一種入侵檢測系統、檢測方法技術方案

技術編號：44374934 閱讀：3 留言：0更新日期：2025-02-25 09:51

本發明專利技術提供了一種入侵檢測系統，用于分析日志數據以實現入侵檢測，所述系統包括：構圖模塊，用于接收預設的時間窗口的日志數據并基于其構建窗口溯源圖；行為編碼模塊，其包括打分器和KAS構造器，所述打分器用于為窗口溯源圖中的進程進行打分以獲取每個進程的基于偏離的異常分數；所述KAS構造器用于根據每個進程的基于偏離的異常分數按照預設的篩選規則選取多個候選進程，并提取每個候選進程對應的關鍵異常集；全局記憶模塊，用于存儲行為編碼模塊傳輸的所有候選進程及其對應的關鍵異常集；檢測模塊，用于根據預設的檢測規則以固定的檢測周期從全局記憶模塊存儲的所有候選進程中篩選異常進程；報警模塊，用于輸出異常行為圖報警。

全部詳細技術資料下載

【技術實現步驟摘要】

本專利技術涉及信息安全領域，具體來說涉及信息安全領域的入侵檢測技術，更具體地說，涉及一種入侵檢測系統、檢測方法。

技術介紹

1、當前，企業與公共機構正面臨著日益加劇的信息安全威脅，且攻擊者所采用的攻擊手段愈發復雜多變。為了有效應對這一挑戰，研究人員利用由內核級系統日志構建的溯源圖(provenance?graph)來建模系統實體之間錯綜復雜的關聯關系。其中，系統實體(諸如進程、文件、網絡等)建模為節點，它們之間的相互作用關系則建模為邊?；谒菰磮D的入侵檢測系統(pids)能夠從溯源圖中提取上下文信息，進而檢測并揭示威脅的蛛絲馬跡。

2、盡管通過構建溯源圖的方式能夠檢測并發現威脅的蛛絲馬跡，但是，高級持續威脅等攻擊手段(apt)等攻擊往往利用未知技術(例如，零日攻擊)，這使得傳統的檢測方法難以有效應對。為了應對這種情況，研究者們提出了基于異常的檢測系統，這些系統從不同粒度提取溯源圖中的行為信息，并將不同于歷史的行為判定為潛在的威脅。早期的圖級別的檢測系統使用草圖來抽象和判定機器在整個時間片的行為。為了進一步完善異常檢測系統，有研究員提出節點級的檢測方案，這種檢測方案能夠通過判定每個節點的異常情況來判定潛在的威脅。還有研究員提出可以設置rsg(rooted?subgraph，有根子圖)來表示局部結構，并和圖級編碼一起學習機器行為來判定潛在的威脅。還有研究員提出可以通過時序模型來判定邊級別的異常情況，進而根據邊級別的信息重建圖級別的異常場景。

3、盡管現有技術提出的異常檢測系統能夠檢測到潛在的威脅，但是仍存在兩

技術實現思路

1、因此，本專利技術的目的在于克服上述現有技術的缺陷，提供一種入侵檢測系統和一種入侵檢測方法。

2、本專利技術的目的是通過以下技術方案實現的。

3、根據本專利技術的第一方面，提供一種入侵檢測系統，用于分析日志數據以實現入侵檢測，所述系統包括：構圖模塊，用于接收預設的時間窗口的日志數據并基于其構建窗口溯源圖；其中，窗口溯源圖中包括多個節點和多條連接兩節點的邊，節點表示預設的時間窗口內出現的進程、文件或ip，邊表示其所連接的兩節點之間的交互關系；行為編碼模塊，其包括打分器和kas構造器，所述打分器用于為窗口溯源圖中的進程進行打分以獲取每個進程的基于偏離的異常分數；所述kas構造器用于根據每個進程的基于偏離的異常分數按照預設的篩選規則選取多個候選進程，并提取每個候選進程對應的關鍵異常集；其中，所述打分器是以進程及其鄰居為輸入、進程的基于偏離的異常分數為輸出訓練得到的異常神經網絡模型，進程的鄰居指的是同一時間窗口內進程操作的對象；全局記憶模塊，用于存儲行為編碼模塊傳輸的所有候選進程及其對應的關鍵異常集，并根據存儲的所有候選進程及其對應的關鍵異常集構建全局溯源圖；檢測模塊，用于根據預設的檢測規則以固定的檢測周期從全局記憶模塊存儲的所有候選進程中篩選異常進程；報警模塊，用于接收所述檢測模塊傳輸的異常進程，并根據接收到的所有異常進程從全局記憶模塊中讀取全局溯源圖和所有異常進程各自對應的關鍵異常集，并根據所有異常進程在全局溯源圖中的相互關系重構異常溯源圖，以及按照預設的識別規則對異常溯源圖進行處理以輸出異常行為圖報警。

4、在本專利技術的一些實施例中，所述打分器通過如下方式訓練獲得：獲取多個預設的時間窗口的日志數據以構造訓練數據，所述訓練數據包括多個訓練樣本，每個訓練樣本包括一個進程以及與該進程同處一個時間窗口內的所有鄰居；構建初始模型，模型包括特征提取器、記憶編碼器、解碼器和異常值計算器；其中，特征提取器用于提取進程的行為特征；記憶編碼器用于提取進程對應的所有鄰居的行為特征；解碼器用于基于記憶編碼器所提取的所有鄰居的行為特征重構進程行為特征以得到重構特征；異常值計算器用于計算特征提取器提取的進程的行為特征與解碼器得到的重構特征之間的重構誤差，并將重構誤差作為進程的基于偏離的異常分數；以訓練樣本作為輸入、進程的基于偏離的異常分數作為輸出，通過最小化預設訓練目標來更新異常神經網絡模型的參數直至模型收斂，其中：所述預設訓練目標為：

5、re＝mseloss(is′,is)

6、其中，re表示重構誤差，mseloss(·)表示均方誤差損失函數，is′表示重構特征，is表示進程的行為特征。

7、在本專利技術的一些實施例中，所述預設的篩選規則為：按照從大到小的順序對窗口溯源圖中每個進程的基于偏離的異常分數進行排序，以預設的第一閾值為基準選取大于或等于第一閾值且排序在前的多個進程作為候選進程。

8、在本專利技術的一些實施例中，所述kas構造器被配置為按照如下方式提取每個候選進程對應的關鍵異常集：基于進程所在時間窗口構建的窗口溯源圖獲取該進程對應的鄰居集合，其中，所述鄰居集合中包括與該進程對應節點存在連接關系的其他節點對應的進程、文件或ip；提取所述鄰居集合中的文件和ip，并采用預設的白名單過濾提取處理后的鄰居集合中與白名單內元素一致的文件和ip，得到進程對應的關鍵異常集。

9、在本專利技術的一些實施例中，所述預設的檢測規則為：采用檢測模塊上配置的綜合打分器為全局記憶模塊中存儲的每一個候選進程進行打分，得到每一個候選進程的綜合異常值；按照從大到小的順序對每一個候選進程的綜合異常值進行排序，并以預設的第二閾值為基準選取大于或等于第二閾值且排序在前的多個候選進程作為異常進程。

10、在本專利技術的一些實施例中，所述綜合打分器被配置為按照如下方式對每一個候選進程進行打分：按照如下方式計算候選進程對應關鍵異常集的稀有度分數：

11、

12、其中，ksκ表示關鍵異常集κ的稀有度分數；κ表示關鍵異常集；min(·)表示最小化函數；ln(·)表示對數函數；|w|表示接收到的時間窗口的數量；表示關鍵異常集κ存在被命中的時間窗口的數量；表示關鍵異常集κ被命中的次數；表示在所有的關鍵異常集中，各個關鍵異常集被命中的次數中的最大值；

13、按照如下方式計算候選進程命中關鍵異常集的稀有度分數：

14、

15、其中，psp⊥κ表示候選進程p命中關鍵異常集κ的稀有度分數，p⊥κ表示候選進程p命中關鍵異常集κ；e表示關鍵異常集κ中的元素；n(p)表示候選進程p的鄰居集合；表示關鍵異常集κ中元素e被命中的次數；

16、按照如下方式計算候選進程的綜合異常值：

17、

18、其中：

19、asp⊥κ＝rep×ksκ×psp⊥κ

20、其中，asp表示候選進程p的綜合異常值；kp表示候選進程p命中的所有關鍵異常集組成的集合；as本文檔來自技高網...

【技術保護點】

1.一種入侵檢測系統，用于分析日志數據以實現入侵檢測，其特征在于，所述系統包括：

2.根據權利要求1所述的系統，其特征在于，所述打分器通過如下方式訓練獲得：

3.根據權利要求2所述的系統，其特征在于，所述預設的篩選規則為：

4.根據權利要求3所述的系統，其特征在于，所述KAS構造器被配置為按照如下方式提取每個候選進程對應的關鍵異常集：

5.根據權利要求4所述的系統，其特征在于，所述預設的檢測規則為：

6.根據權利要求5所述的系統，其特征在于，所述綜合打分器被配置為按照如下方式對每一個候選進程進行打分：

7.根據權利要求6所述的系統，其特征在于，所述預設的識別規則為：

8.一種入侵檢測方法，其特征在于，所述方法包括：

9.一種計算機可讀存儲介質，其特征在于，其上存儲有計算機程序，所述計算機程序可被處理器執行以實現權利要求8所述方法的步驟。

10.一種電子設備，其特征在于，包括：

【技術特征摘要】

1.一種入侵檢測系統，用于分析日志數據以實現入侵檢測，其特征在于，所述系統包括：

2.根據權利要求1所述的系統，其特征在于，所述打分器通過如下方式訓練獲得：

3.根據權利要求2所述的系統，其特征在于，所述預設的篩選規則為：

4.根據權利要求3所述的系統，其特征在于，所述kas構造器被配置為按照如下方式提取每個候選進程對應的關鍵異常集：

5.根據權利要求4所述的系統，其特征在于，所述預設的檢測規則為...

【專利技術屬性】
技術研發人員：劉丁瑋，李振宇，張志斌，
申請(專利權)人：中國科學院計算技術研究所，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術