申请/专利权人：重庆邮电大学

申请日：2022-08-22

公开（公告）日：2024-04-02

公开（公告）号：CN115378702B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2022.12.09#实质审查的生效;2022.11.22#公开

摘要：本发明属于计算机安全技术领域，具体涉及一种基于Linux系统调用的攻击检测方法与系统，包括：获取系统生成的系统调用，将系统调用序列截取成等长的子序列作为待检测的序列，并转换为词向量形式的检测序列；通过深度学习检测模型初步判定词向量形式的检测序列的类别，若判定为异常序列，则将该序列放入攻击库，更新检测匹配库，若判定为正常序列；将初步判定为正常的序列通过与检测匹配库进行匹配度对比；采用集群计算判断匹配库不能判定类别的序列，得到检测结果。本发明对于派生攻击检测采用深度学习模型和匹配库的方式，对于未知攻击，采用集群检测的方式，解决了系统调用序列存在冗余调用以及序列过长和入侵检测的漏报率。

主权项：1.一种基于Linux系统调用的攻击检测方法，其特征在于，包括：S1：获取系统运行过程中生成的系统调用，以及在现有数据库中获取攻击序列和正常序列构建数据集；S2：去除系统运行过程中生成的调用中的冗余系统调用，生成指定时间段内的系统调用序列，并将该系统调用序列截取成等长的子序列，同时将数据集中的序列也截取成等长的子序列；S3：将数据集中的等长子序列根据数据类型分为攻击序列和正常序列，并分别存储到攻击库和正常库两类序列库中，得到检测序列匹配库；S4：将系统调用序列截取成等长的子序列作为待检测的序列，并转换为词向量形式的检测序列；S5：通过深度学习检测模型初步判定词向量形式的检测序列的类别，若判定为异常序列，则将该序列放入攻击库，更新检测匹配库，若判定为正常序列，则进行进下一步判定；S6：将初步判定为正常的序列通过与检测匹配库进行匹配度对比，判定其类别；S7：采用集群计算判断匹配库不能判定类别的序列，得到检测结果；所述进行集群计算，具体包括：S71：将检测单元不能认定类别的检测序列记为seq01，将seq01转化为词向量形式的序列seqm01；S72：选择在内网连接主机群中主机h1与seq01同时段生成的序列seq11，并转换为词向量形式的序列seqm11，计算其欧式距离dseqm01,seqm11；S73：设定阈值distance大小，若dseqm01,seqm11distance，则判定该主机生成的序列与检测序列相似，重复S72-S73，检测出与该检测序列存在相似序列的所有主机数量hostNumber，若hostNumber＝threshold，则该检测序列类型为攻击序列，若hostNumberthreshold，则该检测序列类型为正常序列，其中，threshold表示设定的存在相似序列的主机数量阈值。

全文数据：

权利要求：

百度查询： 重庆邮电大学 一种基于Linux系统调用的攻击检测系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD