專利名稱：：基于危險理論和nsa的主機入侵檢測系統(tǒng)及檢測方法
技術領域：
：機網(wǎng)絡
技術領域：
，涉及網(wǎng)絡安全，具體地說是一種主機入侵檢測系統(tǒng)及檢測方法，可用以在網(wǎng)絡環(huán)境中實現(xiàn)對主機的監(jiān)控。
背景技術：
：隨著Internet的廣泛應用和網(wǎng)絡間信息流量的急劇增長，各領域在得益于網(wǎng)絡的同時，其數(shù)據(jù)的安全性也受到的嚴重的威脅。目前，常用的安全技術有防火墻、防病毒軟件、加密技術、用戶認證和入侵檢測系統(tǒng)等。其中，入侵檢測技術是一種主動保護自己免受攻擊的網(wǎng)絡安全技術，它在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行檢測，從而提供對內部攻擊、外部攻擊和誤用操作的實時保護。就檢測數(shù)據(jù)而言，入侵檢測可以分成網(wǎng)絡型和主機型。網(wǎng)絡型入侵檢測系統(tǒng)的檢測數(shù)據(jù)來自網(wǎng)絡上的原始數(shù)據(jù)包，該類型的入侵檢測系統(tǒng)一般擔負著保護一個網(wǎng)段的任務;主機型的入侵檢測系統(tǒng)通過分析主機中的審計數(shù)據(jù)來檢測攻擊。也有一些專家把同時檢測主機數(shù)據(jù)和網(wǎng)絡數(shù)據(jù)的入侵檢測系統(tǒng)單分一類——混合型入侵檢測系統(tǒng)。利用操作系統(tǒng)中特權進程的漏洞實施攻擊是一種很普遍的入侵方式。特權進程，比如Linux系統(tǒng)中以root權限運行的程序具有較高的權限，入侵者可以利用這些程序的設計漏洞，獲取整個系統(tǒng)的控制權。例如，F(xiàn)inger服務程序中的一個缺陷可以使攻擊者利用"緩沖區(qū)溢出"的方法，欺騙服務程序執(zhí)行入侵者安排的惡意代碼。所以，通過監(jiān)視特權程序的運行情況己經(jīng)成為檢測入侵行為的主要手段之一。有研究表明，同一個特權程序在正常運行時所產(chǎn)生的系統(tǒng)調用序列基本一致；但當遭受攻擊篡改，或執(zhí)行不正常的程序分支，使程序不正常運行時，它所產(chǎn)生的系統(tǒng)調用序列與程序正常運行時有明顯差異。此外，對于破壞性的攻擊行為，主機特權進程的資源使用情況與系統(tǒng)正常運行時也是有差別的,這里所說的資源使用情況包括CPU的使用率，內存的占用率，以及進程所生成的socket連接數(shù)5等。就檢測技術而言，入侵檢測可以分成誤用檢測和異常檢測。具體來說，誤用檢測是對己知的入侵行為建模，用已經(jīng)建立的入侵模式庫區(qū)來檢測用戶行為。誤用檢測可以有效地檢測到已知的攻擊，產(chǎn)生的誤用比較少,但誤用檢測不能檢測到未知的攻擊，它需要不斷地更新攻擊特征庫，系統(tǒng)的適應性比較差。異常檢測是對正常行為建模，所有不符合這個模型的行為就被懷疑為攻擊。異常檢測首先收集一段時期正常操作活動的歷史數(shù)據(jù)，建立正常行為輪廓。然后收集實時數(shù)據(jù)，并使用各種方法來決定所檢測到的事件活動是否偏離了正常行為模式。異常檢測在沒有詳細的特定知識條件下，可以檢測出未知的攻擊，但這種檢測方式誤檢率比較高。異常檢測的方法主要有閾值檢測、統(tǒng)計方法神經(jīng)網(wǎng)絡和人工免疫等。在入侵檢測方法和技術研究中，人們發(fā)現(xiàn)生物免疫系統(tǒng)與入侵檢測系統(tǒng)具有相似性:免疫系統(tǒng)捍衛(wèi)著人體不受各種病原體的侵害，正如入侵檢測系統(tǒng)保護計算機系統(tǒng)免受攻擊的摧毀一樣，兩者都是使保護對象在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性。因此人們開始借鑒生物免疫原理開發(fā)入侵檢測技術。美國UniversityofNewMexico的Forrest,Hofineyr等人提出的基于免疫耐受機制的模型，即否定選擇算法。免疫機制使出未現(xiàn)過的入侵行為仍然可以被檢測到，且敏感性更高反應更快。該模型的主要不足是:網(wǎng)絡入侵的不可預測性和訓練樣本的不夠完備導致將正常的網(wǎng)絡行為判斷為入侵行為，不適應用戶正常行為的突然改變，而造成大量的誤報占用系統(tǒng)管理員大量時間并消耗系統(tǒng)資源。
發(fā)明內容本發(fā)明的目的在于克服上述已有技術的不足，提出一種基于危險理論和否定選擇算法NSA的主機入侵檢測系統(tǒng)及檢測方法，以實現(xiàn)在保證檢測精度的前提下，有效提高入侵檢測的誤檢率和適應性。為實現(xiàn)上述目的，本發(fā)明的主機入侵檢測系統(tǒng)包括信號數(shù)據(jù)采集模塊，用于采集主機特權進程使用數(shù)據(jù)，包括CPU的占用率，內存的占用率，生成的socket連接數(shù)，并將所得到的信號數(shù)據(jù)分別傳輸?shù)叫盘枖?shù)據(jù)訓練模塊和數(shù)據(jù)檢測模塊；6抗原數(shù)據(jù)采集模塊，用于采集主機特權進程運行時產(chǎn)生系統(tǒng)調用序列，并將所得到的抗原數(shù)據(jù)分別傳輸?shù)娇乖瓟?shù)據(jù)訓練模塊和數(shù)據(jù)檢測模塊；信號數(shù)據(jù)訓練模塊，用于利用新穎發(fā)現(xiàn)算法對信號數(shù)據(jù)采集模塊所采集的信號數(shù)據(jù)進行訓練，并將所得到檢測規(guī)則用于數(shù)據(jù)檢測模塊中信號數(shù)據(jù)的檢測；抗原數(shù)據(jù)訓練模塊，用于利用否定選擇算法對抗原數(shù)據(jù)采集模塊所采集的抗原數(shù)據(jù)進行訓練，并將所得到檢測規(guī)則用于數(shù)據(jù)檢測模塊中抗原數(shù)數(shù)據(jù)檢測模塊，用于利用信號數(shù)據(jù)訓練模塊所得到的訓練規(guī)則，完成對檢測信號數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測，利用抗原數(shù)據(jù)訓練模塊所得到的訓練規(guī)則，完成對檢測抗原數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測，并依據(jù)危險理論的思想，把信號數(shù)據(jù)的檢測結果作為危險信號，確定抗原數(shù)據(jù)的危險區(qū)域；行為響應模塊，用于對主機特權進程的異常情況發(fā)生響應，根據(jù)數(shù)據(jù)檢測模塊的檢測結果，暫停進程，把異常情況的詳細信息記錄到日志文件。為實現(xiàn)上述目的，本發(fā)明的主機入侵檢測方法包括(1)按時間順序，采集主機特權進程的資源使用情況和它所調用的系統(tǒng)調用序列；(2)將采集到的資源使用情況轉化為信號數(shù)據(jù)，將采集到的系統(tǒng)調用序列轉化為抗原數(shù)據(jù)；(3)對上述信號數(shù)據(jù)和抗原數(shù)據(jù)進行訓練，得到信號數(shù)據(jù)檢測規(guī)則和抗原信號的檢測規(guī)則；(4)利用信號數(shù)據(jù)檢測規(guī)則對信號數(shù)據(jù)進行檢測，確定危險區(qū)域；(5)利用抗原數(shù)據(jù)檢測規(guī)則在所確定的危險區(qū)域內，對抗原數(shù)據(jù)進行檢測，如果檢測出異常抗原數(shù)據(jù)，就認為主機中存在入侵行為；(6)入侵檢測系統(tǒng)針對檢測出的入侵行為，暫停異常進程，并將異常情況的詳細信息記錄到日志文件中。本發(fā)明與現(xiàn)有技術相比具有如下優(yōu)點1.結合危險理論的思想與否定選擇算法，降低了系統(tǒng)的誤檢率。Matzinger提出的危險理論認為誘發(fā)機體免疫應答的關鍵因素是入侵者產(chǎn)生的危險信號，而不是入侵者的異己性。在入侵檢測中加入危險理論思想可以改進傳統(tǒng)的人工免疫理論的不足，提高基于人工免疫理論的檢測系統(tǒng)性能，降低了誤檢率。使用CPU資源、內存、和進程的socket連接情況等各種系統(tǒng)資源使用情況作為信號數(shù)據(jù)，確定出一個危險區(qū)域，在危險區(qū)域內對主機特權進程的系統(tǒng)調用序列進行檢測。信號數(shù)據(jù)的引入使得本發(fā)明的主機入侵檢測系統(tǒng)只對危險區(qū)域內的異常情況做出響應，而不是對所有的異常情況都做出響應，因而有效的降低了誤檢率。2.結合主機進程的系統(tǒng)調用序列和資源使用情況，提高了系統(tǒng)適應性。本發(fā)明所定義的抗原數(shù)據(jù)是主機特權進程產(chǎn)生的系統(tǒng)調用序列。在Linux主機系統(tǒng)中，用戶和內核的交互是通過系統(tǒng)調用序列來完成的，目前大多數(shù)主機系統(tǒng)的攻擊最終也是通過非法執(zhí)行系統(tǒng)調用來達到目的。同一個特權進程正常運行和受到攻擊所產(chǎn)生的系統(tǒng)調用也存在不同的特征，所以采用主機特權進程產(chǎn)生的系統(tǒng)調用序列作為抗原數(shù)據(jù)。另外，破壞性的入侵行為常常會導致主機特權進程資源使用情況的異常。本發(fā)明把主機特權進程的資源使用情況定義為信號數(shù)據(jù)。信號數(shù)據(jù)檢測和抗原數(shù)據(jù)檢測的協(xié)同作用，可以從以下幾個方面較好地改善了檢測參數(shù)和檢測性能。(1)抗原數(shù)據(jù)訓練集不完備會引起"正常"與"異常"界線模糊，弓l起的誤報與漏報。當系統(tǒng)無法分清"正常"與"異常"時，危險信號成為彼此的分界工具，增強系統(tǒng)的適應性。(2)提高入侵檢測系統(tǒng)的自適應能力。未知攻擊發(fā)生時，會產(chǎn)生樣本記錄，在緊急防御措施之后，自動觸發(fā)學習機制，用自動檢測取代了當前入侵檢測系統(tǒng)依靠人工進行"攻擊"確認的工作，提高了入侵檢測系統(tǒng)從環(huán)境中學習的能力。圖1是本發(fā)明結構框圖2是本發(fā)明的主機入侵檢測過程示意圖3是本發(fā)明信號數(shù)據(jù)檢測的流程圖4是本發(fā)明抗原數(shù)據(jù)檢測的流程具體實施例方式參照圖l，本發(fā)明的主機入侵檢測系統(tǒng)結構，主要由信號數(shù)據(jù)采集模塊、抗原數(shù)據(jù)采集模塊、信號數(shù)據(jù)訓練模塊、抗原數(shù)據(jù)訓練模塊、數(shù)據(jù)檢測模塊和行為響應模塊構成。各模塊的具體功能及傳輸關系如下(1)信號數(shù)據(jù)采集模塊在被監(jiān)控主機運行時，采集主機特權進程的系統(tǒng)資源使用情況，包括CPU的占用率，內存的占用率，生成的socket連接數(shù)，將這些系統(tǒng)資源使用情況轉化一個n維向量，n表示所選取的系統(tǒng)資源種類數(shù)，將這個向量定義為信號數(shù)據(jù)，并將所得到的信號數(shù)據(jù)分別傳輸?shù)叫盘枖?shù)據(jù)訓練模塊和數(shù)據(jù)檢測模塊。(2)抗原數(shù)據(jù)采集模塊在被監(jiān)控主機運行時，采集主機特權進程運行時產(chǎn)生系統(tǒng)調用序列，將這些系統(tǒng)調用序列轉化為一組長度為m的字符串，m表示截取系統(tǒng)調用子序列的長度，將這組字符串定義為抗原數(shù)據(jù)，并將所得到的抗原數(shù)據(jù)分別傳輸?shù)娇乖瓟?shù)據(jù)訓練模塊和數(shù)據(jù)檢測模塊。(3)信號數(shù)據(jù)訓練模塊利用新穎發(fā)現(xiàn)算法對信號數(shù)據(jù)采集模塊所采集的信號數(shù)據(jù)進行訓練，并將所得到檢測規(guī)則用于數(shù)據(jù)檢測模塊中信號數(shù)據(jù)的檢測。(4)抗原數(shù)據(jù)訓練模塊利用否定選擇算法對抗原數(shù)據(jù)采集模塊所采集的抗原數(shù)據(jù)進行訓練，并將所得到檢測規(guī)則用于數(shù)據(jù)檢測模塊中抗原數(shù)據(jù)的檢測。(5)數(shù)據(jù)檢測模塊分別接收信號數(shù)據(jù)采集模塊和抗原數(shù)據(jù)采集模塊采集的信號數(shù)據(jù)和抗原數(shù)據(jù)，將存儲信號數(shù)據(jù)和抗原數(shù)據(jù)的將這個數(shù)據(jù)結構定義為D細胞，每一個D細胞都設有固定的生命周期。D細胞利用信號數(shù)據(jù)檢測規(guī)則對每個進入D細胞的信號數(shù)據(jù)進行檢測，并同時保存與該信號數(shù)據(jù)相對應的抗原數(shù)據(jù)，如果D細胞在生命周期結束前檢測到異常的信號數(shù)據(jù)，則該D細胞產(chǎn)生的IL-2信號值被置1，表示該D細胞處于危險區(qū)域內；如果D細胞的生命周期結束時，D細胞還沒有檢測到異常的信號數(shù)據(jù)，則該D細胞產(chǎn)生的IL-2信號值被置0,表示該D細胞處于危險區(qū)域外。9將存儲抗原數(shù)據(jù)檢測規(guī)則的數(shù)據(jù)結構定義為T細胞，T細胞對D細胞提供的抗原數(shù)據(jù)進行檢測，并同時判斷該D細胞產(chǎn)生的IL-2信號值。當T細胞檢測某個D細胞提供的抗原數(shù)據(jù)，如果該D細胞產(chǎn)生的IL-2信號值為O，則認為該T細胞檢測有誤，它存儲的檢測規(guī)則將被修正；如果該D細胞產(chǎn)生的IL-2信號值為1,則該D細胞中的抗原數(shù)據(jù)就被認定為是異常的，入侵檢測系統(tǒng)則認為主機中存在入侵行為。檢測到異?？乖瓟?shù)據(jù)的T細胞將被保留一段時間，對類似特征的異?？乖瓟?shù)據(jù)進行快速檢測。(6)行為響應模塊，根據(jù)數(shù)據(jù)檢測模塊的檢測結果，暫停進程，把異常情況的詳細信息記錄到日志文件。參照圖2，本發(fā)明的入侵檢測方法，具體實現(xiàn)步驟如下(1)在所監(jiān)控的主機運行時，按時間順序對指定特權進程的資源使用情況和它運行所產(chǎn)生的系統(tǒng)調用序列進行采樣；(2)將采集到的資源使用情況轉化為信號數(shù)據(jù)，將采集到的系統(tǒng)調用序列轉化為抗原數(shù)據(jù)，該步驟的具體實施如下2a)將步驟(1)所采集的主機特權進程資源使用情況轉化為一個n維實數(shù)向量，n表示所選取的系統(tǒng)資源種類數(shù)，將這個向量定義為信號數(shù)據(jù)；2b)將主機特權進程運行產(chǎn)生的系統(tǒng)調用序列截取成一組長度為m的短序列，m表示截取系統(tǒng)調用子序列的長度，將這組短序列定義為抗原數(shù)據(jù)；(3)對上述信號數(shù)據(jù)和抗原數(shù)據(jù)進行訓練，得到信號數(shù)據(jù)檢測規(guī)則和抗原信號的檢測規(guī)則，該步驟的具體實施如下3a)采用新穎發(fā)現(xiàn)算法對步驟2a)得到的信號數(shù)據(jù)進行訓練，經(jīng)過訓練得到的信號數(shù)據(jù)檢測規(guī)則是一組權值；3b)采用否定選擇算法對步驟2b)得到的抗原數(shù)據(jù)進行訓練，經(jīng)過訓練得到的抗原數(shù)據(jù)檢測規(guī)則是以層數(shù)為m的樹形結構存儲。(4)利用步驟(3)所得到的信號數(shù)據(jù)檢測規(guī)則對信號數(shù)據(jù)進行檢測，確定危險區(qū)域。10參考圖3，該步驟的具體實施如下4a)分別接收步驟(2)得到的信號數(shù)據(jù)和抗原數(shù)據(jù)，將存儲信號數(shù)據(jù)和抗原數(shù)據(jù)的數(shù)據(jù)結構定義為D細胞，每一個D細胞都設有固定的生命周期；4b)D細胞利用信號數(shù)據(jù)檢測規(guī)則對每個進入D細胞的信號數(shù)據(jù)進行檢測，并同時保存與該信號信號數(shù)據(jù)相對應的抗原數(shù)據(jù)，如果D細胞在生命周期結束前檢測到異常的信號數(shù)據(jù)，則該D細胞產(chǎn)生的IL-2信號值被置l,表示該D細胞處于危險區(qū)域；4c)如果D細胞的生命周期結束時，D細胞還沒有檢測到異常的信號數(shù)據(jù)，則該D細胞產(chǎn)生的IL-2信號值被置0，表示該D細胞處于危險區(qū)域之外。(5)利用抗原數(shù)據(jù)檢測規(guī)則在所確定的危險區(qū)域內，對抗原數(shù)據(jù)進行檢測，如果檢測出異?？乖瓟?shù)據(jù)，就認為主機中存在入侵行為。參考圖4，該步驟的具體實施如下5a)將存儲抗原數(shù)據(jù)檢測規(guī)則的數(shù)據(jù)結構定義為T細胞，T細胞對D細胞提供的抗原數(shù)據(jù)進行檢測，并判斷該D細胞產(chǎn)生的IL-2信號值；5b)當T細胞檢測某個D細胞提供的抗原數(shù)據(jù)，如果該D細胞產(chǎn)生的IL-2信號值為0，則認為該T細胞檢測有誤，它存儲的檢測規(guī)則將被修正，如果該D細胞產(chǎn)生的IL-2信號值為1，則該D細胞中的抗原數(shù)據(jù)就被認定為是異常的，入侵檢測系統(tǒng)則認為主機中存在入侵行為；5c)將在步驟5b)中檢測到異?？乖瓟?shù)據(jù)的T細胞保留一段時間，用該T細胞對類似特征的異?？乖瓟?shù)據(jù)進行快速檢測。(6)入侵檢測系統(tǒng)針對檢測出的入侵行為，暫停異常進程，并將異常情況的詳細信息記錄到日志文件中。本發(fā)明的效果可以通過以下仿真實驗說明本實驗對sendmail，ftpd和xlock三個特權進程正常運行和受到攻擊時所提取的系統(tǒng)調用序列進行仿真測試，并在實時環(huán)境中對主機進行RPC攻擊，應用本發(fā)明所涉及的入侵檢測系統(tǒng)對入侵行為進行檢測攔截。實驗l，針對抗原數(shù)據(jù)的仿真實驗(1)實驗所采用的數(shù)據(jù)(a)正常行為數(shù)據(jù)sendmail進程，wu-ftpd進程和xlock進程正常運行時收集的系統(tǒng)調用序列；(b)sendmail入侵數(shù)據(jù)sunsendmailcp，譯碼化名入侵禾口forwardingloops三種攻擊發(fā)生時進程sendmail產(chǎn)生的系統(tǒng)調用序列；(c)wu-ftpd入侵數(shù)據(jù)利用配置文件SITEEXEC漏洞，騙取root權限時進程wu-ftpd產(chǎn)生的系統(tǒng)調用序列；(d)xlock入侵數(shù)據(jù)利用xlock進程緩沖區(qū)溢出的入侵行為發(fā)生時進程xlock產(chǎn)生的系統(tǒng)調用序列。(2)實驗步驟及結果(a)把xlock進程正常運行時收集的正常行為數(shù)據(jù)，分成兩組正常行為數(shù)據(jù)1和正常行為數(shù)據(jù)2;用正常行為數(shù)據(jù)1進行訓練，用正常行為數(shù)據(jù)2和入侵行為數(shù)據(jù)進行測試，測試結果如表1所示。表1xlock進程正常行為與異常行為檢測結果對比<table>tableseeoriginaldocumentpage12</column></row><table>(b)把wu-ftpd進程正常運行時收集的正常行為數(shù)據(jù)，分成兩組正常行為數(shù)據(jù)1和正常行為數(shù)據(jù)2;用正常行為數(shù)據(jù)1進行訓練，用正常行為數(shù)據(jù)2和入侵行為數(shù)據(jù)進行測，測試結果如表2所示。表2wu-ftpd進程正常行為與異常行為檢測結果對比運行ftp運行ftp時生成總的短序列數(shù)不能與正常行為庫匹配的短序列數(shù)不匹配的短序列所占比例％正常運行23944110,4061入侵行為131849637,6328(c)把sendmail進程正常運行時收集的正常行為數(shù)據(jù)，分成兩組正常行為數(shù)據(jù)1和正常行為數(shù)據(jù)2，用正常行為數(shù)據(jù)1進行訓練，用正常行為數(shù)據(jù)2和入侵行為數(shù)據(jù)進行測，測試結果如表3所示。表3sendmail進程正常行為與異常行為檢測結果對比運行sendmail運行sendmail時生成的總序列數(shù)不能與正常行為庫匹配的序列數(shù)不匹配短序列所占比例％正常行為29795212241.2496入侵行為1480271.8243(3)實驗仿真結果分析:從表1可以看出，xlock進程所產(chǎn)生的與正常行為庫不能匹配的短序列比例在正常運行時和受到攻擊時的差異很大。這說明xlock進程正常運行時和受到攻擊時產(chǎn)生系統(tǒng)調用的軌跡有較大的區(qū)分度，驗證了入侵檢測系統(tǒng)的有效性。從表2可以看出，wu-ftpd進程所產(chǎn)生的與正常行為庫不能匹配的短序列比例在正常運行時和受到攻擊時的差異沒有xlock進程足夠大，可以用于檢測wu-ftpd進程是否受到攻擊。從表3可以看出，sendmail進程的正常行為與正常行為庫的偏離程度比攻擊行為decode還要大，這將會造成系統(tǒng)的誤判。這三個數(shù)據(jù)表格說明系統(tǒng)調用序列能夠用于檢測主機特權進程是否受到攻擊，但隨著主機特權進程產(chǎn)生系統(tǒng)調用序列復雜程度的增加，使用抗原數(shù)據(jù)檢測的難度增加。所以本發(fā)明引入信號數(shù)據(jù)輔助抗原數(shù)據(jù)檢測，下面的實驗將驗證其有效性。實驗2，在實時環(huán)境中檢測RPC攻擊實驗在本實驗中，使用了J.Twycross編寫的libtissue庫所提供的函數(shù)接口實現(xiàn)入侵檢測系統(tǒng)。實驗仿真使用VMware軟件模擬一個局域網(wǎng)。其中，rpc.statd服務器選用redhat6.2。rpc.statd是一種用于監(jiān)視并控制NFS(NetworkFileSystem)的RPC(RemoteProcedureCall)守護進程。redhat6.2Linux系統(tǒng)所帶的nfs-utils軟件包中的rcp.statd守護進程存在一個安全漏洞。rpc.statd對用戶輸入缺少正確檢査，通過特殊格式的字符串，可以允許遠程攻擊者覆蓋rpc.statd堆棧中的某個返回地址，遠程地執(zhí)行任意命令。由于rpc.statd通常是以root身份運行，因此溢出代碼會以root身份執(zhí)行。這個漏洞已經(jīng)被RamenWorm病毒所利用。在實驗中，從http:〃seclists.org/lists/bugtraq/2000/Oct/0170.html下載statdx2的入侵源代碼，對rpc.statd服務器進行遠程訪問，并試圖非法獲取Root權限。在終端執(zhí)行如下命令#./statdx2-d0192.168.25.3來模擬UDP攻擊入侵行為被成功檢測到在終端執(zhí)行如下命令#./statdx2-d0-t192.168.73.3來模擬TCP攻擊入侵行為被成功檢測到本發(fā)明涉及的入侵檢測系統(tǒng)成功檢測到了上述兩個非法的遠程操作，驗證了系統(tǒng)的有效性。1權利要求1.一種基于危險理論和NSA的主機入侵檢測系統(tǒng)包括信號數(shù)據(jù)采集模塊，用于采集主機特權進程的系統(tǒng)資源使用情況，包括CPU的占用率，內存的占用率，生成的socket連接數(shù)，并將所得到的信號數(shù)據(jù)分別傳輸?shù)叫盘枖?shù)據(jù)訓練模塊和數(shù)據(jù)檢測模塊；抗原數(shù)據(jù)采集模塊，用于采集主機特權進程運行時產(chǎn)生系統(tǒng)調用序列，并將所得到的抗原數(shù)據(jù)傳輸?shù)娇乖瓟?shù)據(jù)訓練模塊和數(shù)據(jù)檢測模塊；信號數(shù)據(jù)訓練模塊，用于利用新穎發(fā)現(xiàn)算法對信號數(shù)據(jù)采集模塊所采集的信號數(shù)據(jù)進行訓練，并將所得到檢測規(guī)則用于數(shù)據(jù)檢測模塊中信號數(shù)據(jù)的檢測；抗原數(shù)據(jù)訓練模塊，用于利用否定選擇算法對抗原數(shù)據(jù)采集模塊所采集的抗原數(shù)據(jù)進行訓練，并將所得到檢測規(guī)則用于數(shù)據(jù)檢測模塊中抗原數(shù)據(jù)的檢測；數(shù)據(jù)檢測模塊，用于利用信號數(shù)據(jù)訓練模塊所得到的訓練規(guī)則，完成對檢測信號數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測，利用抗原數(shù)據(jù)訓練模塊所得到的訓練規(guī)則，完成對檢測抗原數(shù)據(jù)采集模塊所采集數(shù)據(jù)的檢測，并依據(jù)危險理論的思想，把信號數(shù)據(jù)的檢測結果作為危險信號，確定抗原數(shù)據(jù)的危險區(qū)域；行為響應模塊，用于對主機特權進程的異常情況發(fā)生響應，根據(jù)數(shù)據(jù)檢測模塊的檢測結果，暫停進程，把異常情況的詳細信息記錄到日志文件。2.—種基于危險理論和NSA的主機入侵檢測方法包括如下步(1)按時間順序，采集主機特權進程的資源使用情況和它所調用的系統(tǒng)調用序列；(2)將采集到的資源使用情況轉化為信號數(shù)據(jù)，將采集到的系統(tǒng)調用序列轉化為抗原數(shù)據(jù)；(3)對上述信號數(shù)據(jù)和抗原數(shù)據(jù)進行訓練，得到信號數(shù)據(jù)檢測規(guī)則和抗原信號的檢測規(guī)則；(4)利用信號數(shù)據(jù)檢測規(guī)則對信號數(shù)據(jù)進行檢測，確定危險區(qū)域；(5)利用抗原數(shù)據(jù)檢測規(guī)則在所確定的危險區(qū)域內，對抗原數(shù)據(jù)進行檢測，如果檢測出異常抗原數(shù)據(jù)，就認為主機中存在入侵行為；(6)入侵檢測系統(tǒng)針對檢測出的入侵行為，暫停異常進程，并將異常情況的詳細信息記錄到日志文件中。3.根據(jù)權利要求2所述的主機入侵檢測方法，其中步驟2所述的信號數(shù)據(jù)，是一個n維向量，n表示所采集系統(tǒng)資源的種類數(shù)。4.根據(jù)權利要求2所述的主機入侵檢測方法，其中步驟2所述的抗原數(shù)據(jù)，是一組長度為m的字符串，m表示系統(tǒng)調用子序列的長度。5.根據(jù)權利要求2所述的主機入侵檢測方法，其中步驟3所述的對信號數(shù)據(jù)和抗原數(shù)據(jù)進行訓練，是采用新穎發(fā)現(xiàn)算法對信號數(shù)據(jù)訓練，采用否定選擇算法對抗原數(shù)據(jù)進行訓練。6.根據(jù)權利要求2所述的主機入侵檢測方法，其中步驟4所述的利用信號數(shù)據(jù)檢測規(guī)則對信號數(shù)據(jù)進行檢測，確定危險區(qū)域，按如下步驟進行-6a)將存儲信號數(shù)據(jù)和抗原數(shù)據(jù)的數(shù)據(jù)結構定義為D細胞，每一個D細胞都設有固定的生命周期，D細胞利用信號數(shù)據(jù)檢測規(guī)則對每個進入D細胞的信號數(shù)據(jù)進行檢測，并同時保存與該信號信號數(shù)據(jù)相對應的抗原數(shù)據(jù)，如果D細胞在生命周期結束前檢測到異常的信號數(shù)據(jù)，則該D細胞產(chǎn)生的IL-2信號值被置1，表示該D細胞處于危險區(qū)域之內；6b)如果D細胞的生命周期結束時，D細胞還沒有檢測到異常的信號數(shù)據(jù)，則該D細胞產(chǎn)生的IL-2信號值被置0，表示該D細胞處于危險區(qū)域之外。7.根據(jù)權利要求2所述的主機入侵檢測方法，其中步驟5所述的利用抗原數(shù)據(jù)檢測規(guī)則在所確定的危險區(qū)域內，對抗原數(shù)據(jù)進行檢測，按如下步驟進行7a)將存儲抗原數(shù)據(jù)檢測規(guī)則的數(shù)據(jù)結構定義為T細胞，T細胞對D細胞提供的抗原數(shù)據(jù)進行檢測，并判斷該D細胞產(chǎn)生的IL-2信號值；7b)當T細胞檢測某個D細胞提供的抗原數(shù)據(jù)，如果該D細胞產(chǎn)生的IL-2信號值為0，則認為該T細胞檢測有誤，它存儲的檢測規(guī)則將被修正，如果該D細胞產(chǎn)生的IL-2信號值為1，則該D細胞中的抗原數(shù)據(jù)就被認定為是異常的，入侵檢測系統(tǒng)則認為主機中存在入侵行為；7c)將在步驟7b)中，檢測到異?？乖瓟?shù)據(jù)的T細胞保留一段時間，以對類似特征的異常抗原數(shù)據(jù)進行快速檢測。全文摘要本發(fā)明公開了一種主機入侵檢測方法，主要解決現(xiàn)有技術誤檢率高和適應性差的問題。其檢測步驟為(1)采集主機特權進程的資源使用情況和系統(tǒng)調用序列；(2)將采集到的資源使用情況轉化為信號數(shù)據(jù)，將采集到的系統(tǒng)調用序列轉化為抗原數(shù)據(jù)；(3)對上述信號數(shù)據(jù)和抗原數(shù)據(jù)進行訓練，得到信號數(shù)據(jù)檢測規(guī)則和抗原信號的檢測規(guī)則；(4)利用信號數(shù)據(jù)檢測規(guī)則對信號數(shù)據(jù)進行檢測，確定危險區(qū)域；(5)在危險區(qū)域內，檢測抗原數(shù)據(jù)，如果抗原數(shù)據(jù)檢測結果異常，則認為主機中存在入侵進程，從而暫停異常進程，并將異常情況記錄到日志文件中。本發(fā)明具有誤檢率低和適應性強的優(yōu)點，可用于在網(wǎng)絡環(huán)境中對主機的監(jiān)控。文檔編號H04L29/06GK101588358SQ20091002318公開日2009年11月25日申請日期2009年7月2日優(yōu)先權日2009年7月2日發(fā)明者彪侯,公茂果,芳劉,康張,焦李成,爽王,馬文萍,馬晶晶,高宜楠申請人:西安電子科技大學