[发明专利]一种入侵检测方法和装置

说明书

本发明公开了一种入侵检测方法和装置，所述方法包括：根据待检测进程的系统调用信息确定待检测进程的多个调用短序列，调用短序列包括按进程中系统调用的调用时序排列的第一数量个系统调用；根据系统调用信息中每个系统调用分别在多个调用短序列中的出现频率确定多个调用短序列的相对频率向量；基于多个调用短序列的相对频率向量进行系统调用分布学习，得到表征待检测进程中系统调用的时序和相对频率的分布特征的调用分布向量；基于待检测进程的调用分布向量与多个非入侵进程的调用分布向量进行聚类分析；根据聚类分析的结果确定待检测进程是否发生入侵。利用本发明提供的技术方案能提高入侵检测的准确率，避免漏报、误判等情况。

技术领域

本发明涉及互联网通信技术领域，尤其涉及一种入侵检测方法和装置。

背景技术

近年来，互联网技术的快速发展，网络已经成为人们生活中必不可少的一部分。随着互联网的发展，各种网络入侵也层出不穷，如何有效及时的检测网络入侵成为亟待解决的问题。

目前，网络入侵检测可以包括基于系统调用的异常检测。具体的，可以获得程序正常执行的系统调用的正常频率分布特性，并监测程序实际运行过程中系统调用出现的次数(即绝对频率)；然后，基于系统调用出现的次数确定系统调用的频率分布信息；根据实际运行过程中的频率分布信息与正常频率分布特性的比对出的异常，来检测出网络入侵。但上述现有的方法基于系统调用的频率分布刻画程序的行为特征，选取的特征简单，无法有效的反应程序的实际运行特征，导致入侵检测的准确率低，出现漏报、误判等情况。因此，需要提供更可靠或更有效的方案。

发明内容

本发明提供了一种入侵检测方法和装置，可以提取有效的反应程序的实际运行特征的调用分布向量，进而提高入侵检测的准确率，避免漏报、误判等情况。

一方面，本发明提供了一种入侵检测方法，所述方法包括：

根据待检测进程的系统调用信息确定所述待检测进程的多个调用短序列，所述调用短序列包括按进程中系统调用的调用时序排列的第一数量个系统调用；

根据所述系统调用信息中每个系统调用分别在多个调用短序列中的出现频率确定所述多个调用短序列的相对频率向量；

基于所述多个调用短序列的相对频率向量进行系统调用分布学习，得到所述待检测进程的调用分布向量，所述调用分布向量表征所述待检测进程中系统调用的时序和相对频率的分布特征；

基于所述待检测进程的调用分布向量与多个非入侵进程的调用分布向量对所述待检测进程与所述多个非入侵进程进行聚类分析；

根据所述聚类分析的结果确定所述待检测进程是否发生入侵。

另一方面提供了一种入侵检测装置，所述装置包括：

调用短序列确定模块，用于根据待检测进程的系统调用信息确定所述待检测进程的多个调用短序列，所述调用短序列包括按进程中系统调用的调用时序排列的第一数量个系统调用；

相对频率向量确定模块，用于根据所述系统调用信息中每个系统调用分别在多个调用短序列中的出现频率确定所述多个调用短序列的相对频率向量；

调用分布学习模块，用于基于所述多个调用短序列的相对频率向量进行系统调用分布学习，得到所述待检测进程的调用分布向量，所述调用分布向量表征所述待检测进程中系统调用的时序和相对频率的分布特征；

聚类分析模块，用于基于所述待检测进程的调用分布向量与多个非入侵进程的调用分布向量对所述待检测进程与所述多个非入侵进程进行聚类分析；

入侵检测模块，用于根据所述聚类分析的结果确定所述待检测进程是否发生入侵。