技術領域

機網絡技術領域，涉及網絡安全，具體地說是一種主機入侵檢測系統 及檢測方法，可用以在網絡環境中實現對主機的監控。

背景技術

隨著Internet的廣泛應用和網絡間信息流量的急劇增長，各領域在得 益于網絡的同時，其數據的安全性也受到的嚴重的威脅。目前，常用的安 全技術有防火墻、防病毒軟件、加密技術、用戶認證和入侵檢測系統等。 其中，入侵檢測技術是一種主動保護自己免受攻擊的網絡安全技術，它在 不影響網絡性能的情況下對網絡進行檢測，從而提供對內部攻擊、外部攻 擊和誤用操作的實時保護。

就檢測數據而言，入侵檢測可以分成：網絡型和主機型。網絡型入侵 檢測系統的檢測數據來自網絡上的原始數據包，該類型的入侵檢測系統一 般擔負著保護一個網段的任務；主機型的入侵檢測系統通過分析主機中的 審計數據來檢測攻擊。也有一些專家把同時檢測主機數據和網絡數據的入 侵檢測系統單分一類——混合型入侵檢測系統。

利用操作系統中特權進程的漏洞實施攻擊是一種很普遍的入侵方式。 特權進程，比如Linux系統中以root權限運行的程序具有較高的權限，入 侵者可以利用這些程序的設計漏洞，獲取整個系統的控制權。例如，Finger 服務程序中的一個缺陷可以使攻擊者利用“緩沖區溢出”的方法，欺騙服 務程序執行入侵者安排的惡意代碼。所以，通過監視特權程序的運行情況 已經成為檢測入侵行為的主要手段之一。有研究表明，同一個特權程序在 正常運行時所產生的系統調用序列基本一致；但當遭受攻擊篡改，或執行 不正常的程序分支，使程序不正常運行時，它所產生的系統調用序列與程 序正常運行時有明顯差異。此外，對于破壞性的攻擊行為，主機特權進程 的資源使用情況與系統正常運行時也是有差別的，這里所說的資源使用情 況包括CPU的使用率，內存的占用率，以及進程所生成的socket連接數 等。

就檢測技術而言，入侵檢測可以分成：誤用檢測和異常檢測。具體來 說，誤用檢測是對已知的入侵行為建模，用已經建立的入侵模式庫區來檢 測用戶行為。誤用檢測可以有效地檢測到已知的攻擊，產生的誤用比較少， 但誤用檢測不能檢測到未知的攻擊，它需要不斷地更新攻擊特征庫，系統 的適應性比較差。異常檢測是對正常行為建模，所有不符合這個模型的行 為就被懷疑為攻擊。異常檢測首先收集一段時期正常操作活動的歷史數 據，建立正常行為輪廓。然后收集實時數據，并使用各種方法來決定所檢 測到的事件活動是否偏離了正常行為模式。異常檢測在沒有詳細的特定知 識條件下，可以檢測出未知的攻擊，但這種檢測方式誤檢率比較高。異常 檢測的方法主要有閾值檢測、統計方法神經網絡和人工免疫等。

在入侵檢測方法和技術研究中，人們發現生物免疫系統與入侵檢測系 統具有相似性：免疫系統捍衛著人體不受各種病原體的侵害，正如入侵檢 測系統保護計算機系統免受攻擊的摧毀一樣，兩者都是使保護對象在不斷 變化的環境中維持系統的穩定性。因此人們開始借鑒生物免疫原理開發入 侵檢測技術。美國University?of?New?Mexico的Forrest，Hofineyr等人提出 的基于免疫耐受機制的模型，即否定選擇算法。免疫機制使出未現過的入 侵行為仍然可以被檢測到，且敏感性更高反應更快。該模型的主要不足是： 網絡入侵的不可預測性和訓練樣本的不夠完備導致將正常的網絡行為判 斷為入侵行為，不適應用戶正常行為的突然改變，而造成大量的誤報占用 系統管理員大量時間并消耗系統資源。

發明內容

本發明的目的在于克服上述已有技術的不足，提出一種基于危險理論 和否定選擇算法NSA的主機入侵檢測系統及檢測方法，以實現在保證檢 測精度的前提下，有效提高入侵檢測的誤檢率和適應性。

為實現上述目的，本發明的主機入侵檢測系統包括：

信號數據采集模塊，用于采集主機特權進程使用數據，包括CPU的 占用率，內存的占用率，生成的socket連接數，并將所得到的信號數據 分別傳輸到信號數據訓練模塊和數據檢測模塊；

抗原數據采集模塊，用于采集主機特權進程運行時產生系統調用序 列，并將所得到的抗原數據分別傳輸到抗原數據訓練模塊和數據檢測模 塊；

信號數據訓練模塊，用于利用新穎發現算法對信號數據采集模塊所采 集的信號數據進行訓練，并將所得到檢測規則用于數據檢測模塊中信號數 據的檢測；