一种检测系统入侵的方法及装置与流程

本发明涉及系统检测技术领域，更具体地说，涉及一种检测系统入侵的方法及装置。

背景技术：

近年来，随着互联网的迅速发展崛起，网络资源日益丰富，给用户带来了极大的便利。人们在使用计算机等电子设备浏览网络资源的同时，也给电子设备的系统存储造成了极大的压力，再加上用户的一些常规操作信息，使得众多信息繁杂混乱，淹没覆盖了关键有效的信息，如此人们对系统的管理提出了更高的要求。

目前大多数系统中的日志功能都会记录下用户所做的各种操作以及系统事件的结果。但是，普通审计日志记录的大多数日志信息都是一些用户的常规操作信息，造成了大量存储资源的浪费，使得系统难以管理，而其中的关键信息淹没在大量日志信息中，对系统安全留下了隐患。

因此，如何在有效管理系统信息，节约系统存储空间的同时，提高系统的安全性和可靠性，是本领域技术人员需要解决的问题。

技术实现要素：

本发明的目的在于提供一种检测系统入侵的方法及装置，以实现节约系统存储空间，提高系统的安全性和可靠性的目的。

为实现上述目的，本发明实施例提供了如下技术方案：

一种检测系统入侵的方法，包括：

获取第一特征值，所述第一特征值为当前登录操作的特征值；

将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值，所述第二特征值为用户历史登录信息中的特征值；

判断所述最终预警值是否超出预设的安全阈值；

若是，则所述当前登录操作属于危险警告操作等级。

其中，所述获取第一特征值之前，还包括：

获取用户历史登录信息中的第二特征值；

通过树状结构存储所述第二特征值。

其中，所述通过树状结构存储所述第二特征值包括：

以所述第二特征值的用户名创建根节点；

根据所述第二特征值的登录结果创建相应的登录结果节点；

根据所述第二特征值的登录结果创建相应的ip节点；

根据所述第二特征值的ip节点创建相应的时间节点。

其中，所述将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值包括：

s11：判断所述第一特征值的用户名与所述第二特征值的用户名是否匹配；若是，则执行s12；若否，则将初始预警值与第一权值相加，得到最终预警值，并结束流程；

s12：判断所述第一特征值的登录结果是否成功；若是，则将初始预警值与第一权值相加，得到第一预警值，并执行s13；若否，则将初始预警值与第二权值相加，得到第二预警值，并执行s14；

s13：判断第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第一预警值，并执行s15；若否，则将第一预警值与第三权值相加，得到最终预警值，并结束流程；

s14：判断第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第二预警值，并执行s16；若否，则将第二预警值与第三权值相加，得到最终预警值，并结束流程；

s15：判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第一预警值为最终预警值，并结束流程；若否，则将第一预警值与第四权值相加，得到最终预警值，并结束流程；

s16：判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第二预警值为最终预警值，并结束流程；若否，则将第二预警值与第四权值相加，得到最终预警值，并结束流程。

其中，所述判断所述最终预警值是否超过预设的安全阈值；若是，则所述当前登录操作属于危险警告操作等级之后，还包括：

存储所述当前登录操作的操作等级；

反馈所述当前登录操作的操作等级。

相应地，本发明实施例还提供了一种检测系统入侵的装置，包括：

第一特征值获取模块，用于获取第一特征值，所述第一特征值为当前登录操作的特征值；

匹配模块，用于将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值，所述第二特征值为用户历史登录信息中的特征值；

判断模块，用于判断所述最终预警值是否超出预设的安全阈值；若是，则所述当前登录操作属于危险警告操作等级。

其中，还包括：

第二特征值获取模块，用于获取用户历史登录信息中的第二特征值；

第二特征值存储模块，用于通过树状结构存储所述第二特征值。

其中，所述第二特征值存储模块包括：

第一创建单元，用于以所述第二特征值的用户名创建根节点；

第二创建单元，用于根据所述第二特征值的登录结果创建相应的登录结果节点；

第三创建单元，用于根据所述第二特征值的登录结果创建相应的ip节点；

第四创建单元，用于根据所述第二特征值的ip节点创建相应的时间节点。

其中，所述匹配模块包括：

第一判断单元，用于判断所述第一特征值的用户名与所述第二特征值的用户名是否匹配；若是，则进入第二判断单元；若否，则将初始预警值与第一权值相加，得到最终预警值；

第二判断单元，用于判断所述第一特征值的登录结果是否为成功；若是，则将初始预警值与第一权值相加，得到第一预警值，并进入第三判断单元；若否，则将初始预警值与第二权值相加，得到第二预警值，并进入第四判断单元；

第三判断单元，用于判断所述第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第一预警值，并进入第五判断单元；若否，则将第一预警值与第三权值相加，得到最终预警值；

第四判断单元，用于判断所述第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第二预警值，并进入第六判断单元；若否，则将第二预警值与第三权值相加，得到最终预警值；

第五判断单元，用于判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第一预警值为最终预警值；若否，则将第一预警值与第四权值相加，得到最终预警值；

第六判断单元，用于判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第二预警值为最终预警值；若否，则将第二预警值与第四权值相加，得到最终预警值。

其中，还包括：

操作等级存储模块，用于存储所述当前登录操作的操作等级；

操作等级反馈模块，用于反馈所述当前登录操作的操作等级。

通过以上方案可知，本发明实施例提供了一种检测系统入侵的方法及装置。所述方法包括：获取第一特征值，所述第一特征值为当前登录操作的特征值；将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值，所述第二特征值为用户历史登录信息中的特征值；判断所述最终预警值是否超出预设的安全阈值；若是，则所述当前登录操作属于危险警告操作等级。所述方法通过用户历史登录信息的特征值对比其他登录操作的特征值，并判断该登录操作的安全等级，以便管理系统信息。

可见，在本方案中，通过把用户历史登录信息的特征值与当前登录操作的特征值进行匹配，进而获得当前登录操作的预警值，并通过与预设的安全阈值的比较，判断当前登录操作的操作等级。如此便实现了当前登录信息的有效记录，去除了冗余信息，节约了系统存储空间。通过该方法，管理员可以有效管理记录系统信息，同时排除了系统的安全隐患，也提高了系统的安全性和可靠性。相应地，本发明还公开了一种检测系统入侵的装置，同样能够实现上述技术效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例公开的一种检测系统入侵的方法流程图；

图2为本发明实施例中用户历史登录信息表数据结构示意图；

图3为本发明实施例中特征值匹配流程图；

图4为本发明实施例公开的另一种检测系统入侵的方法流程图；

图5为本发明实施例公开的一种检测系统入侵的装置示意图；

图6为本发明实施例公开的另一种检测系统入侵的装置示意图；

图7为本发明实施例中第二特征值存储模块示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种检测系统入侵的方法及装置，实现了节约系统存储空间，提高系统的安全性和可靠性的目的。

参见图1，本发明实施例提供了一种检测系统入侵的方法，包括：

s101、获取第一特征值；

需要说明的是，本实施例中的特征值包括为某一具体登录操作的用户名，其用户名对应的登录结果，其登录结果为成功或者失败；若登录结果为成功，则其下层有不同ip信息，每个ip信息下层有不同时间信息；若登录结果为失败，则其下层也有不同ip信息，每个ip信息下层有不同时间信息。

具体的，在本实施例中第一的特征值为当前登录操作的特征值，即包括当前登录操作的用户名，用户名相对应的登录结果，不同登录结果下的ip信息和时间信息。当有用户正在进行登录操作时，系统会自动监听当前操作，获取其特征值并以树状结构存储。

需要说明的是，在获取第一特征值之前还包括：

获取用户历史登录信息中的第二特征值；

通过树状结构存储所述第二特征值。

具体的，在审计日志信息中，存在大量的用户登录信息，所以本实施例中的第二特征值为某一具体登录操作的特征值，即为众多历史登录信息中的一个用户登录信息，只包括一个用户名，用户名对应的登录结果及其下层信息。所以，在本实施例中仅以第二特征值举例叙述，当然，也可以依据获取第二特征值的方法获取其他用户历史登录信息，在此不再赘述。

参见图2，图2为本实施例中用户历史登录信息表数据结构示意图。

具体的，在众多的用户登录信息中，需要把每一个用户登录信息通过树状结构存储到用户历史登录信息表，如此将繁杂混乱的审计日志信息中的用户历史登录信息提取出来，并有序存入用户历史登录信息表中，以便进行信息管理。

在此以第二特征值的存储为例，通过树状结构存储所述第二特征值包括：以用户名、登录结果、ip信息和时间信息这四个特征值创建相应的节点，建立树状结构，其中每个特征值有其对应的权值。具体的，以用户名为根节点，其对应第一权值q1；第二层为登录结果节点，其对应第二权值q2；第三层为ip节点，其对应第三权值q3；第四层为时间节点，其对应第四权值q4。其中，ip节点由从小到大的顺序有序存储，时间节点按照从早到晚的顺序有序存储，并精确到分。对于用户历史登录信息表中的用户登录信息，系统将进行统一压缩存储，并删除原有的审计日志中的重复信息，以节约存储空间。

s102、将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值，所述第二特征值为用户历史登录信息中的特征值；

具体的，在本实施例中，将第一特征值与第二特征值进行匹配，把用户名、登录结果、ip信息和时间信息这四个特征值逐一进行匹配，并计算当前登录操作的预警值，最后得到最终预警值。由于第一特征值和第二特征值均以树状结构进行存储，建立了相应的节点，所以特征值的匹配也是将各个节点逐一匹配。

参见图3，具体步骤如下：

s11：判断所述第一特征值的用户名与所述第二特征值的用户名是否匹配；若是，则执行s12；若否，则将初始预警值w0与第一权值q1相加，得到最终预警值w，并结束流程；

s12：判断所述第一特征值的登录结果是否成功；若是，则将初始预警值w0与第一权值q1相加，得到第一预警值w1，并执行s13；若否，则将初始预警值w0与第二权值q2相加，得到第二预警值w2，并执行s14；

s13：判断第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第一预警值w1，并执行s15；若否，则将第一预警值w1与第三权值q3相加，得到最终预警值w，并结束流程；

s14：判断第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第二预警值w2，并执行s16；若否，则将第二预警值w2与第三权值q3相加，得到最终预警值w，并结束流程；

s15：判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第一预警值w1为最终预警值w，并结束流程；若否，则将第一预警值w1与第四权值q4相加，得到最终预警值w，并结束流程；

s16：判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第二预警值w2为最终预警值w，并结束流程；若否，则将第二预警值w2与第四权值q4相加，得到最终预警值w，并结束流程。

需要说明的是，在以上步骤之前，系统会先将预警值进行清零，即初始化预警值，以免与其他登录操作的预警值混淆，产生数据误差。

s103、判断所述最终预警值是否超出预设的安全阈值；

s104、若是，则所述当前登录操作属于危险警告操作等级；

s105、若否，则所述当前操作属于正常操作等级。

具体的，根据以上所述权值可以预设相应的安全阈值，以便将最终预警值与安全阈值进行比较，判断当前操作的操作等级。

例如：第一权值q1＝0，第二权值q2＝3，第三权值q3＝2，第四权值q4＝1。那么相应的，将安全阈值定为：1和4。

具体的，当通过上述步骤计算出最终预警值之后，将其与1和4进行比较，如果最终预警值大于4，则当前登录操作属于危险操作等级；如果最终预警值大于1，则当前登录操作属于警告操作等级，如果最终预警值小于等于1，则当前登录操作属于正常操作等级。当然，本实施例并不局限于上述说明，本领域的普通工作人员可以根据上述思想做出相应的改变和润饰。

可见，本实施例提供的一种检测系统入侵的方法，通过把用户历史登录信息的特征值与当前登录操作的特征值进行匹配，进而获得当前登录操作的预警值，并通过与预设的安全阈值的比较，判断当前登录操作的操作等级。如此便实现了当前登录信息的有效记录，去除了冗余信息，节约了系统存储空间。通过该方法，管理员可以有效管理记录系统信息，同时排除了系统的安全隐患，也提高了系统的安全性和可靠性。

参见图4，本发明实施例公开了另一种检测系统入侵的方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

s401、获取第一特征值；

s402、将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值；

s403、判断所述最终预警值是否超出预设的安全阈值；

s404、若是，则所述当前登录操作属于危险警告操作等级；

s405、若否，则所述当前登录操作属于正常操作等级；

s406、存储所述当前登录操作的操作等级；

s407、反馈所述当前登录操作的操作等级。

需要说明的是，本实施例是在上一个实施例的基础上作了进一步改变和优化，所以类似部分在此不再赘述。本实施例增加了s406、存储所述当前登录操作的操作等级和s407、反馈所述当前登录操作的操作等级。所以，而s406和s407的顺利可以互换，互换后并不影响本发明实施例的实现。

具体的，当判断完成后，当前登录操作的操作等级信息可以存储于系统中，以便于系统管理员或者用户及时查看，避免系统入侵情况的发生。当然，系统也可以自动反馈当前登录操作的操作等级，当用户进行登录操作时，系统自动提示用户，说明当前登录操作的是否危险；若危险，则弹出警告信息提示当前用户；若正常，则弹出正常提示语；或者当用户进行登录操作时，系统自动反馈当前登录操作的等级信息给系统管理员或远程管理系统，说明当前登录操作是否危险；若危险，则系统管理员或远程管理系统发出警告信息以提示当前用户或者直接禁止当前用户操作；若正常，则系统管理员或远程管理系统发出正常提示语。上述反馈操作可以单独进行，也可以同时进行，以达到保护系统安全，避免系统被入侵的目的。

可见。本实施例所提供的检测系统入侵的方法，通过把用户历史登录信息的特征值与当前登录操作的特征值进行匹配，进而获得当前登录操作的预警值，并通过与预设的安全阈值的比较，判断当前登录操作的操作等级；之后再进行当前操作等级的存储和反馈。如此便实现了当前登录信息的有效记录，去除了冗余信息，节约了系统存储空间，及时反馈了当前操作的操作等级信息。通过该方法，管理员可以有效管理记录系统信息，同时排除了系统的安全隐患，也提高了系统的安全性和可靠性。

下面对本发明实施例提供的一种检测系统入侵的装置进行介绍，下文描述的一种检测系统入侵的装置与上文描述的一种检测系统入侵的方法可以相互参照。

参见图5，本发明实施例提供的一种检测系统入侵的装置，包括：

第一特征值获取模块100，用于获取第一特征值，所述第一特征值为当前登录操作的特征值；

匹配模块200，用于将所述第一特征值与第二特征值进行匹配，获得所述当前登录操作的最终预警值，所述第二特征值为用户历史登录信息中的特征值；

判断模块300，用于判断所述最终预警值是否超出预设的安全阈值；若是，则所述当前登录操作属于危险警告操作等级。

其中，参见图6，本发明还公开了另一种检测系统入侵的装置，在上述实施例提供的检测系统入侵的装置的基础上，还包括：

第二特征值获取模块400，用于获取用户历史登录信息中的第二特征值；

第二特征值存储模块500，用于通过树状结构存储所述第二特征值。

其中，参见图7，所述第二特征值存储模块包括：

第一创建单元5001，用于以所述第二特征值的用户名创建根节点；

第二创建单元5002，用于根据所述第二特征值的登录结果创建相应的登录结果节点；

第三创建单元5003，用于根据所述第二特征值的登录结果创建相应的ip节点；

第四创建单元5004，用于根据所述第二特征值的ip节点创建相应的时间节点。

其中，基于上述任意一种检测系统入侵的装置的实施例，所述匹配模块包括：

第一判断单元，用于判断所述第一特征值的用户名与所述第二特征值的用户名是否匹配；若是，则进入第二判断单元；若否，则将初始预警值与第一权值相加，得到最终预警值；

第二判断单元，用于判断所述第一特征值的登录结果是否为成功；若是，则将初始预警值与第一权值相加，得到第一预警值，并进入第三判断单元；若否，则将初始预警值与第二权值相加，得到第二预警值，并进入第四判断单元；

第三判断单元，用于判断所述第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第一预警值，并进入第五判断单元；若否，则将第一预警值与第三权值相加，得到最终预警值；

第四判断单元，用于判断所述第一特征值的ip节点与所述第二特征值的ip节点是否匹配；若是，则预警值仍为第二预警值，并进入第六判断单元；若否，则将第二预警值与第三权值相加，得到最终预警值；

第五判断单元，用于判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第一预警值为最终预警值；若否，则将第一预警值与第四权值相加，得到最终预警值；

第六判断单元，用于判断第一特征值的时间节点与所述第二特征值的时间节点是否匹配；若是，则第二预警值为最终预警值；若否，则将第二预警值与第四权值相加，得到最终预警值。

其中，还包括：

操作等级存储模块，用于存储所述当前登录操作的操作等级；

操作等级反馈模块，用于反馈所述当前登录操作的操作等级。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。