[发明专利]一种基于Linux系统调用的攻击检测系统

权利要求书

1.一种基于Linux系统调用的攻击检测方法，其特征在于，包括：

S1：获取系统运行过程中生成的系统调用，以及在现有数据库中获取攻击序列和正常序列构建数据集；

S2：去除系统运行过程中生成的调用中的冗余系统调用，生成指定时间段内的系统调用序列，并将该系统调用序列截取成等长的子序列，同时将数据集中的序列也截取成等长的子序列；

S3：将数据集中的等长子序列根据数据类型分为攻击序列和正常序列，并分别存储到攻击库和正常库两类序列库中，得到检测序列匹配库；

S4：将系统调用序列截取成等长的子序列作为待检测的序列，并转换为词向量形式的检测序列；

S5：通过深度学习检测模型初步判定词向量形式的检测序列的类别，若判定为异常序列，则将该序列放入攻击库，更新检测匹配库，若判定为正常序列，则进行进下一步判定；

S6：将初步判定为正常的序列通过与检测匹配库进行匹配度对比，判定其类别；

S7：采用集群计算判断匹配库不能判定类别的序列，得到检测结果。

2.根据权利要求1所述的一种基于Linux系统调用的攻击检测方法，其特征在于，将该系统调用序列截取成等长的子序列，具体包括：

采用统计分析方法去除冗余的系统调用，生成系统调用序列，将生成的系统调用序列截取为固定长度的调用序列：采用滑动窗口技术对长度超过固定长度的调用序列进行截取，若生成序列长度未达到固定长度，在序列尾部填充0进行补齐。

3.根据权利要求2所述的一种基于Linux系统调用的攻击检测方法，其特征在于，所述采用统计分析方法去除冗余系统调用，具体包括：

根据数据集中的已知类型的序列，分别计算两类序列中的每条序列的系统调用的TF-IDF值，并分别对两类序列中的每条序列的TF-IDF值降序排序，分别将两类序列中后40个系调用筛选出来，从每类中的序列后40个系统调用中筛选出重复出现的系统调用，对比分析两类筛选出的系统调用，将两类序列中相同的系统调用作为的冗余系统调用，将选出的冗余系统调用与系统运行过程中生成的所有系统调用进行统计分析，找出与选出的冗余系统调用一样的系统调用，并去除。

4.根据根据权利要求3所述的一种基于Linux系统调用的攻击检测方法，其特征在于，计算系统调用的TF-IDF值，表示为：

其中，TF-IDF_a1表示系统调用a1的TF-IDF值，表示系统调用a1在序列a中出现的频次，Σa_1,k表示在生成的序列k中出现系统调用a1的序列总数，|N|表示在生成的序列中正常类型或攻击类型序列数总和，|{n_a1}|表示在当前类别中出现系统调用a1的序列数。

5.根据权利要求1所述的一种基于Linux系统调用的攻击检测方法，其特征在于，将初步判定为正常的序列与匹配库中的序列进行匹配度的对比，判断出该序列的类型，具体包括：

设置匹配度大小为0.8，比对待检测序列与两类匹配库中序列的相似度，若检测序列与正常序列匹配库中的序列相似度大于0.8，则该序列为正常序列，若检测序列与攻击序列匹配库中的序列相似度大于0.8，则该序列为攻击序列，检测序列与正常序列匹配库中的序列或攻击序列匹配库中的序列相似度小于0.8，则不能认定该序列的类别。