本發(fā)明公開了一種主機入侵檢測方法和裝置，涉及計算機技術(shù)領(lǐng)域。該方法的一具體實施方式包括：采集主機的信號數(shù)據(jù)，信號數(shù)據(jù)包括：靜態(tài)信號數(shù)據(jù)n和動態(tài)信號數(shù)據(jù)s；從預設的特征庫中查找與靜態(tài)信號數(shù)據(jù)匹配的靜態(tài)檢測規(guī)則ret_s；根據(jù)動態(tài)信號數(shù)據(jù)和SVM模型獲取動態(tài)預測結(jié)果ret_d；SVM模型的訓練參數(shù)是采用粒子群優(yōu)化算法得到的；根據(jù)靜態(tài)檢測規(guī)則ret_s和動態(tài)預測結(jié)果ret_d判斷主機的當前進程是否為攻擊行為。該實施方式能夠提高對未知攻擊行為的檢出率；降低對正常操作的檢測誤報率，保證正常業(yè)務的穩(wěn)定性；在檢出攻擊行為時自動生成檢測規(guī)則并更新檢測特征庫，減少人工干預成本，縮短對未知攻擊行為的反應時間。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機技術(shù)領(lǐng)域，尤其涉及一種主機入侵檢測方法和裝置。

背景技術(shù)

隨著Intentet的廣泛應用和網(wǎng)絡空間信息流的急劇增長，各領(lǐng)域在得益于網(wǎng)絡發(fā)展的同時，其數(shù)據(jù)的安全性也受到了嚴重的威脅。就數(shù)據(jù)檢測而言，入侵檢測可以分為兩大類型，基于網(wǎng)絡的入侵檢測和基于主機的入侵檢測。網(wǎng)絡型入侵檢測主要是檢測網(wǎng)絡上的原始數(shù)據(jù)包，從而判斷數(shù)據(jù)包中是否有攻擊行為；主機型入侵檢測主要通過分析主機上日志、主機流量、進程行為等多方面的信息，判斷主機是否遭受攻擊。

對于主機型入侵檢測，當前主要采用誤用檢測和異常檢測兩種手段：誤用檢測，就是利用已知的特征庫對用戶的行為進行檢測；異常檢測，就是收集大量正常數(shù)據(jù)，對行為進行建模，對不符合模型的行為，則會判別為攻擊。

現(xiàn)有的主機型入侵檢測方法至少存在以下不足：

(1)誤用檢測無法有效檢測出未知攻擊行為；

(2)異常檢測的誤報率比較高，對正常業(yè)務有一定的影響。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實施例提供一種主機入侵檢測方法和裝置，能夠提高對未知攻擊行為的檢出率；降低對正常操作的檢測誤報率，保證正常業(yè)務的穩(wěn)定性；在檢出攻擊行為時自動生成檢測規(guī)則并更新檢測特征庫，減少人工干預成本，縮短對未知攻擊行為的反應時間。

根據(jù)本發(fā)明實施例的一個方面，提供了一種主機入侵檢測方法。

根據(jù)本發(fā)明實施例的主機入侵檢測方法包括：

采集主機的信號數(shù)據(jù)，信號數(shù)據(jù)包括：靜態(tài)信號數(shù)據(jù)n和動態(tài)信號數(shù)據(jù)s；

從預設的特征庫中查找與靜態(tài)信號數(shù)據(jù)匹配的靜態(tài)檢測規(guī)則ret_s；

根據(jù)動態(tài)信號數(shù)據(jù)和SVM模型獲取動態(tài)預測結(jié)果ret_d；SVM模型的訓練參數(shù)是采用粒子群優(yōu)化算法得到的；

根據(jù)靜態(tài)檢測規(guī)則ret_s和動態(tài)預測結(jié)果ret_d判斷主機的當前進程是否為攻擊行為。

可選地，靜態(tài)信號數(shù)據(jù)包括以下至少之一：CPU使用率，內(nèi)存使用率，生成的套接字連接數(shù)，敏感文件變更信息；

動態(tài)信號數(shù)據(jù)是根據(jù)主機運行當前進程時產(chǎn)生的系統(tǒng)調(diào)用序列確定的。

可選地，預設的特征庫包括：預設的多條檢測結(jié)果，以及與每條檢測結(jié)果對應的檢測規(guī)則；從預設特征庫中查找與靜態(tài)信號數(shù)據(jù)匹配的靜態(tài)檢測規(guī)則ret_s，包括：

從預設的特征庫中查找與靜態(tài)信號數(shù)據(jù)匹配的檢測結(jié)果；

以檢測結(jié)果對應的檢測規(guī)則作為與靜態(tài)信號數(shù)據(jù)匹配的靜態(tài)檢測規(guī)則ret_s。

可選地，根據(jù)動態(tài)信號數(shù)據(jù)和SVM模型獲取動態(tài)預測結(jié)果ret_d，包括：