入侵检测方法和装置的制造方法

文档序号:9435854阅读:306来源:国知局
入侵检测方法和装置的制造方法
【技术领域】
[0001]本发明涉及入侵检测领域,具体而言,涉及一种入侵检测方法和装置。
【背景技术】
[0002]入侵检测系统(Intrus1n Detect1n System,简称“ IDS”)是一种对网络传输进行即时监控,在发现可疑网络传输时发出警报或者采取主动反应措施的网络安全设备。根据数据来源不同,入侵检测系统可分为基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。
[0003]传统的入侵检测系统通常采用匹配攻击的数据特征的方式来检测入侵行为,例如将检测的数据与黑名单进行匹配等。随着入侵检测系统的发展,黑客也越来越了解入侵检测系统的各种匹配特征,并尝试各种方法去绕过IDS的匹配特征。
[0004]现有的入侵检测方案,针对各种变形的入侵只能通过提取其数据特征进行检测。然而通过提取数据特征的方式,本身就有滞后性,变形的入侵方式各种各样,通过数据特征的提取难以完全涵盖大部分入侵行为,并且针对变形的特征匹配,误报较多,难以准确地发现入侵行为。
[0005]综上,数据特征的提取难以完全涵盖大部分变形的入侵行为,以及针对变形的特征匹配误报较多,现有的入侵检测方案难以准确地检测入侵行为。
[0006]针对现有技术中难以准确地检测变形的入侵行为的问题,目前尚未提出有效的解决方案。

【发明内容】

[0007]本发明实施例提供了一种入侵检测方法和装置,以解决难以准确地检测变形的入侵行为的问题。
[0008]根据本发明实施例的一个方面,提供了一种入侵检测方法,包括:获取待检测数据,所述待检测数据为被检测的数据;确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征;根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。
[0009]根据本发明实施例的另一方面,还提供了一种入侵检测装置,包括:获取单元,用于获取待检测数据,所述待检测数据为被检测的数据;确定单元,用于确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征;选择单元,用于根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及检测单元,用于基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。
[0010]根据本发明实施例,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
【附图说明】
[0011]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0012]图1是根据本发明实施例的一种计算机的结构框图;
[0013]图2是根据本发明实施例的入侵检测方法的流程图;
[0014]图3是根据本发明实施例可选的入侵检测方法的流程图;
[0015]图4是根据本发明实施例的入侵检测方法的一种应用场景示意图;
[0016]图5是根据本发明实施例另一可选的入侵检测方法的流程图;
[0017]图6是根据本发明实施例又一可选的入侵检测方法的流程图;
[0018]图7是根据本发明实施例的入侵检测装置的示意图;以及
[0019]图8是根据本发明实施例一种可选的入侵检测装置的流程图。
【具体实施方式】
[0020]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0021]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0022]根据本发明实施例,可以提供了一种可以用于实施本申请装置实施例的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0023]实施例1
[0024]根据本发明实施例,提供了一种入侵检测方法,该方法可由计算机或者类似的运算装置执行。图1所示为一种计算机的结构框图。如图1所示,计算机100包括一个或多个(图中仅不出一个)处理器102、存储器104、以及传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
[0025]存储器104可用于存储软件程序以及模块,如本发明实施例中的入侵检测方法和装置对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的入侵检测方法和装置,例如对网络传输的数据进行入侵检测。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0026]传输模块106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输模块106包括一个网络适配器(NetworkInterface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网进行通讯。在一个实例中,传输模块106可以是射频(Rad1 Frequency, RF)模块,其用于通过无线方式与互联网进行通讯。
[0027]如图2所示,该入侵检测方法包括以下步骤:
[0028]步骤S202,获取待检测数据。
[0029]该待检测数据为被检测的数据。待检测数据可以是通过传输模块106传输的网络数据,即来自网络的信息流。具体地,传输模块106连接至网络,接收来自网络的各种各样的数据,入侵检测系统在对网络传输进行及时监控的过程中,需要实时收集网络传输的数据。另外,待检测数据还可以是主机数据,例如主机的审计日志等数据。获取待检测数据,以便于对待检测数据进行收集。可以是实时获取待检测数据,以便对网络传输的数据进行实时检测。
[0030]步骤S204,确定待检测数据对应的行为特征。该行为特征为用于反映待检测数据对应的执行行为的特征。
[0031]待检测数据可以是执行行为产生的数据,或者执行行为所用到的数据。计算机、月艮务器等设备在执行操作或者命令的过程中,存在相应的执行行为,例如文件上传、提权等,这些执行行为对应的数据如命令、请求等可以作为待检测数据。不同的执行行为对应有不同的行为特征,例如,文件上传行为可以有请求上传文件、新增Cgi文件等行为特征。行为特征也可以是用于反映执行行为的执行步骤所处的状态,例如,执行行为的执行步骤包括:下载代码、编译、执行,如果执行行为处于编译步骤,则该状态即为其行为特征。行为特征也可以是反映一段时间内执行行为的操作次数,例如,在一段时间内用户登录请求的次数等。
[0032]步骤S206,根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式。
[0033]一个系统的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破坏系统的安全性,其入侵的目的包括:盗取数据,破坏保密性;更改数据,破坏完整性;更改服务,破坏可用性。综上,无论入侵怎样变形,其目的是不变的。要达到入侵目的,其入侵行为也是相对稳定的。
[0034]不同的行为特征可以从预设检测模式中选择不同的检测模式进行检测,例如,对于“登录请求且登录失败”的行为特征,可以选择用于对执行次数进行检测的统计模式,以检测该行为特征的执行次数是否超过一定阈值,如果超过,则认定为入侵行为。预设检测模式可以包括多种模式,例如,关联模式、触发模式、统计模式等等,在确定待检测数据对应的行为特征之后,可以根据行为特征选择相应的检测模式,用以进行入侵检测。当然,对于相同的行为特征,可以选择一种检测模式,也可以选择多种检测模式并行检测,例如,选择关联模式和触发模式同时对行为特征A进行检测,这样可以提高检测精度。当然,选择检测模式也可以确定对应的检测模式,例如,当入侵检测系统中配置有3种检测模式,在确定待检测数据对应的行为特征之后,直接确定采用3种检测模式并行检测,达到提高检测精度的效果。
[0035]步骤S208,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。
[0036]在选择到检测模式之后,基于选择的检测模式来检测检测数据对应的执行行为是否为入侵行为。例如,选择关联模式进行检测:可以通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。选择触发模式进行检测:由于入侵行为包括一系列的步骤序列,每
当前第1页1 2 3 4 5 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1