一種基于溯源信息的入侵檢測系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于溯源信息的入侵檢測系統(tǒng)及方法,該系統(tǒng)包括收集器、檢測器和分析器;收集器包括溯源生成單元、溯源修剪單元和溯源存儲單元,檢測器包括規(guī)則庫建立單元、規(guī)則匹配單元和輸出預警報告單元,分析器包括傳播查詢單元和追溯查詢單元;其方法是通過收集溯源信息,將溯源信息以文件的形式存放在文件系統(tǒng)上,同時存放到溯源數(shù)據(jù)庫中,提取溯源數(shù)據(jù)庫中的依賴信息,根據(jù)該依賴信息建立規(guī)則數(shù)據(jù)庫,入侵檢測時,將被檢測的溯源信息與規(guī)則庫中的溯源信息作比較,發(fā)現(xiàn)入侵時,輸出預警報告,通過預警報告提供的入侵檢測點,對入侵行為進行全面查詢,得到整個入侵過程,分析出系統(tǒng)漏洞和入侵來源;本發(fā)明提供的系統(tǒng)及方法,提高了入侵檢測的實時性。
【專利說明】
一種基于溯源信息的入侵檢測系統(tǒng)及方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明屬于計算機系統(tǒng)安全技術(shù)領(lǐng)域,更具體地,涉及一種基于溯源信息的入侵 檢測系統(tǒng)及方法。
【背景技術(shù)】
[0002] 目前,利用計算機網(wǎng)絡實施犯罪的事件已絕不少見。面對越來越開放的網(wǎng)絡環(huán)境, 數(shù)據(jù)安全也受到很大威脅。信息系統(tǒng)的安全一般采用標識與鑒別、訪問控制、加密技術(shù)等安 全機制來加以保護,內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間使用防火墻類技術(shù)保護,但通過這些方法并 不能完全杜絕入侵的發(fā)生,攻擊者可利用各種系統(tǒng)漏洞(如未打補丁的操作系統(tǒng),程序 bugs,防火墻配置錯誤,密碼簡單等)來危害計算機系統(tǒng),導致敏感數(shù)據(jù)被泄露或者修改。因 此,入侵檢測技術(shù)是系統(tǒng)保護的第二層屏障。
[0003] 現(xiàn)有的入侵檢測技術(shù)多是基于主機的入侵檢測,記錄和分析入侵過程中的系統(tǒng)調(diào) 用;該類方法沒有詳細的揭露入侵的內(nèi)在事件,如系統(tǒng)漏洞在哪,是什么導致了這次入侵的 發(fā)生等?;谌罩镜娜∽C分析加強了對入侵過程是如何進入系統(tǒng)的和哪些文件受到了影響 的處理,但是基于日志的取證分析方法是手動獲得這些信息,相當繁瑣的;并且,由于日志 中不僅包含了入侵者的非法行為也包含了用戶的正常行為,因此無法實行實時入侵檢測。 盡管一些研究嘗試減少日志大小,但相比于實時入侵檢測,從系統(tǒng)日記中識別入侵的類型 和優(yōu)先檢測重要部分,挖掘出有用的信息是相當慢的過程,實時性不高。
【發(fā)明內(nèi)容】
[0004] 針對現(xiàn)有技術(shù)的以上缺陷或改進需求,本發(fā)明提供了一種基于溯源信息的入侵檢 測系統(tǒng)及方法,其目的在于解決現(xiàn)有技術(shù)中入侵檢測實時性不高的技術(shù)問題。
[0005] 為實現(xiàn)上述目的,按照本發(fā)明的一個方面,提供了一種基于溯源信息的入侵檢測 系統(tǒng),該系統(tǒng)包括收集器、檢測器和分析器;
[0006] 其中,收集器用于根據(jù)系統(tǒng)調(diào)用序列進行轉(zhuǎn)換生成溯源信息;
[0007] 檢測器用于根據(jù)上述溯源信息建立規(guī)則數(shù)據(jù)庫;入侵檢測時,將被檢測的溯源信 息與規(guī)則庫中的溯源信息作比較;發(fā)現(xiàn)入侵時,輸出預警報告,所說預警報告中包括上述比 較過程中識別出的異常路徑;根據(jù)所述入侵路徑,確定入侵檢測點;
[0008] 分析器用于在上述入侵檢測點,對入侵過程進行傳播查詢和追溯查詢,檢測系統(tǒng) 漏洞和入侵來源;
[0009] 上述基于溯源信息的入侵檢測系統(tǒng)通過對溯源信息的分析,實時輸出入侵路徑, 可及時檢測到入侵。
[0010]優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其收集器包括溯源生成單元、修剪單 元和存儲單元;
[0011]其中,溯源生成單元用于攔截系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用序列轉(zhuǎn)換成溯源信息;修剪單 元用于刪除上述溯源信息中與入侵檢測無關(guān)的信息;存儲單元用于將修剪單元輸出的溯源 信息轉(zhuǎn)換成文件的形式,將獲得的文件存儲在文件系統(tǒng)上,并將該文件存儲到溯源數(shù)據(jù)庫 中;其中文件系統(tǒng)是只能寫入文件,不能修改和刪除文件的文件系統(tǒng)。
[0012] 優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其檢測器包括規(guī)則庫建立單元、規(guī)則 匹配單元和預警報告單元;
[0013] 其中,規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息,根據(jù)該依賴信息建立 規(guī)則數(shù)據(jù)庫;
[0014] 規(guī)則匹配單元用于將檢測到的溯源信息與規(guī)則數(shù)據(jù)庫進行比較,獲得比較結(jié)果;
[0015] 預警報告單元用于根據(jù)上述比較結(jié)果生成預警報告,確定入侵檢測點。
[0016] 優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其分析器包括傳播查詢單元和追溯 查詢單元;
[0017] 其中,傳播查詢單元用于根據(jù)入侵來源對入侵進行傳播查詢;
[0018] 追溯查詢單元用于根據(jù)受損文件對入侵行為進行追溯查詢。
[0019]優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng),其溯源數(shù)據(jù)庫包括主數(shù)據(jù)庫和索引 數(shù)據(jù)庫;
[0020] 其中,主數(shù)據(jù)庫用于存儲對象的身份信息,包括文件節(jié)點號、進程ID;索引數(shù)據(jù)庫 包括名字數(shù)據(jù)庫、父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫;
[0021] 其中,名字數(shù)據(jù)庫用于存儲對象名字與對象的序號(pnode號)之間的映射關(guān)系;父 節(jié)點數(shù)據(jù)庫用于存儲對象與其父節(jié)點之間的映射關(guān)系;子節(jié)點數(shù)據(jù)庫用于存儲對象與其子 節(jié)點之間的映射關(guān)系。
[0022] 為實現(xiàn)本發(fā)明目的,按照本發(fā)明的另一個方面,提供了一種基于上述基于溯源信 息的入侵檢測系統(tǒng)的入侵檢測方法,包括如下步驟:
[0023] (1)實時攔截系統(tǒng)調(diào)用,通過轉(zhuǎn)換系統(tǒng)調(diào)用序列生成第一溯源信息;
[0024] (2)對所述第一溯源信息進行檢測,刪除與檢測無關(guān)的臨時文件和管道文件,獲得 第二溯源信息;
[0025] (3)將所述第二溯源信息存儲到溯源數(shù)據(jù)庫中;
[0026] (4)根據(jù)從本地緩存收集的系統(tǒng)或用戶正常行為的溯源信息,提取依賴信息,根據(jù) 所述依賴信息建立規(guī)則數(shù)據(jù)庫;
[0027] (5)將被檢測事件的溯源信息與規(guī)則數(shù)據(jù)庫中的信息進行比較,根據(jù)比較結(jié)果識 別被檢測事件是否異常,以及異常路徑;將檢測到的異常路徑中出現(xiàn)的受損文件作為檢測 占 .
[0028] (7)根據(jù)所述檢測點追溯查詢,獲取入侵來源或入侵漏洞;
[0029] (8)根據(jù)入侵來源或入侵漏洞查詢受損或被竊取文件的信息。
[0030] 優(yōu)選地,上述基于溯源信息的入侵檢測方法,步驟(4)建立規(guī)則數(shù)據(jù)庫的步驟包括 如下子步驟:
[0031] (4-1)從運行的程序中獲取正常行為的溯源信息R;其中,正常行為是指在沒有外 界入侵的情況下,管理員或用戶所做的操作;
[0032] (4-2)將上述溯源信息R進行分解,獲得對象間的依賴關(guān)系R={Depl,…,Depn}; [0033]其中,Depi = (A,B),Depi是指父節(jié)點A與其子節(jié)點B兩個對象之間的直接依賴關(guān) 系;
[0034] (4-3)根據(jù)上述依賴關(guān)系Depi,建立規(guī)則數(shù)據(jù)庫G,G= {Depl,…,Depk}。
[0035] 優(yōu)選地,上述基于溯源信息的入侵檢測方法,其步驟(5)包括以下子步驟:
[0036] (5-1)將被檢測事件的溯源信息R'進行分解,獲得對象間的依賴關(guān)系R' = {Depl,,…,Depi,,···Depn,};
[0037] (5-2)對于所述溯源信息R'中每個依賴關(guān)系Depi ' = (A,B),判斷依賴關(guān)系Depi '是 否屬于所述規(guī)則數(shù)據(jù)庫G;若是,則將依賴關(guān)系Depi '的可疑度設為0 ;若否,則將依賴關(guān)系 Depi'的可疑度設為1;
[0038] (5-3)查找所述溯源信息R'中路徑長度為w的路徑(Depl',…,Depw');
[0039] (5-4)獲取所述路徑的路徑判決值
1其中,Μ是指依賴性關(guān)系Depj'的可疑 度,
是指w個依賴性關(guān)系可疑度之和,j從1到w取值;
[0040] (5-5)判斷是否P>T,若是,則判定被檢測事件異常;若否,則判定被檢測事件正常; 其中,Τ是指判決門限,根據(jù)檢測率設置。
[0041] 優(yōu)選地,上述基于溯源信息的入侵檢測方法,通過在入侵檢測點對入侵行為進行 傳播查詢和追溯查詢構(gòu)造溯源圖;根據(jù)所述溯源圖獲取攻擊路徑;根據(jù)所述攻擊路徑上的 事件,查詢找到被入侵過程影響的所有文件。
[0042] 總體而言,通過本發(fā)明所構(gòu)思的以上技術(shù)方案與現(xiàn)有技術(shù)相比,能夠取得下列有 益效果:
[0043] (1)本發(fā)明提供的基于溯源信息的入侵檢測系統(tǒng),由于可以根據(jù)入侵檢測點,通過 傳播查詢和追溯查詢,能夠起到及時查出系統(tǒng)漏洞或入侵來源的作用;
[0044] (2)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于通過比較被檢測溯源信息 和規(guī)則庫,確定異常路徑,其中包含系統(tǒng)漏洞和入侵來源,以及受損文件;根據(jù)其構(gòu)造溯源 圖,分析整個入侵過程;
[0045] (3)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于入侵路徑中可能包含受損 文件,以受損文件為入侵檢測點,對入侵行為進行查詢,從而確定整個入侵過程,管理員可 以及時采取相應措施,如修補漏洞和恢復受損文件;
[0046] (4)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于溯源的收集是和入侵操作 同步的,因此,具有提尚檢測實時性的優(yōu)點。
【附圖說明】
[0047] 圖1本發(fā)明實施例提供的基于溯源信息的入侵檢測系統(tǒng)的示意框圖;
[0048] 圖2是本發(fā)明實施例提供的系統(tǒng)的收集器的功能示意圖;
[0049] 圖3是本發(fā)明實施例提供的系統(tǒng)的檢測器的功能示意圖;
[0050] 圖4是本發(fā)明實施例提供的系統(tǒng)的分析器的功能示意圖。
【具體實施方式】
[0051] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對 本發(fā)明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并 不用于限定本發(fā)明。此外,下面所描述的本發(fā)明各個實施方式中所涉及到的技術(shù)特征只要 彼此之間未構(gòu)成沖突就可以相互組合。
[0052] 本發(fā)明實施例提供的基于溯源信息的入侵檢測系統(tǒng)其功能示意圖圖如圖1所示; 該系統(tǒng)包括收集器、檢測器和分析器;
[0053] 其收集器用于根據(jù)系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用的系統(tǒng)調(diào)用序列進行轉(zhuǎn)換,生成溯源信 息;檢測器用于對溯源信息進行入侵檢測處理,根據(jù)入侵路徑,確定入侵檢測點;分析器用 于在上述入侵檢測點進行傳播查詢和追溯查詢,查詢系統(tǒng)漏洞和入侵來源;
[0054] 實施例提供的基于溯源信息的入侵檢測方法,基于上述基于溯源信息的入侵檢測 系統(tǒng),包括以下步驟:
[0055] (1)溯源生成單元實時攔截系統(tǒng)調(diào)用,并將其轉(zhuǎn)換為溯源信息;本步驟的優(yōu)點在 于,該單元工作對用戶是透明的,能夠自動收集上層應用產(chǎn)生的溯源信息;
[0056] (2)修剪單元刪除溯源信息中對檢測無關(guān)的信息,并將刪除后的溯源信息轉(zhuǎn)發(fā)給 存儲單元;其中刪除的無關(guān)信息包括管道文件和臨時文件;
[0057] (3)存儲單元將溯源信息以文件的形式存放在文件系統(tǒng)上,同時存儲在溯源數(shù)據(jù) 庫中;所愿數(shù)據(jù)庫包括主數(shù)據(jù)庫和索引數(shù)據(jù)庫,主數(shù)據(jù)庫用于存儲對象的身份信息,如文件 節(jié)點號或進程ID;
[0058] 索引數(shù)據(jù)庫包括名字數(shù)據(jù)庫、父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫,名字數(shù)據(jù)庫用于存 儲對象名字和pnode號之間的映射關(guān)系,父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫分別用于存儲一個 對象和它各自的父節(jié)點或子節(jié)點之間的關(guān)系;
[0059] (4)規(guī)則庫建立單元獲取從本地緩存收集系統(tǒng)或用戶正常行為的溯源信息或溯源 數(shù)據(jù)庫,提取依賴信息,根據(jù)依賴信息建立規(guī)則數(shù)據(jù)庫;
[0060] 規(guī)則數(shù)據(jù)庫應盡可能完善且沒有多余的依賴,而且,可以通過增加新的正常依賴 無限的更新規(guī)則庫;
[0061] (5)規(guī)則匹配單元將被檢測事件的溯源信息和規(guī)則庫中的序列作比較;對于規(guī)則 匹配過程,從邊Depi = (A,B)開始,尋找與之連貫的邊(8,〇((:,0)等,也可能存在其他連貫 的邊(B,E)(E,F(xiàn));這是一個圖的深度優(yōu)先查找過程;對于包含許多路徑的程序,通過查找異 常路徑來判斷;雖然一些路徑有相同的邊,但每條路徑都要被檢測;
[0062] (6)預警報告單元將匹配比較過程中發(fā)現(xiàn)不正常的路徑輸出;本步驟的優(yōu)點在于 能及時查出入侵來源或系統(tǒng)漏洞,并為取證分析提供檢測點;
[0063] (7)追溯查詢單元根據(jù)預警報告中提供的檢測點追溯查詢出入侵來源或入侵漏 洞;
[0064] (8)傳播查詢單元根據(jù)入侵來源找到所有受損和被竊取文件;本步驟的優(yōu)點在于 可以根據(jù)溯源中依賴關(guān)系構(gòu)造溯源圖,更詳細的分析整個入侵過程,以便管理員及時采取 相應措施,如修補漏洞,恢復受損文件等。
[0065] 本發(fā)明實施例提供的系統(tǒng)的收集器的功能示意圖如圖2所示,收集器包括溯源生 成單元、修剪單元和存儲單元;收集單元用于攔截系統(tǒng)調(diào)用,轉(zhuǎn)換為溯源信息,修剪單元用 于刪除對檢測入侵無關(guān)的溯源信息,存儲單元是用于將修剪單元得到的溯源信息以文件的 形式存放在文件系統(tǒng)上,同時存放到多個數(shù)據(jù)庫中。
[0066] 溯源信息由溯源生成單元攔截系統(tǒng)調(diào)用生成,包括文件對象、進程對象和網(wǎng)絡連 接對象之間的依賴關(guān)系,系統(tǒng)為每個對象分配一個唯一的編號以及版本號來標識該對象, 不同的操作系統(tǒng)調(diào)用將產(chǎn)生不同的對象和依賴關(guān)系。
[0067] 實施例中,系統(tǒng)調(diào)用與溯源信息的對應關(guān)系如下:
[0068] (1)第一類事件是一個進程直接影響另外一個進程;這些事件可以是一個進程創(chuàng) 建另外一個進程,和另外一個進程共享內(nèi)存,或者發(fā)送信號;如果進程A創(chuàng)建了另外一個進 程B,則存在依賴關(guān)系B-〉A(chǔ);因為父進程A對B進行了初始化,并且B的地址空間的內(nèi)容都來 自于進程A。
[0069] (2)第二類事件是進程影響文件,或者受到文件的影響;A為文件,P為進程,系統(tǒng)調(diào) 用寫(¥1';^6和¥1';^6¥),則產(chǎn)生1 一>P"這樣的依賴關(guān)系,讀和創(chuàng)建(reacUreadv和execv), 則產(chǎn)生"P-〉A(chǔ)"這樣的依賴關(guān)系。
[0070] (3)在Linux系統(tǒng)中,一個socket對應一個文件描述符;通過socket從網(wǎng)絡中讀取 和發(fā)送數(shù)據(jù)類似于讀寫一個文件;B為網(wǎng)絡連接對象,P為進程,Socket中的系統(tǒng)調(diào)用進程向 網(wǎng)絡發(fā)送數(shù)據(jù)(send)產(chǎn)生"B-〉P"這樣的依賴關(guān)系,接收數(shù)據(jù)(recev)產(chǎn)生"P-〉B"這樣的 依賴關(guān)系。
[0071] 實施例提供的系統(tǒng)的檢測器的功能示意圖如圖3所示,檢測器包括規(guī)則庫建立單 元、規(guī)則匹配單元和預警報告單元其;規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息, 根據(jù)該依賴信息建立規(guī)則數(shù)據(jù)庫;規(guī)則匹配單元用于將檢測到的溯源信息與規(guī)則數(shù)據(jù)庫進 行比較,獲得比較結(jié)果;預警報告單元用于根據(jù)比較結(jié)果生成預警報告,確定入侵檢測點。
[0072] 實施例中,建立規(guī)則庫的過程包括以下子步驟:
[0073] (4-1)從運行的程序中獲取該程序正常行為的溯源信息R;實施例中,為了規(guī)則庫 更完善,運行該程序Μ次,得到Μ個溯源信息,記為R1、R2、……Rm,其中每個Ri為程序運行第i 次時產(chǎn)生的溯源信息;
[0074] (4-2)將每個溯源信息R進行分解,獲得一系列的兩個對象間的依賴關(guān)系,R = {Depl, ··· ,Depn};
[0075] Depi表示兩個特定對象之間的直接依賴關(guān)系,Depi = (A,B);其中,A為B的父節(jié)點; [0076] (4-3)根據(jù)上述依賴關(guān)系Depi,建立規(guī)則數(shù)據(jù)庫G,G= {Depl,…,Depk}。
[0077] 實施例中,步驟(5)包括以下子步驟:
[0078] (5-1)將被檢測事件的溯源信息R'進行分解,獲得對象間的依賴關(guān)系R' = {Depl,,…,Depi,,···Depn,};
[0079] (5-2)對于上述溯源信息R'中每個依賴關(guān)系Depi ' = (A,B),判斷Depi '是否屬于G; 若是,則Depi '可疑度為0;若否,則Depi '可疑度為1;
[0080] (5-3)查找上述溯源信息R'中長度為W的路徑(Depl',…,Depw');(Depi ',Dep(i+ 1) ')構(gòu)成路徑要求Depi' = (A,B)的子節(jié)點是Dep(i+1) '的父節(jié)點;
[0081] (5-4)獲取所述路徑的路徑判決值
;其中,Μ是指依賴性關(guān)系Depj'的可 疑度,Σ&1 Μ是指w個依賴性關(guān)系可疑度之和,j從1到w取值;
[0082] (5-5)判斷是否P>T,若是,則判定被檢測事件異常;若否,則判定被檢測事件正常; [0083]其中,Τ是指判決門限;根據(jù)檢測率來設置相應的路徑長度W和判決門限Τ,每條長 度W的路徑都要計算其判決值,并與門限比較;實驗得出當W=3,T = 0.3時,可獲得最好的檢 測率。
[0084]本發(fā)明實施例提供的系統(tǒng)的分析器的功能示意圖如圖4所示,分析器包括傳播查 詢單元和追溯查詢單元;其中,傳播查詢單元用于查詢?nèi)肭中袨?追溯查詢單元查詢?nèi)肭謥?源和系統(tǒng)漏洞;通過追溯查詢和傳播查詢,構(gòu)造溯源圖;可根據(jù)溯源圖分析整個入侵過程, 以便管及時采取相應措施,如修補漏洞,恢復受損文件等。
[0085]本領(lǐng)域的技術(shù)人員容易理解,以上所述僅為本發(fā)明的較佳實施例而已,并不用以 限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應包含 在本發(fā)明的保護范圍之內(nèi)。
【主權(quán)項】
1. 一種基于溯源信息的入侵檢測系統(tǒng),其特征在于,包括收集器、檢測器和分析器; 所述收集器用于根據(jù)系統(tǒng)調(diào)用序列進行轉(zhuǎn)換生成溯源信息; 所述檢測器用于根據(jù)所述溯源信息建立規(guī)則數(shù)據(jù)庫;入侵檢測時,將被檢測的溯源信 息與規(guī)則庫中的溯源信息作比較;發(fā)現(xiàn)入侵時,輸出預警報告,所說預警報告中包括所述比 較過程中識別出的異常路徑,根據(jù)所述異常路徑確定入侵檢測點; 所述分析器用于在所述入侵檢測點對入侵過程進行傳播查詢和追溯查詢,檢測系統(tǒng)漏 洞和入侵來源。2. 如權(quán)利要求1所述的入侵檢測系統(tǒng),其特征在于,所述收集器包括溯源生成單元、修 剪單元和存儲單元; 所述溯源生成單元用于攔截系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用序列轉(zhuǎn)換成溯源信息; 所述修剪單元用于刪除上述溯源信息中與入侵檢測無關(guān)的信息; 所述存儲單元用于將修剪單元輸出的溯源信息進行轉(zhuǎn)換,將獲得的文件存儲到文件系 統(tǒng),并將所述文件存儲到溯源數(shù)據(jù)庫中。3. 如權(quán)利要求1或2所述的入侵檢測系統(tǒng),其特征在于,所述檢測器包括規(guī)則庫建立單 元、規(guī)則匹配單元和預警報告單元; 所述規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息,根據(jù)所述依賴信息建立規(guī)則 數(shù)據(jù)庫; 所述規(guī)則匹配單元用于將檢測到的溯源信息與所述規(guī)則數(shù)據(jù)庫進行比較,獲得比較結(jié) 果; 所述預警報告單元用于根據(jù)所述比較結(jié)果生成預警報告,確定入侵檢測點。4. 如權(quán)利要求1或2所述的入侵檢測系統(tǒng),其特征在于,所述分析器包括傳播查詢單元 和追溯查詢單元; 所述傳播查詢單元用于根據(jù)入侵來源對入侵進行傳播查詢;所述追溯查詢單元用于根 據(jù)受損文件對入侵行為進行追溯查詢。5. 如權(quán)利要求2所述的入侵檢測系統(tǒng),其特征在于所述溯源數(shù)據(jù)庫包括主數(shù)據(jù)庫和索 引數(shù)據(jù)庫; 所述主數(shù)據(jù)庫用于存儲對象的身份信息,包括文件節(jié)點號、進程ID;索引數(shù)據(jù)庫包括名 字數(shù)據(jù)庫、父節(jié)點數(shù)據(jù)庫和子節(jié)點數(shù)據(jù)庫; 所述名字數(shù)據(jù)庫用于存儲對象名字與對象的序號之間的映射關(guān)系;父節(jié)點數(shù)據(jù)庫用于 存儲對象與其父節(jié)點之間的映射關(guān)系;子節(jié)點數(shù)據(jù)庫用于存儲對象與其子節(jié)點之間的映射 關(guān)系。6. -種基于權(quán)利要求1至5任一項所述的入侵檢測系統(tǒng)的入侵檢測方法,其特征在于, 包括如下步驟: (1) 實時攔截系統(tǒng)調(diào)用,通過轉(zhuǎn)換系統(tǒng)調(diào)用序列生成第一溯源信息; (2) 對所述第一溯源信息進行檢測,刪除與檢測無關(guān)的臨時文件和管道文件,獲得第二 溯源信息; (3) 將所述第二溯源信息存儲到溯源數(shù)據(jù)庫中; (4) 根據(jù)從本地緩存收集的系統(tǒng)或用戶正常行為的溯源信息,提取依賴信息,根據(jù)所述 依賴信息建立規(guī)則數(shù)據(jù)庫; (5)將被檢測事件的溯源信息與規(guī)則數(shù)據(jù)庫中的信息進行比較,根據(jù)比較結(jié)果識別被 檢測事件是否異常,以及異常路徑;將檢測到的異常路徑中出現(xiàn)的受損文件作為檢測點; (7) 根據(jù)所述檢測點追溯查詢和傳播查詢,獲取入侵來源或入侵漏洞; (8) 根據(jù)入侵來源或入侵漏洞查詢受損或被竊取文件的信息。7. 如權(quán)利要求6所述的入侵檢測方法,其特征在于,所述步驟(4)建立規(guī)則數(shù)據(jù)庫的方 法包括如下子步驟: (4-1)從運行的程序中獲取正常行為的溯源信息R;其中,正常行為是指在沒有外界入 侵的情況下管理員或用戶所做的操作; (4-2)將所述溯源信息R進行分解,獲得對象間的依賴關(guān)系R= {Depl,…,Depn}; 其中,Depi = (A,B),Depi是指父節(jié)點A與其子節(jié)點B兩個對象之間的直接依賴關(guān)系; (4-3)根據(jù)所述依賴關(guān)系Depi,建立規(guī)則數(shù)據(jù)庫G,G= {Depl,…,Depk}。8. 如權(quán)利要求7所述的入侵檢測方法,其特征在于,所述步驟(5)包括以下子步驟: (5-1)將被檢測事件的溯源信息R'進行分解,獲得對象間的依賴關(guān)系R' = {Depl',···, Depi ', ··-Depn'}; (5-2)對于所述溯源信息R'中每個依賴關(guān)系Depi ' = (A,B),判斷依賴關(guān)系Depi '是否屬 于所述規(guī)則數(shù)據(jù)庫G;若是,則將依賴關(guān)系Depi '的可疑度設為O;若否,則將依賴關(guān)系Depi ' 的可疑度設為1; (5-3)查找所述溯源信息R'中路徑長度為w的路徑(Depl',…,Depw'); (5-4)獲取所述路徑的路徑判決彳:其中,M是指依賴性關(guān)系Depj '的可疑度,I指W個依賴性關(guān)系可疑度之和,j從1到w取值; (5-5)判斷是否P>T,若是,則判定被檢測事件異常;若否,則判定被檢測事件正常;其 中,T是指判決門限,根據(jù)檢測率設置。9. 如權(quán)利要求6所述的入侵檢測方法,其特征在于,通過所述傳播查詢和追溯查詢構(gòu)造 溯源圖;根據(jù)所述溯源圖獲取攻擊路徑;根據(jù)所述攻擊路徑上的事件,查詢找到被入侵過程 影響的所有文件。
【文檔編號】H04L29/06GK106027529SQ201610351996
【公開日】2016年10月12日
【申請日】2016年5月25日
【發(fā)明人】謝雨來, 石珍珍, 譚支鵬, 馮丹
【申請人】華中科技大學