一種基于溯源信息的入侵檢測系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于溯源信息的入侵檢測系統(tǒng)及方法�����,該系統(tǒng)包括收集器����、檢測器和分析器�����;收集器包括溯源生成單元、溯源修剪單元和溯源存儲(chǔ)單元�����,檢測器包括規(guī)則庫建立單元����、規(guī)則匹配單元和輸出預(yù)警報(bào)告單元�����,分析器包括傳播查詢單元和追溯查詢單元;其方法是通過收集溯源信息�,將溯源信息以文件的形式存放在文件系統(tǒng)上,同時(shí)存放到溯源數(shù)據(jù)庫中���,提取溯源數(shù)據(jù)庫中的依賴信息���,根據(jù)該依賴信息建立規(guī)則數(shù)據(jù)庫,入侵檢測時(shí)��,將被檢測的溯源信息與規(guī)則庫中的溯源信息作比較,發(fā)現(xiàn)入侵時(shí)����,輸出預(yù)警報(bào)告����,通過預(yù)警報(bào)告提供的入侵檢測點(diǎn),對(duì)入侵行為進(jìn)行全面查詢��,得到整個(gè)入侵過程�,分析出系統(tǒng)漏洞和入侵來源�;本發(fā)明提供的系統(tǒng)及方法,提高了入侵檢測的實(shí)時(shí)性��。
【專利說明】
一種基于溯源信息的入侵檢測系統(tǒng)及方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明屬于計(jì)算機(jī)系統(tǒng)安全技術(shù)領(lǐng)域���,更具體地��,涉及一種基于溯源信息的入侵 檢測系統(tǒng)及方法��。
【背景技術(shù)】
[0002] 目前�,利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施犯罪的事件已絕不少見����。面對(duì)越來越開放的網(wǎng)絡(luò)環(huán)境, 數(shù)據(jù)安全也受到很大威脅����。信息系統(tǒng)的安全一般采用標(biāo)識(shí)與鑒別、訪問控制����、加密技術(shù)等安 全機(jī)制來加以保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間使用防火墻類技術(shù)保護(hù)��,但通過這些方法并 不能完全杜絕入侵的發(fā)生����,攻擊者可利用各種系統(tǒng)漏洞(如未打補(bǔ)丁的操作系統(tǒng)�,程序 bugs,防火墻配置錯(cuò)誤��,密碼簡單等)來危害計(jì)算機(jī)系統(tǒng)�,導(dǎo)致敏感數(shù)據(jù)被泄露或者修改。因 此�,入侵檢測技術(shù)是系統(tǒng)保護(hù)的第二層屏障。
[0003] 現(xiàn)有的入侵檢測技術(shù)多是基于主機(jī)的入侵檢測,記錄和分析入侵過程中的系統(tǒng)調(diào) 用;該類方法沒有詳細(xì)的揭露入侵的內(nèi)在事件����,如系統(tǒng)漏洞在哪,是什么導(dǎo)致了這次入侵的 發(fā)生等���?����;谌罩镜娜∽C分析加強(qiáng)了對(duì)入侵過程是如何進(jìn)入系統(tǒng)的和哪些文件受到了影響 的處理����,但是基于日志的取證分析方法是手動(dòng)獲得這些信息��,相當(dāng)繁瑣的��;并且����,由于日志 中不僅包含了入侵者的非法行為也包含了用戶的正常行為,因此無法實(shí)行實(shí)時(shí)入侵檢測�����。 盡管一些研究嘗試減少日志大小,但相比于實(shí)時(shí)入侵檢測�����,從系統(tǒng)日記中識(shí)別入侵的類型 和優(yōu)先檢測重要部分�,挖掘出有用的信息是相當(dāng)慢的過程,實(shí)時(shí)性不高��。
【發(fā)明內(nèi)容】
[0004] 針對(duì)現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求����,本發(fā)明提供了一種基于溯源信息的入侵檢 測系統(tǒng)及方法,其目的在于解決現(xiàn)有技術(shù)中入侵檢測實(shí)時(shí)性不高的技術(shù)問題�����。
[0005] 為實(shí)現(xiàn)上述目的����,按照本發(fā)明的一個(gè)方面�,提供了一種基于溯源信息的入侵檢測 系統(tǒng),該系統(tǒng)包括收集器����、檢測器和分析器;
[0006] 其中,收集器用于根據(jù)系統(tǒng)調(diào)用序列進(jìn)行轉(zhuǎn)換生成溯源信息����;
[0007] 檢測器用于根據(jù)上述溯源信息建立規(guī)則數(shù)據(jù)庫;入侵檢測時(shí)�����,將被檢測的溯源信 息與規(guī)則庫中的溯源信息作比較;發(fā)現(xiàn)入侵時(shí)���,輸出預(yù)警報(bào)告����,所說預(yù)警報(bào)告中包括上述比 較過程中識(shí)別出的異常路徑;根據(jù)所述入侵路徑��,確定入侵檢測點(diǎn)�����;
[0008] 分析器用于在上述入侵檢測點(diǎn)����,對(duì)入侵過程進(jìn)行傳播查詢和追溯查詢,檢測系統(tǒng) 漏洞和入侵來源�����;
[0009] 上述基于溯源信息的入侵檢測系統(tǒng)通過對(duì)溯源信息的分析,實(shí)時(shí)輸出入侵路徑���, 可及時(shí)檢測到入侵���。
[0010]優(yōu)選的,上述基于溯源信息的入侵檢測系統(tǒng)����,其收集器包括溯源生成單元、修剪單 元和存儲(chǔ)單元����;
[0011]其中,溯源生成單元用于攔截系統(tǒng)調(diào)用���,將系統(tǒng)調(diào)用序列轉(zhuǎn)換成溯源信息;修剪單 元用于刪除上述溯源信息中與入侵檢測無關(guān)的信息;存儲(chǔ)單元用于將修剪單元輸出的溯源 信息轉(zhuǎn)換成文件的形式���,將獲得的文件存儲(chǔ)在文件系統(tǒng)上,并將該文件存儲(chǔ)到溯源數(shù)據(jù)庫 中����;其中文件系統(tǒng)是只能寫入文件,不能修改和刪除文件的文件系統(tǒng)�����。
[0012] 優(yōu)選的�����,上述基于溯源信息的入侵檢測系統(tǒng)�,其檢測器包括規(guī)則庫建立單元、規(guī)則 匹配單元和預(yù)警報(bào)告單元�;
[0013] 其中,規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息��,根據(jù)該依賴信息建立 規(guī)則數(shù)據(jù)庫�����;
[0014] 規(guī)則匹配單元用于將檢測到的溯源信息與規(guī)則數(shù)據(jù)庫進(jìn)行比較�����,獲得比較結(jié)果���;
[0015] 預(yù)警報(bào)告單元用于根據(jù)上述比較結(jié)果生成預(yù)警報(bào)告���,確定入侵檢測點(diǎn)�。
[0016] 優(yōu)選的�,上述基于溯源信息的入侵檢測系統(tǒng),其分析器包括傳播查詢單元和追溯 查詢單元�;
[0017] 其中,傳播查詢單元用于根據(jù)入侵來源對(duì)入侵進(jìn)行傳播查詢����;
[0018] 追溯查詢單元用于根據(jù)受損文件對(duì)入侵行為進(jìn)行追溯查詢。
[0019]優(yōu)選的�,上述基于溯源信息的入侵檢測系統(tǒng),其溯源數(shù)據(jù)庫包括主數(shù)據(jù)庫和索引 數(shù)據(jù)庫��;
[0020] 其中��,主數(shù)據(jù)庫用于存儲(chǔ)對(duì)象的身份信息�����,包括文件節(jié)點(diǎn)號(hào)���、進(jìn)程ID;索引數(shù)據(jù)庫 包括名字?jǐn)?shù)據(jù)庫����、父節(jié)點(diǎn)數(shù)據(jù)庫和子節(jié)點(diǎn)數(shù)據(jù)庫;
[0021] 其中����,名字?jǐn)?shù)據(jù)庫用于存儲(chǔ)對(duì)象名字與對(duì)象的序號(hào)(pnode號(hào))之間的映射關(guān)系;父 節(jié)點(diǎn)數(shù)據(jù)庫用于存儲(chǔ)對(duì)象與其父節(jié)點(diǎn)之間的映射關(guān)系;子節(jié)點(diǎn)數(shù)據(jù)庫用于存儲(chǔ)對(duì)象與其子 節(jié)點(diǎn)之間的映射關(guān)系�。
[0022] 為實(shí)現(xiàn)本發(fā)明目的,按照本發(fā)明的另一個(gè)方面�����,提供了一種基于上述基于溯源信 息的入侵檢測系統(tǒng)的入侵檢測方法��,包括如下步驟:
[0023] (1)實(shí)時(shí)攔截系統(tǒng)調(diào)用���,通過轉(zhuǎn)換系統(tǒng)調(diào)用序列生成第一溯源信息�;
[0024] (2)對(duì)所述第一溯源信息進(jìn)行檢測����,刪除與檢測無關(guān)的臨時(shí)文件和管道文件,獲得 第二溯源信息�����;
[0025] (3)將所述第二溯源信息存儲(chǔ)到溯源數(shù)據(jù)庫中����;
[0026] (4)根據(jù)從本地緩存收集的系統(tǒng)或用戶正常行為的溯源信息��,提取依賴信息��,根據(jù) 所述依賴信息建立規(guī)則數(shù)據(jù)庫��;
[0027] (5)將被檢測事件的溯源信息與規(guī)則數(shù)據(jù)庫中的信息進(jìn)行比較�,根據(jù)比較結(jié)果識(shí) 別被檢測事件是否異常�,以及異常路徑;將檢測到的異常路徑中出現(xiàn)的受損文件作為檢測 占 .
[0028] (7)根據(jù)所述檢測點(diǎn)追溯查詢,獲取入侵來源或入侵漏洞�����;
[0029] (8)根據(jù)入侵來源或入侵漏洞查詢受損或被竊取文件的信息���。
[0030] 優(yōu)選地���,上述基于溯源信息的入侵檢測方法,步驟(4)建立規(guī)則數(shù)據(jù)庫的步驟包括 如下子步驟:
[0031] (4-1)從運(yùn)行的程序中獲取正常行為的溯源信息R;其中�����,正常行為是指在沒有外 界入侵的情況下,管理員或用戶所做的操作�����;
[0032] (4-2)將上述溯源信息R進(jìn)行分解����,獲得對(duì)象間的依賴關(guān)系R={Depl��,…����,Depn}; [0033]其中,Depi = (A�,B),Depi是指父節(jié)點(diǎn)A與其子節(jié)點(diǎn)B兩個(gè)對(duì)象之間的直接依賴關(guān) 系�����;
[0034] (4-3)根據(jù)上述依賴關(guān)系Depi����,建立規(guī)則數(shù)據(jù)庫G,G= {Depl�����,…,Depk}����。
[0035] 優(yōu)選地,上述基于溯源信息的入侵檢測方法�,其步驟(5)包括以下子步驟:
[0036] (5-1)將被檢測事件的溯源信息R'進(jìn)行分解,獲得對(duì)象間的依賴關(guān)系R' = {Depl���,�����,…����,Depi����,,···Depn�����,};
[0037] (5-2)對(duì)于所述溯源信息R'中每個(gè)依賴關(guān)系Depi ' = (A,B)��,判斷依賴關(guān)系Depi '是 否屬于所述規(guī)則數(shù)據(jù)庫G;若是��,則將依賴關(guān)系Depi '的可疑度設(shè)為0 ;若否�,則將依賴關(guān)系 Depi'的可疑度設(shè)為1;
[0038] (5-3)查找所述溯源信息R'中路徑長度為w的路徑(Depl',…�����,Depw')�����;
[0039] (5-4)獲取所述路徑的路徑判決值
1其中�,Μ是指依賴性關(guān)系Depj'的可疑 度���,
是指w個(gè)依賴性關(guān)系可疑度之和���,j從1到w取值;
[0040] (5-5)判斷是否P>T�����,若是,則判定被檢測事件異常;若否���,則判定被檢測事件正常���; 其中,Τ是指判決門限����,根據(jù)檢測率設(shè)置。
[0041] 優(yōu)選地�,上述基于溯源信息的入侵檢測方法,通過在入侵檢測點(diǎn)對(duì)入侵行為進(jìn)行 傳播查詢和追溯查詢構(gòu)造溯源圖�����;根據(jù)所述溯源圖獲取攻擊路徑;根據(jù)所述攻擊路徑上的 事件���,查詢找到被入侵過程影響的所有文件���。
[0042] 總體而言,通過本發(fā)明所構(gòu)思的以上技術(shù)方案與現(xiàn)有技術(shù)相比��,能夠取得下列有 益效果:
[0043] (1)本發(fā)明提供的基于溯源信息的入侵檢測系統(tǒng)��,由于可以根據(jù)入侵檢測點(diǎn),通過 傳播查詢和追溯查詢��,能夠起到及時(shí)查出系統(tǒng)漏洞或入侵來源的作用���;
[0044] (2)本發(fā)明提供的基于溯源信息的入侵檢測方法�,由于通過比較被檢測溯源信息 和規(guī)則庫��,確定異常路徑�,其中包含系統(tǒng)漏洞和入侵來源,以及受損文件;根據(jù)其構(gòu)造溯源 圖�,分析整個(gè)入侵過程;
[0045] (3)本發(fā)明提供的基于溯源信息的入侵檢測方法����,由于入侵路徑中可能包含受損 文件,以受損文件為入侵檢測點(diǎn)�����,對(duì)入侵行為進(jìn)行查詢����,從而確定整個(gè)入侵過程���,管理員可 以及時(shí)采取相應(yīng)措施�����,如修補(bǔ)漏洞和恢復(fù)受損文件�;
[0046] (4)本發(fā)明提供的基于溯源信息的入侵檢測方法,由于溯源的收集是和入侵操作 同步的�����,因此��,具有提尚檢測實(shí)時(shí)性的優(yōu)點(diǎn)�。
【附圖說明】
[0047] 圖1本發(fā)明實(shí)施例提供的基于溯源信息的入侵檢測系統(tǒng)的示意框圖;
[0048] 圖2是本發(fā)明實(shí)施例提供的系統(tǒng)的收集器的功能示意圖���;
[0049] 圖3是本發(fā)明實(shí)施例提供的系統(tǒng)的檢測器的功能示意圖�;
[0050] 圖4是本發(fā)明實(shí)施例提供的系統(tǒng)的分析器的功能示意圖����。
【具體實(shí)施方式】
[0051] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�,以下結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明���,并 不用于限定本發(fā)明。此外����,下面所描述的本發(fā)明各個(gè)實(shí)施方式中所涉及到的技術(shù)特征只要 彼此之間未構(gòu)成沖突就可以相互組合。
[0052] 本發(fā)明實(shí)施例提供的基于溯源信息的入侵檢測系統(tǒng)其功能示意圖圖如圖1所示���; 該系統(tǒng)包括收集器����、檢測器和分析器���;
[0053] 其收集器用于根據(jù)系統(tǒng)調(diào)用,將系統(tǒng)調(diào)用的系統(tǒng)調(diào)用序列進(jìn)行轉(zhuǎn)換�,生成溯源信 息;檢測器用于對(duì)溯源信息進(jìn)行入侵檢測處理,根據(jù)入侵路徑���,確定入侵檢測點(diǎn)��;分析器用 于在上述入侵檢測點(diǎn)進(jìn)行傳播查詢和追溯查詢��,查詢系統(tǒng)漏洞和入侵來源�;
[0054] 實(shí)施例提供的基于溯源信息的入侵檢測方法,基于上述基于溯源信息的入侵檢測 系統(tǒng)����,包括以下步驟:
[0055] (1)溯源生成單元實(shí)時(shí)攔截系統(tǒng)調(diào)用,并將其轉(zhuǎn)換為溯源信息����;本步驟的優(yōu)點(diǎn)在 于,該單元工作對(duì)用戶是透明的�����,能夠自動(dòng)收集上層應(yīng)用產(chǎn)生的溯源信息�����;
[0056] (2)修剪單元?jiǎng)h除溯源信息中對(duì)檢測無關(guān)的信息����,并將刪除后的溯源信息轉(zhuǎn)發(fā)給 存儲(chǔ)單元;其中刪除的無關(guān)信息包括管道文件和臨時(shí)文件���;
[0057] (3)存儲(chǔ)單元將溯源信息以文件的形式存放在文件系統(tǒng)上,同時(shí)存儲(chǔ)在溯源數(shù)據(jù) 庫中����;所愿數(shù)據(jù)庫包括主數(shù)據(jù)庫和索引數(shù)據(jù)庫,主數(shù)據(jù)庫用于存儲(chǔ)對(duì)象的身份信息����,如文件 節(jié)點(diǎn)號(hào)或進(jìn)程ID;
[0058] 索引數(shù)據(jù)庫包括名字?jǐn)?shù)據(jù)庫、父節(jié)點(diǎn)數(shù)據(jù)庫和子節(jié)點(diǎn)數(shù)據(jù)庫��,名字?jǐn)?shù)據(jù)庫用于存 儲(chǔ)對(duì)象名字和pnode號(hào)之間的映射關(guān)系��,父節(jié)點(diǎn)數(shù)據(jù)庫和子節(jié)點(diǎn)數(shù)據(jù)庫分別用于存儲(chǔ)一個(gè) 對(duì)象和它各自的父節(jié)點(diǎn)或子節(jié)點(diǎn)之間的關(guān)系���;
[0059] (4)規(guī)則庫建立單元獲取從本地緩存收集系統(tǒng)或用戶正常行為的溯源信息或溯源 數(shù)據(jù)庫��,提取依賴信息�����,根據(jù)依賴信息建立規(guī)則數(shù)據(jù)庫�����;
[0060] 規(guī)則數(shù)據(jù)庫應(yīng)盡可能完善且沒有多余的依賴�����,而且�,可以通過增加新的正常依賴 無限的更新規(guī)則庫���;
[0061] (5)規(guī)則匹配單元將被檢測事件的溯源信息和規(guī)則庫中的序列作比較;對(duì)于規(guī)則 匹配過程�����,從邊Depi = (A��,B)開始�,尋找與之連貫的邊(8,〇((:�����,0)等�,也可能存在其他連貫 的邊(B,E)(E����,F(xiàn));這是一個(gè)圖的深度優(yōu)先查找過程;對(duì)于包含許多路徑的程序�,通過查找異 常路徑來判斷;雖然一些路徑有相同的邊�����,但每條路徑都要被檢測��;
[0062] (6)預(yù)警報(bào)告單元將匹配比較過程中發(fā)現(xiàn)不正常的路徑輸出�����;本步驟的優(yōu)點(diǎn)在于 能及時(shí)查出入侵來源或系統(tǒng)漏洞�,并為取證分析提供檢測點(diǎn);
[0063] (7)追溯查詢單元根據(jù)預(yù)警報(bào)告中提供的檢測點(diǎn)追溯查詢出入侵來源或入侵漏 洞�����;
[0064] (8)傳播查詢單元根據(jù)入侵來源找到所有受損和被竊取文件;本步驟的優(yōu)點(diǎn)在于 可以根據(jù)溯源中依賴關(guān)系構(gòu)造溯源圖�,更詳細(xì)的分析整個(gè)入侵過程,以便管理員及時(shí)采取 相應(yīng)措施�,如修補(bǔ)漏洞,恢復(fù)受損文件等�。
[0065] 本發(fā)明實(shí)施例提供的系統(tǒng)的收集器的功能示意圖如圖2所示,收集器包括溯源生 成單元���、修剪單元和存儲(chǔ)單元;收集單元用于攔截系統(tǒng)調(diào)用�,轉(zhuǎn)換為溯源信息,修剪單元用 于刪除對(duì)檢測入侵無關(guān)的溯源信息���,存儲(chǔ)單元是用于將修剪單元得到的溯源信息以文件的 形式存放在文件系統(tǒng)上,同時(shí)存放到多個(gè)數(shù)據(jù)庫中�����。
[0066] 溯源信息由溯源生成單元攔截系統(tǒng)調(diào)用生成�,包括文件對(duì)象、進(jìn)程對(duì)象和網(wǎng)絡(luò)連 接對(duì)象之間的依賴關(guān)系�����,系統(tǒng)為每個(gè)對(duì)象分配一個(gè)唯一的編號(hào)以及版本號(hào)來標(biāo)識(shí)該對(duì)象��, 不同的操作系統(tǒng)調(diào)用將產(chǎn)生不同的對(duì)象和依賴關(guān)系�����。
[0067] 實(shí)施例中��,系統(tǒng)調(diào)用與溯源信息的對(duì)應(yīng)關(guān)系如下:
[0068] (1)第一類事件是一個(gè)進(jìn)程直接影響另外一個(gè)進(jìn)程;這些事件可以是一個(gè)進(jìn)程創(chuàng) 建另外一個(gè)進(jìn)程����,和另外一個(gè)進(jìn)程共享內(nèi)存����,或者發(fā)送信號(hào)����;如果進(jìn)程A創(chuàng)建了另外一個(gè)進(jìn) 程B,則存在依賴關(guān)系B-〉A(chǔ);因?yàn)楦高M(jìn)程A對(duì)B進(jìn)行了初始化����,并且B的地址空間的內(nèi)容都來 自于進(jìn)程A。
[0069] (2)第二類事件是進(jìn)程影響文件���,或者受到文件的影響;A為文件���,P為進(jìn)程,系統(tǒng)調(diào) 用寫(¥1'�����;^6和¥1'���;^6¥)�����,則產(chǎn)生1 一>P"這樣的依賴關(guān)系��,讀和創(chuàng)建(reacUreadv和execv)�, 則產(chǎn)生"P-〉A(chǔ)"這樣的依賴關(guān)系。
[0070] (3)在Linux系統(tǒng)中����,一個(gè)socket對(duì)應(yīng)一個(gè)文件描述符;通過socket從網(wǎng)絡(luò)中讀取 和發(fā)送數(shù)據(jù)類似于讀寫一個(gè)文件;B為網(wǎng)絡(luò)連接對(duì)象�����,P為進(jìn)程�,Socket中的系統(tǒng)調(diào)用進(jìn)程向 網(wǎng)絡(luò)發(fā)送數(shù)據(jù)(send)產(chǎn)生"B-〉P"這樣的依賴關(guān)系,接收數(shù)據(jù)(recev)產(chǎn)生"P-〉B"這樣的 依賴關(guān)系�。
[0071] 實(shí)施例提供的系統(tǒng)的檢測器的功能示意圖如圖3所示,檢測器包括規(guī)則庫建立單 元�����、規(guī)則匹配單元和預(yù)警報(bào)告單元其;規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息�����, 根據(jù)該依賴信息建立規(guī)則數(shù)據(jù)庫;規(guī)則匹配單元用于將檢測到的溯源信息與規(guī)則數(shù)據(jù)庫進(jìn) 行比較,獲得比較結(jié)果;預(yù)警報(bào)告單元用于根據(jù)比較結(jié)果生成預(yù)警報(bào)告�����,確定入侵檢測點(diǎn)�����。
[0072] 實(shí)施例中����,建立規(guī)則庫的過程包括以下子步驟:
[0073] (4-1)從運(yùn)行的程序中獲取該程序正常行為的溯源信息R;實(shí)施例中,為了規(guī)則庫 更完善�����,運(yùn)行該程序Μ次�,得到Μ個(gè)溯源信息,記為R1�、R2、……Rm�����,其中每個(gè)Ri為程序運(yùn)行第i 次時(shí)產(chǎn)生的溯源信息����;
[0074] (4-2)將每個(gè)溯源信息R進(jìn)行分解��,獲得一系列的兩個(gè)對(duì)象間的依賴關(guān)系�,R = {Depl, ··· ,Depn}����;
[0075] Depi表示兩個(gè)特定對(duì)象之間的直接依賴關(guān)系,Depi = (A����,B);其中,A為B的父節(jié)點(diǎn)��; [0076] (4-3)根據(jù)上述依賴關(guān)系Depi�����,建立規(guī)則數(shù)據(jù)庫G���,G= {Depl,…��,Depk}�����。
[0077] 實(shí)施例中,步驟(5)包括以下子步驟:
[0078] (5-1)將被檢測事件的溯源信息R'進(jìn)行分解���,獲得對(duì)象間的依賴關(guān)系R' = {Depl���,,…����,Depi,����,···Depn,};
[0079] (5-2)對(duì)于上述溯源信息R'中每個(gè)依賴關(guān)系Depi ' = (A�,B),判斷Depi '是否屬于G; 若是�,則Depi '可疑度為0;若否,則Depi '可疑度為1;
[0080] (5-3)查找上述溯源信息R'中長度為W的路徑(Depl'�,…,Depw')�����;(Depi ',Dep(i+ 1) ')構(gòu)成路徑要求Depi' = (A����,B)的子節(jié)點(diǎn)是Dep(i+1) '的父節(jié)點(diǎn);
[0081] (5-4)獲取所述路徑的路徑判決值
�;其中,Μ是指依賴性關(guān)系Depj'的可 疑度�����,Σ&1 Μ是指w個(gè)依賴性關(guān)系可疑度之和�,j從1到w取值;
[0082] (5-5)判斷是否P>T��,若是����,則判定被檢測事件異常;若否��,則判定被檢測事件正常��; [0083]其中���,Τ是指判決門限��;根據(jù)檢測率來設(shè)置相應(yīng)的路徑長度W和判決門限Τ��,每條長 度W的路徑都要計(jì)算其判決值�����,并與門限比較;實(shí)驗(yàn)得出當(dāng)W=3����,T = 0.3時(shí),可獲得最好的檢 測率�。
[0084]本發(fā)明實(shí)施例提供的系統(tǒng)的分析器的功能示意圖如圖4所示,分析器包括傳播查 詢單元和追溯查詢單元;其中���,傳播查詢單元用于查詢?nèi)肭中袨?追溯查詢單元查詢?nèi)肭謥?源和系統(tǒng)漏洞;通過追溯查詢和傳播查詢�����,構(gòu)造溯源圖�����;可根據(jù)溯源圖分析整個(gè)入侵過程����, 以便管及時(shí)采取相應(yīng)措施,如修補(bǔ)漏洞��,恢復(fù)受損文件等���。
[0085]本領(lǐng)域的技術(shù)人員容易理解��,以上所述僅為本發(fā)明的較佳實(shí)施例而已��,并不用以 限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換和改進(jìn)等�����,均應(yīng)包含 在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【主權(quán)項(xiàng)】
1. 一種基于溯源信息的入侵檢測系統(tǒng)����,其特征在于,包括收集器���、檢測器和分析器�; 所述收集器用于根據(jù)系統(tǒng)調(diào)用序列進(jìn)行轉(zhuǎn)換生成溯源信息����; 所述檢測器用于根據(jù)所述溯源信息建立規(guī)則數(shù)據(jù)庫;入侵檢測時(shí),將被檢測的溯源信 息與規(guī)則庫中的溯源信息作比較;發(fā)現(xiàn)入侵時(shí)����,輸出預(yù)警報(bào)告,所說預(yù)警報(bào)告中包括所述比 較過程中識(shí)別出的異常路徑����,根據(jù)所述異常路徑確定入侵檢測點(diǎn); 所述分析器用于在所述入侵檢測點(diǎn)對(duì)入侵過程進(jìn)行傳播查詢和追溯查詢�����,檢測系統(tǒng)漏 洞和入侵來源����。2. 如權(quán)利要求1所述的入侵檢測系統(tǒng)���,其特征在于,所述收集器包括溯源生成單元����、修 剪單元和存儲(chǔ)單元; 所述溯源生成單元用于攔截系統(tǒng)調(diào)用��,將系統(tǒng)調(diào)用序列轉(zhuǎn)換成溯源信息�����; 所述修剪單元用于刪除上述溯源信息中與入侵檢測無關(guān)的信息�����; 所述存儲(chǔ)單元用于將修剪單元輸出的溯源信息進(jìn)行轉(zhuǎn)換����,將獲得的文件存儲(chǔ)到文件系 統(tǒng),并將所述文件存儲(chǔ)到溯源數(shù)據(jù)庫中���。3. 如權(quán)利要求1或2所述的入侵檢測系統(tǒng)�,其特征在于���,所述檢測器包括規(guī)則庫建立單 元����、規(guī)則匹配單元和預(yù)警報(bào)告單元��; 所述規(guī)則庫建立單元用于提取溯源數(shù)據(jù)庫中的依賴信息�����,根據(jù)所述依賴信息建立規(guī)則 數(shù)據(jù)庫�; 所述規(guī)則匹配單元用于將檢測到的溯源信息與所述規(guī)則數(shù)據(jù)庫進(jìn)行比較,獲得比較結(jié) 果���; 所述預(yù)警報(bào)告單元用于根據(jù)所述比較結(jié)果生成預(yù)警報(bào)告��,確定入侵檢測點(diǎn)�����。4. 如權(quán)利要求1或2所述的入侵檢測系統(tǒng)�����,其特征在于��,所述分析器包括傳播查詢單元 和追溯查詢單元���; 所述傳播查詢單元用于根據(jù)入侵來源對(duì)入侵進(jìn)行傳播查詢;所述追溯查詢單元用于根 據(jù)受損文件對(duì)入侵行為進(jìn)行追溯查詢���。5. 如權(quán)利要求2所述的入侵檢測系統(tǒng),其特征在于所述溯源數(shù)據(jù)庫包括主數(shù)據(jù)庫和索 引數(shù)據(jù)庫�����; 所述主數(shù)據(jù)庫用于存儲(chǔ)對(duì)象的身份信息���,包括文件節(jié)點(diǎn)號(hào)��、進(jìn)程ID;索引數(shù)據(jù)庫包括名 字?jǐn)?shù)據(jù)庫�����、父節(jié)點(diǎn)數(shù)據(jù)庫和子節(jié)點(diǎn)數(shù)據(jù)庫���; 所述名字?jǐn)?shù)據(jù)庫用于存儲(chǔ)對(duì)象名字與對(duì)象的序號(hào)之間的映射關(guān)系;父節(jié)點(diǎn)數(shù)據(jù)庫用于 存儲(chǔ)對(duì)象與其父節(jié)點(diǎn)之間的映射關(guān)系;子節(jié)點(diǎn)數(shù)據(jù)庫用于存儲(chǔ)對(duì)象與其子節(jié)點(diǎn)之間的映射 關(guān)系����。6. -種基于權(quán)利要求1至5任一項(xiàng)所述的入侵檢測系統(tǒng)的入侵檢測方法��,其特征在于, 包括如下步驟: (1) 實(shí)時(shí)攔截系統(tǒng)調(diào)用��,通過轉(zhuǎn)換系統(tǒng)調(diào)用序列生成第一溯源信息����; (2) 對(duì)所述第一溯源信息進(jìn)行檢測�,刪除與檢測無關(guān)的臨時(shí)文件和管道文件,獲得第二 溯源信息����; (3) 將所述第二溯源信息存儲(chǔ)到溯源數(shù)據(jù)庫中; (4) 根據(jù)從本地緩存收集的系統(tǒng)或用戶正常行為的溯源信息�����,提取依賴信息���,根據(jù)所述 依賴信息建立規(guī)則數(shù)據(jù)庫���; (5)將被檢測事件的溯源信息與規(guī)則數(shù)據(jù)庫中的信息進(jìn)行比較,根據(jù)比較結(jié)果識(shí)別被 檢測事件是否異常�����,以及異常路徑;將檢測到的異常路徑中出現(xiàn)的受損文件作為檢測點(diǎn); (7) 根據(jù)所述檢測點(diǎn)追溯查詢和傳播查詢��,獲取入侵來源或入侵漏洞�; (8) 根據(jù)入侵來源或入侵漏洞查詢受損或被竊取文件的信息。7. 如權(quán)利要求6所述的入侵檢測方法��,其特征在于�,所述步驟(4)建立規(guī)則數(shù)據(jù)庫的方 法包括如下子步驟: (4-1)從運(yùn)行的程序中獲取正常行為的溯源信息R;其中,正常行為是指在沒有外界入 侵的情況下管理員或用戶所做的操作���; (4-2)將所述溯源信息R進(jìn)行分解�,獲得對(duì)象間的依賴關(guān)系R= {Depl�����,…�����,Depn}; 其中�,Depi = (A,B)���,Depi是指父節(jié)點(diǎn)A與其子節(jié)點(diǎn)B兩個(gè)對(duì)象之間的直接依賴關(guān)系�����; (4-3)根據(jù)所述依賴關(guān)系Depi���,建立規(guī)則數(shù)據(jù)庫G���,G= {Depl,…�����,Depk}���。8. 如權(quán)利要求7所述的入侵檢測方法,其特征在于���,所述步驟(5)包括以下子步驟: (5-1)將被檢測事件的溯源信息R'進(jìn)行分解��,獲得對(duì)象間的依賴關(guān)系R' = {Depl'�,···���, Depi ', ··-Depn'}�����; (5-2)對(duì)于所述溯源信息R'中每個(gè)依賴關(guān)系Depi ' = (A����,B),判斷依賴關(guān)系Depi '是否屬 于所述規(guī)則數(shù)據(jù)庫G;若是�,則將依賴關(guān)系Depi '的可疑度設(shè)為O;若否,則將依賴關(guān)系Depi ' 的可疑度設(shè)為1; (5-3)查找所述溯源信息R'中路徑長度為w的路徑(Depl'�,…,Depw')�����; (5-4)獲取所述路徑的路徑判決彳:其中���,M是指依賴性關(guān)系Depj '的可疑度���,I指W個(gè)依賴性關(guān)系可疑度之和,j從1到w取值����; (5-5)判斷是否P>T�,若是�����,則判定被檢測事件異常�;若否,則判定被檢測事件正常�;其 中,T是指判決門限����,根據(jù)檢測率設(shè)置。9. 如權(quán)利要求6所述的入侵檢測方法���,其特征在于,通過所述傳播查詢和追溯查詢構(gòu)造 溯源圖�;根據(jù)所述溯源圖獲取攻擊路徑;根據(jù)所述攻擊路徑上的事件,查詢找到被入侵過程 影響的所有文件�。
【文檔編號(hào)】H04L29/06GK106027529SQ201610351996
【公開日】2016年10月12日
【申請(qǐng)日】2016年5月25日
【發(fā)明人】謝雨來, 石珍珍, 譚支鵬, 馮丹
【申請(qǐng)人】華中科技大學(xué)