一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)及檢測(cè)方法
【專利摘要】本發(fā)明公開了一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)，它包括進(jìn)程和數(shù)據(jù)采集模塊，進(jìn)程行為分析模塊，惡意行為預(yù)警模塊和入侵行為入庫(kù)模塊。一種具有自學(xué)習(xí)能力的入侵檢測(cè)方法，其具體技術(shù)方案為：入侵檢測(cè)系統(tǒng)對(duì)主機(jī)的進(jìn)程和通信數(shù)據(jù)進(jìn)行監(jiān)測(cè)；發(fā)現(xiàn)在主機(jī)上某個(gè)進(jìn)程周期性的對(duì)外發(fā)送數(shù)據(jù)；行為分析模型發(fā)現(xiàn)這種通信行為；對(duì)進(jìn)程及通信數(shù)據(jù)進(jìn)行一段時(shí)間的監(jiān)測(cè)，確認(rèn)該通信行為符合木馬通信行為的特征；將該進(jìn)程的通信行為標(biāo)識(shí)為木馬通信行為，并送入臨時(shí)行為庫(kù)；對(duì)該通信行為進(jìn)行進(jìn)一步的人工確認(rèn)，從惡意行為基本庫(kù)中，提取行為的靜態(tài)特征，提取出進(jìn)程的名稱和通信的IP地址信息；將所提取的靜態(tài)特征送入模式匹配特征庫(kù)，完成特征庫(kù)的更新。本發(fā)明智能性高，檢測(cè)能力強(qiáng)、速度快，兼容性強(qiáng)。
【專利說明】—種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)及檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于基于主機(jī)的入侵檢測(cè)系統(tǒng)領(lǐng)域，尤其是具有自學(xué)習(xí)能力的智能性的入侵檢測(cè)應(yīng)用領(lǐng)域。
【背景技術(shù)】
[0002]目前入侵檢測(cè)系統(tǒng)是為主機(jī)提供安全保護(hù)的一道重要的安全保障，傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般是采用基于特征匹配的檢測(cè)模式。傳統(tǒng)的入侵檢測(cè)系統(tǒng)其特征模式，是通過預(yù)先設(shè)定固化在入侵檢測(cè)系統(tǒng)中，在使用過程中不能夠隨著技術(shù)的發(fā)展和系統(tǒng)的更新，而動(dòng)態(tài)的調(diào)整其設(shè)定的特征庫(kù)。從而使得入侵檢測(cè)系統(tǒng)在使用一段時(shí)間之后，即表現(xiàn)為過時(shí)和落后，不能夠及時(shí)的對(duì)一些新型的入侵行為和軟件做出檢測(cè)和預(yù)警。

【發(fā)明內(nèi)容】

[0003]本發(fā)明所要解決的技術(shù)問題是提供一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng) 及檢測(cè)方法，對(duì)發(fā)生在主機(jī)的各種未知入侵行為進(jìn)行檢測(cè)和預(yù)警，智能性高，檢測(cè)能力
強(qiáng)、速度快，兼容性強(qiáng)。
[0004]為解決上述技術(shù)問題，本發(fā)明提供一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)，它包括進(jìn)程和數(shù)據(jù)采集模塊，采集主機(jī)中正在運(yùn)行的進(jìn)程和數(shù)據(jù)信息，進(jìn)程行為分析模塊，進(jìn)程行為分析模塊是基于行為分析模型對(duì)主機(jī)中的進(jìn)程訪問行為和通信數(shù)據(jù)的行為進(jìn)行分析，檢測(cè)出威脅主機(jī)安全的各種惡意行為，由惡意行為預(yù)警模塊發(fā)出警告信號(hào)，并將這種惡意行為相關(guān)描述進(jìn)入侵行為入庫(kù)模塊。
[0005]所述的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)還包括臨時(shí)庫(kù)，提取出來模型自動(dòng)提取的未必準(zhǔn)確的惡意行為描述，人工修正模塊，人工完善未必準(zhǔn)確的惡意行為描述，行為特征提取模塊，提取出惡意行為的基本特征，匹配特征庫(kù)更新模塊，將提取出惡意行為的基本特征入庫(kù)并更新原有庫(kù)存特征，基于特征匹配的入侵檢測(cè)模塊，對(duì)下一次相同或相似的惡意行為的基本特征檢測(cè)。
[0006]—種具有自學(xué)習(xí)能力的入侵檢測(cè)方法，其具體技術(shù)方案為:
1、所述的入侵檢測(cè)系統(tǒng)對(duì)主機(jī)的進(jìn)程和通信數(shù)據(jù)進(jìn)行監(jiān)測(cè)；
2、所述的入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)在主機(jī)上某個(gè)進(jìn)程周期性的對(duì)外發(fā)送數(shù)據(jù)；
3、通過行為分析模型發(fā)現(xiàn)這種通信行為與木馬的通信行為十分相似；
4、對(duì)該進(jìn)程及通信數(shù)據(jù)進(jìn)行一段時(shí)間的監(jiān)測(cè)，確認(rèn)該通信行為符合木馬通信行為的特
征；
5、將該進(jìn)程的通信行為標(biāo)識(shí)為木馬通信行為，并送入臨時(shí)行為庫(kù)；
6、如果需要人工干預(yù)，對(duì)該通信行為進(jìn)行進(jìn)一步的人工確認(rèn)，如果不需要人工干預(yù)，則直接將該通信行為送入惡意行為的基本庫(kù)；
7、從惡意行為基本庫(kù)中，提取行為的靜態(tài)特征，對(duì)當(dāng)前這個(gè)木馬通信進(jìn)程，將提取出進(jìn)程的名稱和通信的IP地址信息； 8、將所提取的靜態(tài)特征送入模式匹配特征庫(kù)，完成特征庫(kù)的更新；
9、入侵之后，入侵檢測(cè)系統(tǒng)將依據(jù)這一靜態(tài)特征對(duì)主機(jī)中的靜態(tài)特征數(shù)據(jù)，進(jìn)行基于模式匹配的檢測(cè)，如果該進(jìn)程及進(jìn)程的通信行為再次出現(xiàn)，則直接通過預(yù)警并標(biāo)識(shí)該進(jìn)程為木馬惡意進(jìn)程。
[0007]所述進(jìn)程行為分析的對(duì)象為源IP地址、目的IP地址、進(jìn)程ID號(hào)、進(jìn)程名稱、文件名稱和IP包特殊字段。
[0008]本發(fā)明所提出的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)及檢測(cè)方法的有益 技術(shù)效果為:
1、智能性高:能夠通過模型分析和識(shí)別，自動(dòng)的發(fā)現(xiàn)主機(jī)中的一些未知 入侵行為，并自動(dòng)的從中提取特征，具備智能性的特點(diǎn)；
2、檢測(cè)速度快:通過模式匹配的方式實(shí)現(xiàn)入侵行為的檢測(cè)，由于模式匹配執(zhí)行速度快，因此整個(gè)檢測(cè)速度很快；
3、檢測(cè)能力強(qiáng):既可以通過預(yù)先設(shè)定的靜態(tài)特征庫(kù)來實(shí)現(xiàn)對(duì)一些傳統(tǒng)和典型的入侵行為進(jìn)行檢測(cè)，同時(shí)還具有基于模型分析和行為檢測(cè)的智能化檢測(cè)方式，而且所檢測(cè)到的結(jié)果能夠自動(dòng)的更新模式匹配的特征庫(kù)，因此能夠?qū)σ恍┪粗娜肭中袨檫M(jìn)行檢測(cè)，除此之夕卜，在模型檢測(cè)過程中，還可以通過人工干預(yù)來提高模型檢測(cè)的精度，進(jìn)一步提高檢測(cè)系統(tǒng)的檢測(cè)能力；
4、兼容性強(qiáng):行為分析模型及特征庫(kù)是整個(gè)入侵檢測(cè)系統(tǒng)的核心模塊，這兩個(gè)模塊都可以通過靈活的更新或替換，以提高入侵檢測(cè)系統(tǒng)在不同應(yīng)用環(huán)境和應(yīng)用領(lǐng)域的檢測(cè)能力，具有很強(qiáng)的兼容性。
[0009]本發(fā)明所提出的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)及檢測(cè)方法，對(duì)發(fā)生在主機(jī)的各種未知入侵行為進(jìn)行檢測(cè)和預(yù)警，智能性高，檢測(cè)能力強(qiáng)、速度快，兼容性強(qiáng)。
【專利附圖】

【附圖說明】
[0010]圖1是本發(fā)明所提出的一種具有自學(xué)習(xí)能力的入侵檢測(cè)流程示意圖。
[0011]圖2是進(jìn)程行為分析對(duì)象組成示意圖。
【具體實(shí)施方式】
[0012]參見附圖，一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)，它包括進(jìn)程和數(shù)據(jù)采集模塊，采集主機(jī)中正在運(yùn)行的進(jìn)程和數(shù)據(jù)信息，進(jìn)程行為分析模塊，進(jìn)程行為分析模塊是基于行為分析模型對(duì)主機(jī)中的進(jìn)程訪問行為和通信數(shù)據(jù)的行為進(jìn)行分析，檢測(cè)出威脅主機(jī)安全的各種惡意行為，由惡意行為預(yù)警模塊發(fā)出警告信號(hào)，并將這種惡意行為相關(guān)描述進(jìn)入侵行為入庫(kù)模塊。
[0013]所述的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)還包括臨時(shí)庫(kù)，提取出來模型自動(dòng)提取的未必準(zhǔn)確的惡意行為描述，人工修正模塊，人工完善未必準(zhǔn)確的惡意行為描述，行為特征提取模塊，提取出惡意行為的基本特征，匹配特征庫(kù)更新模塊，將提取出惡意行為的基本特征入庫(kù)并更新原有庫(kù)存特征，基于特征匹配的入侵檢測(cè)模塊，對(duì)下一次相同或相似的惡意行為的基本特征檢測(cè)。
[0014]一種具有自學(xué)習(xí)能力的入侵檢測(cè)方法，其具體技術(shù)方案為: 1、所述的入侵檢測(cè)系統(tǒng)對(duì)主機(jī)的進(jìn)程和通信數(shù)據(jù)進(jìn)行監(jiān)測(cè)；
2、所述的入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)在主機(jī)上某個(gè)進(jìn)程周期性的對(duì)外發(fā)送數(shù)據(jù)；
3、通過行為分析模型發(fā)現(xiàn)這種通信行為與木馬的通信行為十分相似；
4、對(duì)該進(jìn)程及通信數(shù)據(jù)進(jìn)行一段時(shí)間的監(jiān)測(cè)，確認(rèn)該通信行為符合木馬通信行為的特
征；
5、將該進(jìn)程的通信行為標(biāo)識(shí)為木馬通信行為，并送入臨時(shí)行為庫(kù)；
6、如果需要人工干預(yù)，對(duì)該通信行為進(jìn)行進(jìn)一步的人工確認(rèn)，如果不需要人工干預(yù)，則直接將該通信行為送入惡意行為的基本庫(kù)；
7、從惡意行為基本庫(kù)中，提取行為的靜態(tài)特征，對(duì)當(dāng)前這個(gè)木馬通信進(jìn)程，將提取出進(jìn)程的名稱和通信的IP地址信息；
8、將所提取的靜態(tài)特征送入模式匹配特征庫(kù)，完成特征庫(kù)的更新；
9、入侵之后，入侵檢測(cè)系統(tǒng)將依據(jù)這一靜態(tài)特征對(duì)主機(jī)中的靜態(tài)特征數(shù)據(jù)，進(jìn)行基于模式匹配的檢測(cè)，如果該進(jìn)程及進(jìn)程的通信行為再次出現(xiàn)，則直接通過預(yù)警并標(biāo)識(shí)該進(jìn)程為木馬惡意進(jìn)程。
[0015]所述進(jìn)程行為分析的對(duì)象為源IP地址、目的IP地址、進(jìn)程ID號(hào)、進(jìn)程名稱、文件名稱和IP包特殊字段。
[0016]本發(fā)明所提出的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)及檢測(cè)方法的有益 技術(shù)效果為:
2、智能性高:能夠通過模型分析和識(shí)別，自動(dòng)的發(fā)現(xiàn)主機(jī)中的一些未知 入侵行為，并自動(dòng)的從中提取特征，具備智能性的特點(diǎn)；
2、檢測(cè)速度快:通過模式匹配的方式實(shí)現(xiàn)入侵行為的檢測(cè)，由于模式匹配執(zhí)行速度快，因此整個(gè)檢測(cè)速度很快；
3、檢測(cè)能力強(qiáng):既可以通過預(yù)先設(shè)定的靜態(tài)特征庫(kù)來實(shí)現(xiàn)對(duì)一些傳統(tǒng)和典型的入侵行為進(jìn)行檢測(cè)，同時(shí)還具有基于模型分析和行為檢測(cè)的智能化檢測(cè)方式，而且所檢測(cè)到的結(jié)果能夠自動(dòng)的更新模式匹配的特征庫(kù)，因此能夠?qū)σ恍┪粗娜肭中袨檫M(jìn)行檢測(cè)，除此之夕卜，在模型檢測(cè)過程中，還可以通過人工干預(yù)來提高模型檢測(cè)的精度，進(jìn)一步提高檢測(cè)系統(tǒng)的檢測(cè)能力；
4、兼容性強(qiáng):行為分析模型及特征庫(kù)是整個(gè)入侵檢測(cè)系統(tǒng)的核心模塊，這兩個(gè)模塊都可以通過靈活的更新或替換，以提高入侵檢測(cè)系統(tǒng)在不同應(yīng)用環(huán)境和應(yīng)用領(lǐng)域的檢測(cè)能力，具有很強(qiáng)的兼容性。
[0017]本發(fā)明所提出的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)及檢測(cè)方法，對(duì)發(fā)生在主機(jī)的各種未知入侵行為進(jìn)行檢測(cè)和預(yù)警，智能性高，檢測(cè)能力強(qiáng)、速度快，兼容性強(qiáng)。
【權(quán)利要求】
1.一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)，其特征在于它包括進(jìn)程和數(shù)據(jù)采集模塊，采集主機(jī)中正在運(yùn)行的進(jìn)程和數(shù)據(jù)信息，進(jìn)程行為分析模塊，進(jìn)程行為分析模塊是基于行為分析模型對(duì)主機(jī)中的進(jìn)程訪問行為和通信數(shù)據(jù)的行為進(jìn)行分析，檢測(cè)出威脅主機(jī)安全的各種惡意行為，由惡意行為預(yù)警模塊發(fā)出警告信號(hào)，并將這種惡意行為相關(guān)描述進(jìn)入侵行為入庫(kù)模塊。
2.根據(jù)權(quán)利要求1所述的一種具有自學(xué)習(xí)能力的入侵檢測(cè)系統(tǒng)，其特征在于它還包括臨時(shí)庫(kù)，提取出來模型自動(dòng)提取的未必準(zhǔn)確的惡意行為描述，人工修正模塊，人工完善未必準(zhǔn)確的惡意行為描述，行為特征提取模塊，提取出惡意行為的基本特征，匹配特征庫(kù)更新模塊，將提取出惡意行為的基本特征入庫(kù)并更新原有庫(kù)存特征，基于特征匹配的入侵檢測(cè)模塊，對(duì)下一次相同或相似的惡意行為的基本特征檢測(cè)。
3.一種具有自學(xué)習(xí)能力的入侵檢測(cè)方法，其具體技術(shù)方案為: 1)如權(quán)利要求1或2所述的入侵檢測(cè)系統(tǒng)對(duì)主機(jī)的進(jìn)程和通信數(shù)據(jù)進(jìn)行監(jiān)測(cè)； 2)如權(quán)利要求1或2所述的入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)在主機(jī)上某個(gè)進(jìn)程周期性的對(duì)外發(fā)送數(shù)據(jù)； 3)通過行為分析模型發(fā)現(xiàn)這種通信行為與木馬的通信行為十分相似； 4)對(duì)該進(jìn)程及通信數(shù)據(jù)進(jìn)行一段時(shí)間的監(jiān)測(cè)，確認(rèn)該通信行為符合木馬通信行為的特征； 5)將該進(jìn)程的通信行為標(biāo)識(shí)為木馬通信行為，并送入臨時(shí)行為庫(kù)； 6)如果需要人工干預(yù)，對(duì)該通信行為進(jìn)行進(jìn)一步的人工確認(rèn)，如果不需要人工干預(yù)，則直接將該通信行為送入惡意行為的基本庫(kù)； 7)從惡意行為基本庫(kù)中，提取行為的靜態(tài)特征，對(duì)當(dāng)前這個(gè)木馬通信進(jìn)程，將提取出進(jìn)程的名稱和通信的IP地址信息； 8)將所提取的靜態(tài)特征送入模式匹配特征庫(kù)，完成特征庫(kù)的更新； 9)入侵之后，入侵檢測(cè)系統(tǒng)將依據(jù)這一靜態(tài)特征對(duì)主機(jī)中的靜態(tài)特征數(shù)據(jù)，進(jìn)行基于模式匹配的檢測(cè)，如果該進(jìn)程及進(jìn)程的通信行為再次出現(xiàn)，則直接通過預(yù)警并標(biāo)識(shí)該進(jìn)程為木馬惡意進(jìn)程。
4.根據(jù)權(quán)利要求3所述的一種具有自學(xué)習(xí)能力的入侵檢測(cè)方法，其特征 在于所述進(jìn)程行為分析的對(duì)象為源IP地址、目的IP地址、進(jìn)程ID號(hào)、進(jìn)程名稱、文件名稱和IP包特殊字段。
【文檔編號(hào)】G06F21/56GK103745154SQ201310734963
【公開日】2014年4月23日 申請(qǐng)日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】盤承軍, 羅海波, 楊潔, 李江洪, 韋彬貴, 黃力 申請(qǐng)人:柳州職業(yè)技術(shù)學(xué)院