(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211004258.X (22)申请日 2022.08.22 (71)申请人 重庆邮电大 学 地址 400065 重庆市南岸区南 山街道崇文 路2号 (72)发明人 万邦睿　何雨多　钱鹰　黄江平　 金霜　 (74)专利代理 机构 重庆辉腾律师事务所 5 0215 专利代理师 王诗思 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于Linux系统调用的攻击 检测系统 (57)摘要 本发明属于计算机安全技术领域， 具体涉及 一种基于Linux系统调用的攻击检测方法与系 统， 包括： 获取系统生成的系统调用， 将系统调用 序列截取成等长的子序列作为待检测的序列， 并 转换为词向量形式的检测序列； 通过深度学习检 测模型初步判定词向量形式的检测序列的类别， 若判定为异常序列， 则将该序列放入攻击库， 更 新检测匹配库， 若判定为正常序列； 将初步判定 为正常的序列通过与检测匹配库进行匹配度对 比； 采用集群计算判断匹配库不能判定类别的序 列， 得到检测结果。 本发明对于派生攻击检测采 用深度学习模型和匹配库的方式， 对于未知攻 击， 采用集群检测的方式， 解决了系统调用序列 存在冗余调用以及序列过长和入侵检测的漏报 率。 权利要求书3页 说明书6页 附图4页 CN 115378702 A 2022.11.22 CN 115378702 A 1.一种基于L inux系统调用的攻击检测方法， 其特 征在于， 包括： S1： 获取系统运行过程中生成的系统调用， 以及在现有数据库中获取攻击序列和正常 序列构建数据集； S2： 去除系统运行过程中生成的调用中的冗余系统调用， 生成指定时间段内的系统调 用序列， 并将该系统调用序列截取成等长的子序列， 同时将数据集中的序列也截取成等长 的子序列； S3： 将数据集中的等长子序列根据数据类型分为攻击序列和正常序列， 并分别存储到 攻击库和正常库两类序列 库中， 得到检测序列匹配库； S4： 将系统调用序列截取成等长的子序列作为待检测的序列， 并转换为词向量形式的 检测序列； S5： 通过深度学习检测模型初步判定词向量形式的检测序列的类别， 若判定为异常序 列， 则将该序列放入攻击库， 更新检测匹配库， 若判定为 正常序列， 则进行进下一 步判定； S6： 将初步判定为 正常的序列通过与检测匹配库进行匹配度对比， 判定其类别； S7： 采用集群 计算判断匹配库不能判定类别的序列， 得到检测结果。 2.根据权利要求1所述的一种基于Linux系统调用的攻击检测方法， 其特征在于， 将该 系统调用序列截取成等长的子序列， 具体包括： 采用统计分析方法去 除冗余的系统调用， 生成系统调用序列， 将生成的系统调用序列 截取为固定长度的调用序列： 采用滑动窗口技术对长度超过固定长度的调用序列进行截 取， 若生成序列长度未达 到固定长度， 在序列尾部填充0进行补齐。 3.根据权利要求2所述的一种基于Linux系统调用的攻击检测方法， 其特征在于， 所述 采用统计分析 方法去除冗余系统调用， 具体包括： 根据数据集中的已知类型的序列， 分别计算两类序列中的每条序列的系统调用的TF ‑ IDF值， 并分别对两类序列中的每条序列的TF ‑IDF值降序排序， 分别将 两类序列中后40个系 调用筛选出来， 从每类中的序列后40个系统调用中筛选出重复出现的系统调用， 对比分析 两类筛选出 的系统调用， 将两类序列中相同的系统调用作为的冗余系统调用， 将选出 的冗 余系统调用与系统运行过程中生成的所有系统调用进 行统计分析， 找出与选出的冗余系统 调用一样的系统调用， 并去除。 4.根据根据权利要求3所述的一种基于Linux系统调用的攻击检测方法， 其特征在于， 计算系统调用的TF ‑IDF值， 表示 为： 其中， TF‑IDFa1表示系统调用a1 的TF‑IDF值， 表示系统调用a1在序列a中出现的频 次， Σa1,k表示在生成的序列k中出现系统调用a1的序列总数， |N|表 示在生成的序列中正常 类型或攻击类型序列数总和， |{na1}|表示在当前类别中出现系统调用a1的序列数。 5.根据权利要求1所述的一种基于Linux系统调用的攻击检测方法， 其特征在于， 将初 步判定为正常的序列与匹配库中的序列进行匹配度的对比， 判断出该序列的类型， 具体包 括： 设置匹配度大小为0.8， 比对待检测序列与两类匹配库中序列的相似度， 若检测序列与权　利　要　求　书 1/3 页 2 CN 115378702 A 2正常序列匹配库中的序列相似度大于0.8， 则该序列为正常序列， 若检测序列与攻击序列匹 配库中的序列相似度大于0.8， 则该序列为攻击序列， 检测序列与正常序列匹配库中的序列 或攻击序列匹配库中的序列相似度小于 0.8， 则不能认定该序列的类别。 6.根据权利要求1所述的一种基于Linux系统调用的攻击检测方法， 其特征在于， 所述 进行集群 计算， 具体包括： S1： 将检测单元不能认定类别的检测序列记为seq01， 将seq01转化为词向量形式的序 列seqm01； S2： 选择在内网连接主机群中主机h1与se q01同时段生成的序列se q11， 并转换为词向量 形式的序列seqm11， 计算其欧式距离d(seqm01,seqm11)； S3： 设定阈值distance大小， 若d(seqm01,seqm11)>distance， 则判定该主机生成的序 列与检测序列相似， 重复S2 ‑S3， 检测出与该检测序列存在相似序列的所有主机数量 hostNumber， 若hostNumber>＝threshold， 则该检测序列类型为攻击序列， 若hostNumber< threshold， 则该检测序列类型为正常序列， 其中， threshold表示设定的存在相似序列的主 机数量阈值。 7.根据权利要求6所述的一种基于Linux系统调用的攻击检测方法， 其特征在于， 所述 欧式距离d(seqm01,seqm11)计算,表示 为： 其中， seqm01表示词向量形式的检测序列， seqm11表示在内网连接主机群中主机h1与检 测序列同时段生成的词向量形式的序列， mmi表示序列seqm01中第i个系统调用， nni表示序列 seqm11中第i个系统调用。 8.一种基于Linux系 统调用的攻击检测系 统， 其特征在于， 包括： 收集模块、 训练模块、 检测模块； 所述收集模块包括： 系统调用获取 单元、 处理单元以及数据发送单 元； 系统调用获取单元用于收集指定进程执行过程所调用的相关信 息， 以及在现有数据库 中获取攻击序列和正常序列， 构建数据集； 所述相关信息包括： 调用时间、 系统调用名、 进程名以及线程名； 处理单元将系统调用获取单元收集的系统调用信 息按照长度或调用时间处理， 生成指 定时间段内的系统调用序列， 将该系统调用序列截取成等长的子序列， 同时将数据集中的 序列也截取成等长的子序列； 数据发送模块将系统调用信 息处理生成的子序列发送给检测模块作为检测序列， 将数 据集中的子序列发送给训练模块； 所述训练模块包括： 数据单 元、 转换单元、 训练单 元； 数据单元将数据集中的等长子序列根据数据类型分为攻击序列和正常序列， 并分别存 储到攻击库和正常库两类序列 库中， 得到检测序列匹配库； 转换单元将储存到序列 库中的序列转换成词向量矩阵； 训练单元根据词向量矩阵采用深度学习技 术训练检测系统； 所述检测模块包括： 转换 单元、 检测单 元、 匹配单 元、 计算单 元、 标识单 元； 转换单元依据训练模块转换单元生成词向量的形式将待检测的序列转换成词向量形 式的序列；权　利　要　求　书 2/3 页 3 CN 115378702 A 3