基于溯源的高效智能的入侵检测与数据重建方法研究

How to prevent the system from intrusion and reconstruct the data storage system rapidly and automatically has been a major topic in the field of security. Most of the traditional methods address this by monitoring the system call information of the invasion process for intrusion detection. However, the detection rate of this kind of method is not high. It also can not trace the source of the invasion and does not support fast automatic data rebuilding. The project intends to design provenance-based intrusion detection and data reconstruction method to solve this problem integratively. The method includes provenance-based intrusion detection scheme, provenance graph based data tracking method, and provenance-based automatic and fast data reconstruction method, which are designed to make use of provenance data to enable that computer system can cope with a variety of intrusion attacks more efficiently. The research project designed can provide preliminary theory studies support and partial implementation techniques for the security of cloud storage environments.

如何防止系统遭受入侵以及快速的自动数据重建一直是存储系统安全领域的一个重要话题。传统的方法大多通过监控入侵进程的系统调用信息来进行入侵检测，然而这种方法存在检测率不高、不能追踪入侵来源以及不支持快速的自动数据重建等重要不足。本项目拟研究基于溯源的入侵检测与数据重建方法，来解决这些问题。该方法包括基于溯源的入侵检测方法、基于溯源图的数据跟踪方法以及基于溯源的快速自动重建方法，旨在利用溯源数据的特点，使计算机系统能够更高效的应付各种入侵攻击。本项目的研究可为云存储环境下的安全机制设计提供前期理论研究支持和部分实现技术探索。

针对传统的入侵检测方法由于并未揭示入侵过程，使得检测精确度不高的缺点，以及在大数据场景下，鲜有研究支撑入侵存储平台的高效方法。本项目注重研究基于溯源的高效实时入侵检测与面向大数据的高性能检测和分析方法。项目主要研究内容集中在四个方面，1）利用溯源数据检测和分析入侵方法；2）利用主动存储技术来优化溯源处理和网络传输性能；3）利用对象存储系统在对文件存储时的高效性与可扩展性，对系统内核、文件属性以及各种应用程序的溯源信息进行了收集、存储与查询。4）提出改进的序列相似度计算方法，设计了一种更加适应病毒变异的基于溯源的入侵检测系统。该项目的研究对于大数据入侵检测提供了新的研究思路，具有重要的学术和科学意义。