于在上述入侵檢測點進(jìn)行傳播查詢和追溯查詢,查詢系統(tǒng)漏洞和入侵來源;
      [0054] 實施例提供的基于溯源信息的入侵檢測方法,基于上述基于溯源信息的入侵檢測 系統(tǒng),包括以下步驟:
      [0055] (1)溯源生成單元實時攔截系統(tǒng)調(diào)用,并將其轉(zhuǎn)換為溯源信息;本步驟的優(yōu)點在 于,該單元工作對用戶是透明的,能夠自動收集上層應(yīng)用產(chǎn)生的溯源信息;
      [0056] (2)修剪單元刪除溯源信息中對檢測無關(guān)的信息,并將刪除后的溯源信息轉(zhuǎn)發(fā)給 存儲單元;其中刪除的無關(guān)信息包括管道文件和臨時文件;
      [0057] (3)存儲單元將溯源信息以文件的形式存放在文件系統(tǒng)上,同時存儲在溯源數(shù)據(jù) 庫中;所愿數(shù)據(jù)庫包括主數(shù)據(jù)庫和索引數(shù)據(jù)庫,主數(shù)據(jù)庫用于存儲對象的身份信息,如文件 節(jié)點號或進(jìn)程ID;
      [0058] 索引數(shù)據(jù)庫包括名字?jǐn)?shù)據(jù)庫、父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫,名字?jǐn)?shù)據(jù)庫用于存 儲對象名字和pnode號之間的映射關(guān)系,父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫分別用于存儲一個 對象和它各自的父節(jié)點或子節(jié)點之間的關(guān)系;
      [0059] (4)規(guī)則庫建立單元獲取從本地緩存收集系統(tǒng)或用戶正常行為的溯源信息或溯源 數(shù)據(jù)庫,提取依賴信息,根據(jù)依賴信息建立規(guī)則數(shù)據(jù)庫;
      [0060] 規(guī)則數(shù)據(jù)庫應(yīng)盡可能完善且沒有多余的依賴,而且,可以通過增加新的正常依賴 無限的更新規(guī)則庫;
      [0061] (5)規(guī)則匹配單元將被檢測事件的溯源信息和規(guī)則庫中的序列作比較;對于規(guī)則 匹配過程,從邊Depi = (A,B)開始,尋找與之連貫的邊(8,〇((:,0)等,也可能存在其他連貫 的邊(B,E)(E,F(xiàn));這是一個圖的深度優(yōu)先查找過程;對于包含許多路徑的程序,通過查找異 常路徑來判斷;雖然一些路徑有相同的邊,但每條路徑都要被檢測;
      [0062] (6)預(yù)警報告單元將匹配比較過程中發(fā)現(xiàn)不正常的路徑輸出;本步驟的優(yōu)點在于 能及時查出入侵來源或系統(tǒng)漏洞,并為取證分析提供檢測點;
      [0063] (7)追溯查詢單元根據(jù)預(yù)警報告中提供的檢測點追溯查詢出入侵來源或入侵漏 洞;
      [0064] (8)傳播查詢單元根據(jù)入侵來源找到所有受損和被竊取文件;本步驟的優(yōu)點在于 可以根據(jù)溯源中依賴關(guān)系構(gòu)造溯源圖,更詳細(xì)的分析整個入侵過程,以便管理員及時采取 相應(yīng)措施,如修補(bǔ)漏洞,恢復(fù)受損文件等。
      [0065] 本發(fā)明實施例提供的系統(tǒng)的收集器的功能示意圖如圖2所示,收集器包括溯源生 成單元、修剪單元和存儲單元;收集單元用于攔截系統(tǒng)調(diào)用,轉(zhuǎn)換為溯源信息,修剪單元用 于刪除對檢測入侵無關(guān)的溯源信息,存儲單元是用于將修剪單元得到的溯源信息以文件的 形式存放在文件系統(tǒng)上,同時存放到多個數(shù)據(jù)庫中。
      [0066] 溯源信息由溯源生成單元攔截系統(tǒng)調(diào)用生成,包括文件對象、進(jìn)程對象和網(wǎng)絡(luò)連 接對象之間的依賴關(guān)系,系統(tǒng)為每個對象分配一個唯一的編號以及版本號來標(biāo)識該對象, 不同的操作系統(tǒng)調(diào)用將產(chǎn)生不同的對象和依賴關(guān)系。
      [0067] 實施例中,系統(tǒng)調(diào)用與溯源信息的對應(yīng)關(guān)系如下:
      [0068] (1)第一類事件是一個進(jìn)程直接影響另外一個進(jìn)程;這些事件可以是一個進(jìn)程創(chuàng) 建另外一個進(jìn)程,和另外一個進(jìn)程共享內(nèi)存,或者發(fā)送信號;如果進(jìn)程A創(chuàng)建了另外一個進(jìn) 程B,則存在依賴關(guān)系B-〉A(chǔ);因為父進(jìn)程A對B進(jìn)行了初始化,并且B的地址空間的內(nèi)容都來 自于進(jìn)程A。
      [0069] (2)第二類事件是進(jìn)程影響文件,或者受到文件的影響;A為文件,P為進(jìn)程,系統(tǒng)調(diào) 用寫(¥1';^6和¥1';^6¥),則產(chǎn)生1 一>P"這樣的依賴關(guān)系,讀和創(chuàng)建(reacUreadv和execv), 則產(chǎn)生"P-〉A(chǔ)"這樣的依賴關(guān)系。
      [0070] (3)在Linux系統(tǒng)中,一個socket對應(yīng)一個文件描述符;通過socket從網(wǎng)絡(luò)中讀取 和發(fā)送數(shù)據(jù)類似于讀寫一個文件;B為網(wǎng)絡(luò)連接對象,P為進(jìn)程,Socket中的系統(tǒng)調(diào)用進(jìn)程向 網(wǎng)絡(luò)發(fā)送數(shù)據(jù)(send)產(chǎn)生"B-〉P"這樣的依賴關(guān)系,接收數(shù)據(jù)(recev)產(chǎn)生"P-〉B"這樣的 依賴關(guān)系。
      [0071] 實施例提供的系統(tǒng)的檢測器的功能示意圖如圖3所示,檢測器包括規(guī)則庫建立單 元、規(guī)則匹配單元和預(yù)警報告單元其;規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息, 根據(jù)該依賴信息建立規(guī)則數(shù)據(jù)庫;規(guī)則匹配單元用于將檢測到的溯源信息與規(guī)則數(shù)據(jù)庫進(jìn) 行比較,獲得比較結(jié)果;預(yù)警報告單元用于根據(jù)比較結(jié)果生成預(yù)警報告,確定入侵檢測點。
      [0072] 實施例中,建立規(guī)則庫的過程包括以下子步驟:
      [0073] (4-1)從運行的程序中獲取該程序正常行為的溯源信息R;實施例中,為了規(guī)則庫 更完善,運行該程序Μ次,得到Μ個溯源信息,記為R1、R2、……Rm,其中每個Ri為程序運行第i 次時產(chǎn)生的溯源信息;
      [0074] (4-2)將每個溯源信息R進(jìn)行分解,獲得一系列的兩個對象間的依賴關(guān)系,R = {Depl, ··· ,Depn};
      [0075] Depi表示兩個特定對象之間的直接依賴關(guān)系,Depi = (A,B);其中,A為B的父節(jié)點; [0076] (4-3)根據(jù)上述依賴關(guān)系Depi,建立規(guī)則數(shù)據(jù)庫G,G= {Depl,…,Depk}。
      [0077] 實施例中,步驟(5)包括以下子步驟:
      [0078] (5-1)將被檢測事件的溯源信息R'進(jìn)行分解,獲得對象間的依賴關(guān)系R' = {Depl,,…,Depi,,···Depn,};
      [0079] (5-2)對于上述溯源信息R'中每個依賴關(guān)系Depi ' = (A,B),判斷Depi '是否屬于G; 若是,則Depi '可疑度為0;若否,則Depi '可疑度為1;
      [0080] (5-3)查找上述溯源信息R'中長度為W的路徑(Depl',…,Depw');(Depi ',Dep(i+ 1) ')構(gòu)成路徑要求Depi' = (A,B)的子節(jié)點是Dep(i+1) '的父節(jié)點;
      [0081] (5-4)獲取所述路徑的路徑判決值
      ;其中,Μ是指依賴性關(guān)系Depj'的可 疑度,Σ&1 Μ是指w個依賴性關(guān)系可疑度之和,j從1到w取值;
      [0082] (5-5)判斷是否P>T,若是,則判定被檢測事件異常;若否,則判定被檢測事件正常; [0083]其中,Τ是指判決門限;根據(jù)檢測率來設(shè)置相應(yīng)的路徑長度W和判決門限Τ,每條長 度W的路徑都要計算其判決值,并與門限比較;實驗得出當(dāng)W=3,T = 0.3時,可獲得最好的檢 測率。
      [0084]本發(fā)明實施例提供的系統(tǒng)的分析器的功能示意圖如圖4所示,分析器包括傳播查 詢單元和追溯查詢單元;其中,傳播查詢單元用于查詢?nèi)肭中袨?追溯查詢單元查詢?nèi)肭謥?源和系統(tǒng)漏洞;通過追溯查詢和傳播查詢,構(gòu)造溯源圖;可根據(jù)溯源圖分析整個入侵過程, 以便管及時采取相應(yīng)措施,如修補(bǔ)漏洞,恢復(fù)受損文件等。
      [0085]本領(lǐng)域的技術(shù)人員容易理解,以上所述僅為本發(fā)明的較佳實施例而已,并不用以 限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含 在本發(fā)明的保護(hù)范圍之內(nèi)。
      【主權(quán)項】
      1. 一種基于溯源信息的入侵檢測系統(tǒng),其特征在于,包括收集器、檢測器和分析器; 所述收集器用于根據(jù)系統(tǒng)調(diào)用序列進(jìn)行轉(zhuǎn)換生成溯源信息; 所述檢測器用于根據(jù)所述溯源信息建立規(guī)則數(shù)據(jù)庫;入侵檢測時,將被檢測的溯源信 息與規(guī)則庫中的溯源信息作比較;發(fā)現(xiàn)入侵時,輸出預(yù)警報告,所說預(yù)警報告中包括所述比 較過程中識別出的異常路徑,根據(jù)所述異常路徑確定入侵檢測點; 所述分析器用于在所述入侵檢測點對入侵過程進(jìn)行傳播查詢和追溯查詢,檢測系統(tǒng)漏 洞和入侵來源。2. 如權(quán)利要求1所述的入侵檢測系統(tǒng),其特征在于,所述收集器包括溯源生成單元、修 剪單元和存儲單元; 所述溯源生成單元用于攔截系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用序列轉(zhuǎn)換成溯源信息; 所述修剪單元用于刪除上述溯源信息中與入侵檢測無關(guān)的信息; 所述存儲單元用于將修剪單元輸出的溯源信息進(jìn)行轉(zhuǎn)換,將獲得的文件存儲到文件系 統(tǒng),并將所述文件存儲到溯源數(shù)據(jù)庫中。3. 如權(quán)利要求1或2所述的入侵檢測系統(tǒng),其特征在于,所述檢測器包括規(guī)則庫建立單 元、規(guī)則匹配單元和預(yù)警報告單元; 所述規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息,根據(jù)所述依賴信息建立規(guī)則 數(shù)據(jù)庫; 所述規(guī)則匹配單元用于將檢測到的溯源信息與所述規(guī)則數(shù)據(jù)庫進(jìn)行比較,獲得比較結(jié) 果; 所述預(yù)警報告單元用于根據(jù)所述比較結(jié)果生成預(yù)警報告,確定入侵檢測點。4. 如權(quán)利要求1或2所述的入侵檢測系統(tǒng),其特征在于,所述分析器包括傳播查詢單元 和追溯查詢單元; 所述傳播查詢單元用于根據(jù)入侵來源對入侵進(jìn)行傳播查詢;所述追溯查詢單元用于根 據(jù)受損文件對入侵行為進(jìn)行追溯查詢。5. 如權(quán)利要求2所述的入侵檢測系統(tǒng),其特征在于所述溯源數(shù)據(jù)庫包括主數(shù)據(jù)庫和索 引數(shù)據(jù)庫; 所述主數(shù)據(jù)庫用于存儲對象的身份信息,包括文件節(jié)點號、進(jìn)程ID;索引數(shù)據(jù)庫包括名 字?jǐn)?shù)據(jù)庫、父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫; 所述名字?jǐn)?shù)據(jù)庫用于存儲對象名字與對象的序號之間的映射關(guān)系;父節(jié)點數(shù)據(jù)庫用于 存儲對象與其父節(jié)點之間的映射關(guān)系;子節(jié)點數(shù)據(jù)庫用于存儲對象與其子節(jié)點之間的映射 關(guān)系。6. -種基于權(quán)利要求1至5任一項所述的入侵檢測系統(tǒng)的入侵檢測方法,其特征在于, 包括如下步驟: (1) 實時攔截系統(tǒng)調(diào)用,通過轉(zhuǎn)換系統(tǒng)調(diào)用序列生成第一溯源信息; (2) 對所述第一溯源信息進(jìn)行檢測,刪除與檢測無關(guān)的臨時文件和管道文件,獲得第二 溯源信息; (3) 將所述第二溯源信息存儲到溯源數(shù)據(jù)庫中; (4) 根據(jù)從本地緩存收集的系統(tǒng)或用戶正常行為的溯源信息,提取依賴信息,根據(jù)所述 依賴信息建立規(guī)則數(shù)據(jù)庫; (5)將被檢測事件的溯源信息與規(guī)則數(shù)據(jù)庫中的信息進(jìn)行比較,根據(jù)比較結(jié)果識別被 檢測事件是否異常,以及異常路徑;將檢測到的異常路徑中出現(xiàn)的受損文件作為檢測點; (7) 根據(jù)所述檢測點追溯查詢和傳播查詢,獲取入侵來源或入侵漏洞; (8) 根據(jù)入侵來源或入侵漏洞查詢受損或被竊取文件的信息。7. 如權(quán)利要求6所述的入侵檢測方法,其特征在于,所述步驟(4)建立規(guī)則數(shù)據(jù)庫的方 法包括如下子步驟: (4-1)從運行的程序中獲取正常行為的溯源信息R;其中,正常行為是指在沒有外界入 侵的情況下管理員或用戶所做的操作; (4-2)將所述溯源信息R進(jìn)行分解,獲得對象間的依賴關(guān)系R= {Depl,…,Depn}; 其中,Depi = (A,B),Depi是指父節(jié)點A與其子節(jié)點B兩個對象之間的直接依賴關(guān)系; (4-3)根據(jù)所述依賴關(guān)系Depi,建立規(guī)則數(shù)據(jù)庫G,G= {Depl,…,Depk}。8. 如權(quán)利要求7所述的入侵檢測方法,其特征在于,所述步驟(5)包括以下子步驟: (5-1)將被檢測事件的溯源信息R'進(jìn)行分解,獲得對象間的依賴關(guān)系R' = {Depl',···, Depi ', ··-Depn'}; (5-2)對于所述溯源信息R'中每個依賴關(guān)系Depi ' = (A,B),判斷依賴關(guān)系Depi '是否屬 于所述規(guī)則數(shù)據(jù)庫G;若是,則將依賴關(guān)系Depi '的可疑度設(shè)為O;若否,則將依賴關(guān)系Depi ' 的可疑度設(shè)為1; (5-3)查找所述溯源信息R'中路徑長度為w的路徑(Depl',…,Depw'); (5-4)獲取所述路徑的路徑判決彳:其中,M是指依賴性關(guān)系Depj '的可疑度,I指W個依賴性關(guān)系可疑度之和,j從1到w取值; (5-5)判斷是否P>T,若是,則判定被檢測事件異常;若否,則判定被檢測事件正常;其 中,T是指判決門限,根據(jù)檢測率設(shè)置。9. 如權(quán)利要求6所述的入侵檢測方法,其特征在于,通過所述傳播查詢和追溯查詢構(gòu)造 溯源圖;根據(jù)所述溯源圖獲取攻擊路徑;根據(jù)所述攻擊路徑上的事件,查詢找到被入侵過程 影響的所有文件。
      【文檔編號】H04L29/06GK106027529SQ201610351996
      【公開日】2016年10月12日
      【申請日】2016年5月25日
      【發(fā)明人】謝雨來, 石珍珍, 譚支鵬, 馮丹
      【申請人】華中科技大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1