一种入侵检测方法及装置制造方法

一种入侵检测方法及装置制造方法
【专利摘要】本发明适用于互联网【技术领域】，提供了一种入侵检测方法及装置，所述方法包括：获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件；提取所述访问序列的访问数据特征；将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性；根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。本发明由于预设动态更新模式库已经进行了相应的更新，因此，可以及时检测到新的入侵对象，提高了入侵检测系统的检测准确率。
【专利说明】—种入侵检测方法及装置

【技术领域】
[0001]本发明属于互联网【技术领域】，尤其涉及一种入侵检测方法及装置。

【背景技术】
[0002]随着互联网技术的发展，互联网安全已经成为亟待解决的问题，对各种危险进行检测的入侵检测系统(Intrus1n Detect1n Systems, IDS)也多种多样，IDS是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
[0003]现有的大多数入侵检测系统的检测过程为:将原始的网络数据包作为数据来源，对数据包的包头和负载进行基于静态特征的检测分析，并根据单位时间内的统计量及检测阈值来发现攻击行为。上述检测方法会存在以下问题:需要根据具体的入侵手段抽象成入侵特征或规则，一方面难于将具体的入侵手段抽象成入侵特征或规则，并且还要保证不会将正常的合法活动行为包含进来；另一方面，如果抽象出来的特征不够准确，又会出现大量的误报和漏报。因此，上述入侵检测方法是具有局限性的，当出现了的新的入侵攻击，而如果该攻击特征还未被加入到静态检测规则库时，那么该入侵检测系统对此类攻击无能为力。
[0004]综上，现有技术入侵检测系统是静态的，当出现了新的入侵行为时，无法及时检测到新的入侵的问题。


【发明内容】

[0005]本发明实施例的目的在于提供一种入侵检测方法，旨在解决现有技术入侵检测系统是静态的，当出现了新的入侵行为时，无法及时检测到新的入侵的问题。
[0006]为了实现上述目的，本发明实施例提供如下技术方案:
[0007]本发明第一方面提供了一种入侵检测方法，所述方法包括:
[0008]获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件；
[0009]提取所述访问序列的访问数据特征；
[0010]将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性；
[0011]根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
[0012]本发明第二方面提供了一种应用入侵检测装置，所述装置包括:
[0013]获取单元，用于获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件；
[0014]提取单元，用于提取所述访问序列的访问数据特征；
[0015]匹配单元，用于将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性；
[0016]判断单元，用于根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
[0017]本发明实施例与现有技术相比，有益效果在于:获取当前用户的访问序列，并将提取的该访问序列的访问数据特征在预设动态更新模式库中进行匹配，以确定当前用户的用户属性，并根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户，由于根据预设动态更新模式库进行更新，因此，可以及时有效的对入侵行为进行检测，特别是对新的入侵行为出现时，由于预设动态更新模式库已经进行了相应的更新，因此，可以及时检测到新的入侵对象，提高了入侵检测系统的检测准确率。

【专利附图】

【附图说明】
[0018]为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0019]图1是本发明实施例一提供入侵检测方法的实现的流程图；
[0020]图2是本发明实施例二提供入侵检测方法的实现的流程图；
[0021]图3是本发明实施例三提供入侵检测装置的结构图；
[0022]图4是本发明实施例四提供入侵检测装置的结构图。

【具体实施方式】
[0023]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0024]本发明实施例，……。
[0025]以下结合具体实施例对本发明的实现进行详细描述:
[0026]实施例一
[0027]图1示出了本发明实施例一提供入侵检测方法的实现的流程图，其中，所述入侵检测系统可以是对某网络系统进行安全维护的入侵检测系统，详述如下:
[0028]在SlOl中，获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件；
[0029]本实施例中，所述访问序列为用户在预设时间内对网络系统的发起的所有访问事件，所述访问事件为用户对网络系统发起的业务请求，例如，浏览网页、登录账号等。
[0030]在S102中，提取所述访问序列的访问数据特征；
[0031 ] 本实施例中，可以根据访问序列中访问事件，提取每一访问事件的访问数据特征，例如，可以提取访问事件的关键字、数据、指令等作为访问数据特征。
[0032]在S103中，将所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性；
[0033]本实施例中，预设动态更新模式库存储每一用户在预设时间内的访问序列对应的访问数据特征及每一用户的用户属性。
[0034]本实施例中，根据访问数据特征确定用户属性，例如，当一个用户数据特征为用户短时间内重复请求相同页面、用户进行了非法入侵尝试等则用户属性为非法用户。
[0035]本实施例中，S103中具体可以根据所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征的匹配程度确定所述当前用户的用户属性，例如，当二者的匹配度高于预设阈值时，则确定当前用户属性为合法用户，当二者的匹配度低于预设阈值时，则确定当前用户属性为非法用户。
[0036]在S104中，根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
[0037]本实施例中，可以根据用户属性的不同，将当前访问的用户分成不同的类型，从而对不同的访问用户采取不同的处理措施。
[0038]本实施例中，获取当前用户的访问序列，并将提取的该访问序列的访问数据特征在预设动态更新模式库中进行匹配，以确定当前用户的用户属性，并根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户，由于根据预设动态更新模式库进行更新，因此，可以及时有效的对入侵行为进行检测，特别是对新的入侵行为出现时，由于预设动态更新模式库已经进行了相应的更新，因此，可以及时检测到新的入侵对象，提高了入侵检测系统的检测准确率。
[0039]实施例二
[0040]图2示出了本发明实施例二提供入侵检测方法的实现的流程图，详述如下:
[0041]在S201中，获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件；
[0042]在S202中，提取所述访问序列的访问数据特征；
[0043]在S203中，将所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性；
[0044]本实施例中，S203中具体可以根据所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征的匹配程度确定所述当前用户的用户属性，例如，当二者的匹配度高于预设第一阈值时，则确定当前用户属性为合法用户，当二者的匹配度低于预设第二阈值时，则确定当前用户属性为非法用户，当二者的匹配度高于预设第二阈值，低于预设第一阈值时，则确定当前用户属性为非法用户疑似非法用户。
[0045]在S204中，根据所述用户的访问序列的访问数据特征以及所述当前用户的用户属性，更新所述预设动态更新模式库。
[0046]本实施中，根据用户访问数据特征及用户的用户属性，对预设动态更新模式库进行动态更新，可以为后续的入侵数据检测提供更加有效的数据，提高检测的准确率。
[0047]可选的，对S204进行更新具体包括:
[0048]当判断所述当前访问用户为新用户时，在预设动态更新模式库中创建新用户，并存储所述用户的访问序列的访问数据特征以及所述当前用户的用户属性；以及当判断所述当前访问用户为旧用户时，将所述用户的访问序列的访问数据特征以及所述当前用户的用户属性更新至所述预设动态更新模式库中。即当现行网络系统有新的访问用户时，则在预设动态更新模式库建立新的用户，当访问用户为已有的用户，则对预设动态更新模式库中的用户数据进行更新。
[0049]在S205中，根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
[0050]可选的，根据用户属性判断用户是否是非法用户，所述S205具体包括:
[0051]a、当匹配用户属性为恶意用户时，判断当前访问的用户是非法入侵用户；
[0052]b、当匹配用户属性为合法用户时，判断当前访问的用户是合法入侵用户；
[0053]C、当匹配用户属性为疑似非法用户时，判断当前访问的用户是疑似非法用户。
[0054]根据上述S205的具体方案中，可选的，S205之后，还可以对不同属性的用户采取不同的措施，具体包括:
[0055]1、当判断当前访问的用户是非法入侵用户时，则拦截所述当前用户的访问；
[0056]2、当判断当前访问的用户是合法入侵用户时，则放行所述当前用户的访问；
[0057]3、当判断当前访问的用户是疑似非法用户时，则执行获取当前用户的访问序列。
[0058]本实施例中，当判断当前访问的用户是疑似非法用户时，则暂时不对该用户进行拦截，而继续获取用户后续的访问序列，进而对该用户的属性进行判断，直至确定用户是合法用户还是非法用户。
[0059]本实施例中，根据不同的属性，对不同的用户采用不同的措施，实现了对不同的用户进行个性化的处理，进一步提高处理的准确性。
[0060]本实施例中，由于采用了预设动态更新模式库，因此可以及时检测到新的入侵对象，提高了入侵检测系统的检测准确率；另外，当根据当前访问的用户的属性判断出用户的属性时，可以根据不同的属性，对不同的用户采用不同的措施，实现了对不同的用户进行个性化的处理，进一步提高处理的准确性。
[0061]实施例三
[0062]图3是本发明实施例三提供的入侵检测装置的结构图，为了便于说明，仅示出了与本发明实施例相关的部分，该装置可以是内置于网络终端中的软件单元、硬件单元或者软硬结合单元。
[0063]所述装置包括:获取单元31、提取单元32、匹配单元33和判断单元34。
[0064]获取单元31，用于获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件；
[0065]提取单元32，用于提取所述访问序列的访问数据特征；
[0066]匹配单元33，用于将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性；
[0067]判断单元34，用于根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
[0068]本发明实施例提供的入侵检测装置可以使用在前述对应的方法实施例一中，详情参见上述实施例一的描述，在此不再赘述。
[0069]实施例四
[0070]图4是本发明实施例四提供的入侵检测装置的结构图，为了便于说明，仅示出了与本发明实施例相关的部分，该装置可以是内置于网络终端中的软件单元、硬件单元或者软硬结合单元。
[0071]所述装置包括:获取单元41、提取单元42、匹配单元43、更新单元44、判断单元45、处理单元46。
[0072]可选的，所述装置还包括更新单元44，用于根据所述用户的访问序列的访问数据特征以及所述当前用户的用户属性，更新所述预设动态更新模式库。
[0073]可选的，所述更新单元44，用于当判断所述当前访问用户为新用户时，在预设动态更新模式库中创建新用户，并存储所述用户的访问序列的访问数据特征以及所述当前用户的用户属性；以及当判断所述当前访问用户为旧用户时，将所述用户的访问序列的访问数据特征以及所述当前用户的用户属性更新至所述预设动态更新模式库中。
[0074]可选的，所述判断单元45，用于当匹配用户属性为恶意用户时，判断当前访问的用户是非法入侵用户；当匹配用户属性为合法用户时，判断当前访问的用户是合法入侵用户；以及当匹配用户属性为疑似非法用户时，判断当前访问的用户是疑似非法用户。
[0075]可选的，所述装置还包括处理单元46，用于当判断当前访问的用户是非法入侵用户时，则拦截所述当前用户的访问；当判断当前访问的用户是合法入侵用户时，则放行所述当前用户的访问；以及当判断当前访问的用户是疑似非法用户时，则执行获取当前用户的访问序列。
[0076]本发明实施例提供的入侵检测装置可以使用在前述对应的方法实施例二中，详情参见上述实施例二的描述，在此不再赘述。
[0077]值得注意的是，上述实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
[0078]另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如R0M/RAM、磁盘或光盘等。
[0079]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种入侵检测方法，其特征在于，所述方法包括: 获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件； 提取所述访问序列的访问数据特征； 将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性； 根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
2.如权利要求1所述的方法，其特征在于，所述根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户之后，所述方法还包括: 根据所述用户的访问序列的访问数据特征以及所述当前用户的用户属性，更新所述预设动态更新模式库。
3.如权利要求2所述的方法，其特征在于，所述更新所述预设动态更新模式库包括: 当判断所述当前访问用户为新用户时，在预设动态更新模式库中创建新用户，并存储所述用户的访问序列的访问数据特征以及所述当前用户的用户属性；以及 当判断所述当前访问用户为旧用户时，将所述用户的访问序列的访问数据特征以及所述当前用户的用户属性更新至所述预设动态更新模式库中。
4.如权利要求1所述的方法，其特征在于，所述根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户包括: 当匹配用户属性为恶意用户时，判断当前访问的用户是非法入侵用户； 当匹配用户属性为合法用户时，判断当前访问的用户是合法入侵用户； 当匹配用户属性为疑似非法用户时，判断当前访问的用户是疑似非法用户。
5.如权利要求4所述的方法，其特征在于，所述根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户之后，所述方法还包括: 当判断当前访问的用户是非法入侵用户时，则拦截所述当前用户的访问； 当判断当前访问的用户是合法入侵用户时，则放行所述当前用户的访问； 当判断当前访问的用户是疑似非法用户时，则执行获取当前用户的访问序列。
6.一种入侵检测装置，其特征在于，所述装置包括: 获取单元，用于获取当前用户的访问序列，所述访问序列为所述当前用户在预设时间内的访问事件，所述访问序列至少包括一个当前用户的访问事件； 提取单元，用于提取所述访问序列的访问数据特征； 匹配单元，用于将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配，以确定所述当前用户的用户属性，所述预设动态更新模式库存储每一用户的访问数据特征及用户属性； 判断单元，用于根据匹配的用户属性，判断当前访问的用户是否是非法入侵用户。
7.如权利要求6所述的装置，其特征在于，所述装置还包括更新单元，用于根据所述用户的访问序列的访问数据特征以及所述当前用户的用户属性，更新所述预设动态更新模式库。
8.如权利要求7所述的装置，其特征在于，所述更新单元，用于当判断所述当前访问用户为新用户时，在预设动态更新模式库中创建新用户，并存储所述用户的访问序列的访问数据特征以及所述当前用户的用户属性；以及当判断所述当前访问用户为旧用户时，将所述用户的访问序列的访问数据特征以及所述当前用户的用户属性更新至所述预设动态更新模式库中。
9.如权利要求6所述的装置，其特征在于，所述判断单元，用于当匹配用户属性为恶意用户时，判断当前访问的用户是非法入侵用户；当匹配用户属性为合法用户时，判断当前访问的用户是合法入侵用户；以及当匹配用户属性为疑似非法用户时，判断当前访问的用户是疑似非法用户。
10.如权利要求9所述的装置，其特征在于，所述装置还包括处理单元，用于当判断当前访问的用户是非法入侵用户时，则拦截所述当前用户的访问；当判断当前访问的用户是合法入侵用户时，则放行所述当前用户的访问；以及当判断当前访问的用户是疑似非法用户时，则执行获取当前用户的访问序列。
【文档编号】H04L9/32GK104426836SQ201310364294
【公开日】2015年3月18日 申请日期:2013年8月20日 优先权日:2013年8月20日
【发明者】陈勇, 辛霄 申请人:深圳市腾讯计算机系统有限公司