待检测入侵行为的实际检测特征;
[0096]检测单元704,用于根据获取的所述实际检测特征,对像素格式的所述图像进行检测,在检测到所述图像中包括所述实际检测特征时,确定当前系统遭到入侵。
[0097]进一步地,所述转化单元702,用于利用扫描、打印、拍照、截图和另存为中的一种操作,将文本格式的所述日志转化为像素格式的图像。
[0098]进一步地,所述第二获取单元703,用于将多个不包括入侵行为的正常日志所转换成像素格式的图像作为多个负样本;以及根据多个包括入侵行为的异常日志所转换成的像素格式的图像创建多个正样本;确定待检测入侵行为的初始检测特征,并根据确定的初始检测特征对多个负样本和多个正样本进行迭代训练,并在每一次训练结束后,根据每一次的训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续对多个负样本和多个正阳进行迭代训练,直到修改后的初始检测特征对多个负样本和多个正样本的检测达到检测阈值,将该达到检测阈值的初始检测特征作为实际检测特征。
[0099]在本发明一个实施例中,如图8所示,该入侵行为检测装置进一步包括:
[0100]划分单元801,用于将所述图像划分为多个矩形子区域;
[0101]所述检测单元704,用于对每一个矩形子区域进行检测。
[0102]进一步包括:第三获取单元802,用于根据设定的更新时间段,获取更新后的入侵行为,并将更新后的入侵行为发送给所述第二获取单元。
[0103]综上所述,本发明实施例至少可以包括如下有益效果:
[0104]1、将文本格式的日志转换为像素格式的图像,由于日志中包括有当前系统在一段时间段内的操作信息,如果当前系统遭到入侵,那么在操作信息中会记录有该入侵信息,且将日志转换为图像之后,日志中所包括的每一个字都是以像素的形式进行展示,因此,通过利用获取的待检测入侵行为的实际检测特征自动对该图像进行检测,从而检测出日志中的该入侵行为,提高了检测效率。
[0105]2、由于入侵行为千变万化,经常会出现一些新的入侵行为,因此,需要在一个设定的更新时间段内,对入侵行为进行更新,以保证对日志检测的准确性。
[0106]上述设备内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
[0107]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0108]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
[0109]最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
【主权项】
1.一种入侵行为检测方法,其特征在于,包括: 获取设定时间段内文本格式的日志,其中,所述日志中记录有当前系统在设定时间段内的操作信息; 将文本格式的所述日志转化为像素格式的图像; 获取待检测入侵行为的实际检测特征; 根据获取的所述实际检测特征,对像素格式的所述图像进行检测,在检测到所述图像中包括所述实际检测特征时,确定当前系统遭到入侵。
2.根据权利要求1所述的方法,其特征在于,所述将文本格式的所述日志转化为像素格式的图像,包括: 利用扫描、打印、拍照、截图和另存为中的一种操作,将文本格式的所述日志转化为像素格式的图像。
3.根据权利要求1所述的方法,其特征在于,所述获取待检测入侵行为的实际检测特征,包括: 将多个不包括入侵行为的正常日志所转换成像素格式的图像作为多个负样本;以及根据多个包括入侵行为的异常日志所转换成的像素格式的图像创建多个正样本; 确定待检测入侵行为的初始检测特征,并根据确定的初始检测特征对多个负样本和多个正样本进行迭代训练,并在每一次训练结束后,根据每一次的训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续对多个负样本和多个正阳进行迭代训练,直到修改后的初始检测特征对多个负样本和多个正样本的检测达到检测阈值,将该达到检测阈值的初始检测特征作为实际检测特征。
4.根据权利要求1所述的方法,其特征在于, 在所述对像素格式的所述图像进行检测之前,进一步包括:将所述图像划分为多个矩形子区域; 所述对像素格式的所述图像进行检测,包括:对每一个矩形子区域进行检测。
5.根据权利要求1-4中任一所述的方法,其特征在于,在所述对像素格式的所述图像进行检测之后,进一步包括: 根据设定的更新时间段,获取更新后的入侵行为,并根据更新后的入侵行为执行所述获取待检测入侵行为的实际检测特征。
6.一种入侵行为检测装置,其特征在于,包括: 第一获取单元,用于获取设定时间段内文本格式的日志,其中,所述日志中记录有当前系统在设定时间段内的操作信息; 转化单元,用于将文本格式的所述日志转化为像素格式的图像; 第二获取单元,用于获取待检测入侵行为的实际检测特征; 检测单元,用于根据获取的所述实际检测特征,对像素格式的所述图像进行检测,在检测到所述图像中包括所述实际检测特征时,确定当前系统遭到入侵。
7.根据权利要求6所述的装置,其特征在于,所述转化单元,用于利用扫描、打印、拍照、截图和另存为中的一种操作,将文本格式的所述日志转化为像素格式的图像。
8.根据权利要求6所述的装置,其特征在于,所述第二获取单元,用于将多个不包括入侵行为的正常日志所转换成像素格式的图像作为多个负样本;以及根据多个包括入侵行为的异常日志所转换成的像素格式的图像创建多个正样本;确定待检测入侵行为的初始检测特征,并根据确定的初始检测特征对多个负样本和多个正样本进行迭代训练,并在每一次训练结束后,根据每一次的训练结果对初始检测特征进行修改,并利用修改后的初始检测特征继续对多个负样本和多个正阳进行迭代训练,直到修改后的初始检测特征对多个负样本和多个正样本的检测达到检测阈值,将该达到检测阈值的初始检测特征作为实际检测特征。
9.根据权利要求6所述的装置,其特征在于, 进一步包括:划分单元,用于将所述图像划分为多个矩形子区域; 所述检测单元,用于对每一个矩形子区域进行检测。
10.根据权利要求6-9中任一所述的装置,其特征在于,进一步包括: 第三获取单元,用于根据设定的更新时间段,获取更新后的入侵行为,并将更新后的入侵行为发送给所述第二获取单元。
【专利摘要】本发明提供一种入侵行为检测方法及装置,包括:获取设定时间段内文本格式的日志,其中,所述日志中记录有当前系统在设定时间段内的操作信息;将文本格式的所述日志转化为像素格式的图像;获取待检测入侵行为的实际检测特征;根据获取的所述实际检测特征,对像素格式的所述图像进行检测,在检测到所述图像中包括所述实际检测特征时,确定当前系统遭到入侵。根据本方案,通过利用获取的待检测入侵行为的实际检测特征自动对该图像进行检测,从而检测出日志中的该入侵行为,提高了检测效率。
【IPC分类】G06K9-62, G06F21-55
【公开号】CN104778402
【申请号】CN201510182129
【发明人】徐峥
【申请人】浪潮电子信息产业股份有限公司
【公开日】2015年7月15日
【申请日】2015年4月16日