技术特征:
1.一种基于溯源图的入侵检测方法,其特征在于,包括如下步骤:(s1)获得待检测行为的溯源图,并计算各节点的重要度;(s2)获得所述溯源图中重要度最高的前n1个节点作为中心节点,并从各中心节点的邻域中分别筛选出k1个节点,构建第一邻域矩阵后,对其进行特征提取,得到第一溯源特征;(s3)计算所述第一溯源特征与正常规则行为之间的差异m1,若m1>th
h
,则判定所述待检测行为为入侵行为,并转入步骤(s6);若m1<th
l
,则判定所述待检测行为为正常行为,并转入步骤(s6);若th
l
≤m1≤th
h
,则转入步骤(s4);(s4)获得所述溯源图中重要度最高的前n2个节点作为中心节点,并从各中心节点的邻域中分别筛选出前k2个节点,构建第二邻域矩阵;将所述第二邻域矩阵变换至与所述第一邻域矩阵的规模及中心节点顺序一致后,对其进行特征提取,得到第二溯源特征;n2>n1,且k2>k1;(s5)计算所述第二溯源特征与正常规则行为之间的差异m2,若m2<th,则判断所述待检测行为为正常行为;否则,判断所述待检测行为为异常行为;(s6)检测结束;其中,th
h
、th
l
和th均为阈值,且th
l
<th<th
h
;从中心节点的邻域中筛选节点的顺序为:按照与中心节点的紧密程度降序的顺序进行筛选,在紧密程度相同时按照节点重要度降序的顺序进行筛选。2.如权利要求1所述的基于溯源图的入侵检测方法,其特征在于,所述第一邻域矩阵和所述第二邻域矩阵中,每个行向量与一个中心节点相对应,行向量中的每个元素与中心节点的一个邻域节点相对应;并且,所述步骤(s4)中,将所述第二邻域矩阵变换至与所述第一邻域矩阵的规模一致,包括:以所述第一邻域矩阵中的列向量作为指标,计算各指标对应的权重系数;权重系数用于衡量指标变异性的大小;利用所述权重系数对所述第二邻域矩阵中的列向量进行滑动平均,使所述第二邻域矩阵的列数与所述第一邻域矩阵的列数一致。3.如权利要求2所述的基于溯源图的入侵检测方法,其特征在于,所述步骤(s4)中,将所述第二邻域矩阵变换至与所述第一邻域矩阵的规模一致,还包括:使所述第二邻域矩阵的列数与所述第一邻域矩阵的列数一致后,对所述第二邻域矩阵中的行向量进行聚类,得到多个聚类层后,在各聚类层中以等比例进行抽样,共抽样得到k1个行向量,并从所述第二邻域矩阵中剔除其余行向量,使所述第二邻域矩阵的行数与所述第一邻域矩阵的行数一致;按照中心节点重要度对所述第二邻域矩阵的行向量进行排序,使所述第二邻域矩阵与所述第一邻域矩阵的中心节点顺序一致。4.如权利要求3所述的基于溯源图的入侵检测方法,其特征在于,使所述第二邻域矩阵的列数与所述第一邻域矩阵的列数一致后,对所述第二邻域矩阵中的行向量进行聚类之前,还包括:检测所述第二邻域矩阵中的孤立行向量,并剔除所检测出的孤立行向量。5.如权利要求1~4任一项所述的基于溯源图的入侵检测方法,其特征在于,所述步骤(s1)中,获得待检测行为的溯源图,包括:
收集所述待检测行为的溯源数据,并从中滤除程序执行期间生成的临时文件和环境变量,利用剩余的溯源数据构建溯源图。6.如权利要求1~4任一项所述的基于溯源图的入侵检测方法,其特征在于,对于任意一个节点p,其重要度si(p)的计算方式为:si(p)=αa(p)+(1-α)h(p);其中,a(p)和h(p)分别表示节点p的节点属性和节点依赖度,α表示节点属性占比。7.如权利要求6所述的基于溯源图的入侵检测方法,其特征在于,α=0.375。8.如权利要求1~4任一项所述的基于溯源图的入侵检测方法,其特征在于,对邻域矩阵进行特征提取,包括:将邻域矩阵输入至已训练好的特征提取模型,得到相应的特征;其中,所述特征提取模型是含有多层卷积层的卷积神经网络,所述邻域矩阵为第一邻域矩阵或第二邻域矩阵。9.如权利要求1~4任一项所述的基于溯源图的入侵检测方法,其特征在于,计算溯源特征与正常规则之间的差异,包括:分别计算溯源特征与正常规则行为库中各特征之间的差异,将差异中的最小值作为所述溯源特征与正常规则行为之间的差异;其中,所述正常规则行为库由正常行为的溯源特征构成;所述溯源特征为所述第一溯源特征或所述第二溯源特征。10.一种计算机可读存储介质,其特征在于,包括存储的计算机程序,所述计算机程序被处理器执行时,控制所述计算机可读存储介质所在设备执行权利要求1~9任一项所述的基于溯源图的入侵检测方法。
技术总结
本发明公开了一种基于溯源图的入侵检测方法,属于计算机系统安全领域,包括:获得待检测行为的溯源图并计算节点重要度;快速判断和精准判断两个阶段。在快速判断阶段:选取重要度较高的N1个节点及对应的K1个邻域节点,通过映射规则将溯源图转换为第一邻域矩阵,从而快速提取溯源图主体特征,检测时若该特征与正常规则行为间的差异m1大于阈值Th
技术研发人员:谢雨来 冯丹 李锦 吴雅锋 周潘
受保护的技术使用者:华中科技大学
技术研发日:2022.03.30
技术公布日:2022/7/5