该日志确定在该时间段内是否遭到入侵。其中,可以对该时间段内的日志进行绘图。例如,得到设定一个时间段内的日志包括:
[0054]real pts/280ct 03 20:08(220.80.52.12)
[0055]real pts/280ct 03 18:40(210.79.56.30)
[0056]real pts/280ct 03 17:25 (210.80.65.32)
[0057]guest pts/300ct 03 15:26 (attack, crack, net)
[0058]real pts/280ct 03 14:20(220.80.52.12)
[0059]real pts/280ct 03 08:40(210.79.56.30)
[0060]real pts/180ct 03 06:40(210.80.65.30)
[0061]进一步地,由于日志中可能会包括与本实施例对入侵行为进行检测不相关的数据,因此,可以对该时间段内的日志中的无关数据进行降噪。
[0062]步骤202:将文本格式的日志转化为像素格式的图像,执行步骤205。
[0063]由于现有技术中通过人工对日志中所记录的操作信息进行逐条分析,使得入侵行为检测的效率较低,因此,本实施例中,可以将文本格式的日志转化为像素格式的图像,在转化后的图像中,日志内的每个文字每个符号都是以像素格式进行展示。
[0064]在本实施例中,可以通过下述任意一个操作将文本格式的日志转化为像素格式的图像:扫描、打印、拍照、截图和另存为。如图3所示,为将日志转化为的图像示意图。
[0065]其中,转化后的图像格式可以是JPG格式、BMP格式等。
[0066]步骤203:根据待检测入侵行为,将多个不包括入侵行为的正常日志所转换成像素格式的图像作为多个负样本;以及根据多个包括入侵行为的异常日志所转换成的像素格式的图像创建多个正样本。
[0067]在本实施例中,待检测入侵行为可以包括:未授权访问当前系统的对象,恶意程序,攻击对象等等。本实施例所需要检测的入侵行为可以根据之前一段时间内所发现的所有入侵行为进行分析得到。例如,在一段日志中记录如下信息:
[0068]0315 210.80.65.30[1]USER autumn 331
[0069]0315 210.80.65.30[1]PASS - 530
[0070]032:04 210.80.65.30[1]USER winter 331
[0071]032:06 210.80.65.30[1]PASS - 530
[0072]0322 210.80.65.30[1]USER administrator 331
[0073]0324 210.80.65.30[1]PASS - 230
[0074]根据上述日志可以看出IP地址为210.80.65.30的用户一直试图登录系统,且换了三次用户名和密码才成功登录,因此,本实施例可以根据该日志中的登录信息,将IP地址为210.80.65.30的用户作为具有入侵行为的用户。正样本是指入侵行为的图像,其中,可以利用opencv_createsamples创建正样本。因此,本实施例中所创建的正样本中可以包括有该IP地址的图像,该图像如图4所示,其中,每一个小方格可以作为图像中的一个像素点。
[0075]再如,一段日志中记录有如下信息:
[0076]real pts/25Feb 03 15:20 (210.80.65.30)
[0077]real pts/23Feb 03 08:40 (210.80.65.30)
[0078]real pts/15Feb 03 11:40(210.80.65.30)
[0079]guest pts/30Feb 03 18:26(attack, crack, net)
[0080]根据上述日志可以知道guest这个用户,虽然用户名是合法的,但这个用户的IP地址来源attack, crack, net比较危险,因此,可以将该来源attack, crack, net作为具有入侵行为来源。那么,本实施例中所创建的正样本中可以包括有该来源的图像,该图像如图5所示。
[0081]在本实施例中,负样本是指不包括入侵行为的图像,一般是指背景图像,可以通过人工手工进行准备。例如,准备100个样本,包括30个正样本和70个负样本。其中,正样本和负样本的尺寸可以不相同,但尺寸需大于训练窗口的尺寸。
[0082]在准备好100个样本之后,可以将这100个样本中每一个样本的文件名保存入一个纯文本文件中,在该文件中,包括文件目录和文件名的对应关系。
[0083]步骤204:确定待检测入侵行为的初始检测特征,并根据确定的初始检测特征对多个负样本和多个正样本进行迭代训练,并在每一次训练结束后,根据每一次的训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续对多个负样本和多个正阳进行迭代训练,直到修改后的初始检测特征对多个负样本和多个正样本的检测达到检测阈值,将该达到检测阈值的初始检测特征作为实际检测特征,执行步骤205。
[0084]在本实施例中,可以根据入侵行为确定初始检测特征,初始检测特征可以包括颜色的深浅程度、两个特征之间的距离和每个特征的区域大小等。
[0085]本实施例可以使用opencv_traincascade.exe根据初始检测特征对正样本和负样本进行迭代训练,在每一次训练之后,例如,第一次训练过程中,利用该初始检测特征在100个样本中检测10张正样本,那么检测出正样本的比例较低,因此需要根据迭代训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续进行训练,直到修改后的初始检测特征能够检测出正样本的概率达到一个检测阈值时,将该达到检测阈值的初始检测特征作为实际检测特征。检测阈值可以为90%,即修改后的初始检测特征可以在100个样本中检测出27张正样本,将此时的初始检测特征作为实际检测特征。
[0086]其中,本实施例可以根据利用adaboost算法进行人脸识别的过程对正样本和负样本进行迭代训练。
[0087]步骤205:根据获取的实际检测特征,对像素格式的图像进行检测,在检测到图像中包括实际检测特征时,确定当前系统遭到入侵。
[0088]在本实施例中,需要利用实际检测特征对像素格式的图像进行检测。例如,利用如图4、图5所示的实际检测特征,对图3所示的图像进行检测,检测到图3所示的图像中包括图5所示的实际检测特征,那么,确定当前系统遭到入侵。
[0089]在本发明一个优选实施例中,可以将图像划分为多个矩形子区域,并利用实际检测特征对每一个矩形子区域进行检测。从而提高了检测精度。
[0090]步骤206:根据设定的更新时间段,获取更新后的入侵行为,并根据更新后的入侵行为执行获取待检测入侵行为的实际检测特征。
[0091]在本实施例中,由于入侵行为千变万化,经常会出现一些新的入侵行为,因此,需要在一个设定的更新时间段内,对入侵行为进行更新,以保证对日志检测的准确性。
[0092]如图6、图7所示,本发明实施例提供了一种入侵行为检测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图6所示,为本发明实施例入侵行为检测装置所在设备的一种硬件结构图,除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图7所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的入侵行为检测装置70包括:
[0093]第一获取单元701,用于获取设定时间段内文本格式的日志,其中,所述日志中记录有当前系统在设定时间段内的操作信息;
[0094]转化单元702,用于将文本格式的所述日志转化为像素格式的图像;
[0095]第二获取单元703,用于获取