本申请涉及网络安全领域,特别涉及一种基于人因的入侵检测方法、装置、设备及介质。
背景技术:
1、入侵检测是保护主机安全的重要技术,该技术旨在检测异常入侵行为,保障主机系统的安全。一旦入侵检测检测到入侵行为,就会出发警报并阻止入侵行为。
2、相关技术事先会建立系统或用户的正常行为模式库,不属于该库的行为被视为入侵行为。在主机与客户端建立联系后,主机会收集终端有关系统、网络、数据等信息,并将前面收集到的信息与正常行为模式库进行匹配。在匹配失败的情况下,说明该客户端存在入侵行为。
3、但是入侵者的攻击手段也在变化,当入侵者采用特征很小的攻击手段甚至使用合法的功能来实现入侵时,相关技术是无法检出这种入侵行为的。
技术实现思路
1、本申请实施例提供了一种基于人因的入侵检测方法、装置、设备及介质。该方法可从自然人的角度检测会话是否存在入侵行为,可以成功识别出隐蔽的入侵行为,该方法包括:
2、根据本申请的一个方面,提供了一种基于人因的入侵检测方法,该方法包括:
3、获取参考聚类结果,所述参考聚类结果包括至少一个参考聚类中心,所述参考聚类中心是根据自然人的操作数据生成的;
4、获取待检会话的会话特征,所述会话特征包括与自然人操作相关的特征;
5、对所述参考聚类结果和所述会话特征进行聚类运算,得到会话聚类结果,所述会话聚类结果用于表示所述会话特征与所述参考聚类中心的关系;
6、根据所述会话聚类结果确定所述待检会话的本地入侵标签,所述本地入侵标签用于表示所述待检会话的行为类型。
7、根据本申请的另一个方面,提供了一种基于人因的入侵检测装置,该装置包括:
8、获取模块,用于获取参考聚类结果,所述参考聚类结果包括至少一个参考聚类中心,所述参考聚类中心是根据自然人的操作数据生成的;
9、特征提取模块,用于获取待检会话的会话特征,所述会话特征包括与自然人操作相关的特征;
10、聚类模块,用于对所述参考聚类结果和所述会话特征进行聚类运算,得到会话聚类结果,所述会话聚类结果用于表示所述会话特征与所述参考聚类中心的关系;
11、检测模块,用于根据所述会话聚类结果确定所述待检会话的本地入侵标签,所述本地入侵标签用于表示所述待检会话的行为类型。
12、根据本申请的另一方面,提供了一种计算机设备,该计算机设备包括:处理器和存储器,存储器中存储有至少一条指令、至少一段程序、代码集或指令集,至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现如上方面的基于人因的入侵检测方法。
13、根据本申请的另一方面,提供了一种计算机存储介质,计算机可读存储介质中存储有至少一条程序代码,程序代码由处理器加载并执行以实现如上方面的基于人因的入侵检测方法。
14、根据本申请的另一方面,提供了一种计算机程序产品或计算机程序,上述计算机程序产品或计算机程序包括计算机指令,上述计算机指令存储在计算机可读存储介质中。计算机设备的处理器从上述计算机可读存储介质读取上述计算机指令,上述处理器执行上述计算机指令,使得上述计算机设备执行如上方面的基于人因的入侵检测方法。
15、本申请实施例提供的技术方案带来的有益效果至少包括:
16、该方案先采集待检会话的会话特征,会话特征包括与自然人操作相关的特征。而后,将会话特征与参考聚类结果进行聚类运算,得到会话聚类结果。最后,根据会话聚类结果判断待检会话是否存在入侵行为。因此方案是通过自然人的操作来判断待检会话是否存在入侵行为,判断方式并不依赖于入侵行为的方式,即使入侵者采用特征很小的攻击手段甚至使用合法的功能来实现入侵,只要判断出自然人的操作存在异常,就可以识别出入侵行为。
1.一种基于人因的入侵检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述参考聚类结果和所述会话特征进行聚类运算,得到会话聚类结果,包括:
3.根据权利要求2所述的方法,其特征在于,所述参考聚类中心包括第一参考聚类中心和第二参考聚类中心,所述第一参考聚类中心是与正常行为对应的聚类中心,所述第二参考聚类中心是与入侵行为对应的聚类中心;
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述获取待检会话的会话特征,包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括如下的至少一种:
7.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
8.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
9.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
10.根据权利要求9所述的方法,其特征在于,所述对所述样本会话特征进行聚类计算,得到聚类结果簇,包括:
11.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
12.一种基于人因的入侵检测装置,其特征在于,所述装置包括:
13.一种计算机设备,其特征在于,所述计算机设备包括:处理器和存储器,所述存储器中存储有至少一段程序,所述至少一段程序由所述处理器加载并执行以实现如权利要求1至11中任一项所述的基于人因的入侵检测方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条程序代码,所述程序代码由处理器加载并执行以实现如权利要求1至11中任一项所述的基于人因的入侵检测方法。
15.一种计算机程序产品,包括计算机程序或指令,其特征在于,所述计算机程序或指令被处理器执行时实现权利要求1至11中任一项所述的基于人因的入侵检测方法。