摘要
本发明公开了一种基于扩散模型的细粒度实时入侵检测方法及系统,方法包括利用eBPF进行线程级细粒度的数据收集,对收集的数据通过预处理将不规则的系统日志转为规则的整型数据,以适应内核空间;构建细粒度实时入侵检测模型并在用户空间进行训练,所述模型通过在ResNet模型基础上引入扩散模型形成;针对在用户空间收集到的系统日志,采用共享内存把数据传递到内核空间模型进行检测,共享内存区域为具有原子索引更新的无锁循环缓冲区,日志收集器在其中写入完成预处理的日志条目,供入侵检测引擎直接访问;模型在用户空间用新数据重新训练后,利用eBPF pin map将更新的参数传递到内核空间。本发明实现了在实时收集数据的同时进行攻击检测。
