專利名稱：：基于危險(xiǎn)理論和nsa的主機(jī)入侵檢測(cè)系統(tǒng)及檢測(cè)方法
技術(shù)領(lǐng)域：
：機(jī)網(wǎng)絡(luò)
技術(shù)領(lǐng)域：
，涉及網(wǎng)絡(luò)安全，具體地說是一種主機(jī)入侵檢測(cè)系統(tǒng)及檢測(cè)方法，可用以在網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)對(duì)主機(jī)的監(jiān)控。
背景技術(shù)：
：隨著Internet的廣泛應(yīng)用和網(wǎng)絡(luò)間信息流量的急劇增長(zhǎng)，各領(lǐng)域在得益于網(wǎng)絡(luò)的同時(shí)，其數(shù)據(jù)的安全性也受到的嚴(yán)重的威脅。目前，常用的安全技術(shù)有防火墻、防病毒軟件、加密技術(shù)、用戶認(rèn)證和入侵檢測(cè)系統(tǒng)等。其中，入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤用操作的實(shí)時(shí)保護(hù)。就檢測(cè)數(shù)據(jù)而言，入侵檢測(cè)可以分成網(wǎng)絡(luò)型和主機(jī)型。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的檢測(cè)數(shù)據(jù)來自網(wǎng)絡(luò)上的原始數(shù)據(jù)包，該類型的入侵檢測(cè)系統(tǒng)一般擔(dān)負(fù)著保護(hù)一個(gè)網(wǎng)段的任務(wù);主機(jī)型的入侵檢測(cè)系統(tǒng)通過分析主機(jī)中的審計(jì)數(shù)據(jù)來檢測(cè)攻擊。也有一些專家把同時(shí)檢測(cè)主機(jī)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)系統(tǒng)單分一類——混合型入侵檢測(cè)系統(tǒng)。利用操作系統(tǒng)中特權(quán)進(jìn)程的漏洞實(shí)施攻擊是一種很普遍的入侵方式。特權(quán)進(jìn)程，比如Linux系統(tǒng)中以root權(quán)限運(yùn)行的程序具有較高的權(quán)限，入侵者可以利用這些程序的設(shè)計(jì)漏洞，獲取整個(gè)系統(tǒng)的控制權(quán)。例如，F(xiàn)inger服務(wù)程序中的一個(gè)缺陷可以使攻擊者利用"緩沖區(qū)溢出"的方法，欺騙服務(wù)程序執(zhí)行入侵者安排的惡意代碼。所以，通過監(jiān)視特權(quán)程序的運(yùn)行情況己經(jīng)成為檢測(cè)入侵行為的主要手段之一。有研究表明，同一個(gè)特權(quán)程序在正常運(yùn)行時(shí)所產(chǎn)生的系統(tǒng)調(diào)用序列基本一致；但當(dāng)遭受攻擊篡改，或執(zhí)行不正常的程序分支，使程序不正常運(yùn)行時(shí)，它所產(chǎn)生的系統(tǒng)調(diào)用序列與程序正常運(yùn)行時(shí)有明顯差異。此外，對(duì)于破壞性的攻擊行為，主機(jī)特權(quán)進(jìn)程的資源使用情況與系統(tǒng)正常運(yùn)行時(shí)也是有差別的,這里所說的資源使用情況包括CPU的使用率，內(nèi)存的占用率，以及進(jìn)程所生成的socket連接數(shù)5等。就檢測(cè)技術(shù)而言，入侵檢測(cè)可以分成誤用檢測(cè)和異常檢測(cè)。具體來說，誤用檢測(cè)是對(duì)己知的入侵行為建模，用已經(jīng)建立的入侵模式庫區(qū)來檢測(cè)用戶行為。誤用檢測(cè)可以有效地檢測(cè)到已知的攻擊，產(chǎn)生的誤用比較少,但誤用檢測(cè)不能檢測(cè)到未知的攻擊，它需要不斷地更新攻擊特征庫，系統(tǒng)的適應(yīng)性比較差。異常檢測(cè)是對(duì)正常行為建模，所有不符合這個(gè)模型的行為就被懷疑為攻擊。異常檢測(cè)首先收集一段時(shí)期正常操作活動(dòng)的歷史數(shù)據(jù)，建立正常行為輪廓。然后收集實(shí)時(shí)數(shù)據(jù)，并使用各種方法來決定所檢測(cè)到的事件活動(dòng)是否偏離了正常行為模式。異常檢測(cè)在沒有詳細(xì)的特定知識(shí)條件下，可以檢測(cè)出未知的攻擊，但這種檢測(cè)方式誤檢率比較高。異常檢測(cè)的方法主要有閾值檢測(cè)、統(tǒng)計(jì)方法神經(jīng)網(wǎng)絡(luò)和人工免疫等。在入侵檢測(cè)方法和技術(shù)研究中，人們發(fā)現(xiàn)生物免疫系統(tǒng)與入侵檢測(cè)系統(tǒng)具有相似性:免疫系統(tǒng)捍衛(wèi)著人體不受各種病原體的侵害，正如入侵檢測(cè)系統(tǒng)保護(hù)計(jì)算機(jī)系統(tǒng)免受攻擊的摧毀一樣，兩者都是使保護(hù)對(duì)象在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性。因此人們開始借鑒生物免疫原理開發(fā)入侵檢測(cè)技術(shù)。美國UniversityofNewMexico的Forrest,Hofineyr等人提出的基于免疫耐受機(jī)制的模型，即否定選擇算法。免疫機(jī)制使出未現(xiàn)過的入侵行為仍然可以被檢測(cè)到，且敏感性更高反應(yīng)更快。該模型的主要不足是:網(wǎng)絡(luò)入侵的不可預(yù)測(cè)性和訓(xùn)練樣本的不夠完備導(dǎo)致將正常的網(wǎng)絡(luò)行為判斷為入侵行為，不適應(yīng)用戶正常行為的突然改變，而造成大量的誤報(bào)占用系統(tǒng)管理員大量時(shí)間并消耗系統(tǒng)資源。
發(fā)明內(nèi)容本發(fā)明的目的在于克服上述已有技術(shù)的不足，提出一種基于危險(xiǎn)理論和否定選擇算法NSA的主機(jī)入侵檢測(cè)系統(tǒng)及檢測(cè)方法，以實(shí)現(xiàn)在保證檢測(cè)精度的前提下，有效提高入侵檢測(cè)的誤檢率和適應(yīng)性。為實(shí)現(xiàn)上述目的，本發(fā)明的主機(jī)入侵檢測(cè)系統(tǒng)包括信號(hào)數(shù)據(jù)采集模塊，用于采集主機(jī)特權(quán)進(jìn)程使用數(shù)據(jù)，包括CPU的占用率，內(nèi)存的占用率，生成的socket連接數(shù)，并將所得到的信號(hào)數(shù)據(jù)分別傳輸?shù)叫盘?hào)數(shù)據(jù)訓(xùn)練模塊和數(shù)據(jù)檢測(cè)模塊；6抗原數(shù)據(jù)采集模塊，用于采集主機(jī)特權(quán)進(jìn)程運(yùn)行時(shí)產(chǎn)生系統(tǒng)調(diào)用序列，并將所得到的抗原數(shù)據(jù)分別傳輸?shù)娇乖瓟?shù)據(jù)訓(xùn)練模塊和數(shù)據(jù)檢測(cè)模塊；信號(hào)數(shù)據(jù)訓(xùn)練模塊，用于利用新穎發(fā)現(xiàn)算法對(duì)信號(hào)數(shù)據(jù)采集模塊所采集的信號(hào)數(shù)據(jù)進(jìn)行訓(xùn)練，并將所得到檢測(cè)規(guī)則用于數(shù)據(jù)檢測(cè)模塊中信號(hào)數(shù)據(jù)的檢測(cè)；抗原數(shù)據(jù)訓(xùn)練模塊，用于利用否定選擇算法對(duì)抗原數(shù)據(jù)采集模塊所采集的抗原數(shù)據(jù)進(jìn)行訓(xùn)練，并將所得到檢測(cè)規(guī)則用于數(shù)據(jù)檢測(cè)模塊中抗原數(shù)數(shù)據(jù)檢測(cè)模塊，用于利用信號(hào)數(shù)據(jù)訓(xùn)練模塊所得到的訓(xùn)練規(guī)則，完成對(duì)檢測(cè)信號(hào)數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測(cè)，利用抗原數(shù)據(jù)訓(xùn)練模塊所得到的訓(xùn)練規(guī)則，完成對(duì)檢測(cè)抗原數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測(cè)，并依據(jù)危險(xiǎn)理論的思想，把信號(hào)數(shù)據(jù)的檢測(cè)結(jié)果作為危險(xiǎn)信號(hào)，確定抗原數(shù)據(jù)的危險(xiǎn)區(qū)域；行為響應(yīng)模塊，用于對(duì)主機(jī)特權(quán)進(jìn)程的異常情況發(fā)生響應(yīng)，根據(jù)數(shù)據(jù)檢測(cè)模塊的檢測(cè)結(jié)果，暫停進(jìn)程，把異常情況的詳細(xì)信息記錄到日志文件。為實(shí)現(xiàn)上述目的，本發(fā)明的主機(jī)入侵檢測(cè)方法包括(1)按時(shí)間順序，采集主機(jī)特權(quán)進(jìn)程的資源使用情況和它所調(diào)用的系統(tǒng)調(diào)用序列；(2)將采集到的資源使用情況轉(zhuǎn)化為信號(hào)數(shù)據(jù)，將采集到的系統(tǒng)調(diào)用序列轉(zhuǎn)化為抗原數(shù)據(jù)；(3)對(duì)上述信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)進(jìn)行訓(xùn)練，得到信號(hào)數(shù)據(jù)檢測(cè)規(guī)則和抗原信號(hào)的檢測(cè)規(guī)則；(4)利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，確定危險(xiǎn)區(qū)域；(5)利用抗原數(shù)據(jù)檢測(cè)規(guī)則在所確定的危險(xiǎn)區(qū)域內(nèi)，對(duì)抗原數(shù)據(jù)進(jìn)行檢測(cè)，如果檢測(cè)出異?？乖瓟?shù)據(jù)，就認(rèn)為主機(jī)中存在入侵行為；(6)入侵檢測(cè)系統(tǒng)針對(duì)檢測(cè)出的入侵行為，暫停異常進(jìn)程，并將異常情況的詳細(xì)信息記錄到日志文件中。本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn)1.結(jié)合危險(xiǎn)理論的思想與否定選擇算法，降低了系統(tǒng)的誤檢率。Matzinger提出的危險(xiǎn)理論認(rèn)為誘發(fā)機(jī)體免疫應(yīng)答的關(guān)鍵因素是入侵者產(chǎn)生的危險(xiǎn)信號(hào)，而不是入侵者的異己性。在入侵檢測(cè)中加入危險(xiǎn)理論思想可以改進(jìn)傳統(tǒng)的人工免疫理論的不足，提高基于人工免疫理論的檢測(cè)系統(tǒng)性能，降低了誤檢率。使用CPU資源、內(nèi)存、和進(jìn)程的socket連接情況等各種系統(tǒng)資源使用情況作為信號(hào)數(shù)據(jù)，確定出一個(gè)危險(xiǎn)區(qū)域，在危險(xiǎn)區(qū)域內(nèi)對(duì)主機(jī)特權(quán)進(jìn)程的系統(tǒng)調(diào)用序列進(jìn)行檢測(cè)。信號(hào)數(shù)據(jù)的引入使得本發(fā)明的主機(jī)入侵檢測(cè)系統(tǒng)只對(duì)危險(xiǎn)區(qū)域內(nèi)的異常情況做出響應(yīng)，而不是對(duì)所有的異常情況都做出響應(yīng)，因而有效的降低了誤檢率。2.結(jié)合主機(jī)進(jìn)程的系統(tǒng)調(diào)用序列和資源使用情況，提高了系統(tǒng)適應(yīng)性。本發(fā)明所定義的抗原數(shù)據(jù)是主機(jī)特權(quán)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用序列。在Linux主機(jī)系統(tǒng)中，用戶和內(nèi)核的交互是通過系統(tǒng)調(diào)用序列來完成的，目前大多數(shù)主機(jī)系統(tǒng)的攻擊最終也是通過非法執(zhí)行系統(tǒng)調(diào)用來達(dá)到目的。同一個(gè)特權(quán)進(jìn)程正常運(yùn)行和受到攻擊所產(chǎn)生的系統(tǒng)調(diào)用也存在不同的特征，所以采用主機(jī)特權(quán)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用序列作為抗原數(shù)據(jù)。另外，破壞性的入侵行為常常會(huì)導(dǎo)致主機(jī)特權(quán)進(jìn)程資源使用情況的異常。本發(fā)明把主機(jī)特權(quán)進(jìn)程的資源使用情況定義為信號(hào)數(shù)據(jù)。信號(hào)數(shù)據(jù)檢測(cè)和抗原數(shù)據(jù)檢測(cè)的協(xié)同作用，可以從以下幾個(gè)方面較好地改善了檢測(cè)參數(shù)和檢測(cè)性能。(1)抗原數(shù)據(jù)訓(xùn)練集不完備會(huì)引起"正常"與"異常"界線模糊，弓l起的誤報(bào)與漏報(bào)。當(dāng)系統(tǒng)無法分清"正常"與"異常"時(shí)，危險(xiǎn)信號(hào)成為彼此的分界工具，增強(qiáng)系統(tǒng)的適應(yīng)性。(2)提高入侵檢測(cè)系統(tǒng)的自適應(yīng)能力。未知攻擊發(fā)生時(shí)，會(huì)產(chǎn)生樣本記錄，在緊急防御措施之后，自動(dòng)觸發(fā)學(xué)習(xí)機(jī)制，用自動(dòng)檢測(cè)取代了當(dāng)前入侵檢測(cè)系統(tǒng)依靠人工進(jìn)行"攻擊"確認(rèn)的工作，提高了入侵檢測(cè)系統(tǒng)從環(huán)境中學(xué)習(xí)的能力。圖1是本發(fā)明結(jié)構(gòu)框圖2是本發(fā)明的主機(jī)入侵檢測(cè)過程示意圖3是本發(fā)明信號(hào)數(shù)據(jù)檢測(cè)的流程圖4是本發(fā)明抗原數(shù)據(jù)檢測(cè)的流程具體實(shí)施例方式參照?qǐng)Dl，本發(fā)明的主機(jī)入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，主要由信號(hào)數(shù)據(jù)采集模塊、抗原數(shù)據(jù)采集模塊、信號(hào)數(shù)據(jù)訓(xùn)練模塊、抗原數(shù)據(jù)訓(xùn)練模塊、數(shù)據(jù)檢測(cè)模塊和行為響應(yīng)模塊構(gòu)成。各模塊的具體功能及傳輸關(guān)系如下(1)信號(hào)數(shù)據(jù)采集模塊在被監(jiān)控主機(jī)運(yùn)行時(shí)，采集主機(jī)特權(quán)進(jìn)程的系統(tǒng)資源使用情況，包括CPU的占用率，內(nèi)存的占用率，生成的socket連接數(shù)，將這些系統(tǒng)資源使用情況轉(zhuǎn)化一個(gè)n維向量，n表示所選取的系統(tǒng)資源種類數(shù)，將這個(gè)向量定義為信號(hào)數(shù)據(jù)，并將所得到的信號(hào)數(shù)據(jù)分別傳輸?shù)叫盘?hào)數(shù)據(jù)訓(xùn)練模塊和數(shù)據(jù)檢測(cè)模塊。(2)抗原數(shù)據(jù)采集模塊在被監(jiān)控主機(jī)運(yùn)行時(shí)，采集主機(jī)特權(quán)進(jìn)程運(yùn)行時(shí)產(chǎn)生系統(tǒng)調(diào)用序列，將這些系統(tǒng)調(diào)用序列轉(zhuǎn)化為一組長(zhǎng)度為m的字符串，m表示截取系統(tǒng)調(diào)用子序列的長(zhǎng)度，將這組字符串定義為抗原數(shù)據(jù)，并將所得到的抗原數(shù)據(jù)分別傳輸?shù)娇乖瓟?shù)據(jù)訓(xùn)練模塊和數(shù)據(jù)檢測(cè)模塊。(3)信號(hào)數(shù)據(jù)訓(xùn)練模塊利用新穎發(fā)現(xiàn)算法對(duì)信號(hào)數(shù)據(jù)采集模塊所采集的信號(hào)數(shù)據(jù)進(jìn)行訓(xùn)練，并將所得到檢測(cè)規(guī)則用于數(shù)據(jù)檢測(cè)模塊中信號(hào)數(shù)據(jù)的檢測(cè)。(4)抗原數(shù)據(jù)訓(xùn)練模塊利用否定選擇算法對(duì)抗原數(shù)據(jù)采集模塊所采集的抗原數(shù)據(jù)進(jìn)行訓(xùn)練，并將所得到檢測(cè)規(guī)則用于數(shù)據(jù)檢測(cè)模塊中抗原數(shù)據(jù)的檢測(cè)。(5)數(shù)據(jù)檢測(cè)模塊分別接收信號(hào)數(shù)據(jù)采集模塊和抗原數(shù)據(jù)采集模塊采集的信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)，將存儲(chǔ)信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)的將這個(gè)數(shù)據(jù)結(jié)構(gòu)定義為D細(xì)胞，每一個(gè)D細(xì)胞都設(shè)有固定的生命周期。D細(xì)胞利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)每個(gè)進(jìn)入D細(xì)胞的信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，并同時(shí)保存與該信號(hào)數(shù)據(jù)相對(duì)應(yīng)的抗原數(shù)據(jù)，如果D細(xì)胞在生命周期結(jié)束前檢測(cè)到異常的信號(hào)數(shù)據(jù)，則該D細(xì)胞產(chǎn)生的IL-2信號(hào)值被置1，表示該D細(xì)胞處于危險(xiǎn)區(qū)域內(nèi)；如果D細(xì)胞的生命周期結(jié)束時(shí)，D細(xì)胞還沒有檢測(cè)到異常的信號(hào)數(shù)據(jù)，則該D細(xì)胞產(chǎn)生的IL-2信號(hào)值被置0,表示該D細(xì)胞處于危險(xiǎn)區(qū)域外。9將存儲(chǔ)抗原數(shù)據(jù)檢測(cè)規(guī)則的數(shù)據(jù)結(jié)構(gòu)定義為T細(xì)胞，T細(xì)胞對(duì)D細(xì)胞提供的抗原數(shù)據(jù)進(jìn)行檢測(cè)，并同時(shí)判斷該D細(xì)胞產(chǎn)生的IL-2信號(hào)值。當(dāng)T細(xì)胞檢測(cè)某個(gè)D細(xì)胞提供的抗原數(shù)據(jù)，如果該D細(xì)胞產(chǎn)生的IL-2信號(hào)值為O，則認(rèn)為該T細(xì)胞檢測(cè)有誤，它存儲(chǔ)的檢測(cè)規(guī)則將被修正；如果該D細(xì)胞產(chǎn)生的IL-2信號(hào)值為1,則該D細(xì)胞中的抗原數(shù)據(jù)就被認(rèn)定為是異常的，入侵檢測(cè)系統(tǒng)則認(rèn)為主機(jī)中存在入侵行為。檢測(cè)到異?？乖瓟?shù)據(jù)的T細(xì)胞將被保留一段時(shí)間，對(duì)類似特征的異?？乖瓟?shù)據(jù)進(jìn)行快速檢測(cè)。(6)行為響應(yīng)模塊，根據(jù)數(shù)據(jù)檢測(cè)模塊的檢測(cè)結(jié)果，暫停進(jìn)程，把異常情況的詳細(xì)信息記錄到日志文件。參照?qǐng)D2，本發(fā)明的入侵檢測(cè)方法，具體實(shí)現(xiàn)步驟如下(1)在所監(jiān)控的主機(jī)運(yùn)行時(shí)，按時(shí)間順序?qū)χ付ㄌ貦?quán)進(jìn)程的資源使用情況和它運(yùn)行所產(chǎn)生的系統(tǒng)調(diào)用序列進(jìn)行采樣；(2)將采集到的資源使用情況轉(zhuǎn)化為信號(hào)數(shù)據(jù)，將采集到的系統(tǒng)調(diào)用序列轉(zhuǎn)化為抗原數(shù)據(jù)，該步驟的具體實(shí)施如下2a)將步驟(1)所采集的主機(jī)特權(quán)進(jìn)程資源使用情況轉(zhuǎn)化為一個(gè)n維實(shí)數(shù)向量，n表示所選取的系統(tǒng)資源種類數(shù)，將這個(gè)向量定義為信號(hào)數(shù)據(jù)；2b)將主機(jī)特權(quán)進(jìn)程運(yùn)行產(chǎn)生的系統(tǒng)調(diào)用序列截取成一組長(zhǎng)度為m的短序列，m表示截取系統(tǒng)調(diào)用子序列的長(zhǎng)度，將這組短序列定義為抗原數(shù)據(jù)；(3)對(duì)上述信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)進(jìn)行訓(xùn)練，得到信號(hào)數(shù)據(jù)檢測(cè)規(guī)則和抗原信號(hào)的檢測(cè)規(guī)則，該步驟的具體實(shí)施如下3a)采用新穎發(fā)現(xiàn)算法對(duì)步驟2a)得到的信號(hào)數(shù)據(jù)進(jìn)行訓(xùn)練，經(jīng)過訓(xùn)練得到的信號(hào)數(shù)據(jù)檢測(cè)規(guī)則是一組權(quán)值；3b)采用否定選擇算法對(duì)步驟2b)得到的抗原數(shù)據(jù)進(jìn)行訓(xùn)練，經(jīng)過訓(xùn)練得到的抗原數(shù)據(jù)檢測(cè)規(guī)則是以層數(shù)為m的樹形結(jié)構(gòu)存儲(chǔ)。(4)利用步驟(3)所得到的信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，確定危險(xiǎn)區(qū)域。10參考圖3，該步驟的具體實(shí)施如下4a)分別接收步驟(2)得到的信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)，將存儲(chǔ)信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)定義為D細(xì)胞，每一個(gè)D細(xì)胞都設(shè)有固定的生命周期；4b)D細(xì)胞利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)每個(gè)進(jìn)入D細(xì)胞的信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，并同時(shí)保存與該信號(hào)信號(hào)數(shù)據(jù)相對(duì)應(yīng)的抗原數(shù)據(jù)，如果D細(xì)胞在生命周期結(jié)束前檢測(cè)到異常的信號(hào)數(shù)據(jù)，則該D細(xì)胞產(chǎn)生的IL-2信號(hào)值被置l,表示該D細(xì)胞處于危險(xiǎn)區(qū)域；4c)如果D細(xì)胞的生命周期結(jié)束時(shí)，D細(xì)胞還沒有檢測(cè)到異常的信號(hào)數(shù)據(jù)，則該D細(xì)胞產(chǎn)生的IL-2信號(hào)值被置0，表示該D細(xì)胞處于危險(xiǎn)區(qū)域之外。(5)利用抗原數(shù)據(jù)檢測(cè)規(guī)則在所確定的危險(xiǎn)區(qū)域內(nèi)，對(duì)抗原數(shù)據(jù)進(jìn)行檢測(cè)，如果檢測(cè)出異?？乖瓟?shù)據(jù)，就認(rèn)為主機(jī)中存在入侵行為。參考圖4，該步驟的具體實(shí)施如下5a)將存儲(chǔ)抗原數(shù)據(jù)檢測(cè)規(guī)則的數(shù)據(jù)結(jié)構(gòu)定義為T細(xì)胞，T細(xì)胞對(duì)D細(xì)胞提供的抗原數(shù)據(jù)進(jìn)行檢測(cè)，并判斷該D細(xì)胞產(chǎn)生的IL-2信號(hào)值；5b)當(dāng)T細(xì)胞檢測(cè)某個(gè)D細(xì)胞提供的抗原數(shù)據(jù)，如果該D細(xì)胞產(chǎn)生的IL-2信號(hào)值為0，則認(rèn)為該T細(xì)胞檢測(cè)有誤，它存儲(chǔ)的檢測(cè)規(guī)則將被修正，如果該D細(xì)胞產(chǎn)生的IL-2信號(hào)值為1，則該D細(xì)胞中的抗原數(shù)據(jù)就被認(rèn)定為是異常的，入侵檢測(cè)系統(tǒng)則認(rèn)為主機(jī)中存在入侵行為；5c)將在步驟5b)中檢測(cè)到異?？乖瓟?shù)據(jù)的T細(xì)胞保留一段時(shí)間，用該T細(xì)胞對(duì)類似特征的異?？乖瓟?shù)據(jù)進(jìn)行快速檢測(cè)。(6)入侵檢測(cè)系統(tǒng)針對(duì)檢測(cè)出的入侵行為，暫停異常進(jìn)程，并將異常情況的詳細(xì)信息記錄到日志文件中。本發(fā)明的效果可以通過以下仿真實(shí)驗(yàn)說明本實(shí)驗(yàn)對(duì)sendmail，ftpd和xlock三個(gè)特權(quán)進(jìn)程正常運(yùn)行和受到攻擊時(shí)所提取的系統(tǒng)調(diào)用序列進(jìn)行仿真測(cè)試，并在實(shí)時(shí)環(huán)境中對(duì)主機(jī)進(jìn)行RPC攻擊，應(yīng)用本發(fā)明所涉及的入侵檢測(cè)系統(tǒng)對(duì)入侵行為進(jìn)行檢測(cè)攔截。實(shí)驗(yàn)l，針對(duì)抗原數(shù)據(jù)的仿真實(shí)驗(yàn)(1)實(shí)驗(yàn)所采用的數(shù)據(jù)(a)正常行為數(shù)據(jù)sendmail進(jìn)程，wu-ftpd進(jìn)程和xlock進(jìn)程正常運(yùn)行時(shí)收集的系統(tǒng)調(diào)用序列；(b)sendmail入侵?jǐn)?shù)據(jù)sunsendmailcp，譯碼化名入侵禾口forwardingloops三種攻擊發(fā)生時(shí)進(jìn)程sendmail產(chǎn)生的系統(tǒng)調(diào)用序列；(c)wu-ftpd入侵?jǐn)?shù)據(jù)利用配置文件SITEEXEC漏洞，騙取root權(quán)限時(shí)進(jìn)程wu-ftpd產(chǎn)生的系統(tǒng)調(diào)用序列；(d)xlock入侵?jǐn)?shù)據(jù)利用xlock進(jìn)程緩沖區(qū)溢出的入侵行為發(fā)生時(shí)進(jìn)程xlock產(chǎn)生的系統(tǒng)調(diào)用序列。(2)實(shí)驗(yàn)步驟及結(jié)果(a)把xlock進(jìn)程正常運(yùn)行時(shí)收集的正常行為數(shù)據(jù)，分成兩組正常行為數(shù)據(jù)1和正常行為數(shù)據(jù)2;用正常行為數(shù)據(jù)1進(jìn)行訓(xùn)練，用正常行為數(shù)據(jù)2和入侵行為數(shù)據(jù)進(jìn)行測(cè)試，測(cè)試結(jié)果如表1所示。表1xlock進(jìn)程正常行為與異常行為檢測(cè)結(jié)果對(duì)比<table>tableseeoriginaldocumentpage12</column></row><table>(b)把wu-ftpd進(jìn)程正常運(yùn)行時(shí)收集的正常行為數(shù)據(jù)，分成兩組正常行為數(shù)據(jù)1和正常行為數(shù)據(jù)2;用正常行為數(shù)據(jù)1進(jìn)行訓(xùn)練，用正常行為數(shù)據(jù)2和入侵行為數(shù)據(jù)進(jìn)行測(cè)，測(cè)試結(jié)果如表2所示。表2wu-ftpd進(jìn)程正常行為與異常行為檢測(cè)結(jié)果對(duì)比運(yùn)行ftp運(yùn)行ftp時(shí)生成總的短序列數(shù)不能與正常行為庫匹配的短序列數(shù)不匹配的短序列所占比例％正常運(yùn)行23944110,4061入侵行為131849637,6328(c)把sendmail進(jìn)程正常運(yùn)行時(shí)收集的正常行為數(shù)據(jù)，分成兩組正常行為數(shù)據(jù)1和正常行為數(shù)據(jù)2，用正常行為數(shù)據(jù)1進(jìn)行訓(xùn)練，用正常行為數(shù)據(jù)2和入侵行為數(shù)據(jù)進(jìn)行測(cè)，測(cè)試結(jié)果如表3所示。表3sendmail進(jìn)程正常行為與異常行為檢測(cè)結(jié)果對(duì)比運(yùn)行sendmail運(yùn)行sendmail時(shí)生成的總序列數(shù)不能與正常行為庫匹配的序列數(shù)不匹配短序列所占比例％正常行為29795212241.2496入侵行為1480271.8243(3)實(shí)驗(yàn)仿真結(jié)果分析:從表1可以看出，xlock進(jìn)程所產(chǎn)生的與正常行為庫不能匹配的短序列比例在正常運(yùn)行時(shí)和受到攻擊時(shí)的差異很大。這說明xlock進(jìn)程正常運(yùn)行時(shí)和受到攻擊時(shí)產(chǎn)生系統(tǒng)調(diào)用的軌跡有較大的區(qū)分度，驗(yàn)證了入侵檢測(cè)系統(tǒng)的有效性。從表2可以看出，wu-ftpd進(jìn)程所產(chǎn)生的與正常行為庫不能匹配的短序列比例在正常運(yùn)行時(shí)和受到攻擊時(shí)的差異沒有xlock進(jìn)程足夠大，可以用于檢測(cè)wu-ftpd進(jìn)程是否受到攻擊。從表3可以看出，sendmail進(jìn)程的正常行為與正常行為庫的偏離程度比攻擊行為decode還要大，這將會(huì)造成系統(tǒng)的誤判。這三個(gè)數(shù)據(jù)表格說明系統(tǒng)調(diào)用序列能夠用于檢測(cè)主機(jī)特權(quán)進(jìn)程是否受到攻擊，但隨著主機(jī)特權(quán)進(jìn)程產(chǎn)生系統(tǒng)調(diào)用序列復(fù)雜程度的增加，使用抗原數(shù)據(jù)檢測(cè)的難度增加。所以本發(fā)明引入信號(hào)數(shù)據(jù)輔助抗原數(shù)據(jù)檢測(cè)，下面的實(shí)驗(yàn)將驗(yàn)證其有效性。實(shí)驗(yàn)2，在實(shí)時(shí)環(huán)境中檢測(cè)RPC攻擊實(shí)驗(yàn)在本實(shí)驗(yàn)中，使用了J.Twycross編寫的libtissue庫所提供的函數(shù)接口實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)。實(shí)驗(yàn)仿真使用VMware軟件模擬一個(gè)局域網(wǎng)。其中，rpc.statd服務(wù)器選用redhat6.2。rpc.statd是一種用于監(jiān)視并控制NFS(NetworkFileSystem)的RPC(RemoteProcedureCall)守護(hù)進(jìn)程。redhat6.2Linux系統(tǒng)所帶的nfs-utils軟件包中的rcp.statd守護(hù)進(jìn)程存在一個(gè)安全漏洞。rpc.statd對(duì)用戶輸入缺少正確檢査，通過特殊格式的字符串，可以允許遠(yuǎn)程攻擊者覆蓋rpc.statd堆棧中的某個(gè)返回地址，遠(yuǎn)程地執(zhí)行任意命令。由于rpc.statd通常是以root身份運(yùn)行，因此溢出代碼會(huì)以root身份執(zhí)行。這個(gè)漏洞已經(jīng)被RamenWorm病毒所利用。在實(shí)驗(yàn)中，從http:〃seclists.org/lists/bugtraq/2000/Oct/0170.html下載statdx2的入侵源代碼，對(duì)rpc.statd服務(wù)器進(jìn)行遠(yuǎn)程訪問，并試圖非法獲取Root權(quán)限。在終端執(zhí)行如下命令#./statdx2-d0192.168.25.3來模擬UDP攻擊入侵行為被成功檢測(cè)到在終端執(zhí)行如下命令#./statdx2-d0-t192.168.73.3來模擬TCP攻擊入侵行為被成功檢測(cè)到本發(fā)明涉及的入侵檢測(cè)系統(tǒng)成功檢測(cè)到了上述兩個(gè)非法的遠(yuǎn)程操作，驗(yàn)證了系統(tǒng)的有效性。1權(quán)利要求1.一種基于危險(xiǎn)理論和NSA的主機(jī)入侵檢測(cè)系統(tǒng)包括信號(hào)數(shù)據(jù)采集模塊，用于采集主機(jī)特權(quán)進(jìn)程的系統(tǒng)資源使用情況，包括CPU的占用率，內(nèi)存的占用率，生成的socket連接數(shù)，并將所得到的信號(hào)數(shù)據(jù)分別傳輸?shù)叫盘?hào)數(shù)據(jù)訓(xùn)練模塊和數(shù)據(jù)檢測(cè)模塊；抗原數(shù)據(jù)采集模塊，用于采集主機(jī)特權(quán)進(jìn)程運(yùn)行時(shí)產(chǎn)生系統(tǒng)調(diào)用序列，并將所得到的抗原數(shù)據(jù)傳輸?shù)娇乖瓟?shù)據(jù)訓(xùn)練模塊和數(shù)據(jù)檢測(cè)模塊；信號(hào)數(shù)據(jù)訓(xùn)練模塊，用于利用新穎發(fā)現(xiàn)算法對(duì)信號(hào)數(shù)據(jù)采集模塊所采集的信號(hào)數(shù)據(jù)進(jìn)行訓(xùn)練，并將所得到檢測(cè)規(guī)則用于數(shù)據(jù)檢測(cè)模塊中信號(hào)數(shù)據(jù)的檢測(cè)；抗原數(shù)據(jù)訓(xùn)練模塊，用于利用否定選擇算法對(duì)抗原數(shù)據(jù)采集模塊所采集的抗原數(shù)據(jù)進(jìn)行訓(xùn)練，并將所得到檢測(cè)規(guī)則用于數(shù)據(jù)檢測(cè)模塊中抗原數(shù)據(jù)的檢測(cè)；數(shù)據(jù)檢測(cè)模塊，用于利用信號(hào)數(shù)據(jù)訓(xùn)練模塊所得到的訓(xùn)練規(guī)則，完成對(duì)檢測(cè)信號(hào)數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測(cè)，利用抗原數(shù)據(jù)訓(xùn)練模塊所得到的訓(xùn)練規(guī)則，完成對(duì)檢測(cè)抗原數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測(cè)，并依據(jù)危險(xiǎn)理論的思想，把信號(hào)數(shù)據(jù)的檢測(cè)結(jié)果作為危險(xiǎn)信號(hào)，確定抗原數(shù)據(jù)的危險(xiǎn)區(qū)域；行為響應(yīng)模塊，用于對(duì)主機(jī)特權(quán)進(jìn)程的異常情況發(fā)生響應(yīng)，根據(jù)數(shù)據(jù)檢測(cè)模塊的檢測(cè)結(jié)果，暫停進(jìn)程，把異常情況的詳細(xì)信息記錄到日志文件。2.—種基于危險(xiǎn)理論和NSA的主機(jī)入侵檢測(cè)方法包括如下步(1)按時(shí)間順序，采集主機(jī)特權(quán)進(jìn)程的資源使用情況和它所調(diào)用的系統(tǒng)調(diào)用序列；(2)將采集到的資源使用情況轉(zhuǎn)化為信號(hào)數(shù)據(jù)，將采集到的系統(tǒng)調(diào)用序列轉(zhuǎn)化為抗原數(shù)據(jù)；(3)對(duì)上述信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)進(jìn)行訓(xùn)練，得到信號(hào)數(shù)據(jù)檢測(cè)規(guī)則和抗原信號(hào)的檢測(cè)規(guī)則；(4)利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，確定危險(xiǎn)區(qū)域；(5)利用抗原數(shù)據(jù)檢測(cè)規(guī)則在所確定的危險(xiǎn)區(qū)域內(nèi)，對(duì)抗原數(shù)據(jù)進(jìn)行檢測(cè)，如果檢測(cè)出異?？乖瓟?shù)據(jù)，就認(rèn)為主機(jī)中存在入侵行為；(6)入侵檢測(cè)系統(tǒng)針對(duì)檢測(cè)出的入侵行為，暫停異常進(jìn)程，并將異常情況的詳細(xì)信息記錄到日志文件中。3.根據(jù)權(quán)利要求2所述的主機(jī)入侵檢測(cè)方法，其中步驟2所述的信號(hào)數(shù)據(jù)，是一個(gè)n維向量，n表示所采集系統(tǒng)資源的種類數(shù)。4.根據(jù)權(quán)利要求2所述的主機(jī)入侵檢測(cè)方法，其中步驟2所述的抗原數(shù)據(jù)，是一組長(zhǎng)度為m的字符串，m表示系統(tǒng)調(diào)用子序列的長(zhǎng)度。5.根據(jù)權(quán)利要求2所述的主機(jī)入侵檢測(cè)方法，其中步驟3所述的對(duì)信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)進(jìn)行訓(xùn)練，是采用新穎發(fā)現(xiàn)算法對(duì)信號(hào)數(shù)據(jù)訓(xùn)練，采用否定選擇算法對(duì)抗原數(shù)據(jù)進(jìn)行訓(xùn)練。6.根據(jù)權(quán)利要求2所述的主機(jī)入侵檢測(cè)方法，其中步驟4所述的利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，確定危險(xiǎn)區(qū)域，按如下步驟進(jìn)行-6a)將存儲(chǔ)信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)定義為D細(xì)胞，每一個(gè)D細(xì)胞都設(shè)有固定的生命周期，D細(xì)胞利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)每個(gè)進(jìn)入D細(xì)胞的信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，并同時(shí)保存與該信號(hào)信號(hào)數(shù)據(jù)相對(duì)應(yīng)的抗原數(shù)據(jù)，如果D細(xì)胞在生命周期結(jié)束前檢測(cè)到異常的信號(hào)數(shù)據(jù)，則該D細(xì)胞產(chǎn)生的IL-2信號(hào)值被置1，表示該D細(xì)胞處于危險(xiǎn)區(qū)域之內(nèi)；6b)如果D細(xì)胞的生命周期結(jié)束時(shí)，D細(xì)胞還沒有檢測(cè)到異常的信號(hào)數(shù)據(jù)，則該D細(xì)胞產(chǎn)生的IL-2信號(hào)值被置0，表示該D細(xì)胞處于危險(xiǎn)區(qū)域之外。7.根據(jù)權(quán)利要求2所述的主機(jī)入侵檢測(cè)方法，其中步驟5所述的利用抗原數(shù)據(jù)檢測(cè)規(guī)則在所確定的危險(xiǎn)區(qū)域內(nèi)，對(duì)抗原數(shù)據(jù)進(jìn)行檢測(cè)，按如下步驟進(jìn)行7a)將存儲(chǔ)抗原數(shù)據(jù)檢測(cè)規(guī)則的數(shù)據(jù)結(jié)構(gòu)定義為T細(xì)胞，T細(xì)胞對(duì)D細(xì)胞提供的抗原數(shù)據(jù)進(jìn)行檢測(cè)，并判斷該D細(xì)胞產(chǎn)生的IL-2信號(hào)值；7b)當(dāng)T細(xì)胞檢測(cè)某個(gè)D細(xì)胞提供的抗原數(shù)據(jù)，如果該D細(xì)胞產(chǎn)生的IL-2信號(hào)值為0，則認(rèn)為該T細(xì)胞檢測(cè)有誤，它存儲(chǔ)的檢測(cè)規(guī)則將被修正，如果該D細(xì)胞產(chǎn)生的IL-2信號(hào)值為1，則該D細(xì)胞中的抗原數(shù)據(jù)就被認(rèn)定為是異常的，入侵檢測(cè)系統(tǒng)則認(rèn)為主機(jī)中存在入侵行為；7c)將在步驟7b)中，檢測(cè)到異常抗原數(shù)據(jù)的T細(xì)胞保留一段時(shí)間，以對(duì)類似特征的異?？乖瓟?shù)據(jù)進(jìn)行快速檢測(cè)。全文摘要本發(fā)明公開了一種主機(jī)入侵檢測(cè)方法，主要解決現(xiàn)有技術(shù)誤檢率高和適應(yīng)性差的問題。其檢測(cè)步驟為(1)采集主機(jī)特權(quán)進(jìn)程的資源使用情況和系統(tǒng)調(diào)用序列；(2)將采集到的資源使用情況轉(zhuǎn)化為信號(hào)數(shù)據(jù)，將采集到的系統(tǒng)調(diào)用序列轉(zhuǎn)化為抗原數(shù)據(jù)；(3)對(duì)上述信號(hào)數(shù)據(jù)和抗原數(shù)據(jù)進(jìn)行訓(xùn)練，得到信號(hào)數(shù)據(jù)檢測(cè)規(guī)則和抗原信號(hào)的檢測(cè)規(guī)則；(4)利用信號(hào)數(shù)據(jù)檢測(cè)規(guī)則對(duì)信號(hào)數(shù)據(jù)進(jìn)行檢測(cè)，確定危險(xiǎn)區(qū)域；(5)在危險(xiǎn)區(qū)域內(nèi)，檢測(cè)抗原數(shù)據(jù)，如果抗原數(shù)據(jù)檢測(cè)結(jié)果異常，則認(rèn)為主機(jī)中存在入侵進(jìn)程，從而暫停異常進(jìn)程，并將異常情況記錄到日志文件中。本發(fā)明具有誤檢率低和適應(yīng)性強(qiáng)的優(yōu)點(diǎn)，可用于在網(wǎng)絡(luò)環(huán)境中對(duì)主機(jī)的監(jiān)控。文檔編號(hào)H04L29/06GK101588358SQ20091002318公開日2009年11月25日申請(qǐng)日期2009年7月2日優(yōu)先權(quán)日2009年7月2日發(fā)明者彪侯,公茂果,芳劉,康張,焦李成,爽王,馬文萍,馬晶晶,高宜楠申請(qǐng)人:西安電子科技大學(xué)