技術領域

????本發明屬于基于主機的入侵檢測系統領域，尤其是具有自學習能力的智能性的入侵檢測應用領域。

背景技術

目前入侵檢測系統是為主機提供安全保護的一道重要的安全保障，傳統的入侵檢測系統一般是采用基于特征匹配的檢測模式。傳統的入侵檢測系統其特征模式，是通過預先設定固化在入侵檢測系統中，在使用過程中不能夠隨著技術的發展和系統的更新，而動態的調整其設定的特征庫。從而使得入侵檢測系統在使用一段時間之后，即表現為過時和落后，不能夠及時的對一些新型的入侵行為和軟件做出檢測和預警。

發明內容

本發明所要解決的技術問題是提供一種具有自學習能力的入侵檢測系統

及檢測方法，對發生在主機的各種未知入侵行為進行檢測和預警，智能性高，檢測能力強、速度快，兼容性強。

為解決上述技術問題，本發明提供一種具有自學習能力的入侵檢測系統，它包括進程和數據采集模塊，采集主機中正在運行的進程和數據信息，進程行為分析模塊，進程行為分析模塊是基于行為分析模型對主機中的進程訪問行為和通信數據的行為進行分析，檢測出威脅主機安全的各種惡意行為，由惡意行為預警模塊發出警告信號，并將這種惡意行為相關描述進入侵行為入庫模塊。

所述的一種具有自學習能力的入侵檢測系統還包括臨時庫，提取出來模型自動提取的未必準確的惡意行為描述，人工修正模塊，人工完善未必準確的惡意行為描述，行為特征提取模塊，提取出惡意行為的基本特征，匹配特征庫更新模塊，將提取出惡意行為的基本特征入庫并更新原有庫存特征，基于特征匹配的入侵檢測模塊，對下一次相同或相似的惡意行為的基本特征檢測。

一種具有自學習能力的入侵檢測方法，其具體技術方案為：

1、所述的入侵檢測系統對主機的進程和通信數據進行監測；

2、所述的入侵檢測系統發現在主機上某個進程周期性的對外發送數據；

3、通過行為分析模型發現這種通信行為與木馬的通信行為十分相似；

4、對該進程及通信數據進行一段時間的監測，確認該通信行為符合木馬通信行為的特征；

5、將該進程的通信行為標識為木馬通信行為，并送入臨時行為庫；

6、如果需要人工干預，對該通信行為進行進一步的人工確認，如果不需要人工干預，則直接將該通信行為送入惡意行為的基本庫；

7、從惡意行為基本庫中，提取行為的靜態特征，對當前這個木馬通信進程，將提取出進程的名稱和通信的IP地址信息；

8、將所提取的靜態特征送入模式匹配特征庫，完成特征庫的更新；

9、入侵之后，入侵檢測系統將依據這一靜態特征對主機中的靜態特征數據，進行基于模式匹配的檢測，如果該進程及進程的通信行為再次出現，則直接通過預警并標識該進程為木馬惡意進程。

所述進程行為分析的對象為源IP地址、目的IP地址、進程ID號、進程名稱、文件名稱和IP包特殊字段。

本發明所提出的一種具有自學習能力的入侵檢測系統及檢測方法的有益

技術效果為：

1、智能性高：能夠通過模型分析和識別，自動的發現主機中的一些未知

入侵行為，并自動的從中提取特征，具備智能性的特點；

2、檢測速度快：通過模式匹配的方式實現入侵行為的檢測，由于模式匹配執行速度快，因此整個檢測速度很快；

3、檢測能力強：既可以通過預先設定的靜態特征庫來實現對一些傳統和典型的入侵行為進行檢測，同時還具有基于模型分析和行為檢測的智能化檢測方式，而且所檢測到的結果能夠自動的更新模式匹配的特征庫，因此能夠對一些未知的入侵行為進行檢測，除此之外，在模型檢測過程中，還可以通過人工干預來提高模型檢測的精度，進一步提高檢測系統的檢測能力；

4、兼容性強：行為分析模型及特征庫是整個入侵檢測系統的核心模塊，這兩個模塊都可以通過靈活的更新或替換，以提高入侵檢測系統在不同應用環境和應用領域的檢測能力，具有很強的兼容性。

本發明所提出的一種具有自學習能力的入侵檢測系統及檢測方法，對發生在主機的各種未知入侵行為進行檢測和預警，智能性高，檢測能力強、速度快，兼容性強。

附圖說明

圖1是本發明所提出的一種具有自學習能力的入侵檢測流程示意圖。

圖2是進程行為分析對象組成示意圖。

具體實施方式