本發(fā)明實施例提供了一種基于系統(tǒng)調(diào)用序列的主機入侵檢測方法及裝置，包括：對各系統(tǒng)調(diào)用序列進行深度嵌入，構建各系統(tǒng)調(diào)用的詞嵌入向量；基于n?gram算法將各系統(tǒng)調(diào)用序列切分成短序列的輸入輸出樣本對；基于各系統(tǒng)調(diào)用的詞嵌入向量確定的詞向量矩陣和短序列的輸入輸出樣本對，確定各系統(tǒng)調(diào)用之間的依賴關系；基于各系統(tǒng)調(diào)用之間的依賴關系確定各短序列的概率值；將各短序列的概率值確定的共現(xiàn)概率作為異常因子，采用閾值判斷法確定各系統(tǒng)調(diào)用序列的檢測結(jié)果；所述檢測結(jié)果包括正?；虍惓！１緦嵤├紤]到系統(tǒng)調(diào)用的全局特征，把系統(tǒng)調(diào)用序列看作是系統(tǒng)與進程之間交互的語言，對系統(tǒng)調(diào)用進行處理，具有很好是泛化性能，降低入侵檢測誤報率。

技術領域

本發(fā)明涉及計算機技術領域，尤其涉及一種基于系統(tǒng)調(diào)用序列的主機入侵檢測方法及裝置。

背景技術

近年來，計算機網(wǎng)絡安全涉及到政治，軍事，經(jīng)濟，科技，教育及企業(yè)，個人等各個領域，為了確保這些信息不被破壞，加大計算機網(wǎng)絡安全的研究勢在必行?；诰W(wǎng)絡和基于主機的入侵檢測系統(tǒng)一直是網(wǎng)絡安全研究領域的熱門問題，在現(xiàn)代網(wǎng)絡中，無線網(wǎng)絡的滲透是一個持久的過程，就像其它類型的網(wǎng)絡一樣，如果外圍被繞過，就只有內(nèi)部安全措施站在攻擊者和關鍵數(shù)據(jù)之間，基于主機的入侵檢測系統(tǒng)是繞過網(wǎng)絡外圍的攻擊者的最有效的方法之一。

內(nèi)核層的入侵和攻擊逐漸成為黑客入侵的主流技術，但是現(xiàn)有的入侵檢測的基礎數(shù)據(jù)大都是在應用層得到的，鑒于上述問題，在操作系統(tǒng)內(nèi)核層研究入侵檢測技術，精簡和特征化與系統(tǒng)安全的數(shù)據(jù)源，是入侵檢測的重要內(nèi)容。因此本課題提出了一種基于系統(tǒng)調(diào)用的，面向內(nèi)核守護進程的Linux系統(tǒng)入侵檢測技術，此技術可以有效對抗當前不斷出現(xiàn)的，對系統(tǒng)威脅最大的內(nèi)核層入侵手段。

目前，系統(tǒng)調(diào)用的入侵檢測主要分為兩大方向，第一種是基于規(guī)則描述的方式，主要是通過定義一系列系統(tǒng)訪問規(guī)則來控制系統(tǒng)調(diào)用的執(zhí)行，實現(xiàn)系統(tǒng)訪問控制；第二種是利用統(tǒng)計學方法，序列枚舉方法，機器學習方法和深度學習方法等對系統(tǒng)調(diào)用序列進行分析，構造正常的系統(tǒng)調(diào)用行為模式庫來判斷異常。

基于規(guī)則的檢測方法是通過定義一組規(guī)則來規(guī)定系統(tǒng)進程的正?；蛘弋惓Ｐ袨?，系統(tǒng)調(diào)用是進程訪問系資源的接口，通過增加系統(tǒng)調(diào)用的訪問策略是提高主機安全性的一種主要方法，ko等人通過觀察特權進程的訪問行為為其建立一個有限的資源訪問集合，用沙箱技術限制特權進程的行為。這種方法的不足之處在于，由于Linux版本的不同會導致系統(tǒng)的訪問控制不同，因此需要根據(jù)Linux版本更新規(guī)則庫，同時，規(guī)則庫需要人工建立，建立過程繁瑣且困難，因此，這種檢測方法受到了很大的限制。

統(tǒng)計學入侵檢測方法主要是通過統(tǒng)計系統(tǒng)調(diào)用序列/短序列中單個系統(tǒng)調(diào)用出現(xiàn)的頻率或者使用數(shù)學的方法統(tǒng)計出系統(tǒng)調(diào)用序列出現(xiàn)的一些規(guī)律，結(jié)果和正常的系統(tǒng)調(diào)用序列相差甚遠的序列被認為異常。Haider等人通過統(tǒng)計系統(tǒng)調(diào)用中出現(xiàn)最多和最少次數(shù)的系統(tǒng)調(diào)用號，出現(xiàn)最大和最小的系統(tǒng)調(diào)用號甚至系統(tǒng)調(diào)用的奇數(shù)個數(shù)等特征及其不同的組合作為系統(tǒng)調(diào)用序列的特征，通過計算正常和異常系統(tǒng)調(diào)用特征的差異來進對系統(tǒng)調(diào)用序列進行判別。S.S.Murtaza等人提出將系統(tǒng)調(diào)用表示為內(nèi)核模塊的狀態(tài)，分析狀態(tài)交互，并通過比較正常和異常中狀態(tài)出現(xiàn)的概率來識別異常，結(jié)果表明，該方法能夠產(chǎn)生跟更少的假警率，并以更小的處理事件處理大的跟蹤?；诮y(tǒng)計的方法不需要入侵行為特征的先驗知識，可以快速地構造詞向量，不足之處在于由于位置的丟失，忽略了序列之間的依賴性，在正常建模過程中，形成的特征質(zhì)量不高，導致檢測效率低，誤報率高。