检测方法、系统以及计算机可读存储介质与流程

本发明涉及系统安全领域，具体而言，涉及一种检测方法、一种检测系统以及一种计算机可读存储介质。
背景技术：
：安全是信息化所面临的主要问题，现有对系统是否出现入侵的判断方法主要包括以下几种。具体地，第一种：单点分析，如单条数据的深度分析，判断该条数据(超文本传输协议)请求是否是攻击请求；第二种：通过分析一个实体下，多条数据的超文本传输协议请求的关联关系，判断是否具有扫描器的行为、是否存在尝试绕过网站应用级入侵防御系统(webapplicationfirewell)的操作以及是否存在符合攻击链的关键步骤。然而，上述入侵检测的方法仅仅是通过设定好的规则进行入侵判断，对于未知的入侵行为是无法设置判断规则，无法实现对未知入侵的判断，因此，亟需一种入侵检测方法用于解决现有阶段面临的问题。技术实现要素：本发明旨在至少解决现有技术或相关技术中存在的技术问题之一。为此，本发明第一个方面在于提出一种检测方法。本发明的第二个方面在于提出一种检测系统。本发明的第三个方面在于提出一种计算机可读存储介质。有鉴于此，根据本发明的第一个方面，提出了一种检测方法，包括：获取当前系统日志；使用通过系统日志进行关联分析得到的检测规则对当前系统日志进行检测，在当前系统日志满足检测规则的情况下，判定系统被入侵。本发明提供的检测方法，获取当前系统日志，使用系统日志进行关联分析得到的检测规则来对当前系统日志进行检测，在当前系统日志满足检测规则时，则判定系统被入侵。由于检测规则是通过系统日志进行关联分析得到的，而非是用户设定的，摆脱了现阶段只能使用设定的好的规则进行检测，进而实现对未知的入侵行为设定检测规则，进而提高了系统的安全，其中，使用系统日志进行关联分析得到的检测规则中的系统日志可以根据每一次获取得到的系统日志进行更新，以提高系统是否遭到入侵判定的可靠性。根据本发明的上述检测方法，还可以具有以下技术特征：在上述技术方案中，进一步地，系统日志包括以下一种或多种：网站日志、数据库日志、上传木马日志、获取管理员权限日志。在该技术方案中，网站日志是记录万维网服务器接收处理请求以及运行时错误等各种原始信息的文件，通过根据网站日志可以确定出网站运行过程中存在的访问记录，用户使用的终端和万维网服务器等应用是否正常运行，或者存在哪些缺陷，失效组件等内容，进而根据上述内容来判断是否出现入侵操作产生的影响；数据库日志，与网站日志同样记录数据被访问过程中的记录信息，以便根据上述内容来判断是否出现入侵操作产生的影响；利用系统日志中的上传木马日志来确定检测规则，一般地，入侵行为会伴随着木马病毒的注入，因此，可以通过上传木马日志来生成入侵判定的检测规则，同样地，在系统被入侵时，会存在获取管理员权限的情况，因此，根据获取管理员权限日志可以用于关联确定检测规则。在上述任一技术方案中，进一步地，通过系统日志进行关联分析得到的检测规则的具体步骤如下：获取至少一组系统被入侵的系统日志，确定系统日志中任一日志进行组合得到的组合日志；根据组合日志确定检测规则。在该技术方案中，通过获取系统被入侵时的系统日志，并将获取得到的系统日志进行组合，进而得到组合日志，根据组合日志确定检测规则。一般地，在系统被入侵时，伴随一种日志的出现的下，其他日志同样会出现，因此，通过将系统日志进行组合得到组合后的组合日志，进而将系统被入侵时多种日志同时出现的表现情况表征出来，根据上述组合日志确定检测规则，提高了入侵的检测判定的可靠性。在上述任一技术方案中，进一步地，根据组合日志确定检测规则的步骤，具体包括:确定组合日志对应的关联规则，并根据关联规则确定对应的置信度；在置信度大于或等于预设的置信度阈值的情况下，将置信度所对应的关联规则设定为检测规则。在该技术方案中，为了进一步提高检测规则的实用性，在通过组合日志确定检测规则的过程中，分成两个部分，第一部分，确定组合日志对应的关联规则，并为每一个关联规则设定对应的置信度；第二部分，通过设定置信度阈值来对关联规则进行筛选，以得到检测规则。通过设定筛选规则，提高了检测规则的实用性，进而实现有效的入侵判定。在上述任一技术方案中，进一步地，获取至少一组系统被入侵的系统日志，确定系统日志中任一日志进行组合得到的组合日志的步骤，具体包括：确定系统日志中任一日志及其组合以得到日志集合；在日志集合中筛选出组合日志。在该技术方案中，组合日志是通过系统日志确定得到的，具体地，在检测规则的确定过程中，首先获取至少一组系统被入侵的系统日志，由于系统日志可能包括网站日志、数据库日志、上传木马日志、获取管理员权限日志中的一种或多种，因此通过构建所有系统日志的集合的方式确定系统日志可能出现的情况，以得到对应的日志集合，在从日志集合中筛选出组合日志。在上述任一技术方案中，进一步地，在确定系统日志中任一日志进行组合得到的组合日志的步骤之后，在根据组合日志确定检测规则之前，还包括：确定系统日志中任一日志进行组合得到的组合日志的支持度；以支持度大于或等于预设的支持度阈值作为筛选条件，筛选得到组合日志。在该技术方案中，为了降低组合日志的数量，每一个组合日志的支持度来进行筛选，具体地，支持度定义为：相同的组合日志的数量在日志集合总数的比例，通过设定支持度，利用支持度阈值来进行筛选，降低了组合日志的数量，减少了根据组合日志确定的检测规则的数量，提高了检测的速度。在上述任一技术方案中，进一步地，还包括：使用预存储的系统日志对检测规则进行测试。在该技术方案中，在使用检测规则来对当前系统日志进行判定之前，还需要对生成的检测规则进行校验，判断当前检测规则的准确率是否达到预定要求，具体地，使用预存储的系统日志对检测规则进行测试，如使用包含未入侵的系统日志的正常库和包含入侵的系统日志的异常库来对检测规则进行校验，只要在检测规则达到预设准确率时，才是使用检测规则来进行当前系统日志是否受到入侵的判定。通过设定对检测规则的测试，提高了入侵判定结果的准确性。根据本发明的第二个方面，提出了一种检测系统，包括：获取单元，用于获取当前系统日志；判定单元，用于通过系统日志进行关联分析得到的检测规则对当前系统日志进行检测，在当前系统日志满足检测规则的情况下，判定系统被入侵。本发明提供的检测系统，通过获取单元获取当前系统日志，利用判定单元使用系统日志进行关联分析得到的检测规则来对当前系统日志进行检测，在当前系统日志满足检测规则时，则判定系统被入侵。由于检测规则是通过系统日志进行关联分析得到的，而非是用户设定的，摆脱了现阶段只能使用设定的好的规则进行检测，进而实现对未知的入侵行为设定检测规则，进而提高了系统的安全，其中，使用系统日志进行关联分析得到的检测规则中的系统日志可以根据每一次获取得到的系统日志进行更新，以提高系统是否遭到入侵判定的可靠性。根据本发明的上述检测系统，还可以具有以下技术特征：在上述技术方案中，进一步地，系统日志包括以下一种或多种：网站日志、数据库日志、上传木马日志、获取管理员权限日志。在该技术方案中，网站日志是记录万维网服务器接收处理请求以及运行时错误等各种原始信息的文件，通过根据网站日志可以确定出网站运行过程中存在的访问记录，用户使用的终端和万维网服务器等应用是否正常运行，或者存在哪些缺陷，失效组件等内容，进而根据上述内容来判断是否出现入侵操作产生的影响；数据库日志，与网站日志同样记录数据被访问过程中的记录信息，以便根据上述内容来判断是否出现入侵操作产生的影响；利用系统日志中的上传木马日志来确定检测规则，一般地，入侵行为会伴随着木马病毒的注入，因此，可以通过上传木马日志来生成入侵判定的检测规则，同样地，在系统被入侵时，会存在获取管理员权限的情况，因此，根据获取管理员权限日志可以用于关联确定检测规则。在上述任一技术方案中，进一步地，还包括：建立单元，用于获取至少一组系统被入侵的系统日志，确定系统日志中任一日志进行组合得到的组合日志；以及根据组合日志确定检测规则。在该技术方案中，检测系统中建立单元通过获取系统被入侵时的系统日志，并将获取得到的系统日志进行组合，进而得到组合日志，根据组合日志确定检测规则。一般地，在系统被入侵时，伴随一种日志的出现的下，其他日志同样会出现，因此，通过将系统日志进行组合得到组合后的组合日志，进而将系统被入侵时多种日志同时出现的表现情况表征出来，根据上述组合日志确定检测规则，提高了入侵的检测判定的可靠性。在上述任一技术方案中，进一步地，建立单元具体用于：确定组合日志对应的关联规则，并根据关联规则确定对应的置信度；在置信度大于或等于预设的置信度阈值的情况下，将置信度所对应的关联规则设定为检测规则。在该技术方案中，为了进一步提高检测规则的实用性，在通过组合日志确定检测规则的过程中，分成两个部分，第一部分，确定组合日志对应的关联规则，并为每一个关联规则设定对应的置信度；第二部分，通过设定置信度阈值来对关联规则进行筛选，以得到检测规则。通过设定筛选规则，提高了检测规则的实用性，进而实现有效的入侵判定。在上述任一技术方案中，进一步地，建立单元具体用于：确定系统日志中任一日志及其组合以得到日志集合；在日志集合中筛选出组合日志。在该技术方案中，组合日志是通过系统日志确定得到的，具体地，在检测规则的确定过程中，首先获取至少一组系统被入侵的系统日志，由于系统日志可能包括网站日志、数据库日志、上传木马日志、获取管理员权限日志中的一种或多种，因此通过构建所有系统日志的集合的方式确定系统日志可能出现的情况，以得到对应的日志集合，在从日志集合中筛选出组合日志。在上述任一技术方案中，进一步地，建立单元还用于：确定系统日志中任一日志进行组合得到的组合日志的支持度；以支持度大于或等于预设的支持度阈值作为筛选条件，筛选得到组合日志。在该技术方案中，为了降低组合日志的数量，每一个组合日志的支持度来进行筛选，具体地，支持度定义为：相同的组合日志的数量在日志集合总数的比例，通过设定支持度，利用支持度阈值来进行筛选，降低了组合日志的数量，减少了根据组合日志确定的检测规则的数量，提高了检测的速度。在上述任一技术方案中，进一步地，建立单元还用于：使用预存储的系统日志对检测规则进行测试。在该技术方案中，在使用检测规则来对当前系统日志进行判定之前，还需要对生成的检测规则进行校验，判断当前检测规则的准确率是否达到预定要求，具体地，使用预存储的系统日志对检测规则进行测试，如使用包含未入侵的系统日志的正常库和包含入侵的系统日志的异常库来对检测规则进行校验，只要在检测规则达到预设准确率时，才是使用检测规则来进行当前系统日志是否受到入侵的判定。通过设定对检测规则的测试，提高了入侵判定结果的准确性。根据本发明的第三个方面，本发明提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一技术方案中检测方法的步骤。本发明提供的一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一技术方案中检测方法的步骤，因此具有该检测方法的全部技术效果，在此不再赘述。本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。附图说明本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：图1示出了本发明的一个实施例的检测方法的流程示意图；图2示出了本发明的一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图；图3示出了本发明的另一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图；图4示出了本发明的再一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图；图5示出了本发明的又一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图；图6示出了本发明的一个实施例的关联分析的入侵检测的流程示意图；图7示出了本发明的一个实施例的实现关联分析的入侵检测的架构图；图8示出了本发明的一个实施例的编码组合的数据示意图；图9示出了本发明的一个实施例的编码组合的支持度示意图；图10示出了本发明的一个实施例的编码组合的置信度示意图。图11示出了本发明的一个实施例的符合最小置信的示意图；图12示出了本发明的一个实施例的设置支持度和置信度示意图；图13示出了本发明的一个实施例的关联规则的示意图；图14示出了本发明的一个实施例的检测系统的示意框图。具体实施方式为了能够更清楚地理解本发明的上述方面、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不限于下面公开的具体实施例的限制。本发明第一方面的实施例，提出一种检测方法，图1示出了本发明的一个实施例的检测方法的流程示意图。如图1所示，该方法包括：s102，获取当前系统日志；s104，使用通过系统日志进行关联分析得到的检测规则对当前系统日志进行检测，在当前系统日志满足检测规则的情况下，判定系统被入侵。本发明提供的检测方法，获取当前系统日志，使用系统日志进行关联分析得到的检测规则来对当前系统日志进行检测，在当前系统日志满足检测规则时，则判定系统被入侵。由于检测规则是通过系统日志进行关联分析得到的，而非是用户设定的，摆脱了现阶段只能使用设定的好的规则进行检测，进而实现对未知的入侵行为设定检测规则，进而提高了系统的安全，其中，使用系统日志进行关联分析得到的检测规则中的系统日志可以根据每一次获取得到的系统日志进行更新，以提高系统是否遭到入侵判定的可靠性。在本发明的一个实施例中，系统日志包括以下一种或多种：网站日志、数据库日志、上传木马日志、获取管理员权限日志。在该实施例中，网站日志是记录万维网服务器接收处理请求以及运行时错误等各种原始信息的文件，通过根据网站日志可以确定出网站运行过程中存在的访问记录，用户使用的终端和万维网服务器等应用是否正常运行，或者存在哪些缺陷，失效组件等内容，进而根据上述内容来判断是否出现入侵操作产生的影响；数据库日志，与网站日志同样记录数据被访问过程中的记录信息，以便根据上述内容来判断是否出现入侵操作产生的影响；利用系统日志中的上传木马日志来确定检测规则，一般地，入侵行为会伴随着木马病毒的注入，因此，可以通过上传木马日志来生成入侵判定的检测规则，同样地，在系统被入侵时，会存在获取管理员权限的情况，因此，根据获取管理员权限日志可以用于关联确定检测规则。在本发明的一个实施例中，图2示出了本发明的一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图。如图2所示，该方法包括：s202，获取至少一组系统被入侵的系统日志，确定系统日志中任一日志进行组合得到的组合日志；s204，根据组合日志确定检测规则。在该实施例中，通过获取系统被入侵时的系统日志，并将获取得到的系统日志进行组合，进而得到组合日志，根据组合日志确定检测规则。一般地，在系统被入侵时，伴随一种日志的出现的下，其他日志同样会出现，因此，通过将系统日志进行组合得到组合后的组合日志，进而将系统被入侵时多种日志同时出现的表现情况表征出来，根据上述组合日志确定检测规则，提高了入侵的检测判定的可靠性。在本发明的一个实施例中，图3示出了本发明的另一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图。如图3所示，该方法包括：s302，获取至少一组系统被入侵的系统日志，确定系统日志中任一日志进行组合得到的组合日志；s304，确定组合日志对应的关联规则，并根据关联规则确定对应的置信度；s306，在置信度大于或等于预设的置信度阈值的情况下，将置信度所对应的关联规则设定为检测规则。在该实施例中，为了进一步提高检测规则的实用性，在通过组合日志确定检测规则的过程中，分成两个部分，第一部分，确定组合日志对应的关联规则，并为每一个关联规则设定对应的置信度；第二部分，通过设定置信度阈值来对关联规则进行筛选，以得到检测规则。通过设定筛选规则，提高了检测规则的实用性，进而实现有效的入侵判定。在本发明的一个实施例中，图4示出了本发明的再一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图。如图4所示，该方法包括：s402，确定系统日志中任一日志及其组合以得到日志集合；s404，在日志集合中筛选出组合日志；s406，确定组合日志对应的关联规则，并根据关联规则确定对应的置信度；s408，在置信度大于或等于预设的置信度阈值的情况下，将置信度所对应的关联规则设定为检测规则。在该实施例中，组合日志是通过系统日志确定得到的，具体地，在检测规则的确定过程中，首先获取至少一组系统被入侵的系统日志，由于系统日志可能包括网站日志、数据库日志、上传木马日志、获取管理员权限日志中的一种或多种，因此通过构建所有系统日志的集合的方式确定系统日志可能出现的情况，以得到对应的日志集合，在从日志集合中筛选出组合日志。在本发明的一个实施例中，图5示出了本发明的又一个实施例的通过系统日志进行关联分析得到的检测规则的流程示意图。如图5所示，该方法包括：s502，确定系统日志中任一日志及其组合以得到日志集合；s504，确定系统日志中任一日志进行组合得到的组合日志的支持度，以支持度大于或等于预设的支持度阈值作为筛选条件，筛选得到组合日志；s506，确定组合日志对应的关联规则，并根据关联规则确定对应的置信度；s508，在置信度大于或等于预设的置信度阈值的情况下，将置信度所对应的关联规则设定为检测规则。在该实施例中，为了降低组合日志的数量，每一个组合日志的支持度来进行筛选，具体地，支持度定义为：相同的组合日志的数量在日志集合总数的比例，通过设定支持度，利用支持度阈值来进行筛选，降低了组合日志的数量，减少了根据组合日志确定的检测规则的数量，提高了检测的速度。在本发明的一个实施例中，该方法包括：使用预存储的系统日志对检测规则进行测试。在该实施例中，在使用检测规则来对当前系统日志进行判定之前，还需要对生成的检测规则进行校验，判断当前检测规则的准确率是否达到预定要求，具体地，使用预存储的系统日志对检测规则进行测试，如使用包含未入侵的系统日志的正常库和包含入侵的系统日志的异常库来对检测规则进行校验，只要在检测规则达到预设准确率时，才是使用检测规则来进行当前系统日志是否受到入侵的判定。通过设定对检测规则的测试，提高了入侵判定结果的准确性。在本发明的一个实施例中，如图6至图13所示，如图6和图7示出了关联分析的入侵检测的流程图和实现关联分析的入侵检测的架构图。如图6和图7所示：通过fp-growth关联分析算法判断web日志，数据库日志，上传木马日志和获取管理员权限日志的联动分析，其中，fp-growth关联分析算法是由韩嘉炜等人提出的关联分析算法。例如：sql(structuredquerylanguage结构化查询语言)注入木马攻击http(超文本传输协议)请求对应的数据库操作和主机操作日志，来验证它们之间的关联是否符合入侵行为数据，建立业务分析模型，结合fp-growth算法进行算法模型构建，需要一定周期性的数据，模型构建之后，后续访问行为数据可以用来检测是否存在入侵访问行为。采用fp-growth算法对日志记录进行多数据关联分析。其中，fp-growth算法的基本步骤是：首先找出所有的频繁项集，这些项集出现的频繁性至少和预定义的最小支持度一样。然后由频繁项集生成强关联规则，这些规则必须满足最小支持度和最小可信度两个条件。使用第一步找到的频繁项集产生期望的规则，产生只包含集合中项的所有规则，这些规则采用中规则的定义即每一条规则的右部只有一项。在生成的这些规则中，只有那些大于用户预先定义的最小可信度的规则才被保留下来。算法使用递推的方法生成所有频繁项集。对日志中的数据记录进行关联分析，挖掘不同记录之间的关系，生成关联规则，保证规则的支持度和信任度大于指定的最小支持度和最小可信度，并将规则转化成符合规则库语法要求的检测规则，添加到规则库中。具体步骤如下：步骤1：部署采集日志，包含：web日志，数据库日志，上传木马日志和获取管理员权限日志，并统计支持度和置信度。具体入侵模拟场景信号如表1所示：表1由此可见，总记录数为5，下面求每项集的支持度(以下并没有列出全部的支持度)。{数据库日志}：支持度为3/5{web日志}：支持度为3/5{获取管理员权限日志}：支持度为3/5{上传木马日志}：支持度为4/5{上传木马日志，获取管理员权限日志}：支持度为3/5{web日志，数据库日志，上传木马日志}：支持度为2/5置信度(confidence)：出现某些日志时，另外一些日志必定出现的概率，针对规则而言。规则1：{尿布}-->{上传木马日志}，表示在出现尿布的时候，同时出现“上传木马日志”的概率。该条规则的置信度被定义为：支持度{尿布，上传木马日志}/支持度{尿布}＝(3/5)/(3/5)＝3/3＝1规则2：{上传木马日志}-->{尿布}，表示在出现“上传木马日志”的时候，同时出现尿布的概率。该条规则的置信度被定义为：支持度{尿布，上传木马日志}/支持度{上传木马日志}＝(3/5)/(4/5)＝3/4步骤2：执行关联分析1.发现频繁项集，即计算所有可能组合数的支持度，找出不少于人为设定的最小支持度的集合。2.发现关联规则，即计算不小于人为设定的最小支持度的集合的置信度，找到不小于认为设定的最小置信度规则。将相关项进行编号：数据库日志0，web日志1，获取管理员权限日志2，上传木马日志3，具体如表2所示：表2根据编码确定的可能集合数：可能组合的个数：种；快速计算公式：2^n-1＝2^4-1＝15种，具体地组合的数据示意图如图8所示。具体地，发现频繁项集的确定如表3、图9和图10所示：其中，默认设定最小支持度为2/5，选定支持度大于2/5的组合作为频繁项集。表3组合支持度组合支持度03/5121/5续表13/5132/523/5233/534/50121/5013/50132/5021/50231/5032/51231/5121/501231/5此时，系统默认设定最小置信度为3/4，如图11所示，存在灰度的为大于等于3/4，未存在灰度的为小于3/4。由此发现关联规则，灰度表示符合最小置信度。步骤3：执行代码实现效果如图12所示，设置最小支持度min_support(最小支持度)和最小置信度min_conf(最小置信度)。如图13所示，符合最小支持度和最小置信度的关联规则包括4条。最后通过模型验证(交叉验证等)方式，对比正常库和异常库，若达到指定精确度，则可将关联规则提取到规则库，不断优化算法库，提高入侵检测的准确率。在本发明的第二方面的实施例中，如图14所示，提出了一种检测系统1400，其中系统包括：获取单元1402，用于获取当前系统日志；判定单元1404，用于通过系统日志进行关联分析得到的检测规则对当前系统日志进行检测，在当前系统日志满足检测规则的情况下，判定系统被入侵。本发明提供的检测系统1400，通过获取单元1402获取当前系统日志，利用判定单元1404使用系统日志进行关联分析得到的检测规则来对当前系统日志进行检测，在当前系统日志满足检测规则时，则判定系统被入侵。由于检测规则是通过系统日志进行关联分析得到的，而非是用户设定的，摆脱了现阶段只能使用设定的好的规则进行检测，进而实现对未知的入侵行为设定检测规则，进而提高了系统的安全，其中，使用系统日志进行关联分析得到的检测规则中的系统日志可以根据每一次获取得到的系统日志进行更新，以提高系统是否遭到入侵判定的可靠性。在本发明的一个实施例中，系统日志包括以下一种或多种：网站日志、数据库日志、上传木马日志、获取管理员权限日志。在该实施例中，网站日志是记录万维网服务器接收处理请求以及运行时错误等各种原始信息的文件，通过根据网站日志可以确定出网站运行过程中存在的访问记录，用户使用的终端和万维网服务器等应用是否正常运行，或者存在哪些缺陷，失效组件等内容，进而根据上述内容来判断是否出现入侵操作产生的影响；数据库日志，与网站日志同样记录数据被访问过程中的记录信息，以便根据上述内容来判断是否出现入侵操作产生的影响；利用系统日志中的上传木马日志来确定检测规则，一般地，入侵行为会伴随着木马病毒的注入，因此，可以通过上传木马日志来生成入侵判定的检测规则，同样地，在系统被入侵时，会存在获取管理员权限的情况，因此，根据获取管理员权限日志可以用于关联确定检测规则。在本发明的一个实施例中，还包括：建立单元1406，用于获取至少一组系统被入侵的系统日志，确定系统日志中任一日志进行组合得到的组合日志；以及根据组合日志确定检测规则。在该实施例中，检测系统1400中建立单元1406通过获取系统被入侵时的系统日志，并将获取得到的系统日志进行组合，进而得到组合日志，根据组合日志确定检测规则。一般地，在系统被入侵时，伴随一种日志的出现的下，其他日志同样会出现，因此，通过将系统日志进行组合得到组合后的组合日志，进而将系统被入侵时多种日志同时出现的表现情况表征出来，根据上述组合日志确定检测规则，提高了入侵的检测判定的可靠性。在本发明的一个实施例中，建立单元1406具体用于：确定组合日志对应的关联规则，并根据关联规则确定对应的置信度；在置信度大于或等于预设的置信度阈值的情况下，将置信度所对应的关联规则设定为检测规则。在该实施例中，为了进一步提高检测规则的实用性，在通过组合日志确定检测规则的过程中，分成两个部分，第一部分，确定组合日志对应的关联规则，并为每一个关联规则设定对应的置信度；第二部分，通过设定置信度阈值来对关联规则进行筛选，以得到检测规则。通过设定筛选规则，提高了检测规则的实用性，进而实现有效的入侵判定。在本发明的一个实施例中，建立单元1406具体用于：确定系统日志中任一日志及其组合以得到日志集合；在日志集合中筛选出组合日志。在该实施例中，组合日志是通过系统日志确定得到的，具体地，在检测规则的确定过程中，首先获取至少一组系统被入侵的系统日志，由于系统日志可能包括网站日志、数据库日志、上传木马日志、获取管理员权限日志中的一种或多种，因此通过构建所有系统日志的集合的方式确定系统日志可能出现的情况，以得到对应的日志集合，在从日志集合中筛选出组合日志。在本发明的一个实施例中，建立单元1406还用于：确定系统日志中任一日志进行组合得到的组合日志的支持度；以支持度大于或等于预设的支持度阈值作为筛选条件，筛选得到组合日志。在该实施例中，为了降低组合日志的数量，每一个组合日志的支持度来进行筛选，具体地，支持度定义为：相同的组合日志的数量在日志集合总数的比例，通过设定支持度，利用支持度阈值来进行筛选，降低了组合日志的数量，减少了根据组合日志确定的检测规则的数量，提高了检测的速度。在本发明的一个实施例中，建立单元1406还用于：使用预存储的系统日志对检测规则进行测试。在该实施例中，在使用检测规则来对当前系统日志进行判定之前，还需要对生成的检测规则进行校验，判断当前检测规则的准确率是否达到预定要求，具体地，使用预存储的系统日志对检测规则进行测试，如使用包含未入侵的系统日志的正常库和包含入侵的系统日志的异常库来对检测规则进行校验，只要在检测规则达到预设准确率时，才是使用检测规则来进行当前系统日志是否受到入侵的判定。通过设定对检测规则的测试，提高了入侵判定结果的准确性。本发明第三方面的实施例，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一实施例中检测方法的步骤。本发明提供的一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一实施例中检测方法的步骤，因此具有该检测方法的全部技术效果，在此不再赘述。在本说明书的描述中，术语“一个实施例”、“一些实施例”、“具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或实例。而且，描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。当前第1页12