一种入侵行为检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别涉及一种入侵行为检测方法及装置。
【背景技术】
[0002]互联网为资源的共享与信息的交流提供了高效而便捷的全新方式,但同时它也会被计算机信息系统资源的入侵者所利用,使得网络中的信息资源面临着严重的安全威胁。为了保证网络信息系统的安全,可以采用入侵检测方式实现对攻击行为的检测,并进行进一步的防御。
[0003]现有的入侵检测方式可以包括:获取一个时间段内的日志,其中,日志中记录中计算机系统在该时间段内的操作信息;用户可以手工根据日志中所记录的每一条操作信息进行分析,以确定日志中是否包括恶意入侵行为的操作信息,从而确定计算机系统是否遭到恶意行为的入侵。
[0004]然而,日志中所包括操作信息的数据量较大,若利用手工对每一条操作信息进行分析,检测效率较低。
【发明内容】
[0005]有鉴于此,本发明提供一种入侵行为检测方法及装置,以解决现有技术中的检测效率较低的问题。
[0006]本发明提供了一种入侵行为检测方法,包括:
[0007]获取设定时间段内文本格式的日志,其中,所述日志中记录有当前系统在设定时间段内的操作信息;
[0008]将文本格式的所述日志转化为像素格式的图像;
[0009]获取待检测入侵行为的实际检测特征;
[0010]根据获取的所述实际检测特征,对像素格式的所述图像进行检测,在检测到所述图像中包括所述实际检测特征时,确定当前系统遭到入侵。
[0011 ] 优选地,所述将文本格式的所述日志转化为像素格式的图像,包括:
[0012]利用扫描、打印、拍照、截图和另存为中的一种操作,将文本格式的所述日志转化为像素格式的图像。
[0013]优选地,所述获取待检测入侵行为的实际检测特征,包括:
[0014]将多个不包括入侵行为的正常日志所转换成像素格式的图像作为多个负样本;以及根据多个包括入侵行为的异常日志所转换成的像素格式的图像创建多个正样本;
[0015]确定待检测入侵行为的初始检测特征,并根据确定的初始检测特征对多个负样本和多个正样本进行迭代训练,并在每一次训练结束后,根据每一次的训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续对多个负样本和多个正阳进行迭代训练,直到修改后的初始检测特征对多个负样本和多个正样本的检测达到检测阈值,将该达到检测阈值的初始检测特征作为实际检测特征。
[0016]优选地,
[0017]在所述对像素格式的所述图像进行检测之前,进一步包括:将所述图像划分为多个矩形子区域;
[0018]所述对像素格式的所述图像进行检测,包括:对每一个矩形子区域进行检测。
[0019]优选地,在所述对像素格式的所述图像进行检测之后,进一步包括:
[0020]根据设定的更新时间段,获取更新后的入侵行为,并根据更新后的入侵行为执行所述获取待检测入侵行为的实际检测特征。
[0021]本发明还提供了一种入侵行为检测装置,包括:
[0022]第一获取单元,用于获取设定时间段内文本格式的日志,其中,所述日志中记录有当前系统在设定时间段内的操作信息;
[0023]转化单元,用于将文本格式的所述日志转化为像素格式的图像;
[0024]第二获取单元,用于获取待检测入侵行为的实际检测特征;
[0025]检测单元,用于根据获取的所述实际检测特征,对像素格式的所述图像进行检测,在检测到所述图像中包括所述实际检测特征时,确定当前系统遭到入侵。
[0026]优选地,所述转化单元,用于利用扫描、打印、拍照、截图和另存为中的一种操作,将文本格式的所述日志转化为像素格式的图像。
[0027]优选地,所述第二获取单元,用于将多个不包括入侵行为的正常日志所转换成像素格式的图像作为多个负样本;以及根据多个包括入侵行为的异常日志所转换成的像素格式的图像创建多个正样本;确定待检测入侵行为的初始检测特征,并根据确定的初始检测特征对多个负样本和多个正样本进行迭代训练,并在每一次训练结束后,根据每一次的训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续对多个负样本和多个正阳进行迭代训练,直到修改后的初始检测特征对多个负样本和多个正样本的检测达到检测阈值,将该达到检测阈值的初始检测特征作为实际检测特征。
[0028]优选地,
[0029]进一步包括:划分单元,用于将所述图像划分为多个矩形子区域;
[0030]所述检测单元,用于对每一个矩形子区域进行检测。
[0031]优选地,进一步包括:
[0032]第三获取单元,用于根据设定的更新时间段,获取更新后的入侵行为,并将更新后的入侵行为发送给所述第二获取单元。
[0033]本发明实施例提供了一种入侵行为检测方法及装置,将文本格式的日志转换为像素格式的图像,由于日志中包括有当前系统在一段时间段内的操作信息,如果当前系统遭到入侵,那么在操作信息中会记录有该入侵信息,且将日志转换为图像之后,日志中所包括的每一个字都是以像素的形式进行展示,因此,通过利用获取的待检测入侵行为的实际检测特征自动对该图像进行检测,从而检测出日志中的该入侵行为,提高了检测效率。
【附图说明】
[0034]图1是本发明实施例提供的方法流程图;
[0035]图2是本发明另一实施例提供的方法流程图;
[0036]图3是本发明实施例提供的像素格式的图像示意图;
[0037]图4是本发明实施例提供的正样本示意图;
[0038]图5是本发明另一实施例提供的正样本示意图;
[0039]图6是本发明实施例提供的装置所在设备的硬件架构图;
[0040]图7是本发明实施例提供的装置结构示意图;
[0041]图8是本发明另一实施例提供的装置结构示意图。
【具体实施方式】
[0042]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0043]如图1所示,本发明实施例提供了一种入侵行为检测方法,该方法可以包括以下步骤:
[0044]步骤101:获取设定时间段内文本格式的日志,其中,日志中记录有当前系统在设定时间段内的操作信息。
[0045]步骤102:将文本格式的日志转化为像素格式的图像。
[0046]步骤103:获取待检测入侵行为的实际检测特征。
[0047]步骤104:根据获取的实际检测特征,对像素格式的图像进行检测,在检测到图像中包括实际检测特征时,确定当前系统遭到入侵。
[0048]根据上述方案,将文本格式的日志转换为像素格式的图像,由于日志中包括有当前系统在一段时间段内的操作信息,如果当前系统遭到入侵,那么在操作信息中会记录有该入侵信息,且将日志转换为图像之后,日志中所包括的每一个字都是以像素的形式进行展示,因此,通过利用获取的待检测入侵行为的实际检测特征自动对该图像进行检测,从而检测出日志中的该入侵行为,提高了检测效率。
[0049]为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
[0050]如图2所示,本发明实施例提供了一种入侵行为检测方法,该方法可以包括以下步骤:
[0051]步骤201:获取设定时间段内文本格式的日志。
[0052]在本实施例中,日志以文本格式记录有当前系统在一段时间段内的操作信息,该操作信息一般包括:事件级别、来源、时间等信息,因此,可以利用日志来检测在一段时间段内是否有入侵行为,以及该入侵行为的来源,入侵时间等。其中,日志可以包括系统日志、应用程序日志和安全日志。
[0053]其中,可以设定一个时间段,例如,I天、I周,在设定的该时间段到达时,可以获取该时间段内的日志,以利用获取的