CN103745154A - 一种具有自学习能力的入侵检测系统及检测方法 - Google Patents
一种具有自学习能力的入侵检测系统及检测方法 Download PDFInfo
- Publication number
- CN103745154A CN103745154A CN201310734963.XA CN201310734963A CN103745154A CN 103745154 A CN103745154 A CN 103745154A CN 201310734963 A CN201310734963 A CN 201310734963A CN 103745154 A CN103745154 A CN 103745154A
- Authority
- CN
- China
- Prior art keywords
- behavior
- communication
- detection system
- module
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种具有自学习能力的入侵检测系统,它包括进程和数据采集模块,进程行为分析模块,恶意行为预警模块和入侵行为入库模块。一种具有自学习能力的入侵检测方法,其具体技术方案为:入侵检测系统对主机的进程和通信数据进行监测;发现在主机上某个进程周期性的对外发送数据;行为分析模型发现这种通信行为;对进程及通信数据进行一段时间的监测,确认该通信行为符合木马通信行为的特征;将该进程的通信行为标识为木马通信行为,并送入临时行为库;对该通信行为进行进一步的人工确认,从恶意行为基本库中,提取行为的静态特征,提取出进程的名称和通信的IP地址信息;将所提取的静态特征送入模式匹配特征库,完成特征库的更新。本发明智能性高,检测能力强、速度快,兼容性强。
Description
技术领域
本发明属于基于主机的入侵检测系统领域,尤其是具有自学习能力的智能性的入侵检测应用领域。
背景技术
目前入侵检测系统是为主机提供安全保护的一道重要的安全保障,传统的入侵检测系统一般是采用基于特征匹配的检测模式。传统的入侵检测系统其特征模式,是通过预先设定固化在入侵检测系统中,在使用过程中不能够随着技术的发展和系统的更新,而动态的调整其设定的特征库。从而使得入侵检测系统在使用一段时间之后,即表现为过时和落后,不能够及时的对一些新型的入侵行为和软件做出检测和预警。
发明内容
本发明所要解决的技术问题是提供一种具有自学习能力的入侵检测系统
及检测方法,对发生在主机的各种未知入侵行为进行检测和预警,智能性高,检测能力强、速度快,兼容性强。
为解决上述技术问题,本发明提供一种具有自学习能力的入侵检测系统,它包括进程和数据采集模块,采集主机中正在运行的进程和数据信息,进程行为分析模块,进程行为分析模块是基于行为分析模型对主机中的进程访问行为和通信数据的行为进行分析,检测出威胁主机安全的各种恶意行为,由恶意行为预警模块发出警告信号,并将这种恶意行为相关描述进入侵行为入库模块。
所述的一种具有自学习能力的入侵检测系统还包括临时库,提取出来模型自动提取的未必准确的恶意行为描述,人工修正模块,人工完善未必准确的恶意行为描述,行为特征提取模块,提取出恶意行为的基本特征,匹配特征库更新模块,将提取出恶意行为的基本特征入库并更新原有库存特征,基于特征匹配的入侵检测模块,对下一次相同或相似的恶意行为的基本特征检测。
一种具有自学习能力的入侵检测方法,其具体技术方案为:
1、所述的入侵检测系统对主机的进程和通信数据进行监测;
2、所述的入侵检测系统发现在主机上某个进程周期性的对外发送数据;
3、通过行为分析模型发现这种通信行为与木马的通信行为十分相似;
4、对该进程及通信数据进行一段时间的监测,确认该通信行为符合木马通信行为的特征;
5、将该进程的通信行为标识为木马通信行为,并送入临时行为库;
6、如果需要人工干预,对该通信行为进行进一步的人工确认,如果不需要人工干预,则直接将该通信行为送入恶意行为的基本库;
7、从恶意行为基本库中,提取行为的静态特征,对当前这个木马通信进程,将提取出进程的名称和通信的IP地址信息;
8、将所提取的静态特征送入模式匹配特征库,完成特征库的更新;
9、入侵之后,入侵检测系统将依据这一静态特征对主机中的静态特征数据,进行基于模式匹配的检测,如果该进程及进程的通信行为再次出现,则直接通过预警并标识该进程为木马恶意进程。
所述进程行为分析的对象为源IP地址、目的IP地址、进程ID号、进程名称、文件名称和IP包特殊字段。
本发明所提出的一种具有自学习能力的入侵检测系统及检测方法的有益
技术效果为:
1、智能性高:能够通过模型分析和识别,自动的发现主机中的一些未知
入侵行为,并自动的从中提取特征,具备智能性的特点;
2、检测速度快:通过模式匹配的方式实现入侵行为的检测,由于模式匹配执行速度快,因此整个检测速度很快;
3、检测能力强:既可以通过预先设定的静态特征库来实现对一些传统和典型的入侵行为进行检测,同时还具有基于模型分析和行为检测的智能化检测方式,而且所检测到的结果能够自动的更新模式匹配的特征库,因此能够对一些未知的入侵行为进行检测,除此之外,在模型检测过程中,还可以通过人工干预来提高模型检测的精度,进一步提高检测系统的检测能力;
4、兼容性强:行为分析模型及特征库是整个入侵检测系统的核心模块,这两个模块都可以通过灵活的更新或替换,以提高入侵检测系统在不同应用环境和应用领域的检测能力,具有很强的兼容性。
本发明所提出的一种具有自学习能力的入侵检测系统及检测方法,对发生在主机的各种未知入侵行为进行检测和预警,智能性高,检测能力强、速度快,兼容性强。
附图说明
图1是本发明所提出的一种具有自学习能力的入侵检测流程示意图。
图2是进程行为分析对象组成示意图。
具体实施方式
参见附图,一种具有自学习能力的入侵检测系统,它包括进程和数据采集模块,采集主机中正在运行的进程和数据信息,进程行为分析模块,进程行为分析模块是基于行为分析模型对主机中的进程访问行为和通信数据的行为进行分析,检测出威胁主机安全的各种恶意行为,由恶意行为预警模块发出警告信号,并将这种恶意行为相关描述进入侵行为入库模块。
所述的一种具有自学习能力的入侵检测系统还包括临时库,提取出来模型自动提取的未必准确的恶意行为描述,人工修正模块,人工完善未必准确的恶意行为描述,行为特征提取模块,提取出恶意行为的基本特征,匹配特征库更新模块,将提取出恶意行为的基本特征入库并更新原有库存特征,基于特征匹配的入侵检测模块,对下一次相同或相似的恶意行为的基本特征检测。
一种具有自学习能力的入侵检测方法,其具体技术方案为:
1、所述的入侵检测系统对主机的进程和通信数据进行监测;
2、所述的入侵检测系统发现在主机上某个进程周期性的对外发送数据;
3、通过行为分析模型发现这种通信行为与木马的通信行为十分相似;
4、对该进程及通信数据进行一段时间的监测,确认该通信行为符合木马通信行为的特征;
5、将该进程的通信行为标识为木马通信行为,并送入临时行为库;
6、如果需要人工干预,对该通信行为进行进一步的人工确认,如果不需要人工干预,则直接将该通信行为送入恶意行为的基本库;
7、从恶意行为基本库中,提取行为的静态特征,对当前这个木马通信进程,将提取出进程的名称和通信的IP地址信息;
8、将所提取的静态特征送入模式匹配特征库,完成特征库的更新;
9、入侵之后,入侵检测系统将依据这一静态特征对主机中的静态特征数据,进行基于模式匹配的检测,如果该进程及进程的通信行为再次出现,则直接通过预警并标识该进程为木马恶意进程。
所述进程行为分析的对象为源IP地址、目的IP地址、进程ID号、进程名称、文件名称和IP包特殊字段。
本发明所提出的一种具有自学习能力的入侵检测系统及检测方法的有益
技术效果为:
2、智能性高:能够通过模型分析和识别,自动的发现主机中的一些未知
入侵行为,并自动的从中提取特征,具备智能性的特点;
2、检测速度快:通过模式匹配的方式实现入侵行为的检测,由于模式匹配执行速度快,因此整个检测速度很快;
3、检测能力强:既可以通过预先设定的静态特征库来实现对一些传统和典型的入侵行为进行检测,同时还具有基于模型分析和行为检测的智能化检测方式,而且所检测到的结果能够自动的更新模式匹配的特征库,因此能够对一些未知的入侵行为进行检测,除此之外,在模型检测过程中,还可以通过人工干预来提高模型检测的精度,进一步提高检测系统的检测能力;
4、兼容性强:行为分析模型及特征库是整个入侵检测系统的核心模块,这两个模块都可以通过灵活的更新或替换,以提高入侵检测系统在不同应用环境和应用领域的检测能力,具有很强的兼容性。
本发明所提出的一种具有自学习能力的入侵检测系统及检测方法,对发生在主机的各种未知入侵行为进行检测和预警,智能性高,检测能力强、速度快,兼容性强。
Claims (4)
1.一种具有自学习能力的入侵检测系统,其特征在于它包括进程和数据采集模块,采集主机中正在运行的进程和数据信息,进程行为分析模块,进程行为分析模块是基于行为分析模型对主机中的进程访问行为和通信数据的行为进行分析,检测出威胁主机安全的各种恶意行为,由恶意行为预警模块发出警告信号,并将这种恶意行为相关描述进入侵行为入库模块。
2.根据权利要求1所述的一种具有自学习能力的入侵检测系统,其特征在于它还包括临时库,提取出来模型自动提取的未必准确的恶意行为描述,人工修正模块,人工完善未必准确的恶意行为描述,行为特征提取模块,提取出恶意行为的基本特征,匹配特征库更新模块,将提取出恶意行为的基本特征入库并更新原有库存特征,基于特征匹配的入侵检测模块,对下一次相同或相似的恶意行为的基本特征检测。
3.一种具有自学习能力的入侵检测方法,其具体技术方案为:
1)如权利要求1或2所述的入侵检测系统对主机的进程和通信数据进行监测;
2)如权利要求1或2所述的入侵检测系统发现在主机上某个进程周期性的对外发送数据;
3)通过行为分析模型发现这种通信行为与木马的通信行为十分相似;
4)对该进程及通信数据进行一段时间的监测,确认该通信行为符合木马通信行为的特征;
5)将该进程的通信行为标识为木马通信行为,并送入临时行为库;
6)如果需要人工干预,对该通信行为进行进一步的人工确认,如果不需要人工干预,则直接将该通信行为送入恶意行为的基本库;
7)从恶意行为基本库中,提取行为的静态特征,对当前这个木马通信进程,将提取出进程的名称和通信的IP地址信息;
8)将所提取的静态特征送入模式匹配特征库,完成特征库的更新;
9)入侵之后,入侵检测系统将依据这一静态特征对主机中的静态特征数据,进行基于模式匹配的检测,如果该进程及进程的通信行为再次出现,则直接通过预警并标识该进程为木马恶意进程。
4.根据权利要求3所述的一种具有自学习能力的入侵检测方法,其特征
在于所述进程行为分析的对象为源IP地址、目的IP地址、进程ID号、进程名称、文件名称和IP包特殊字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310734963.XA CN103745154A (zh) | 2013-12-27 | 2013-12-27 | 一种具有自学习能力的入侵检测系统及检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310734963.XA CN103745154A (zh) | 2013-12-27 | 2013-12-27 | 一种具有自学习能力的入侵检测系统及检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103745154A true CN103745154A (zh) | 2014-04-23 |
Family
ID=50502171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310734963.XA Pending CN103745154A (zh) | 2013-12-27 | 2013-12-27 | 一种具有自学习能力的入侵检测系统及检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103745154A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
| CN107563201A (zh) * | 2017-09-08 | 2018-01-09 | 北京奇虎科技有限公司 | 基于机器学习的关联样本查找方法、装置及服务器 |
| CN109005168A (zh) * | 2018-07-25 | 2018-12-14 | 安徽三实信息技术服务有限公司 | 一种网络安全预警系统以及预警方法 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
| CN111090855A (zh) * | 2019-12-26 | 2020-05-01 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于Linux主机的入侵检测方法及装置 |
| CN112583813A (zh) * | 2020-12-09 | 2021-03-30 | 南京拟态智能技术研究院有限公司 | 一种网络安全预警系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070239999A1 (en) * | 2002-01-25 | 2007-10-11 | Andrew Honig | Systems and methods for adaptive model generation for detecting intrusions in computer systems |
| CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
| CN102968591A (zh) * | 2012-11-21 | 2013-03-13 | 中国人民解放军国防科学技术大学 | 基于行为片段共享的恶意软件特征聚类分析方法及系统 |
| CN103077352A (zh) * | 2012-12-24 | 2013-05-01 | 重庆远衡科技发展有限公司 | 一种基于云平台的程序行为分析的主动防御方法 |
-
2013
- 2013-12-27 CN CN201310734963.XA patent/CN103745154A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070239999A1 (en) * | 2002-01-25 | 2007-10-11 | Andrew Honig | Systems and methods for adaptive model generation for detecting intrusions in computer systems |
| CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
| CN102968591A (zh) * | 2012-11-21 | 2013-03-13 | 中国人民解放军国防科学技术大学 | 基于行为片段共享的恶意软件特征聚类分析方法及系统 |
| CN103077352A (zh) * | 2012-12-24 | 2013-05-01 | 重庆远衡科技发展有限公司 | 一种基于云平台的程序行为分析的主动防御方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
| CN107563201A (zh) * | 2017-09-08 | 2018-01-09 | 北京奇虎科技有限公司 | 基于机器学习的关联样本查找方法、装置及服务器 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
| CN109005168A (zh) * | 2018-07-25 | 2018-12-14 | 安徽三实信息技术服务有限公司 | 一种网络安全预警系统以及预警方法 |
| CN111090855A (zh) * | 2019-12-26 | 2020-05-01 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于Linux主机的入侵检测方法及装置 |
| CN112583813A (zh) * | 2020-12-09 | 2021-03-30 | 南京拟态智能技术研究院有限公司 | 一种网络安全预警系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103745154A (zh) | 一种具有自学习能力的入侵检测系统及检测方法 | |
| BR112018010013A2 (pt) | processo e sistema de aquisição e de análise de dados fisiológicos | |
| CN106888205A (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
| CA2899201C (en) | Method and system for intrusion and extrusion detection | |
| IN2014MU00776A (zh) | ||
| CN104753946A (zh) | 一种基于网络流量元数据的安全分析框架 | |
| CN102467633A (zh) | 一种安全浏览网页的方法及其系统 | |
| GB201319306D0 (en) | Detection and filtering of malware based on traffic observations made in a distributed mobile traffic management system | |
| US20180013778A1 (en) | Apparatus and method for detecting abnormal behavior | |
| CN112799358A (zh) | 一种工业控制安全防御系统 | |
| CN106210615A (zh) | 一种城市管理自动监测方法、装置及系统 | |
| MX2011009618A (es) | Uso del protocolo de administracion de redes simple para la administracion de dispositivos que ocupan poco espacio. | |
| CN103701769A (zh) | 一种检测网络危害源头的方法与系统 | |
| CN103294952A (zh) | 一种基于页面关系检测webshell的方法及系统 | |
| KR20130031432A (ko) | 수목 생육 관리 방법, 시스템 및 장치 | |
| CN113852615A (zh) | 一种在多级dns环境中失陷主机监测方法及装置 | |
| CN103902901A (zh) | 一种基于编译器识别的apt检测方法及系统 | |
| CN103823852A (zh) | 数据库服务器日志的处理方法和装置 | |
| KR20150076613A (ko) | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 | |
| CN103902906A (zh) | 基于应用图标的移动终端恶意代码检测方法及系统 | |
| CN105471919A (zh) | 网络安全脆弱性扫描与管理系统 | |
| CN105592087A (zh) | 一种基于向量机学习的dnp异常检测方法 | |
| EP3851963A3 (en) | Incident detection and management | |
| CN103973685A (zh) | 一种网络系统 | |
| CN106899977B (zh) | 异常流量检验方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140423 |
|
| RJ01 | Rejection of invention patent application after publication |