[发明专利]一种数据安全交换进程监管方法及系统

权利要求书

1.一种数据安全交换进程监管方法，其特征在于，包括：

截获启动交换进程的请求；

对所述交换进程所包括的交换程序的完整性进行认证；

在交换进程启动后，接收所述交换进程的注册请求；

依据所述注册请求对所述交换进程进行注册，产生注册信息；

依据所述注册信息提取所述交换进程的实时行为数据，并对所述实时行为数据进行预处理；

对预处理后的实时行为数据进行建模，获取建模模型，依据预设规则对所述建模模型进行评估；

依据所述评估的评估结果，控制所述交换进程的运行。

2.根据权利要求1所述的数据安全交换进程监管方法，其特征在于，所述注册信息包括所述交换进程的进程控制符PID及所述交换进程所包括的交换程序的摘要信息。

3.根据权利要求2所述的数据安全交换进程监管方法，其特征在于，所述依据所述注册信息提取所述交换进程的实时行为数据，并对所述实时行为数据进行预处理包括：

根据交换进程的PID，提取所述交换进程的系统调用序列，作为所述实时行为数据；

将所述系统调用序列中的每一系统调用替换为与之相应的系统调用序号，产生序号形式的系统调用序列；

提取所述序号形式的系统调用序列的特征模式，并对所述特征模式进行编号，产生特征模式编号；

对所述序号形式的系统调用序列进行压缩处理，则压缩处理后的系统调用序列为由所述系统调用序号以及所述特征模式编号混合构成的序列。

4.根据权利要求3所述的数据安全交换进程监管方法，其特征在于，所述对预处理后的实时行为数据进行建模，获取建模模型，依据预设规则对所述建模模型进行评估包括：

使用Markov模型λ=(Φ,π,P)对经过所述预处理的系统调用序列进行建模，其中：

Φ={C₁,C₂，…,C_i,…，C_n,C_n+1}，1≤i≤n，C_i表示系统调用或特征模式的状态，C_n+1表示之前没有出现过的系统调用的状态；

π={π_Ci}，π_Ci=N_Ci/N，π表示实时行为轨迹中不同系统调用或特征模式出现的概率，N_Ci表示状态C_i对应的系统调用或特征模式在压缩后的实时行为轨迹中出现的次数，N表示实时行为轨迹的长度，令π_Cn+1=min（π_Ci）/10；

P=︱P_ci,cj︱_(n+1)*(n+1)，P_ci,cj=N_ci,cj/N_ci，1≤i,j≤n，P表示不同系统调用或特征模式之间转换的概率，P_ci,cj表示交换进程在t时刻处于状态C_i，t+1时刻处于状态C_j的概率，N_ci,cj表示状态C_i和状态C_j相邻出现的次数，令P_ci,cn+1=min（P_ci,cj）/10;

依据公式v（L）=π_Ci*P_ci,ci+1*P_ci+1,ci+2…*P_{ci+L-2,ci+L-1}计算、检测长为L的状态短序列C₁C₂…C_i+L-2C_i+L-1的异常度，并对最近检测的k个状态短序列中异常度小于第一阈值的个数进行计数，当计数值大于第二阈值时，评估结果为异常。