CN105187224A - 入侵检测方法和装置 - Google Patents
入侵检测方法和装置 Download PDFInfo
- Publication number
- CN105187224A CN105187224A CN201410270632.XA CN201410270632A CN105187224A CN 105187224 A CN105187224 A CN 105187224A CN 201410270632 A CN201410270632 A CN 201410270632A CN 105187224 A CN105187224 A CN 105187224A
- Authority
- CN
- China
- Prior art keywords
- data
- tested
- execution
- behavioural characteristic
- act
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Burglar Alarm Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种入侵检测方法和装置,其中,入侵检测方法包括:获取待检测数据,待检测数据为被检测的数据;确定待检测数据对应的行为特征,行为特征为用于反映待检测数据对应的执行行为的特征;根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。通过本发明,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
Description
技术领域
本发明涉及入侵检测领域,具体而言,涉及一种入侵检测方法和装置。
背景技术
入侵检测系统(IntrusionDetectionSystem,简称“IDS”)是一种对网络传输进行即时监控,在发现可疑网络传输时发出警报或者采取主动反应措施的网络安全设备。根据数据来源不同,入侵检测系统可分为基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。
传统的入侵检测系统通常采用匹配攻击的数据特征的方式来检测入侵行为,例如将检测的数据与黑名单进行匹配等。随着入侵检测系统的发展,黑客也越来越了解入侵检测系统的各种匹配特征,并尝试各种方法去绕过IDS的匹配特征。
现有的入侵检测方案,针对各种变形的入侵只能通过提取其数据特征进行检测。然而通过提取数据特征的方式,本身就有滞后性,变形的入侵方式各种各样,通过数据特征的提取难以完全涵盖大部分入侵行为,并且针对变形的特征匹配,误报较多,难以准确地发现入侵行为。
综上,数据特征的提取难以完全涵盖大部分变形的入侵行为,以及针对变形的特征匹配误报较多,现有的入侵检测方案难以准确地检测入侵行为。
针对现有技术中难以准确地检测变形的入侵行为的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种入侵检测方法和装置,以解决难以准确地检测变形的入侵行为的问题。
根据本发明实施例的一个方面,提供了一种入侵检测方法,包括:获取待检测数据,所述待检测数据为被检测的数据;确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征;根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。
根据本发明实施例的另一方面,还提供了一种入侵检测装置,包括:获取单元,用于获取待检测数据,所述待检测数据为被检测的数据;确定单元,用于确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征;选择单元,用于根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及检测单元,用于基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。
根据本发明实施例,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种计算机的结构框图;
图2是根据本发明实施例的入侵检测方法的流程图;
图3是根据本发明实施例可选的入侵检测方法的流程图;
图4是根据本发明实施例的入侵检测方法的一种应用场景示意图;
图5是根据本发明实施例另一可选的入侵检测方法的流程图;
图6是根据本发明实施例又一可选的入侵检测方法的流程图;
图7是根据本发明实施例的入侵检测装置的示意图;以及
图8是根据本发明实施例一种可选的入侵检测装置的流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,可以提供了一种可以用于实施本申请装置实施例的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例1
根据本发明实施例,提供了一种入侵检测方法,该方法可由计算机或者类似的运算装置执行。图1所示为一种计算机的结构框图。如图1所示,计算机100包括一个或多个(图中仅示出一个)处理器102、存储器104、以及传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储软件程序以及模块,如本发明实施例中的入侵检测方法和装置对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的入侵检测方法和装置,例如对网络传输的数据进行入侵检测。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输模块106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输模块106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网进行通讯。在一个实例中,传输模块106可以是射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
如图2所示,该入侵检测方法包括以下步骤:
步骤S202,获取待检测数据。
该待检测数据为被检测的数据。待检测数据可以是通过传输模块106传输的网络数据,即来自网络的信息流。具体地,传输模块106连接至网络,接收来自网络的各种各样的数据,入侵检测系统在对网络传输进行及时监控的过程中,需要实时收集网络传输的数据。另外,待检测数据还可以是主机数据,例如主机的审计日志等数据。获取待检测数据,以便于对待检测数据进行收集。可以是实时获取待检测数据,以便对网络传输的数据进行实时检测。
步骤S204,确定待检测数据对应的行为特征。该行为特征为用于反映待检测数据对应的执行行为的特征。
待检测数据可以是执行行为产生的数据,或者执行行为所用到的数据。计算机、服务器等设备在执行操作或者命令的过程中,存在相应的执行行为,例如文件上传、提权等,这些执行行为对应的数据如命令、请求等可以作为待检测数据。不同的执行行为对应有不同的行为特征,例如,文件上传行为可以有请求上传文件、新增cgi文件等行为特征。行为特征也可以是用于反映执行行为的执行步骤所处的状态,例如,执行行为的执行步骤包括:下载代码、编译、执行,如果执行行为处于编译步骤,则该状态即为其行为特征。行为特征也可以是反映一段时间内执行行为的操作次数,例如,在一段时间内用户登录请求的次数等。
步骤S206,根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式。
一个系统的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破坏系统的安全性,其入侵的目的包括:盗取数据,破坏保密性;更改数据,破坏完整性;更改服务,破坏可用性。综上,无论入侵怎样变形,其目的是不变的。要达到入侵目的,其入侵行为也是相对稳定的。
不同的行为特征可以从预设检测模式中选择不同的检测模式进行检测,例如,对于“登录请求且登录失败”的行为特征,可以选择用于对执行次数进行检测的统计模式,以检测该行为特征的执行次数是否超过一定阈值,如果超过,则认定为入侵行为。预设检测模式可以包括多种模式,例如,关联模式、触发模式、统计模式等等,在确定待检测数据对应的行为特征之后,可以根据行为特征选择相应的检测模式,用以进行入侵检测。当然,对于相同的行为特征,可以选择一种检测模式,也可以选择多种检测模式并行检测,例如,选择关联模式和触发模式同时对行为特征A进行检测,这样可以提高检测精度。当然,选择检测模式也可以确定对应的检测模式,例如,当入侵检测系统中配置有3种检测模式,在确定待检测数据对应的行为特征之后,直接确定采用3种检测模式并行检测,达到提高检测精度的效果。
步骤S208,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。
在选择到检测模式之后,基于选择的检测模式来检测检测数据对应的执行行为是否为入侵行为。例如,选择关联模式进行检测:可以通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。选择触发模式进行检测:由于入侵行为包括一系列的步骤序列,每多执行一步,其入侵行为的特征越明显,因此,可以根据执行行为执行到步骤状态判断该执行行为是否达到告警条件,如果达到告警条件则确定其为入侵行为。选择统计模式进行检测:统计一段时间内重复执行的动作的次数,通过判断其是否超过一定阈值来确定执行的动作行为是否为入侵行为。
根据本发明实施例,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
优选地,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为包括:,基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件。该预设条件为根据入侵行为的行为特征预先设定的条件;如果判断出待检测数据对应的行为特征满足预设条件,则确定待检测数据对应的执行行为是入侵行为。
通过分析入侵行为特征,根据各个维度数据交互印证,从而定性为入侵行为。经过对入侵行为的分析总结,只有满足预设条件的执行行为才能认定为入侵行为。例如,通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。还可以采用触发式来检测,由于入侵行为包括一系列的步骤序列,每多执行一步,其入侵行为的特征越明显,因此,可以根据执行行为执行到步骤状态判断该执行行为是否达到告警条件,如果达到告警条件则确定其为入侵行为。当然也可以采用统计式的方式,统计一段时间内重复执行的动作的次数,通过判断其是否超过一定阈值来确定执行的动作行为是否为入侵行为。
根据本发明实施例,通过基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件,预设条件为根据入侵行为的行为特征预先设定的条件,如果判断出待检测数据对应的行为特征满足预设条件,则确定待检测数据对应的执行行为是入侵行为。根据预先对入侵行为的行为特征设置相应的条件,以入侵行为的目的来检测入侵行为,达到了进一步提高对变形的入侵行为检测的准确性的效果。
优选地,待检测数据对应的行为特征包括多个行为特征,其中,根据行为特征从预设检测模式中选择检测模式包括:基于多个行为特征选择关联模式,关联模式用于对多个行为特征进行关联检测;基于选择的检测模式判断待检测数据对应的行为特征是否满足预设条件包括:对多个行为特征对应的待检测数据进行关联分析计算,得到计算结果;通过判断计算结果是否满足关联条件来判断行为特征是否满足预设条件。
当待检测数据的行为特征满足用于进行关联模式检测的条件时,即对应有多个行为特征时,可以选择关联模式来对该多个行为特征进行关联检测。具体地,由于待检测数据包括多个维度(或者类型)的数据,每个维度的数据均有其对应的行为特征,即待检测数据对应多个行为特征。判断待检测数据对应的行为特征是否满足预设条件,可以是将多个行为特征对应的待检测数据进行关联分析计算,也即是将任意维度的待检测数据进行关联分析计算,然后判断计算结果是否满足关联条件,该关联条件可以是用于反映关联后的行为特征组合是否为入侵行为的条件。
具体地,通过任意维度数据关联(包括上下文关联),对行为特征进行关联分析,从而定性为入侵行为。比如文件上传行为:网络数据发现http上传文件请求,对应的主机有新增的cgi文件落地。再如,提权行为:父进程为低权限,子进程为高权限。
通过入侵特点分析,即时入侵的表现形式不同,其入侵行为是不变的。这样针对行为分析,能准确确定入侵,误报较低。
应用场景1,“文件上传行为”分析:
数据维度:网络侧的http请求数据httplog、主机侧的新增cgi文件数据。
现有的基于数据特征匹配的入侵检测方法,无论是通过httplog匹配长传请求,还是通过主机侧匹配新增的cgi文件,都难以检测出“文件上传”,匹配误报较高。
本发明实施例,通过行为特点来检测出“上传行为”。网络侧的http请求数据httplog发现文件上传请求,主机侧的cgi数据发现有新增的cgi文件,从而确定为“文件上传行为”。
具体地,规则匹配与数据运算如下:
Httplog.rule==‘上传’&&httplog.des_ip==cgi.agent_id&&cgi.flag==‘新增’&&httplog.local_tm∈[cgi.local_tm–interval_tm,cgi.local_tm+interval_tm]
应用场景2,“提权行为”分析:
数据维度:进程数据cmdlog上下文关联。
子进程权限较低,为普通权限。父进程为root权限。通过父子进程关联分析,确定提权行为。
具体的规则与数据运算如下:
Cmdlog.data1.uid==‘normal’&&Cmdlog.data1.pid==Cmdlog.data2.ppid&&Cmdlog.data2.uid==‘root’。
进一步优选地,对多个行为特征对应的待检测数据进行关联分析计算,得到计算结果包括:确定多个行为特征对应的待检测数据的数据维度数量;创建于数据维度数量相应的堆栈;将多个行为特征对应的待检测数据缓存进创建的堆栈;以及对堆栈中的数据进行关联分析计算,得到计算结果。
待检测数据的数据维度数量可以是与行为特征的数量相同,即一种数据维度可以表示一种行为特征,例如上述提到的数据维度:网络侧的http请求数据httplog和主机侧的新增cgi文件数据,分别对应行为特征“网络侧的http请求”和“主机侧的新增cgi文件”。
在确定数据维度数量之后,创建相应数量的堆栈,将各数据维度的数据分别缓存创建的堆栈中,然后依次从堆栈中取出不同维度的数据进行关联分析算法的计算。
图3是根据本发明实施例可选的入侵检测方法的流程图。如图3所示,该入侵检测方法包括:
步骤S302,加载配置文件。该配置文件中包括数据维度数量,根据该数据维度数量创建相应的堆栈,将数据缓存到堆栈中。
步骤S304,初始化各个维度数据堆栈。
步骤S306,初始化相互关联计算方法。
步骤S308,判断是否有新的待检测数据。如果有,则执行步骤S310,反之,则进入休眠。
步骤S310,确定待检测数据的数据类型,加载进相应的堆栈。即将不同类型的数据缓存到不同的堆栈中,以便于进行关联分析计算。
步骤S312,关联计算,判断是否满足关联条件。对加载到堆栈中的数据进行关联计算,得到计算结果,判断计算结果是否满足关联条件,如果满足则执行步骤S314,反之,则返回步骤S308。
步骤S314,判断是否为入侵行为。即判断待检测数据对应的执行行为是否为入侵行为。如果是则执行步骤S316,反之,执行步骤S318。
步骤S316,输出结果告警。该结果告警用于表示待检测数据对应的执行行为是入侵行为。
步骤S318,缓存计算结果。
根据本发明实施例,通过对待检测数据进行关联分析计算,可以提高对入侵检测的准确性。
可选地,行为特征包括待检测数据对应的执行行为状态,执行行为状态用于反映待检测数据对应的执行行为的执行步骤,其中,根据行为特征从预设检测模式中选择检测模式包括:基于执行行为状态选择触发模式,触发模式用于对执行行为状态进行检测;基于选择的检测模式判断待检测数据对应的行为特征是否满足预设条件包括:判断执行行为状态是否满足预设状态,其中,如果判断出执行行为状态满足预设状态,则确定执行行为状态满足预设条件。
当待检测数据对应的行为特征满足用于进行触发模式检测的条件时,可以选择触发模式来对该行为特征进行检测。具体地,由于入侵行为是按照一系列的步骤来入侵的,通过判断入侵行为的一系列先后步骤特征,可以不停地提升异常指数,最终确定入侵行为。相应地,待检测数据对应的执行行为状态表示该待检测数据对应的执行行为所处的执行步骤,如果该状态下执行行为的执行步骤与入侵行为的某一执行步骤相匹配,则可认为该执行行为疑似入侵行为,可以进一步判断该执行行为的执行步骤前后的步骤特征,如果均满足入侵行为的步骤特征,即执行行为状态满足预设状态(即触发认定其为入侵行为的条件),则确定执行行为的行为特征满足预设条件,进一步确定执行行为是入侵行为。
具体地,经分析得到,入侵行为步骤包括下载恶意代码、编译、执行等步骤。在对待检测数据进行检测时,如图4所示,如果检测出从数据流中下载可疑代码,则认为该行为具有低风险。如果在下载可疑代码之后,还对下载的代码进行编译,则认为该行为比较可疑,为疑似入侵行为;如果进一步地,检测出在编译之后,还执行编译后的代码,则却确定该行为为入侵行为。
从图4可以看出,随着步骤一步步地执行,该行为的步骤与入侵行为步骤越接近,则其异常行为则越明显。
进一步优选地,待检测数据对应的执行行为的执行步骤包括预设步骤,判断执行行为状态是否满足预设状态包括:判断执行步骤是否执行到预设步骤,其中,如果判断出待检测数据的执行行为执行到预设步骤,则判断预设步骤是否超时,如果预设步骤超时,则确定执行行为状态不满足预设状态。
预设步骤可以是待检测数据对应的执行行为的执行步骤中任意一个步骤,如图4中的“编译”。其中,当判断出执行步骤执行到“编译”时,进一步地判断之前的“编译”是否超时,如果超时,则认为无风险,超时退出。其中,“下载可疑代码”的步骤相类似,这里不做赘述。
具体地,如图5所示,该方法包括:
步骤S502,加载配置文件。该配置文件中存有入侵行为步骤序列,根据该入侵行为步骤序列需要缓存入入侵行为状态。
步骤S504,初始化相互关联计算方法。
步骤S506,判断是否有新的待检测数据。如果有,则执行步骤S508,反之,则进入休眠。
步骤S508,分析判断当前入侵步骤。
步骤S510,查找预先缓存的入侵步骤,判断该缓存的入侵步骤是否超时,如果超时,则执行步骤S512,反之,则执行步骤S514。
步骤S512,清除超时时序。返回步骤S506。
步骤S514,判断入侵步骤是否达到告警条件。如果是,则执行步骤S516,反之,则执行步骤S518。
步骤S516,输出结果告警。该结果告警用于表示待检测数据对应的执行行为是入侵行为。返回步骤S506。
步骤S518,缓存入侵步骤。即缓存入侵行为状态。返回步骤S506。
优选地,确定待检测数据对应的行为特征包括:确定预设时间段内待检测数据对应的执行行为的执行次数;根据行为特征从预设检测模式中选择检测模式包括:基于执行次数选择统计模式,统计模式用于对执行次数进行检测;基于选择的检测模式判断行为特征是否满足预设条件包括:判断执行次数是否超过数量阈值,其中,如果判断出执行次数超过数量阈值,则确定行为特征满足预设条件。
当待检测数据对应的行为特征满足用于进行统计模式检测的条件时,可以选择统计模式来对该行为特征进行检测。具体地,根据入侵行为频繁的动作特征,以一个或几个特征为基准,聚合统计其动作,从而确定行为是否为入侵行为。例如端口扫描数据,扫描端口数和扫描次数等,如果扫描次数的数量超过一定限度,则确定其行为为入侵行为,输出结果报警。
应用场景3,端口扫描行为:机器A对某一网段的开放端口进行批量扫描。判断方法:以来源ip(机器A的ip)统计某一时间段内扫描数据的数量;超出数量阈值即确定为端口扫描行为,即认定为入侵行为。
应用场景4,暴力破解行为:机器B收到大量的某一用户的登录请求,并且登录失败。判断方法:以受害ip(机器B的ip)统计某一时间段内登录失败的数量;超出数量阈值即确定为暴力破解行为,即认定为入侵行为。
具体地,如图6所示,该方法包括:
步骤S602,加载配置文件。该配置文件中,配置有需要进行聚合的聚合特征,例如,端口扫描和用户登录等。
步骤S604,初始化聚合特征。
步骤S606,判断是否有新的待检测数据。如果有,则执行步骤S608,反之,进入休眠。
步骤S608,根据数据的特征进行聚合。
步骤S610,判断聚合后的聚合特征是否达到数量阈值。如果达到数量阈值,则执行步骤S612,反之,则返回步骤S606。
步骤S612,输出结果告警。该结果告警用于表示待检测数据对应的行为为入侵行为。然后继续执行步骤S606。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述入侵检测方法的入侵检测装置,如图7所示,该装置包括:获取单元10、确定单元30、选择单元50和检测单元70。
获取单元10用于获取待检测数据,待检测数据为被检测的数据。
该待检测数据为被检测的数据。待检测数据可以是通过传输模块106传输的网络数据,即来自网络的信息流。具体地,传输模块106连接至网络,接收来自网络的各种各样的数据,入侵检测系统在对网络传输进行及时监控的过程中,需要实时收集网络传输的数据。另外,待检测数据还可以是主机数据,例如主机的审计日志等数据。获取待检测数据,以便于对待检测数据进行收集。可以是实时获取待检测数据,以便对网络传输的数据进行实时检测。
确定单元30用于确定待检测数据对应的行为特征,行为特征为用于反映待检测数据对应的执行行为的特征。
待检测数据可以是执行行为产生的数据,或者执行行为所用到的数据。计算机、服务器等设备在执行操作或者命令的过程中,存在相应的执行行为,例如文件上传、提权等,这些执行行为对应的数据如命令、请求等可以作为待检测数据。不同的执行行为对应有不同的行为特征,例如,文件上传行为可以有请求上传文件、新增cgi文件等行为特征。行为特征也可以是用于反映执行行为的执行步骤所处的状态,例如,执行行为的执行步骤包括:下载代码、编译、执行,如果执行行为处于编译步骤,则该状态即为其行为特征。行为特征也可以是反映一段时间内执行行为的操作次数,例如,在一段时间内用户登录请求的次数等。
选择单元50用于根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式。
一个系统的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破坏系统的安全性,其入侵的目的包括:盗取数据,破坏保密性;更改数据,破坏完整性;更改服务,破坏可用性。综上,无论入侵怎样变形,其目的是不变的。要达到入侵目的,其入侵行为也是相对稳定的。
不同的行为特征可以从预设检测模式中选择不同的检测模式进行检测,例如,对于“登录请求且登录失败”的行为特征,可以选择用于对执行次数进行检测的统计模式,以检测该行为特征的执行次数是否超过一定阈值,如果超过,则认定为入侵行为。预设检测模式可以包括多种模式,例如,关联模式、触发模式、统计模式等等,在确定待检测数据对应的行为特征之后,可以根据行为特征选择相应的检测模式,用以进行入侵检测。当然,对于相同的行为特征,可以选择一种检测模式,也可以选择多种检测模式并行检测,例如,选择关联模式和触发模式同时对行为特征A进行检测,这样可以提高检测精度。当然,选择检测模式也可以确定对应的检测模式,例如,当入侵检测系统中配置有3种检测模式,在确定待检测数据对应的行为特征之后,直接确定采用3种检测模式并行检测,达到提高检测精度的效果。
检测单元70用于基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。
在选择到检测模式之后,基于选择的检测模式来检测检测数据对应的执行行为是否为入侵行为。例如,选择关联模式进行检测:可以通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。选择触发模式进行检测:由于入侵行为包括一系列的步骤序列,每多执行一步,其入侵行为的特征越明显,因此,可以根据执行行为执行到步骤状态判断该执行行为是否达到告警条件,如果达到告警条件则确定其为入侵行为。选择统计模式进行检测:统计一段时间内重复执行的动作的次数,通过判断其是否超过一定阈值来确定执行的动作行为是否为入侵行为。
根据本发明实施例,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
优选地,所述检测单元70包括:判断子单元,用于基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件,预设条件为根据入侵行为的行为特征预先设定的条件;确定子单元用于当判断出待检测数据对应的行为特征满足预设条件时,确定待检测数据对应的执行行为是入侵行为。
一个系统的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破坏系统的安全性,其入侵的目的包括:盗取数据,破坏保密性;更改数据,破坏完整性;更改服务,破坏可用性。综上,无论入侵怎样变形,其目的是不变的。要达到入侵目的,其入侵行为也是相对稳定的。
通过分析入侵行为特征,根据各个维度数据交互印证,从而定性为入侵行为。经过对入侵行为的分析总结,只有满足预设条件的执行行为才能认定为入侵行为。例如,通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。还可以采用触发式来检测,由于入侵行为包括一系列的步骤序列,每多执行一步,其入侵行为的特征越明显,因此,可以根据执行行为执行到步骤状态判断该执行行为是否达到告警条件,如果达到告警条件则确定其为入侵行为。当然也可以采用统计式的方式,统计一段时间内重复执行的动作的次数,通过判断其是否超过一定阈值来确定执行的动作行为是否为入侵行为。
根据本发明实施例,通过基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件,预设条件为根据入侵行为的行为特征预先设定的条件,如果判断出待检测数据对应的行为特征满足预设条件,则确定待检测数据对应的执行行为是入侵行为。根据预先对入侵行为的行为特征设置相应的条件,以入侵行为的目的来检测入侵行为,达到了进一步提高对变形的入侵行为检测的准确性的效果。
本发明实施例中,可以通过图1所示的计算机100来实现上述入侵检测装置。其中,传输模块106可以相当于获取单元10,用于获取待检测数据并向处理器102传输该待检测数据。其中,确定单元30、选择单元50和检测单元70可以通过处理器102实现,处理器102确定待检测数据对应的行为特征,根据该行为特征从预设检测模式中选择检测模式,基于选择的检测模式检测待检测数据对应的执行行为是否是入侵行为。其中,存储器104可以存储最终结果,也可以存储初始数据或者中间数据。
图8是根据本发明实施例优选的入侵检测装置的示意图。该实施例的入侵检测装置可以作为上述实施例的入侵检测装置的一种优选实施方式。如图8所示,该装置包括:获取单元10、确定单元30、选择单元50和检测单元70。其中,选择单元50包括第一选择模块501,检测单元70包括判断子单元701和确定子单元703,判断子单元701包括计算模块7011和第一判断模块7012。
第一选择模块501用于基于多个行为特征选择关联模式,该关联模式用于对多个行为特征进行关联检测。
计算模块7011用于对多个行为特征对应的待检测数据进行关联分析计算,得到计算结果。
第一判断模块7012用于通过判断计算结果是否满足关联条件来判断行为特征是否满足预设条件。
待检测数据对应的行为特征包括多个行为特征。当待检测数据的行为特征满足用于进行关联模式检测的条件时,即对应有多个行为特征时,可以选择关联模式来对该多个行为特征进行关联检测。具体地,由于待检测数据包括多个维度(或者类型)的数据,每个维度的数据均有其对应的行为特征,即待检测数据对应多个行为特征。判断待检测数据对应的行为特征是否满足预设条件,可以是将多个行为特征对应的待检测数据进行关联分析计算,然后判断计算结果是否满足关联条件,该关联条件可以是用于反映关联后的行为特征组合是否为入侵行为的条件。
具体地,通过任意维度数据关联(包括上下文关联),对行为特征进行关联分析,从而定性为入侵行为。比如文件上传行为:网络数据发现http上传文件请求,对应的主机有新增的cgi文件落地。再如,提权行为:父进程为低权限,子进程为高权限。
通过入侵特点分析,即时入侵的表现形式不同,其入侵行为是不变的。这样针对行为分析,能准确确定入侵,误报较低。
应用场景1,“文件上传行为”分析:
数据维度:网络侧的http请求数据httplog、主机侧的新增cgi文件数据。
现有的基于数据特征匹配的入侵检测方法,无论是通过httplog匹配长传请求,还是通过主机侧匹配新增的cgi文件,都难以检测出“文件上传”,匹配误报较高。
本发明实施例,通过行为特点来检测出“上传行为”。网络侧的http请求数据httplog发现文件上传请求,主机侧的cgi数据发现有新增的cgi文件,从而确定为“文件上传行为”。
具体地,规则匹配与数据运算如下:
Httplog.rule==‘上传’&&httplog.des_ip==cgi.agent_id&&cgi.flag==‘新增’&&httplog.local_tm∈[cgi.local_tm–interval_tm,cgi.local_tm+interval_tm]
应用场景2,提权行为分析:
数据维度:进程数据cmdlog上下文关联。
子进程权限较低,为普通权限。父进程为root权限。通过父子进程关联分析,确定提权行为。
具体的规则与数据运算如下:
Cmdlog.data1.uid==‘normal’&&Cmdlog.data1.pid==Cmdlog.data2.ppid&&Cmdlog.data2.uid==‘root’。
优选地,计算模块7011包括:确定子模块,用于确定多个行为特征对应的待检测数据的数据维度数量;创建子模块,用于创建于数据维度数量相应的堆栈;缓存子模块,用于将多个行为特征对应的待检测数据缓存进创建的堆栈;以及计算子模块,用于对堆栈中的数据进行关联分析计算,得到计算结果。
待检测数据的数据维度数量可以是与行为特征的数量相同,即一种数据维度可以表示一种行为特征,例如上述提到的数据维度:网络侧的http请求数据httplog和主机侧的新增cgi文件数据,分别对应行为特征“网络侧的http请求”和“主机侧的新增cgi文件”。
在确定数据维度数量之后,创建相应数量的堆栈,将各数据维度的数据分别缓存创建的堆栈中,然后依次从堆栈中取出不同维度的数据进行关联分析算法的计算。
根据本发明实施例,通过对待检测数据进行关联分析计算,可以提高对入侵检测的准确性。
优选地,行为特征包括待检测数据对应的执行行为状态,执行行为状态用于反映待检测数据对应的执行行为的执行步骤,其中,选择单元包括第二选择模块,用于基于执行行为状态选择触发模式,触发模式用于对执行行为状态进行检测;判断子单元包括:第二判断模块,用于判断执行行为状态是否满足预设状态,其中,如果判断出执行行为状态满足预设状态,则确定执行行为状态满足预设条件。
当待检测数据对应的行为特征满足用于进行触发模式检测的条件时,可以选择触发模式来对该行为特征进行检测。具体地,由于入侵行为是按照一系列的步骤来入侵的,通过判断入侵行为的一系列先后步骤特征,可以不停地提升异常指数,最终确定入侵行为。相应地,待检测数据对应的执行行为状态表示该待检测数据对应的执行行为所处的执行步骤,如果该状态下执行行为的执行步骤与入侵行为的某一执行步骤相匹配,则可认为该执行行为疑似入侵行为,可以进一步判断该执行行为的执行步骤前后的步骤特征,如果均满足入侵行为的步骤特征,即执行行为状态满足预设状态,则确定执行行为的行为特征满足预设条件,进一步确定执行行为是入侵行为。
具体地,经分析得到,入侵行为步骤包括下载恶意代码、编译、执行等步骤。在对待检测数据进行检测时,如图4所示,如果检测出从数据流中下载可疑代码,则认为该行为具有低风险。如果在下载可疑代码之后,还对下载的代码进行编译,则认为该行为比较可疑,为疑似入侵行为;如果进一步地,检测出在编译之后,还执行编译后的代码,则却确定该行为为入侵行为。
从图4可以看出,随着步骤一步步地执行,该行为的步骤与入侵行为步骤越接近,则其异常行为则越明显。
进一步地,待检测数据对应的执行行为的执行步骤包括预设步骤,其中,第二判断模块包括:判断子模块,用于判断执行步骤是否执行到预设步骤,其中,如果判断出待检测数据的执行行为执行到预设步骤,则判断预设步骤是否超时,如果预设步骤超时,则确定执行行为状态不满足预设状态。
预设步骤可以是待检测数据对应的执行行为的执行步骤中任意一个步骤,如图4中的“编译”。其中,当判断出执行步骤执行到“编译”时,进一步地判断之前的“编译”是否超时,如果超时,则认为无风险,超时退出。其中,“下载可疑代码”的步骤相类似,这里不做赘述。
优选地,确定单元包括:确定模块,用于确定预设时间段内待检测数据对应的执行行为的执行次数;选择单元包括第三选择模块,用于基于执行次数选择统计模式,统计模式用于对执行次数进行检测;判断子单元包括:第三判断模块,用于判断执行次数是否超过数量阈值,其中,如果判断出执行次数超过数量阈值,则确定行为特征满足预设条件。
当待检测数据对应的行为特征满足用于进行统计模式检测的条件时,可以选择统计模式来对该行为特征进行检测。具体地,根据入侵行为频繁的动作特征,以一个或几个特征为基准,聚合统计其动作,从而确定行为是否为入侵行为。例如端口扫描数据,扫描端口数和扫描次数等,如果扫描次数的数量超过一定限度,则确定其行为为入侵行为,输出结果报警。
应用场景3,端口扫描行为:机器A对某一网段的开放端口进行批量扫描。判断方法:以来源ip(机器A的ip)统计某一时间段内扫描数据的数量;超出数量阈值即确定为端口扫描行为,即认定为入侵行为。
应用场景4,暴力破解行为:机器B收到大量的某一用户的登录请求,并且登录失败。判断方法:以受害ip(机器B的ip)统计某一时间段内登录失败的数量;超出数量阈值即确定为暴力破解行为,即认定为入侵行为。
实施例3
根据本发明实施例,还提供了一种用于实施上述入侵检测方法的入侵检测系统,该入侵检测系统包括发明实施例2中的入侵检测装置。具体地,入侵检测系统的功能和应用实例,请参阅实施例1的入侵检测方法和实施例2的入侵检测装置,这里不做赘述。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以存储用于执行本发明实施例的入侵检测方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于实施例3的入侵检测系统上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
步骤S202,获取待检测数据,待检测数据为被检测的数据。
步骤S204,确定待检测数据对应的行为特征,行为特征为用于反映待检测数据对应的执行行为的特征。
步骤S206,根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式。
步骤S208,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。
根据本发明实施例,在存储介质上存储的程序代码,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件。该预设条件为根据入侵行为的行为特征预先设定的条件;如果判断出待检测数据对应的行为特征满足预设条件,则确定待检测数据对应的执行行为是入侵行为。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行本发明实施例1的方法步骤。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种入侵检测方法,其特征在于,包括:
获取待检测数据,所述待检测数据为被检测的数据;
确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征;
根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及
基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。
2.根据权利要求1所述的入侵检测方法,其特征在于,基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为包括:
基于选择的检测模式来判断所述待检测数据对应的行为特征是否满足预设条件,所述预设条件为根据入侵行为的行为特征预先设定的条件;以及
如果判断出所述待检测数据对应的行为特征满足所述预设条件,则确定所述待检测数据对应的执行行为是入侵行为。
3.根据权利要求2所述的入侵检测方法,其特征在于,所述待检测数据对应的行为特征包括多个行为特征,其中,
根据所述行为特征从预设检测模式中选择检测模式包括:基于所述多个行为特征选择关联模式,所述关联模式用于对所述多个行为特征进行关联检测,
基于选择的检测模式判断所述待检测数据对应的行为特征是否满足预设条件包括:对所述多个行为特征对应的待检测数据进行关联分析计算,得到计算结果;通过判断所述计算结果是否满足关联条件来判断所述行为特征是否满足所述预设条件。
4.根据权利要求3所述的入侵检测方法,其特征在于,对所述多个行为特征对应的待检测数据进行关联分析计算,得到计算结果包括:
确定所述多个行为特征对应的待检测数据的数据维度数量;
创建于所述数据维度数量相应的堆栈;
将所述多个行为特征对应的待检测数据缓存进创建的堆栈;以及
对所述堆栈中的数据进行关联分析计算,得到所述计算结果。
5.根据权利要求2所述的入侵检测方法,其特征在于,所述行为特征包括所述待检测数据对应的执行行为状态,所述执行行为状态用于反映所述待检测数据对应的执行行为的执行步骤,其中,
根据所述行为特征从预设检测模式中选择检测模式包括:基于所述执行行为状态选择触发模式,所述触发模式用于对所述执行行为状态进行检测,
基于选择的检测模式判断所述待检测数据对应的行为特征是否满足预设条件包括:判断所述执行行为状态是否满足预设状态,其中,如果判断出所述执行行为状态满足所述预设状态,则确定所述执行行为状态满足所述预设条件。
6.根据权利要求5所述的入侵检测方法,其特征在于,所述待检测数据对应的执行行为的执行步骤包括预设步骤,其中,
判断所述执行行为状态是否满足预设状态包括:判断所述执行步骤是否执行到所述预设步骤,其中,如果所述判断出所述待检测数据的执行行为执行到所述预设步骤,则判断所述预设步骤是否超时,如果所述预设步骤超时,则确定所述执行行为状态不满足所述预设状态。
7.根据权利要求2所述的入侵检测方法,其特征在于,
确定所述待检测数据对应的行为特征包括:确定预设时间段内所述待检测数据对应的执行行为的执行次数,
根据所述行为特征从预设检测模式中选择检测模式包括:基于所述执行次数选择统计模式,所述统计模式用于对所述执行次数进行检测,
基于选择的检测模式判断所述行为特征是否满足预设条件包括:判断所述执行次数是否超过数量阈值,其中,如果判断出所述执行次数超过所述数量阈值,则确定所述行为特征满足所述预设条件。
8.一种入侵检测装置,其特征在于,包括:
获取单元,用于获取待检测数据,所述待检测数据为被检测的数据;
确定单元,用于确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征;
选择单元,用于根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及
检测单元,用于基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。
9.根据权利要求8所述的入侵检测装置,其特征在于,所述检测单元包括:
判断子单元,用于基于选择的检测模式来判断所述待检测数据对应的行为特征是否满足预设条件,所述预设条件为根据入侵行为的行为特征预先设定的条件;以及
确定子单元,用于当判断出所述待检测数据对应的行为特征满足所述预设条件时,确定所述待检测数据对应的执行行为是入侵行为。
10.根据权利要求9所述的入侵检测装置,其特征在于,所述待检测数据对应的行为特征包括多个行为特征,其中,
所述选择单元包括:第一选择模块,用于基于所述多个行为特征选择关联模式,所述关联模式用于对所述多个行为特征进行关联检测,
所述判断子单元包括:计算模块,用于对所述多个行为特征对应的待检测数据进行关联分析计算,得到计算结果;第一判断模块,用于通过判断所述计算结果是否满足关联条件来判断所述行为特征是否满足所述预设条件。
11.根据权利要求10所述的入侵检测装置,其特征在于,所述计算模块包括:
确定子模块,用于确定所述多个行为特征对应的待检测数据的数据维度数量;
创建子模块,用于创建于所述数据维度数量相应的堆栈;
缓存子模块,用于将所述多个行为特征对应的待检测数据缓存进创建的堆栈;以及
计算子模块,用于对所述堆栈中的数据进行关联分析计算,得到所述计算结果。
12.根据权利要求9所述的入侵检测装置,其特征在于,所述行为特征包括所述待检测数据对应的执行行为状态,所述执行行为状态用于反映所述待检测数据对应的执行行为的执行步骤,其中,
所述选择单元包括:第二选择模块,用于基于所述执行行为状态选择触发模式,所述触发模式用于对所述执行行为状态进行检测,
所述判断子单元包括:第二判断模块,用于判断所述执行行为状态是否满足预设状态,其中,如果判断出所述执行行为状态满足所述预设状态,则确定所述执行行为状态满足所述预设条件。
13.根据权利要求12所述的入侵检测装置,其特征在于,所述待检测数据对应的执行行为的执行步骤包括预设步骤,其中,
所述第二判断模块包括:判断子模块,用于判断所述执行步骤是否执行到所述预设步骤,其中,如果所述判断出所述待检测数据的执行行为执行到所述预设步骤,则判断所述预设步骤是否超时,如果所述预设步骤超时,则确定所述执行行为状态不满足所述预设状态。
14.根据权利要求9所述的入侵检测装置,其特征在于,
所述确定单元包括:确定模块,用于确定预设时间段内所述待检测数据对应的执行行为的执行次数,
所述选择单元包括:第三选择模块,用于基于所述执行次数选择统计模式,所述统计模式用于对所述执行次数进行检测,
所述判断子单元包括:第三判断模块,用于判断所述执行次数是否超过数量阈值,其中,如果判断出所述执行次数超过所述数量阈值,则确定所述行为特征满足所述预设条件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410270632.XA CN105187224B (zh) | 2014-06-17 | 2014-06-17 | 入侵检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410270632.XA CN105187224B (zh) | 2014-06-17 | 2014-06-17 | 入侵检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105187224A true CN105187224A (zh) | 2015-12-23 |
| CN105187224B CN105187224B (zh) | 2018-05-01 |
Family
ID=54909079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410270632.XA Active CN105187224B (zh) | 2014-06-17 | 2014-06-17 | 入侵检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105187224B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
| WO2018019010A1 (zh) * | 2016-07-25 | 2018-02-01 | 中兴通讯股份有限公司 | 动态行为分析方法、装置、系统及设备 |
| CN108075913A (zh) * | 2016-11-15 | 2018-05-25 | 千寻位置网络有限公司 | 一种播发系统服务质量的监控方法及其系统 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
| CN113114620A (zh) * | 2021-03-02 | 2021-07-13 | 深信服科技股份有限公司 | 一种暴力破解的检测方法和装置,及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN101707601A (zh) * | 2009-11-23 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
| CN102571469A (zh) * | 2010-12-23 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 攻击检测方法和装置 |
| WO2012108687A2 (en) * | 2011-02-08 | 2012-08-16 | Ahnlab., Inc. | Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method |
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
| CN103746987A (zh) * | 2013-12-31 | 2014-04-23 | 东软集团股份有限公司 | 语义Web应用中检测DoS攻击的方法与系统 |
| CN103841096A (zh) * | 2013-09-05 | 2014-06-04 | 北京科能腾达信息技术股份有限公司 | 自动调整匹配算法的入侵检测方法 |
-
2014
- 2014-06-17 CN CN201410270632.XA patent/CN105187224B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN101707601A (zh) * | 2009-11-23 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
| CN102571469A (zh) * | 2010-12-23 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 攻击检测方法和装置 |
| WO2012108687A2 (en) * | 2011-02-08 | 2012-08-16 | Ahnlab., Inc. | Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method |
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
| CN103841096A (zh) * | 2013-09-05 | 2014-06-04 | 北京科能腾达信息技术股份有限公司 | 自动调整匹配算法的入侵检测方法 |
| CN103746987A (zh) * | 2013-12-31 | 2014-04-23 | 东软集团股份有限公司 | 语义Web应用中检测DoS攻击的方法与系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018019010A1 (zh) * | 2016-07-25 | 2018-02-01 | 中兴通讯股份有限公司 | 动态行为分析方法、装置、系统及设备 |
| CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
| CN108075913A (zh) * | 2016-11-15 | 2018-05-25 | 千寻位置网络有限公司 | 一种播发系统服务质量的监控方法及其系统 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN109587179B (zh) * | 2019-01-28 | 2021-04-20 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
| CN113114620A (zh) * | 2021-03-02 | 2021-07-13 | 深信服科技股份有限公司 | 一种暴力破解的检测方法和装置,及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105187224B (zh) | 2018-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105187224A (zh) | 入侵检测方法和装置 | |
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| US9407649B2 (en) | Log analysis device and method | |
| Bhatt et al. | Towards a framework to detect multi-stage advanced persistent threats attacks | |
| CN111147513B (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
| CN103891331A (zh) | 移动风险评估 | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| CN106709325B (zh) | 一种监控程序的方法及装置 | |
| US20080120720A1 (en) | Intrusion detection via high dimensional vector matching | |
| EP3198488A1 (en) | Data mining algorithms adopted for trusted execution environment | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN104361283A (zh) | 防护Web攻击的方法 | |
| CN105205394A (zh) | 用于入侵检测的数据检测方法和装置 | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| CN105302707A (zh) | 应用程序的漏洞检测方法和装置 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| Snehi et al. | Global intrusion detection environments and platform for anomaly-based intrusion detection systems | |
| CN112769797A (zh) | 一种闭源电力工控系统的安全防御系统及防御方法 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN114172709B (zh) | 一种网络多步攻击检测方法、装置、设备及存储介质 | |
| CN116599747A (zh) | 一种网络与信息安全服务系统 | |
| Guo et al. | Behavior Classification based Self-learning Mobile Malware Detection. | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190808 Address after: 518000 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |