| 主权项 |
1.一种基于动态反馈的自适应木马通信行为检测方法,其特征是:对木马检测的报警信息进行处理,利用报警信息构造动态反馈学习的样本集,所述动态反馈学习是采用增量支持向量机算法进行动的,通过检测数据流概念漂移确定检测的更新时机;对木马检测的报警信息进行处理包括以下内容:首先,将检测的木马报警信息经过规范化描述,存储在数据库的原始报警表中;其次,利用数据库的便利性,对规范化描述后的报警信息进行合并和关联处理,存储处理后的报警信息;然后,将合并和关联的不同类型而相关联的报警信息建立攻击轨迹事件,存储在攻击事件表中;所述合并处理是指对报警信息进行相似度对比后进行合并:①设行为报警信息B1、B2,合并条件应满足:<img file="FDA0000395119540000011.GIF" wi="2009" he="201" />当合并条件成立时,直接将两条报警信息用一条报警信息表示,合并后的时间信息,用其中一个时间值表示;其中t<sub>1</sub><sup>*</sup>是时间长度,单位为秒,表示两次报警的时间邻近度,Ips为源IP地址,ipD为目的IP地址,dport为目的端口,sport为源端口,T1表示B1报警产生的时间,T2表示B2报警产生的时间;B1.ip<sub>S</sub>表示B1的源IP地址,B1.ip<sub>D</sub>表示B1的目的IP地址,B2.ip<sub>S</sub>∧B1.ip<sub>D</sub>表示B2的源IP地址与B1的目标IP地址同时成立;②设心跳报警信息H1={IP<sub>S1</sub>,IP<sub>D1</sub>,SPort<sub>1</sub>,DPort<sub>1</sub>,Inter<sub>1</sub>,T<sub>1</sub>},H2={IP<sub>S2</sub>,IP<sub>D2</sub>,SPort<sub>2</sub>,DPort<sub>2</sub>,Inter<sub>2</sub>,T<sub>2</sub>},合并条件应满足:<img file="FDA0000395119540000012.GIF" wi="1817" he="305" />当合并条件成立时,直接将两条报警信息用一条报警信息表示,合并后的时间信息,可以用其中一个时间值表示;其中t<sub>2</sub><sup>*</sup>是时间长度,单位为秒,表示两次报警的时间邻近度,将不同类型的报警信息进行关联,减少误报;针对H1报警,Ips1为源IP地址,ipD1为目的IP地址,dport1为目的端口,sport1为源端口,T1表示H1报警产生的时间;针对H2报警,Ips2为源IP地址,ipD2为目的IP地址,dport2为目的端口,sport2为源端口,T2表示H2报警产生的时间。所述关联处理是指将“行为报警”和“心跳报警”类型的信息关联处理,描述一次攻击事件的两种异常行为,用于判断报警信息的准确度,减少误报提供依据;关联处理如下:设行为报警信息B1={IP<sub>S1</sub>,IP<sub>D1</sub>,{SPort<sub>i</sub>}<sub>1</sub>,{DPort<sub>i</sub>}<sub>1</sub>,T<sub>1</sub>},心跳报警信息H1={IP<sub>S2</sub>,IP<sub>D2</sub>,SPort<sub>2</sub>,DPort<sub>2</sub>,T<sub>2</sub>}。B1和H1是相关的<img file="FDA0000395119540000021.GIF" wi="815" he="86" />其中t'是时间长度,单位为秒,表示“心跳报警”与“行为报警”的时间间隔。 |
