入侵检测方法及装置和计算机可读存储介质与流程
本公开涉及安全技术领域,尤其涉及一种入侵检测方法及装置和计算机可读存储介质。
背景技术:
工控又称工业自动化控制,主要是指使用计算机技术,微电子技术,电气手段,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性。
随着国家对信息化建设的大力推进,工控系统正日益走向开放、互联、互通,不仅广泛使用通用协议、通用操作和通用网络设施,工控系统还可与远程端互联、互通,这使得网络安全问题直接延伸到工控系统,导致工控系统的漏洞和攻击面不断增加,给传统防护体系带来严峻挑战。
现有的检测工控系统遭受入侵的方式为:采用预测模型对下发控制指令和系统响应过程进行建模,将指令响应预测值作为系统响应的正常基线,若当前指令响应值偏离正常基线,则认为工控系统遭受攻击者入侵。但是上述检测方式检测准确率低、检测效果不佳。
技术实现要素:
为克服相关技术中存在的问题,本公开提供一种入侵检测方法及装置和计算机可读存储介质。
根据本公开实施例的第一方面,提供一种入侵检测方法,包括:
获取当前操作用户的当前行为特征和待检测设备的预设信息,其中,所述当前行为特征包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和所述当前操作指令的当前下发频次中的至少一项;
检测所述当前行为特征是否偏离所述当前操作用户对应的历史行为基线,以及基于所述预设信息检测所述待检测设备是否存在异常;
若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在异常,则确定所述待检测设备被入侵。
在一实施例中,所述基于所述预设信息检测所述待检测设备是否存在异常,包括:
基于所述待检测设备对应的网络流量检测所述待检测设备是否存在通信异常;
所述若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在异常,则确定所述待检测设备被入侵,包括:
若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在通信异常,则确定所述待检测设备被入侵且存在被攻击者进行高危操作的风险。
在一实施例中,所述基于所述预设信息检测所述待检测设备是否存在异常,包括:
检测所述待检测设备的指纹特征是否位于设备指纹库中;
所述若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在异常,则确定所述待检测设备被入侵,包括:
若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备的指纹特征未位于所述设备指纹库中,则确定所述待检测设备被入侵且存在接入外部设备的风险。
在一实施例中,所述基于所述预设信息检测所述待检测设备是否存在异常,包括:
检测所述待检测设备对应的网段是否位于预设范围;
所述若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在异常,则确定所述待检测设备被入侵,包括:
若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备对应的网段未位于所述预设范围,则确定所述待检测设备被入侵且存在外连风险。
在一实施例中,所述方法还包括:
若检测到所述当前行为特征偏离所述历史行为基线但未检测到所述待检测设备存在异常,则确定所述待检测设备存在操作异常。
在一实施例中,所述历史行为基线包括第一历史行为基线和第二历史行为基线,所述检测所述当前行为特征是否偏离所述当前操作用户对应的历史行为基线,包括以下至少一项:
检测所述当前登录时间点是否位于所述第一历史行为基线中包含的常用登录时间段内,若所述当前登录时间点位于所述常用登录时间段内,则所述当前登录时间点未偏离所述当前操作用户对应的历史行为基线,若所述当前登录时间点未位于所述常用登录时间段内,则所述当前登录时间点偏离所述当前操作用户对应的历史行为基线;
检测所述当前登录设备标识是否位于第一历史行为基线中包含的常用登录设备标识集合中,若所述当前登录设备标识位于所述常用登录设备标识集合中,则所述当前登录设备未偏离所述当前操作用户对应的历史行为基线,若所述当前登录设备标识未位于所述常用登录设备标识集合中,则所述当前登录设备偏离所述当前操作用户对应的历史行为基线;
检测所述当前登录频次与第一历史行为基线中包含的常用登录频次的第一差值是否小于第一阈值,若所述第一差值小于所述第一阈值,则所述当前登录频次未偏离所述当前操作用户对应的历史行为基线,若所述第一差值大于或等于所述第一阈值,则所述当前登录频次偏离所述当前操作用户对应的历史行为基线;
检测所述当前操作指令是否位于所述第二历史行为基线中包含的常用操作指令集合中,若所述当前操作指令位于所述常用操作指令集合中,则所述当前操作指令未偏离所述当前操作用户对应的历史行为基线,若所述当前操作指令未位于所述常用操作指令集合中,则所述当前操作指令偏离所述当前操作用户对应的历史行为基线;
检测所述当前下发频次与所述第二历史行为基线中包含的所述当前操作指令的正常下发频次的第二差值是否小于第二阈值,若所述第二差值小于所述第二阈值,则所述当前下发频次未偏离所述当前操作用户对应的历史行为基线,若所述第二差值大于或等于所述第二阈值,则所述当前下发频次偏离所述当前操作用户对应的历史行为基线。
在一实施例中,所述检测到所述当前行为特征偏离所述历史行为基线,包括:
若检测到所述当前登录时间点、所述当前登录设备、所述当前登录频次、所述当前操作指令、所述当前操作指令的所述当前下发频次中的至少一项偏离所述当前操作用户对应的历史行为基线,则确定所述当前行为特征偏离所述历史行为基线。
在一实施例中,所述方法还包括:
基于登录日志统计不同操作用户的常用登录信息,并将统计到的常用登录信息作为对应操作用户的所述第一历史行为基线,所述常用登录信息包括常用登录时间段、常用登录设备标识集合和常用登录频次中的至少一项;和/或
基于操作日志统计不同操作用户的常用操作信息,并将统计到的常用操作信息作为对应操作用户的所述第二历史行为基线,所述常用操作信息包括常用操作指令和所述常用操作指令的正常下发频次中的至少一项。
根据本公开实施例的第二方面,提供一种入侵检测装置,所述装置包括:
获取模块,用于获取当前操作用户的当前行为特征和待检测设备的预设信息,其中,所述当前行为特征包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和所述当前操作指令的当前下发频次中的至少一项;
检测模块,用于检测所述获取模块获取的所述当前行为特征是否偏离所述当前操作用户对应的历史行为基线,以及基于所述预设信息检测所述待检测设备是否存在异常;
第一确定模块,用于若所述检测模块检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在异常,则确定所述待检测设备被入侵。
在一实施例中,所述检测模块包括:
第一检测子模块,用于基于所述待检测设备对应的网络流量检测所述待检测设备是否存在通信异常;
所述第一确定模块包括:
第一确定子模块,用于若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在通信异常,则确定所述待检测设备被入侵且存在被攻击者进行高危操作的风险。
在一实施例中,所述检测模块包括:
第二检测子模块,用于检测所述待检测设备的指纹特征是否位于设备指纹库中;
所述第一确定模块包括:
第二确定子模块,用于若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备的指纹特征未位于所述设备指纹库中,则确定所述待检测设备被入侵且存在接入外部设备的风险。
在一实施例中,所述检测模块包括:
第三检测子模块,用于检测所述待检测设备对应的网段是否位于预设范围;
所述第一确定模块包括:
第三确定子模块,用于若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备对应的网段未位于所述预设范围,则确定所述待检测设备被入侵且存在外连风险。
在一实施例中,所述装置还包括:
第二确定模块,用于若所述检测模块检测到所述当前行为特征偏离所述历史行为基线但未检测到所述待检测设备存在异常,则确定所述待检测设备存在操作异常。
在一实施例中,所述历史行为基线包括第一历史行为基线和第二历史行为基线,所述检测模块,具体用于:
检测所述当前登录时间点是否位于所述第一历史行为基线中包含的常用登录时间段内,若所述当前登录时间点位于所述常用登录时间段内,则所述当前登录时间点未偏离所述当前操作用户对应的历史行为基线,若所述当前登录时间点未位于所述常用登录时间段内,则所述当前登录时间点偏离所述当前操作用户对应的历史行为基线;
检测所述当前登录设备标识是否位于第一历史行为基线中包含的常用登录设备标识集合中,若所述当前登录设备标识位于所述常用登录设备标识集合中,则所述当前登录设备未偏离所述当前操作用户对应的历史行为基线,若所述当前登录设备标识未位于所述常用登录设备标识集合中,则所述当前登录设备偏离所述当前操作用户对应的历史行为基线;
检测所述当前登录频次与第一历史行为基线中包含的常用登录频次的第一差值是否小于第一阈值,若所述第一差值小于所述第一阈值,则所述当前登录频次未偏离所述当前操作用户对应的历史行为基线,若所述第一差值大于或等于所述第一阈值,则所述当前登录频次偏离所述当前操作用户对应的历史行为基线;
检测所述当前操作指令是否位于所述第二历史行为基线中包含的常用操作指令集合中,若所述当前操作指令位于所述常用操作指令集合中,则所述当前操作指令未偏离所述当前操作用户对应的历史行为基线,若所述当前操作指令未位于所述常用操作指令集合中,则所述当前操作指令偏离所述当前操作用户对应的历史行为基线;
检测所述当前下发频次与所述第二历史行为基线中包含的所述当前操作指令的正常下发频次的第二差值是否小于第二阈值,若所述第二差值小于所述第二阈值,则所述当前下发频次未偏离所述当前操作用户对应的历史行为基线,若所述第二差值大于或等于所述第二阈值,则所述当前下发频次偏离所述当前操作用户对应的历史行为基线。
在一实施例中,所述第一确定模块,具体用于:
若检测到所述当前登录时间点、所述当前登录设备、所述当前登录频次、所述当前操作指令、所述当前操作指令的所述当前下发频次中的至少一项偏离所述当前操作用户对应的历史行为基线,则确定所述当前行为特征偏离所述历史行为基线。
在一实施例中,所述装置还包括:
第一构建模块,用于基于登录日志统计不同操作用户的常用登录信息,并将统计到的常用登录信息作为对应操作用户的所述第一历史行为基线,所述常用登录信息包括常用登录时间段、常用登录设备标识集合和常用登录频次中的至少一项;和/或
第二构建模块,用于基于操作日志统计不同操作用户的常用操作信息,并将统计到的常用操作信息作为对应操作用户的所述第二历史行为基线,所述常用操作信息包括常用操作指令和所述常用操作指令的正常下发频次中的至少一项。
根据本公开实施例的第三方面,提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述入侵检测方法。
根据本公开实施例的第四方面,提供一种入侵检测装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取当前操作用户的当前行为特征和待检测设备的预设信息,其中,所述当前行为特征包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和所述当前操作指令的当前下发频次中的至少一项;
检测所述当前行为特征是否偏离所述当前操作用户对应的历史行为基线,以及基于所述预设信息检测所述待检测设备是否存在异常;
若检测到所述当前行为特征偏离所述历史行为基线且所述待检测设备存在异常,则确定所述待检测设备被入侵。
本公开的实施例提供的技术方案可以包括以下有益效果:通过检测当前行为特征是否偏离当前操作用户对应的历史行为基线,以及基于预设信息检测待检测设备是否存在异常,并在检测到当前行为特征偏离历史行为基线且待检测设备存在异常时,确定待检测设备被入侵,由于该实施例基于多个维度的行为特征确定待检测设备是否被入侵,可以针对多个场景的设备进行检测,且检测准确率高,检测效果好。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种入侵检测方法的流程图。
图2是根据一示例性实施例示出的另一种入侵检测方法的流程图。
图3是根据一示例性实施例示出的构建第一历史行为基线和第二历史行为基线的流程图。
图4是根据一示例性实施例示出的一种入侵检测装置的框图。
图5是根据一示例性实施例示出的另一种入侵检测装置的框图。
图6是根据一示例性实施例示出的另一种入侵检测装置的框图。
图7是根据一示例性实施例示出的另一种入侵检测装置的框图。
图8是根据一示例性实施例示出的另一种入侵检测装置的框图。
图9是根据一示例性实施例示出的另一种入侵检测装置的框图。
图10是根据一示例性实施例示出的一种适用于入侵检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
图1是根据一示例性实施例示出的一种入侵检测方法的流程图,如图1所示,该入侵检测方法包括:
步骤s101,获取当前操作用户的当前行为特征和待检测设备的预设信息,其中,当前行为特征可以包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和当前操作指令的当前下发频次中的至少一项。
其中,预设信息可以包括但不局限于待检测设备对应的网络流量、指纹特征或对应的网段等。
步骤s102,检测当前行为特征是否偏离当前操作用户对应的历史行为基线,以及基于预设信息检测待检测设备是否存在异常。
其中,历史行为基线可以包括第一历史行为基线和第二历史行为基线。
由于当前行为特征可以包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和当前操作指令的当前下发频次中的至少一项,因此,检测当前行为特征是否偏离当前操作用户对应的历史行为基线,可以包括但不局限于以下至少一项:
11)检测当前登录时间点是否位于第一历史行为基线中包含的常用登录时间段内,若当前登录时间点位于常用登录时间段内,则当前登录时间点未偏离当前操作用户对应的历史行为基线,若当前登录时间点未位于常用登录时间段内,则当前登录时间点偏离当前操作用户对应的历史行为基线。
12)检测当前登录设备标识是否位于第一历史行为基线中包含的常用登录设备标识集合中,若当前登录设备标识位于常用登录设备标识集合中,则当前登录设备未偏离当前操作用户对应的历史行为基线,若当前登录设备标识未位于常用登录设备标识集合中,则当前登录设备偏离当前操作用户对应的历史行为基线。
13)检测当前登录频次与第一历史行为基线中包含的常用登录频次的第一差值是否小于第一阈值,若第一差值小于第一阈值,则当前登录频次未偏离当前操作用户对应的历史行为基线,若第一差值大于或等于第一阈值,则当前登录频次偏离当前操作用户对应的历史行为基线。
14)检测当前操作指令是否位于第二历史行为基线中包含的常用操作指令集合中,若当前操作指令位于常用操作指令集合中,则当前操作指令未偏离当前操作用户对应的历史行为基线,若当前操作指令未位于常用操作指令集合中,则当前操作指令偏离当前操作用户对应的历史行为基线。
15)检测当前下发频次与第二历史行为基线中包含的当前操作指令的正常下发频次的第二差值是否小于第二阈值,若第二差值小于第二阈值,则当前下发频次未偏离当前操作用户对应的历史行为基线,若第二差值大于或等于第二阈值,则当前下发频次偏离当前操作用户对应的历史行为基线。
该实施例基于多个维度的行为特征确定待检测设备是否被入侵,可以针对多个场景的设备进行检测,且检测准确率高,检测效果好。
由于预设信息可以包括但不局限于待检测设备对应的网络流量、指纹特征和对应的网段中的至少一项,因此,基于预设信息检测待检测设备是否存在异常可以包括但不局限于以下至少一项:
21)基于待检测设备对应的网络流量检测待检测设备是否存在通信异常。
例如,基于网络流量检测到待检测设备与非常用设备通信,则可以确定待检测设备存在通信异常。
22)检测待检测设备的指纹特征是否位于设备指纹库中。
在该实施例中,可以预先构建设备指纹库,以用于检测待检测设备的指纹特征是否位于设备指纹库中。若该指纹特征未位于设备指纹库中,则可以确定待检测设备存在异常,具体地,可以确定待检测设备存在接入外部设备的风险。
23)检测待检测设备对应的网段是否位于预设范围。
其中,预设范围可以为公网网段。
例如,待检测设备对应的ip地址为x,公网ip地址为y,若x位于y内,则确定待检测设备存在异常,具体地,可以确定待检测设备存在外连风险。
步骤s103,若检测到当前行为特征偏离历史行为基线且待检测设备存在异常,则确定待检测设备被入侵。
在该实施例中,若检测到当前登录时间点、当前登录设备、当前登录频次、当前操作指令、当前操作指令的当前下发频次中的至少一项偏离当前操作用户对应的历史行为基线,则确定当前行为特征偏离历史行为基线。
在该实施例中,若检测到当前行为特征偏离历史行为基线且待检测设备存在通信异常,则确定待检测设备被入侵且存在被攻击者进行高危操作的风险。若检测到当前行为特征偏离历史行为基线且待检测设备的指纹特征未位于设备指纹库中,则确定待检测设备被入侵且存在接入外部设备的风险。若检测到当前行为特征偏离历史行为基线且待检测设备对应的网段未位于预设范围,则确定待检测设备被入侵且存在外连风险。
另外,可选地,如图2所示,该方法还可以包括:
步骤s104,若检测到当前行为特征偏离历史行为基线但未检测到待检测设备存在异常,则确定待检测设备存在操作异常。
上述实施例,通过检测当前行为特征是否偏离当前操作用户对应的历史行为基线,以及基于预设信息检测待检测设备是否存在异常,并在检测到当前行为特征偏离历史行为基线且待检测设备存在异常时,确定待检测设备被入侵,由于该实施例基于多个维度的行为特征确定待检测设备是否被入侵,可以针对多个场景的设备进行检测,且检测准确率高,检测效果好。
该实施例中,在检测当前操作用户的当前行为特征是否偏离当前操作用户对应的历史行为基线时,需要与第一历史行为基线和第二历史行为基线中的至少一项进行比对,因此,如图3所示,该方法还可以包括:
步骤s301,基于登录日志统计不同操作用户的常用登录信息,并将统计到的常用登录信息作为对应操作用户的第一历史行为基线,其中,常用登录信息可以包括常用登录时间段、常用登录设备标识集合和常用登录频次中的至少一项。
在该实施例中,可以基于登录日志采用预设算法统计不同操作用户的常用登录信息,其中,预设算法可以包括但不局限于频繁项集(apriori)算法。
例如,可以采用apriori算法从登录日志中提取出不同操作用户的常用登录时间段、常用登录设备和常用登录频次三维特征,从而构建不同操作用户的第一历史行为基线。
步骤s302,基于操作日志统计不同操作用户的常用操作信息,并将统计到的常用操作信息作为对应操作用户的第二历史行为基线,其中,常用操作信息可以包括常用操作指令和常用操作指令的正常下发频次中的至少一项。
在该实施例中,可以基于操作日志采用预设算法统计不同操作用户的常用操作信息。其中,预设算法可以包括但不局限于频繁项集(apriori)算法。
例如,可以采用apriori算法从操作日志中提取常用操作指令和常用操作指令的正常下发频次二维特征,从而构建不同操作用户的第二历史行为基线。
另外,一个可选的实施例可以只包括步骤s301,即该实施例中只需构建第一历史行为基线。另一个可选的实施例可以只包括步骤s302,即该实施例中只需构建第二历史行为基线。
上述实施例,通过构建第一历史行为基线和第二历史行为基线,为检测当前操作用户的当前行为特征是否偏离当前操作用户对应的历史行为基线提供了条件。
与前述入侵检测方法实施例相对应,本公开还提供了入侵检测装置实施例。
图4是根据一示例性实施例示出的一种入侵检测装置的框图,如图4所示,该入侵检测装置包括:获取模块41、检测模块42和第一确定模块43。
获取模块41用于获取当前操作用户的当前行为特征和待检测设备的预设信息,其中,当前行为特征包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和当前操作指令的当前下发频次中的至少一项。
其中,预设信息可以包括但不局限于待检测设备对应的网络流量、指纹特征或对应的网段等。
检测模块42用于检测获取模块41获取的当前行为特征是否偏离当前操作用户对应的历史行为基线,以及基于预设信息检测待检测设备是否存在异常。
其中,历史行为基线可以包括第一历史行为基线和第二历史行为基线。
由于当前行为特征可以包括当前登录时间点、当前登录设备、当前登录频次、当前操作指令和当前操作指令的当前下发频次中的至少一项,因此,检测当前行为特征是否偏离当前操作用户对应的历史行为基线,可以包括但不局限于以下至少一项:
11)检测当前登录时间点是否位于第一历史行为基线中包含的常用登录时间段内,若当前登录时间点位于常用登录时间段内,则当前登录时间点未偏离当前操作用户对应的历史行为基线,若当前登录时间点未位于常用登录时间段内,则当前登录时间点偏离当前操作用户对应的历史行为基线。
12)检测当前登录设备标识是否位于第一历史行为基线中包含的常用登录设备标识集合中,若当前登录设备标识位于常用登录设备标识集合中,则当前登录设备未偏离当前操作用户对应的历史行为基线,若当前登录设备标识未位于常用登录设备标识集合中,则当前登录设备偏离当前操作用户对应的历史行为基线。
13)检测当前登录频次与第一历史行为基线中包含的常用登录频次的第一差值是否小于第一阈值,若第一差值小于第一阈值,则当前登录频次未偏离当前操作用户对应的历史行为基线,若第一差值大于或等于第一阈值,则当前登录频次偏离当前操作用户对应的历史行为基线。
14)检测当前操作指令是否位于第二历史行为基线中包含的常用操作指令集合中,若当前操作指令位于常用操作指令集合中,则当前操作指令未偏离当前操作用户对应的历史行为基线,若当前操作指令未位于常用操作指令集合中,则当前操作指令偏离当前操作用户对应的历史行为基线。
15)检测当前下发频次与第二历史行为基线中包含的当前操作指令的正常下发频次的第二差值是否小于第二阈值,若第二差值小于第二阈值,则当前下发频次未偏离当前操作用户对应的历史行为基线,若第二差值大于或等于第二阈值,则当前下发频次偏离当前操作用户对应的历史行为基线。
该实施例基于多个维度的行为特征确定待检测设备是否被入侵,可以针对多个场景的设备进行检测,且检测准确率高,检测效果好。
由于预设信息可以包括但不局限于待检测设备对应的网络流量、指纹特征和对应的网段中的至少一项,因此,基于预设信息检测待检测设备是否存在异常可以包括但不局限于以下至少一项:
21)基于待检测设备对应的网络流量检测待检测设备是否存在通信异常。
例如,基于网络流量检测到待检测设备与非常用设备通信,则可以确定待检测设备存在通信异常。
22)检测待检测设备的指纹特征是否位于设备指纹库中。
在该实施例中,可以预先构建设备指纹库,以用于检测待检测设备的指纹特征是否位于设备指纹库中。若该指纹特征未位于设备指纹库中,则可以确定待检测设备存在异常,具体地,可以确定待检测设备存在接入外部设备的风险。
23)检测待检测设备对应的网段是否位于预设范围。
其中,预设范围可以为公网网段。
例如,待检测设备对应的ip地址为x,公网ip地址为y,若x位于y内,则确定待检测设备存在异常,具体地,可以确定待检测设备存在外连风险。
第一确定模块43用于若检测模块42检测到当前行为特征偏离历史行为基线且待检测设备存在异常,则确定待检测设备被入侵。
在该实施例中,若检测到当前登录时间点、当前登录设备、当前登录频次、当前操作指令、当前操作指令的当前下发频次中的至少一项偏离当前操作用户对应的历史行为基线,则确定当前行为特征偏离历史行为基线。
在该实施例中,若检测到当前行为特征偏离历史行为基线且待检测设备存在通信异常,则确定待检测设备被入侵且存在被攻击者进行高危操作的风险。若检测到当前行为特征偏离历史行为基线且待检测设备的指纹特征未位于设备指纹库中,则确定待检测设备被入侵且存在接入外部设备的风险。若检测到当前行为特征偏离历史行为基线且待检测设备对应的网段未位于预设范围,则确定待检测设备被入侵且存在外连风险。
如图4所示的装置用于实现上述如图1所示的方法流程,涉及到的相关内容描述相同,此处不赘述。
图5是根据一示例性实施例示出的另一种入侵检测装置的框图,如图5所示,在上述图4所示实施例的基础上,检测模块42可以包括:
第一检测子模块421用于基于待检测设备对应的网络流量检测待检测设备是否存在通信异常。
第一确定模块43可以包括:
第一确定子模块431用于若检测到当前行为特征偏离历史行为基线且待检测设备存在通信异常,则确定待检测设备被入侵且存在被攻击者进行高危操作的风险。
图6是根据一示例性实施例示出的另一种入侵检测装置的框图,如图6所示,在上述图4所示实施例的基础上,检测模块42可以包括:
第二检测子模块422用于检测待检测设备的指纹特征是否位于设备指纹库中;
第一确定模块43可以包括:
第二确定子模块432用于若检测到当前行为特征偏离历史行为基线且待检测设备的指纹特征未位于设备指纹库中,则确定待检测设备被入侵且存在接入外部设备的风险。
图7是根据一示例性实施例示出的另一种入侵检测装置的框图,如图7所示,在上述图4所示实施例的基础上,检测模块42可以包括:
第三检测子模块423用于检测待检测设备对应的网段是否位于预设范围;
第一确定模块43可以包括:
第三确定子模块433用于若检测到当前行为特征偏离历史行为基线且待检测设备对应的网段未位于预设范围,则确定待检测设备被入侵且存在外连风险。
图8是根据一示例性实施例示出的另一种入侵检测装置的框图,如图8所示,在上述图4所示实施例的基础上,该装置还包括:
第二确定模块44用于若检测模块42检测到当前行为特征偏离历史行为基线但未检测到待检测设备存在异常,则确定待检测设备存在操作异常。
图9是根据一示例性实施例示出的另一种入侵检测装置的框图,如图9所示,在上述图4所示实施例的基础上,该装置还包括:第一构建模块45和第二构建模块46中的至少一个模块。
第一构建模块45用于基于登录日志统计不同操作用户的常用登录信息,并将统计到的常用登录信息作为对应操作用户的第一历史行为基线,常用登录信息包括常用登录时间段、常用登录设备标识集合和常用登录频次中的至少一项。
第二构建模块46用于基于操作日志统计不同操作用户的常用操作信息,并将统计到的常用操作信息作为对应操作用户的第二历史行为基线,常用操作信息包括常用操作指令和常用操作指令的正常下发频次中的至少一项。
上述实施例,通过检测当前行为特征是否偏离当前操作用户对应的历史行为基线,以及基于预设信息检测待检测设备是否存在异常,并在检测到当前行为特征偏离历史行为基线且待检测设备存在异常时,确定待检测设备被入侵,由于该实施例基于多个维度的行为特征确定待检测设备是否被入侵,可以针对多个场景的设备进行检测,且检测准确率高,检测效果好。
关于上述实施例中的装置,其中各个模块、子模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图10是根据一示例性实施例示出的一种适用于入侵检测装置的框图。例如,装置1000可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理,入侵检测设备等。
参照图10,装置1000可以包括以下一个或多个组件:处理组件1002,存储器1004,电源组件1006,多媒体组件1008,音频组件1010,输入/输出(i/o)的接口1012,传感器组件1014,以及通信组件1016。
处理组件1002通常控制装置1000的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理元件1002可以包括一个或多个处理器1020来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件1002可以包括一个或多个模块,便于处理组件1002和其他组件之间的交互。例如,处理部件1002可以包括多媒体模块,以方便多媒体组件1008和处理组件1002之间的交互。
存储器1004被配置为存储各种类型的数据以支持在设备1000的操作。这些数据的示例包括用于在装置1000上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器1004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(sram),电可擦除可编程只读存储器(eeprom),可擦除可编程只读存储器(eprom),可编程只读存储器(prom),只读存储器(rom),磁存储器,快闪存储器,磁盘或光盘。
电源组件1006为装置1000的各种组件提供电力。电源组件1006可以包括电源管理系统,一个或多个电源,及其他与为装置1000生成、管理和分配电力相关联的组件。
多媒体组件1008包括在所述装置1000和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件1008包括一个前置摄像头和/或后置摄像头。当设备1000处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件1010被配置为输出和/或输入音频信号。例如,音频组件1010包括一个麦克风(mic),当装置1000处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1004或经由通信组件1016发送。在一些实施例中,音频组件1010还包括一个扬声器,用于输出音频信号。
i/o接口1012为处理组件1002和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件1014包括一个或多个传感器,用于为装置1000提供各个方面的状态评估。例如,传感器组件1014可以检测到设备1000的打开/关闭状态,组件的相对定位,例如所述组件为装置1000的显示器和小键盘,传感器组件1014还可以检测装置1000或装置1000一个组件的位置改变,用户与装置1000接触的存在或不存在,装置1000方位或加速/减速和装置1000的温度变化。传感器组件1014可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件1014还可以包括光传感器,如cmos或ccd图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件1014还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件1016被配置为便于装置1000和其他设备之间有线或无线方式的通信。装置1000可以接入基于通信标准的无线网络,如wifi,2g或3g,或它们的组合。在一个示例性实施例中,通信部件1016经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信部件1016还包括近场通信(nfc)模块,以促进短程通信。例如,在nfc模块可基于射频识别(rfid)技术,红外数据协会(irda)技术,超宽带(uwb)技术,蓝牙(bt)技术和其他技术来实现。
在示例性实施例中,装置1000可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器1004,上述指令可由装置1000的处理器1020执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
- 还没有人留言评论。精彩留言会获得点赞!