侵检测装置。其中,传输模块106可以相当于获取单元10,用于获取待检测数据并向处理器102传输该待检测数据。其中,确定单元30、选择单元50和检测单元70可以通过处理器102实现,处理器102确定待检测数据对应的行为特征,根据该行为特征从预设检测模式中选择检测模式,基于选择的检测模式检测待检测数据对应的执行行为是否是入侵行为。其中,存储器104可以存储最终结果,也可以存储初始数据或者中间数据。
[0116]图8是根据本发明实施例优选的入侵检测装置的示意图。该实施例的入侵检测装置可以作为上述实施例的入侵检测装置的一种优选实施方式。如图8所示,该装置包括:获取单元10、确定单元30、选择单元50和检测单元70。其中,选择单元50包括第一选择模块501,检测单元70包括判断子单元701和确定子单元703,判断子单元701包括计算模块7011和第一判断模块7012。
[0117]第一选择模块501用于基于多个行为特征选择关联模式,该关联模式用于对多个行为特征进行关联检测。
[0118]计算模块7011用于对多个行为特征对应的待检测数据进行关联分析计算,得到计算结果。
[0119]第一判断模块7012用于通过判断计算结果是否满足关联条件来判断行为特征是否满足预设条件。
[0120]待检测数据对应的行为特征包括多个行为特征。当待检测数据的行为特征满足用于进行关联模式检测的条件时,即对应有多个行为特征时,可以选择关联模式来对该多个行为特征进行关联检测。具体地,由于待检测数据包括多个维度(或者类型)的数据,每个维度的数据均有其对应的行为特征,即待检测数据对应多个行为特征。判断待检测数据对应的行为特征是否满足预设条件,可以是将多个行为特征对应的待检测数据进行关联分析计算,然后判断计算结果是否满足关联条件,该关联条件可以是用于反映关联后的行为特征组合是否为入侵行为的条件。
[0121]具体地,通过任意维度数据关联(包括上下文关联),对行为特征进行关联分析,从而定性为入侵行为。比如文件上传行为:网络数据发现http上传文件请求,对应的主机有新增的cgi文件落地。再如,提权行为:父进程为低权限,子进程为高权限。
[0122]通过入侵特点分析,即时入侵的表现形式不同,其入侵行为是不变的。这样针对行为分析,能准确确定入侵,误报较低。
[0123]应用场景1,“文件上传行为”分析:
[0124]数据维度:网络侧的http请求数据httplog、主机侧的新增cgi文件数据。
[0125]现有的基于数据特征匹配的入侵检测方法,无论是通过httplog匹配长传请求,还是通过主机侧匹配新增的cgi文件,都难以检测出“文件上传”,匹配误报较高。
[0126]本发明实施例,通过行为特点来检测出“上传行为”。网络侧的http请求数据httplog发现文件上传请求,主机侧的cgi数据发现有新增的cgi文件,从而确定为“文件上传行为”。
[0127]具体地,规则匹配与数据运算如下:
[0128]Httplog.rule == ‘上传,&&httplog.des_ip = = cg1.agent」d&&cg1.flag ==‘新增’ Mhttplog.local_tm e [cg1.local_tm -1nterval_tm, cg1.local_tm+interval_tm]
[0129]应用场景2,提权行为分析:
[0130]数据维度:进程数据cmdlog上下文关联。
[0131]子进程权限较低,为普通权限。父进程为root权限。通过父子进程关联分析,确定提权彳丁为。
[0132]具体的规则与数据运算如下:
[0133]Cmdlog.datal.uid = = ‘normal,&&Cmdlog.datal.pid = = Cmdlog.data2.ppidMCmdlog.data2.uid = = ‘root’。
[0134]优选地,计算模块7011包括:确定子模块,用于确定多个行为特征对应的待检测数据的数据维度数量;创建子模块,用于创建于数据维度数量相应的堆栈;缓存子模块,用于将多个行为特征对应的待检测数据缓存进创建的堆栈;以及计算子模块,用于对堆栈中的数据进行关联分析计算,得到计算结果。
[0135]待检测数据的数据维度数量可以是与行为特征的数量相同,即一种数据维度可以表示一种行为特征,例如上述提到的数据维度:网络侧的http请求数据httplog和主机侧的新增cgi文件数据,分别对应行为特征“网络侧的http请求”和“主机侧的新增cgi文件”。
[0136]在确定数据维度数量之后,创建相应数量的堆栈,将各数据维度的数据分别缓存创建的堆栈中,然后依次从堆栈中取出不同维度的数据进行关联分析算法的计算。
[0137]根据本发明实施例,通过对待检测数据进行关联分析计算,可以提高对入侵检测的准确性。
[0138]优选地,行为特征包括待检测数据对应的执行行为状态,执行行为状态用于反映待检测数据对应的执行行为的执行步骤,其中,选择单元包括第二选择模块,用于基于执行行为状态选择触发模式,触发模式用于对执行行为状态进行检测;判断子单元包括:第二判断模块,用于判断执行行为状态是否满足预设状态,其中,如果判断出执行行为状态满足预设状态,则确定执行行为状态满足预设条件。
[0139]当待检测数据对应的行为特征满足用于进行触发模式检测的条件时,可以选择触发模式来对该行为特征进行检测。具体地,由于入侵行为是按照一系列的步骤来入侵的,通过判断入侵行为的一系列先后步骤特征,可以不停地提升异常指数,最终确定入侵行为。相应地,待检测数据对应的执行行为状态表示该待检测数据对应的执行行为所处的执行步骤,如果该状态下执行行为的执行步骤与入侵行为的某一执行步骤相匹配,则可认为该执行行为疑似入侵行为,可以进一步判断该执行行为的执行步骤前后的步骤特征,如果均满足入侵行为的步骤特征,即执行行为状态满足预设状态,则确定执行行为的行为特征满足预设条件,进一步确定执行行为是入侵行为。
[0140]具体地,经分析得到,入侵行为步骤包括下载恶意代码、编译、执行等步骤。在对待检测数据进行检测时,如图4所示,如果检测出从数据流中下载可疑代码,则认为该行为具有低风险。如果在下载可疑代码之后,还对下载的代码进行编译,则认为该行为比较可疑,为疑似入侵行为;如果进一步地,检测出在编译之后,还执行编译后的代码,则却确定该行为为入侵行为。
[0141]从图4可以看出,随着步骤一步步地执行,该行为的步骤与入侵行为步骤越接近,则其异常行为则越明显。
[0142]进一步地,待检测数据对应的执行行为的执行步骤包括预设步骤,其中,第二判断模块包括:判断子模块,用于判断执行步骤是否执行到预设步骤,其中,如果判断出待检测数据的执行行为执行到预设步骤,则判断预设步骤是否超时,如果预设步骤超时,则确定执行行为状态不满足预设状态。
[0143]预设步骤可以是待检测数据对应的执行行为的执行步骤中任意一个步骤,如图4中的“编译”。其中,当判断出执行步骤执行到“编译”时,进一步地判断之前的“编译”是否超时,如果超时,则认为无风险,超时退出。其中,“下载可疑代码”的步骤相类似,这里不做赘述。
[0144]优选地,确定单元包括:确定模块,用于确定预设时间段内待检测数据对应的执行行为的执行次数;选择单元包括第三选择模块,用于基于执行次数选择统计模式,统计模式用于对执行次数进行检测;判断子单元包括:第三判断模块,用于判断执行次数是否超过数量阈值,其中,如果判断出执行次数超过数量阈值,则确定行为特征满足预设条件。
[0145]当待检测数据对应的行为特征满足用于进行统计模式检测的条件时,可以选择统计模式来对该行为特征进行检测。具体地,根据入侵行为频繁的动作特征,以一个或几个特征为基准,聚合统计其动作,从而确定行为是否为入侵行为。例如端口扫描数据,扫描端口数和扫描次数等,如果扫描次数的数量超过一定限度,则确定其行为为入侵行为,输出结果报警。
[0146]应用场景3,端口扫描行为:机器A对某一网段的开放端口进行批量扫描。判断方法:以来源ip (机器A的ip)统计某一时间段内扫描数据的数量;超出数量阈值即确定为端口扫描行为,即认定为入侵行为。
[0147]应用场景4,暴力破解行为:机器B收到大量的某一用户的登录请求,并且登录失败。判断方法:以受害ip (机器B的ip)统计某一时间段内登录失败的数量;超出数量阈值即确定为暴力破解行为,即认定为入侵行为。
[0148]实施例3
[0149]根据本发明实施例,还提供了一种用于实施上述入侵检测方法的入侵检测系统,该入侵检测系统包括发明实施例2中的入侵检测装置。具体地,入侵检测系统的功能和应用实例,请参阅实施例1的入侵检测方法和实施例2的入侵检测装置,这里不做赘述。
[0150]实施例4
[0151]本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以存储用于执行本发明实施例的入侵检测方法的程序代码。
[0152]可选地,在本实施例中,上述存储介质可以位于实施例3的入侵检测系统上。
[0153]可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
[0154]步骤S202,获取待检测数据,待检测数据为被检测的数据。
[0155]步骤S204,确定待检测数据对应的行为特征,行为特征为用于反映待检测数据对应的执行行为的特征。
[0156]步骤S206,根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式。
[0157]步骤S208,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。
[0158]根据本发明实施例,在存储介质上存储的程序代码,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
[0159]