| 主权项 |
1.一种附网存储设备中用户访问行为的异常检测方法,其特征在于,该方法通过对附网存储设备中用户访问行为所产生的系统调用序列进行特征值的提取和匹配,利用正常的用户行为特征,识别出当前用户行为的异常并产生响应,阻止网络中用户对附网存储设备非正常访问操作的执行,具体包括以下步骤:1)根据用户的访问权限,对用户进行分阶;对用户访问行为所产生的系统调用序列,采用沿时间轴加滑动窗的方式,将当前调用与滑动窗内的系统调用两两结合,组成系统调用对;将系统调用对、该系统调用对中两系统调用之间的距离、用户权限分阶这三个参量联合,组成用户访问行为的模式特征值;2)收集用户正常访问行为的系统调用信息,提取用户访问行为的模式特征值,对附网存储设备进行训练;在该阶段,根据附网存储设备中实际采取的系统调用数目N,在操作系统中维护一个N×N的存储矩阵,该存储矩阵的行号和列号都对应于系统调用的编号,即0~N;矩阵内的元素用于存储正常用户访问行为的模式特征值;3)在附网存储设备的运行阶段,在操作系统内核中维护正常用户访问行为的模式特征值存储矩阵;对用户访问行为所产生的系统调用序列,采用前述沿时间轴加滑动窗的方式,提取当前用户访问行为的模式特征值,并与所维护的模式特征值存储矩阵中的相应元素做比对,识别当前用户访问行为所产生系统调用的合法性,并进而对系统调用进行响应;如果当前系统调用为异常,操作系统将中止当前进程的执行,同时把相关信息记录到日志文件中;如果当前系统调用为正常,操作系统继续执行当前的用户进程。 |
