CN107920067A - 一种主动对象存储系统上的入侵检测方法 - Google Patents

一种主动对象存储系统上的入侵检测方法 Download PDF

Info

Publication number
CN107920067A
CN107920067A CN201711118351.2A CN201711118351A CN107920067A CN 107920067 A CN107920067 A CN 107920067A CN 201711118351 A CN201711118351 A CN 201711118351A CN 107920067 A CN107920067 A CN 107920067A
Authority
CN
China
Prior art keywords
information
source
tracing
dependences
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711118351.2A
Other languages
English (en)
Other versions
CN107920067B (zh
Inventor
谢雨来
冯丹
荣震
廖雪龙
秦磊华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201711118351.2A priority Critical patent/CN107920067B/zh
Publication of CN107920067A publication Critical patent/CN107920067A/zh
Application granted granted Critical
Publication of CN107920067B publication Critical patent/CN107920067B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种主动对象存储系统上的入侵检测方法,属于计算机网络安全领域,包括:使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。本发明在主动对象存储系统上收集溯源信息,使得入侵检测效率高、入侵检测准确率较高。

Description

一种主动对象存储系统上的入侵检测方法
技术领域
本发明属于计算机网络安全领域,更具体地,涉及一种主动对象存储系统上的入侵检测方法。
背景技术
溯源数据是一种用来描述对象历史数据的元数据。利用溯源数据可以实现很多新的功能,包括实验文档、安全、搜索和程序调试等。因此,很多学术研究机构构建了收集溯源的系统。目前主流的溯源信息收集系统,比如PASS系统只能收集系统本身上的溯源信息,很难收集其他系统的溯源信息,主动对象存储系统是现在主流的存储系统,PASS系统很难收集主动对象存储系统中的溯源信息进行入侵检测。
网络安全问题越来越严重,个人信息泄密事件频繁发生,目前用于实时入侵检测的方法有很多,采用的方法更多的是对以前入侵检测算法的改进,或者说是通过对硬件的升级来加快入侵检测的效率,然而,现有技术存在入侵检测效率低、入侵检测误检率较高的技术问题。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种主动对象存储系统上的入侵检测方法,由此解决现有技术存在入侵检测效率低、入侵检测误检率较高的技术问题。
为实现上述目的,本发明提供了一种主动对象存储系统上的入侵检测方法,包括:
(1)使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;
(2)对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。
进一步的,步骤(1)还包括删除重复的溯源信息,消除溯源信息中的循环。
进一步的,系统调用信息包括read系统调用信息、write系统调用信息、fork系统调用信息、open系统调用信息和rename系统调用信息。
进一步的,溯源信息包括used依赖关系、wasGeneratedBy依赖关系、wasControlledBy依赖关系、wasTriggeredBy依赖关系和wasDerivedFrom依赖关系。
进一步的,根据系统调用信息得到应用程序的溯源信息包括:
对于read系统调用信息,根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于write系统调用信息,根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系,wasGeneratedBy依赖关系表示文件对象依赖于进程对象;
对于fork系统调用信息,根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系,wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象;
对于open系统调用信息,根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于rename系统调用信息,根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系,wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。
进一步的,入侵检测的具体实现方式为:
根据正常溯源信息建立规则库,判断溯源信息是否属于规则库,如果属于规则库则认为是检测结果正常,如果不属于规则库则根据溯源信息查找多条路径,得到每条路径的判决值,如果某条路径的判决值大于判决值阈值则认为该条路径的活动是异常活动,检测结果异常,如果某条路径的判决值小于判决值阈值则认为该条路径的活动是正常活动。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;解决了以往溯源信息收集方法无法在主动对象存储系统上收集溯源信息的缺点;使得入侵检测效率高、入侵检测准确率较高。
(2)本发明相比一些现有的入侵检测方法,利用了主动对象的概念,对溯源信息并行的进行入侵检测,减少了溯源信息的传输时间,提高了入侵检测的效率,同时入侵检测准确率较高。
附图说明
图1是本发明实施例提供的一种主动对象存储系统上的入侵检测方法的流程图;
图2是本发明实施例提供的系统调用分析图;
图3是本发明实施例提供的OPM模型图;
图4是本发明实施例提供的入侵检测算法流程图;
图5是本发明实施例提供的主动对象存储系统入侵检测流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
图1是本发明实施例提供的一种主动对象存储系统上的入侵检测方法的流程图,包括以下步骤:
(1)主动对象存储系统溯源收集步骤:
主动对象存储系统溯源收集又分为以下子步骤:
(11)监控应用程序:
使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;
(12)分析系统调用信息:
如图2所示为根据系统调用信息来做不同的分析的流程图。
对于read系统调用信息,根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于write系统调用信息,根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系,wasGeneratedBy依赖关系表示文件对象依赖于进程对象;
对于fork系统调用信息,根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系,wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象;
对于open系统调用信息,根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于rename系统调用信息,根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系,wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。
`(13)溯源信息处理:
有时系统调用可能会被重复调用,比如当一个进程读取一个大文件时,这时就会多次调用read系统调用,会产生多次重复的溯源信息,对于重复的溯源信息应该删除,只保留其中的一条溯源信息即可。同时,溯源信息中可能会产生循环,对于溯源信息中的循环,应该消除溯源信息中的循环。
(14)溯源信息存储:
采用数据库的方式来存储溯源信息,溯源信息主要包含两个部分,分别是身份信息和祖先关系。身份信息就是每个对象的信息,采用vertex数据库来存储,数据库中的每一行表示一个溯源对象,祖先信息是对象之间的依赖关系,使用edge数据库来存储,每一行表示一条溯源依赖关系。
(15)负载均衡
入侵请求下放到各个OSD(Object-based Storage Device,对象存储设备)当中需要事先做负载均衡操作,处理能力强的OSD处理更多的入侵检测请求,处理能力弱的OSD相对来说处理较少的入侵检测请求。
(2)主动对象存储系统入侵检测步骤:
对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。主动对象存储系统入侵检测步骤又分为以下子步骤:
(21)生成规则库:
根据应用程序正常溯源信息生成规则库;
(22)入侵请求下放:
根据OSD数量将入侵检测请求下放到各个OSD当中,然后将各个OSD的入侵检测结果返回到客户端主机,最后客户端主机根据设备端返回的数据采取具体的措施。
图三是OPM(Open Provenance Model,开放溯源模型)模型图,OPM一共定义了五种类型的依赖关系。其中包含三种结点,结点分别表示:
(1)Artifact:生成的结果,是不可变的状态并在计算机中有数字表示,在图3中用A表示。
(2)Process:进程,引起结果的一系列操作并产生新的结果,在图3中用P表示。
(3)Agent:代理,作为进程执行的上下文实体,控制或影响进程的执行,在图3中用Ag表示。
五种类型的依赖关系分别表示:
(1)used依赖关系:
一个进程使用了某个生成的结果。
(2)wasGeneratedBy依赖关系:
一个生成的结果由某个进程产生。
(3)wasControlledBy依赖关系:
一个进程由某个代理控制。
(4)wasTriggeredBy依赖关系:
若不知道进程P2使用的确切结果,但有另一个进程P1生成的某些结果。进程P2由P1触发。
(5)wasDerivedFrom依赖关系:
即使结果A2可能由使用另外结果的进程产生,但并不会告诉A2具体依赖于哪个结果。因此为了显示依赖性,就需要断言A2由另一个结果A1导出的。本发明中生成的结果即为文件对象。
图四是入侵检测算法流程图,一共包含了五个步骤:
(1)通过溯源信息收集方法来获取程序所产生的溯源信息记为D。
(2)将溯源信息的转化为对应的依赖关系,D={De1,De2,De3,……Den}。
(3)判断每一个依赖关系是否属于规则库,如果属于规则库则认为是正常活动,如果不属于规则库则进行步骤(4)。
(4)依赖关系属于规则库的可疑度为0,依赖关系不属于规则库的可疑度为1,然后查找长度为L的路径(De1,De2,De3,……DeL)(路径是指Dei的子节点等于Dei+1的父节点)定义该段路径的判决值的可疑度/L。
(5)设定一个判决值阈值T,判决值阈值T为常数,如果某条路径的判决值大于该阈值则认为该活动是异常活动,如果小于该阈值则认为该活动是正常活动,一旦发现了可疑活动系统应该及时做出相应的应对措施,防止入侵行为继续发生,进一步损害系统和用户数据的安全。
图五是主动对象存储系统上的入侵检测流程,主动存储技术能在海量数据的情况下提高入侵检测的效率,保证系统安全。其流程如下:
(1)在客户端主机上收集正常应用程序的溯源信息;
(2)利用主动对象存储系统中客户端和服务器端的信息传输通道将溯源信息封装成为用户对象传输到设备端;
(3)每台设备端利用基于溯源信息的入侵检测算法生成正常应用程序的规则库;
(4)实时收集应用程序产生的溯源信息,根据部署的设备端的数量,将收集到的溯源信息均匀地分发到每台设备端,利用对象存储系统中设备端的计算能力同时对客户端主机的情况进行分析;
(5)将每台服务器端的检测结果返回给客户端主机,然后根据每台服务器端的检测结果做出相应的部署,如果每台服务器都没有检测出入侵行为则认为此时客户端主机是安全的,如果服务器端返回的结果当中有一个或者多个存在入侵行为的话则认为此时客户端主机正在受到入侵行为的破坏,客户端应该及时反馈。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种主动对象存储系统上的入侵检测方法,其特征在于,包括:
(1)使用主动对象存储系统中的审计功能监控应用程序,获取审计日志信息,根据审计日志信息得到应用程序调用的系统调用信息;根据系统调用信息得到应用程序的溯源信息;
(2)对溯源信息并行的进行入侵检测,得到检测结果,当检测结果异常时,说明主动对象存储系统被入侵,当检测结果正常时,说明主动对象存储系统安全。
2.如权利要求1所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述步骤(1)还包括删除重复的溯源信息,消除溯源信息中的循环。
3.如权利要求1或2所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述系统调用信息包括read系统调用信息、write系统调用信息、fork系统调用信息、open系统调用信息和rename系统调用信息。
4.如权利要求3所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述溯源信息包括used依赖关系、wasGeneratedBy依赖关系、wasControlledBy依赖关系、wasTriggeredBy依赖关系和wasDerivedFrom依赖关系。
5.如权利要求4所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述根据系统调用信息得到应用程序的溯源信息包括:
对于read系统调用信息,根据Process_read函数得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于write系统调用信息,根据Process_write函数得到进程对象和文件对象的溯源信息为wasGeneratedBy依赖关系,wasGeneratedBy依赖关系表示文件对象依赖于进程对象;
对于fork系统调用信息,根据Process_fork函数得到进程对象和进程对象的溯源信息为wasTriggeredBy依赖关系,wasTriggeredBy依赖关系表示一个进程对象依赖于另外一个进程对象;
对于open系统调用信息,根据Process_open得到进程对象和文件对象的溯源信息为used依赖关系,used依赖关系表示进程对象依赖于文件对象;
对于rename系统调用信息,根据Process_rename得到进程对象和文件对象的溯源信息为wasDerivedFrom依赖关系,wasDerivedFrom依赖关系表示一个文件对象依赖于另外一个文件对象。
6.如权利要求1或2所述的一种主动对象存储系统上的入侵检测方法,其特征在于,所述入侵检测的具体实现方式为:
根据正常溯源信息建立规则库,判断溯源信息是否属于规则库,如果属于规则库则认为是检测结果正常,如果不属于规则库则根据溯源信息查找多条路径,得到每条路径的判决值,如果某条路径的判决值大于判决值阈值则认为该条路径的活动是异常活动,检测结果异常,如果某条路径的判决值小于判决值阈值则认为该条路径的活动是正常活动。
CN201711118351.2A 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法 Active CN107920067B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711118351.2A CN107920067B (zh) 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711118351.2A CN107920067B (zh) 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法

Publications (2)

Publication Number Publication Date
CN107920067A true CN107920067A (zh) 2018-04-17
CN107920067B CN107920067B (zh) 2020-05-19

Family

ID=61895489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711118351.2A Active CN107920067B (zh) 2017-11-10 2017-11-10 一种主动对象存储系统上的入侵检测方法

Country Status (1)

Country Link
CN (1) CN107920067B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108733539A (zh) * 2018-05-24 2018-11-02 郑州云海信息技术有限公司 一种停止osd服务的方法、装置、系统及可读存储介质
CN109639726A (zh) * 2018-12-31 2019-04-16 微梦创科网络科技(中国)有限公司 入侵检测方法、装置、系统、设备及存储介质
CN112241243A (zh) * 2020-10-19 2021-01-19 北京计算机技术及应用研究所 一种主动对象存储系统的实现方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080244744A1 (en) * 2007-01-29 2008-10-02 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information
CN103226675A (zh) * 2013-03-20 2013-07-31 华中科技大学 一种分析入侵行为的溯源系统及方法
WO2015062536A1 (en) * 2013-11-01 2015-05-07 Hangzhou H3C Technologies Co., Ltd. Data processing
CN105323247A (zh) * 2015-10-13 2016-02-10 华中科技大学 一种用于移动终端的入侵检测系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080244744A1 (en) * 2007-01-29 2008-10-02 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information
CN103226675A (zh) * 2013-03-20 2013-07-31 华中科技大学 一种分析入侵行为的溯源系统及方法
WO2015062536A1 (en) * 2013-11-01 2015-05-07 Hangzhou H3C Technologies Co., Ltd. Data processing
CN105323247A (zh) * 2015-10-13 2016-02-10 华中科技大学 一种用于移动终端的入侵检测系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
谢雨来: "《溯源的高效存储管理及在安全方面的应用研究》", 《中国博士学位论文全文数据库 信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108733539A (zh) * 2018-05-24 2018-11-02 郑州云海信息技术有限公司 一种停止osd服务的方法、装置、系统及可读存储介质
CN108733539B (zh) * 2018-05-24 2021-08-10 郑州云海信息技术有限公司 一种停止osd服务的方法、装置、系统及可读存储介质
CN109639726A (zh) * 2018-12-31 2019-04-16 微梦创科网络科技(中国)有限公司 入侵检测方法、装置、系统、设备及存储介质
CN112241243A (zh) * 2020-10-19 2021-01-19 北京计算机技术及应用研究所 一种主动对象存储系统的实现方法
CN112241243B (zh) * 2020-10-19 2024-01-26 北京计算机技术及应用研究所 一种主动对象存储系统的实现方法

Also Published As

Publication number Publication date
CN107920067B (zh) 2020-05-19

Similar Documents

Publication Publication Date Title
AU2016204068B2 (en) Data acceleration
US10657250B2 (en) Method and apparatus for detecting anomaly based on behavior-analysis
JP6508353B2 (ja) 情報処理装置
US10437996B1 (en) Classifying software modules utilizing similarity-based queries
CN109842628A (zh) 一种异常行为检测方法及装置
CN108549814A (zh) 一种基于机器学习的sql注入检测方法、数据库安全系统
Mahmood et al. Intrusion detection system based on K-star classifier and feature set reduction
US10776487B2 (en) Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code
Roschke et al. A flexible and efficient alert correlation platform for distributed ids
CN109120634B (zh) 一种端口扫描检测的方法、装置、计算机设备和存储介质
CN109347808B (zh) 一种基于用户群行为活动的安全分析方法
Landauer et al. Time series analysis: unsupervised anomaly detection beyond outlier detection
CN111092889B (zh) 分布式数据节点异常行为检测方法、装置及服务器
CN107920067A (zh) 一种主动对象存储系统上的入侵检测方法
WO2020005250A1 (en) Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
Hu et al. An anomaly detection model of user behavior based on similarity clustering
Zuo Defense of Computer Network Viruses Based on Data Mining Technology.
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
CN113032824B (zh) 基于数据库流量日志的低频数据泄漏检测方法及系统
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN116991675A (zh) 一种异常访问监控方法、装置、计算机设备及存储介质
KR101148002B1 (ko) 웹 로봇 탐지 시스템 및 방법
US10909242B2 (en) System and method for detecting security risks in a computer system
US20230053322A1 (en) Script Classification on Computing Platform

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant