与第一通信模块106和第一轻量级防御规则库108连接。
[0043]具体地,事件产生模块102基于事件来源101生成待测事件。数据获取模块103获取待测事件的事件数据。这里,事件数据主要包括系统特征数据和网络特征数据。客户端100分为六大数据采集模块,分别为CPU信息采集模块、内存信息采集模块、网络信息采集模块、进程信息采集模块、磁盘信息采集模块以及短信采集模块。特征提取模块104对数据获取模块103获取的事件数据进行初步整理并提取事件特征。
[0044]第一检测模块105,设置为根据本地的第一轻量级防御规则库108中保存的第一入侵规则来对事件特征进行检测,以确定待测事件是否为入侵事件。特别地,参照图2,第一检测模块105优选地包括第一匹配单元301以及均与第一匹配单元301连接的第一确定单元302和第二确定单元303。第一匹配单元301,设置为判断所述事件特征是否与第一轻量级防御规则库108中的至少一条第一入侵规则相匹配。第一确定单元302,设置为在第一匹配单元301判断出事件特征与至少一条第一入侵规则相匹配时,确定待测事件为入侵事件。第二确定单元303,设置为在第一匹配单元301判断出事件特征与第一轻量级防御规则库108中所有的第一入侵规则均不匹配时,确定待测事件为非入侵事件。
[0045]在本实施例中,第一轻量级防御规则库108涉及最主要的/核心的轻量级特征属性,分别为:CPU信息:cpu_usage ;内存信息:mem_usage、mem_cached、mem_active、mem_inactive ;网络信息:int_output、int_input、int_tcp、int_udp ;石兹盘信息:/SD_card。规则库通常以决策树的形式表示,决策树体现了规则库涉及的所有特征属性,以及不同的特征属性组合与决策结果(入侵事件)的关系。只要针对待测事件的某几个事件特征符合满足规则库中的一条规则,即能够得到待测事件为入侵事件的结果,从而可得出待测事件为入侵事件的结论。由于基于决策树来判断待测事件是否满足某一属性的方法为本领域技术人员常规采用的技术手段,故在本文中不进行展开说明。
[0046]第一通信模块106,设置为在第一检测模块105确定待测事件为非入侵事件时,将事件特征和检测命令发送给云服务器200,以通知云服务器200根据其本地的深度级防御规则库206中保存的第二入侵规则来对事件特征进行检测,以确定待测事件是否为入侵事件,其中第一轻量级防御规则库108属于深度级防御规则库206的子集。
[0047]在本实施例中,深度级防御规则库206涉及深度级关键特征属性,第一轻量级防御规则库108为深度级防御规则库206的子集。深度级防御规则库206涵盖了研究所需的所有特征属性,其中包括存储在第一轻量级防御规则库108中的最主要/核心的特征属性。特别地,深度级防御规则库206中保存有:CPU信息:cpu_usage ;内存信息:mem_usage、mem_cached、mem_active、mem_inactive、mem_active(anon)、mem_inactive(anon)、mem_active (file)、mem_inactive (file);网络信息:int_output、int_input、int_tcp、int_udp ;磁盘信息:/SD_card ;进程信息:process_number ;短信信息:message_send、message_received0
[0048]客户端100的响应模块107,设置为在第一检测模块105确定待测事件为入侵事件时,响应待测事件。这里,数据响应模块107根据入侵消息类型,可以采取多种形式进行响应,一般可分为被动响应和主动响应。
[0049]被动响应包括发现入侵行为之后的一些初步的响应动作,系统仅简单地记录和报告所检测出的问题,并不采取更多的措施,而是等待管理员在收到消息之后根据现场情况进行一定的处理,如激活更详细的日志审计、激活更详细的入侵检测,以及估计事件范围、危害程度、潜在的危害度,收集事件相关信息,并在此基础上产生事件报告。
[0050]主动响应包括基于一个检测到的入侵所采取的积极措施,可能的主动措施包括关闭被攻击系统、关闭被攻击服务,断开网络,禁止访问,删除文件等。
[0051]下面介绍云服务器200,云服务器200主要包括网络数据获取模块201、事件数据库202、第二通信模块203、第二更新模块204、第二检测模块205、深度级防御规则库206和第二轻量级防御规则库207。第二通信模块203与第一通信模块106连接,以实现与客户端100的通信。第二通信模块203和网络数据获取模块201均与事件数据库202连接。事件数据库202与第二更新模块204连接。第二更新模块204分别与深度级防御规则库206和第二轻量级防御规则库207连接。第二通信模块203还通过第二检测模块205与第二轻量级防御规则库207连接。
[0052]云服务器200通过第二通信模块203接收来自客户端100通过第一通信模块106传来的命令或者数据。第一通信模块106和第二通信模块203是客户端100与云服务器200连接的桥梁。这里,云服务器200接收客户端100发送的事件特征和检测命令,并将事件特征放至事件数据库202中。第二检测模块205响应该检测命令,从事件数据库202中取出事件特征,并根据本地的深度级防御规则库206进行特征检测分析,然后将分析后的结果再通过第二通信模块203返回给客户端100,客户端100利用第一通信模块106接收云服务器200的返回数据(即确定待测事件是否为入侵事件的检测结果)。
[0053]具体地,第二通信模块203,设置为接收客户端100发送的事件特征和检测命令,事件特征和检测命令是由客户端100在根据其本地的第一轻量级防御规则库108中保存的第一入侵规则确定出待测事件为非入侵事件时发送给云服务器200的。
[0054]第二检测模块205,设置为根据本地的深度级防御规则库206中保存的第二入侵规则来对事件特征进行检测,以确定待测事件是否为入侵事件,第一轻量级防御规则库108属于深度级防御规则库206的子集。特别地,参照图3,第二检测模块205优选地包括第二匹配单元401以及均与第二匹配单元401连接的第三确定单元402和第四确定单元403。第二匹配单元401设置为判断事件特征是否与深度级防御规则库206中的至少一条第二入侵规则相匹配。第三确定单元402,设置为在第二匹配单元401判断出事件特征与至少一条第二入侵规则相匹配时,确定待测事件为入侵事件。第四确定单元403,设置为在第二匹配单元401判断出事件特征与深度级防御规则库206中所有的第二入侵规则均不匹配时,确定待测事件为非入侵事件。第二检测模块205的工作原理与第一检测模块105的工作原理相同,在本文中不再进行赘述。
[0055]当确定待测事件为入侵事件时,第二通信模块203向客户端100发送响应命令,以使客户端100的响应模块107被动/主动响应待测事件。
[0056]在本实施例中,在电子设备的客户端100主要进行核心信息的检测,当依据核心信息不能确定待测事件为入侵事件时,再转到云服务器200利用信息量更多的深度级防御规则库206进行更详细的检测。如此设置可大大减轻客户端100的负担,对待测事件的检测不会影响电子设备的运行速度,克服了现有技术中由于防御系统所需的存储空间大,因而会影响手机的运行速度和用户的体验的技术缺陷。
[0057]在本发明一优选的实施例中,云服务器200还包括第二更新模块204。第二更新模块204,设置为:根据由网络数据获取模块201输入的事件样本和/或经检测的事件来对本地的深度级防御规则库206和本地的第二轻量级防御规则库207进行更新,并通过第二通信模块203将更新的第二轻量级防御规则库207发送给客户端100,以使客户端100根据更新的第二轻量级防御规则库207来更新该客户端100本地的第一轻量级防御规则库108。相应地,客户端100还包括第一更新模块109,设置为接收云服务器200发送的更新的第二轻量级防御规则库207,并根据更新的第二轻量级防御规则库207来更新第一轻量级防御规则库108。
[0058]特别地,第二更新模块204具体设置为:根据输入的事件样本和/或经检测的事件,并结合支持向量机的学习算法、神经网络学习算法或者Adaboost学习算法,来对本地的深度级防御规则库206和本地的第二轻量级防御规则库207进行更新。