CN108234480B - 入侵检测方法及装置 - Google Patents

入侵检测方法及装置 Download PDF

Info

Publication number
CN108234480B
CN108234480B CN201711476087.XA CN201711476087A CN108234480B CN 108234480 B CN108234480 B CN 108234480B CN 201711476087 A CN201711476087 A CN 201711476087A CN 108234480 B CN108234480 B CN 108234480B
Authority
CN
China
Prior art keywords
address
command
intruder
operation record
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711476087.XA
Other languages
English (en)
Other versions
CN108234480A (zh
Inventor
李响
董一峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201711476087.XA priority Critical patent/CN108234480B/zh
Publication of CN108234480A publication Critical patent/CN108234480A/zh
Application granted granted Critical
Publication of CN108234480B publication Critical patent/CN108234480B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Debugging And Monitoring (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明公开了一种入侵检测方法及装置,涉及安全技术领域,能够解决无法实现Linux操作系统入侵检测的问题。本发明的方法主要包括:获取关于shell命令的历史操作记录;通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,或者通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。本发明主要适用于对Linux系统中登陆bash入侵检测的场景中。

Description

入侵检测方法及装置
技术领域
本发明涉及安全技术领域,特别是涉及一种入侵检测方法及装置。
背景技术
Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统,其以性能稳定、运行高效而被各大企业广泛使用。shell是Linux操作系统的用户界面,提供了用户与内核进行交互操作的接口。shell包括bash、korn shell、C shell、Z shell等多种版本,但不论是哪一种shell,它最主要的功能都是解译使用者在命令列提示符号下输入的指令。在一个企业中,使用Linux操作系统的员工、管理员等都可以通过登陆注册的账号输入shell命令让系统执行各种操作。但是,黑客可以通过盗取账号来执行一些攻击性命令,给企业造成损失。因此,入侵检测是目前面临的一大难题。
发明内容
有鉴于此,本发明提供的入侵检测方法及装置,其目的在于如何实现Linux操作系统的入侵检测功能。
本发明的目的是采用以下技术方案来实现的:
第一方面,本发明提供了一种入侵检测方法,所述方法包括:
获取关于shell命令的历史操作记录;
通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,或者通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
可选的,通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,确定所述IP地址是否为入侵者包括:
将所述执行shell命令的IP地址与正常来源的IP地址进行匹配;
若所述执行shell命令的IP地址与所述正常来源的IP地址均不相同,则确定所述执行shell命令的IP地址是入侵者。
可选的,所述正常来源的IP地址包括:本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。
可选的,通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者包括:
从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容;
判断所述命令内容是否与所述用户名的执行权限相匹配;
若所述命令内容与所述用户名的执行权限不匹配,则确定所述IP地址为入侵者。
可选的,所述方法还包括:
若所述命令内容与所述用户名的执行权限匹配,则判断所述命令内容是否与所述用户名的历史正常行为特征相匹配,所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征;
若所述命令内容与所述历史正常行为特征不匹配,则确定所述IP地址为入侵者。
可选的,获取关于shell命令的历史操作记录包括:
获取远程日志服务器接收到的用户设备发送的所述历史操作记录,所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录。
第二方面,本发明提供了一种入侵检测装置,所述装置包括:
获取单元,用于获取关于shell命令的历史操作记录;
确定单元,用于通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,或者通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
可选的,所述确定单元包括:
第一匹配模块,用于将所述执行shell命令的IP地址与正常来源的IP地址进行匹配;
第一确定模块,用于当所述执行shell命令的IP地址与所述正常来源的IP地址均不相同时,确定所述执行shell命令的IP地址是入侵者。
可选的,所述正常来源的IP地址包括:本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。
可选的,所述确定单元包括:
获取模块,用于从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容;
判断模块,用于判断所述命令内容是否与所述用户名的执行权限相匹配;
第二确定模块,用于当所述命令内容与所述用户名的执行权限不匹配时,确定所述IP地址为入侵者。
可选的,所述判断模块,还用于当所述命令内容与所述用户名的执行权限匹配时,判断所述命令内容是否与所述用户名的历史正常行为特征相匹配,所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征;
第三确定模块,用于当所述命令内容与所述历史正常行为特征不匹配时,确定所述IP地址为入侵者。
可选的,所述获取单元,用于获取远程日志服务器接收到的用户设备发送的所述历史操作记录,所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录。
第三方面,本发明提供了一种存储介质,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行如第一方面所述的入侵检测方法。
第四方面,本发明提供了一种电子设备,所述电子设备包括存储介质和处理器;
所述处理器,适于实现各指令;
所述存储介质,适于存储多条指令;
所述指令适于由所述处理器加载并执行如第一方面所述的入侵检测方法。
借由上述技术方案,相比于现有技术无法检测出Linux系统入侵者而言,本发明提供的入侵检测方法及装置,能够先获取到对系统执行shell命令的历史操作记录,然后通过对该历史操作记录中执行shell命令的IP地址的来源进行异常分析来确定该IP地址是否为入侵者,或者通过对该历史操作记录反映的执行行为进行异常分析,来确定该IP地址是否为入侵者,从而可以预防该入侵者再次入侵。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种入侵检测方法的流程图;
图2示出了本发明实施例提供的一种入侵检测装置的组成框图;
图3示出了本发明实施例提供的另一种入侵检测装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种入侵检测方法,如图1,所述方法主要包括:
101、获取关于shell命令的历史操作记录。
其中,关于shell命令的历史操作记录包括:执行shell命令的进程ID(Identity,身份标识)、执行shell命令的用户ID、执行shell命令的用户名、执行的命令内容、执行shell命令的IP地址(Internet Protocol Address,互联网协议地址)。针对用户的每一次操作,都会记录上述一组参数。
在Linux系统中,可以通过history命令查看用户所有的历史操作记录。但是入侵者(或称攻击者)登录系统后,可以通过取消环境变量、删除历史操作记录等方式抹掉操作行为。因此,为了保留入侵者的入侵证据,可以实时将历史操作记录远程发送给远程日志服务器(如rsyslog服务器),以便基于远程日志服务器查询历史操作记录。
对于普遍使用的一种shell bash而言,从bash4.1版本开始,bash支持rsyslog,因此可以基于bash4.1版本实现远程记录历史操作记录的功能。具体的,可以通过修改bashhist.c文件中的特定语句来实现,修改后的语句中可以定义输出以下参数:PID、UID、USER、Cmd、host,其中PID表示当前执行shell命令的进程ID(可以用getpid函数获取)、UID表示当前执行shell命令的用户ID、USER表示当前执行shell命令的用户名、Cmd表示当前执行的命令内容、host表示当前执行shell命令的IP地址(可以用gethost函数获取)。例如,修改后的语句可以包括:syslog(SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY:PID=%d UID=%d User=%s Cmd=%s"host=%s,getpid(),current_user.uid,current_user.user_name,line,gethost())。
也就是说,本步骤的具体实现方式可以为获取远程日志服务器接收到的用户设备发送的所述历史操作记录,所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录。其中,本发明实施例的执行主体可以是远程日志服务器,也可以不是远程日志服务器。
102、通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,或者通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
由于历史操作记录中可以包括执行shell命令的IP地址,所以可以直接对该IP地址的来源进行异常分析,若IP地址异常,则可以确定该IP地址是入侵者,若IP地址正常,则确定该IP地址不是入侵者。具体的,由于允许登陆系统的IP地址都是有记录的,所以对IP地址进行异常分析的具体实现方式可以为:将所述执行shell命令的IP地址与正常来源的IP地址进行匹配;若所述执行shell命令的IP地址与所述正常来源的IP地址均不相同,则确定所述执行shell命令的IP地址是入侵者。
其中,正常来源的IP地址包括:本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。也就是说,当待分析的IP地址不是本地局域网内的普通用户的IP地址,也不是堡垒机的IP地址,也不是管理员的IP地址时,可以确定该IP地址异常,是入侵者。另外,为了加快匹配速度,当该IP地址是非正常管理员IP地址时,可以直接确定该IP地址是入侵者,例如该IP地址是服务器中间件用户(www,web...)时,属于非正常管理员IP地址,则可以直接确定该IP是入侵者。另外,为了提高IP地址匹配的效率,可以先将待匹配IP地址所属网段与正常来源的IP地址所属网段进行匹配,当所属网段不同时,直接确定待匹配IP地址的来源不正常,是入侵者;而当所属网段相同时,再通过一一对比的方式进行匹配。
当需要匹配的正常来源的IP地址较多时,对IP地址来源异常的判断需要花费的时间较长,或者也可能存在入侵者进入本地局域网内部使用本地局域网内的设备进行入侵操作,从而出现仅根据IP地址来源无法确定出入侵者的情况。为了解决上述问题,可以采用另一种方法检测入侵者。由于在实际应用中,不同用户往往拥有不同的执行shell命令的权限,或者即使没有对某个用户限制某项权限,但是企业内部的正常员工一般也不会越权,因此可以通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
具体的,可以先从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容;然后判断所述命令内容是否与所述用户名的执行权限相匹配;若所述命令内容与所述用户名的执行权限不匹配,则确定所述IP地址为入侵者;若所述命令内容与所述用户名的执行权限匹配,则确定所述IP地址不是入侵者。
然而,当没有对某个用户限制某项权限时,虽然企业内部的正常员工一般都会做上司交代的事情,而不会越权(即不会做这个本该设置权限,但是没有设置权限的事情),但是心思不正的员工也会越权,或者企业外部的入侵者进入企业使用该员工的用户设备进行越权操作,或者作出对企业产生危害的操作。为了防止上述事件继续发生,需要针对上述情况进行入侵检测。具体实现方式可以为:若所述命令内容与所述用户名的执行权限匹配,则先判断所述命令内容是否与所述用户名的历史正常行为特征相匹配,所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征;若所述命令内容与所述历史正常行为特征不匹配,则确定所述IP地址为入侵者;若所述命令内容与所述历史正常行为特征匹配,则确定所述IP地址不是入侵者。
例如,某用户平时只会调用文件1-文件10,突然某一次该用户调用了文件18,则可以确定该用户的行为特征不正常,从而确定该用户的用户名所对应的IP地址是入侵者。
相比于现有技术无法检测出Linux系统入侵者而言,本发明实施例提供的入侵检测方法,能够先获取到对系统执行shell命令的历史操作记录,然后通过对该历史操作记录中执行shell命令的IP地址的来源进行异常分析来确定该IP地址是否为入侵者,或者通过对该历史操作记录反映的执行行为进行异常分析,来确定该IP地址是否为入侵者,从而可以预防该入侵者再次入侵。
进一步的,依据上述方法实施例,本发明的另一个实施例还提供了一种入侵检测装置,如图2所示,所述装置主要包括:获取单元21、确定单元22。其中,
获取单元21,用于获取关于shell命令的历史操作记录;
其中,关于shell命令的历史操作记录包括:执行shell命令的进程ID、执行shell命令的用户ID、执行shell命令的用户名、执行的命令内容、执行shell命令的IP地址(Internet Protocol Address,互联网协议地址)。
确定单元22,用于通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,或者通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
可选的,如图3所示,所述确定单元22包括:
第一匹配模块221,用于将所述执行shell命令的IP地址与正常来源的IP地址进行匹配;
第一确定模块222,用于当所述执行shell命令的IP地址与所述正常来源的IP地址均不相同时,确定所述执行shell命令的IP地址是入侵者。
可选的,所述正常来源的IP地址包括:本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。也就是说,当待分析的IP地址不是本地局域网内的普通用户的IP地址,也不是堡垒机的IP地址,也不是管理员的IP地址时,可以确定该IP地址异常,是入侵者。另外,为了加快匹配速度,当该IP地址是非正常管理员IP地址时,可以直接确定该IP地址是入侵者,例如该IP地址是服务器中间件用户(www,web...)时,属于非正常管理员IP地址,则可以直接确定该IP是入侵者。另外,为了提高IP地址匹配的效率,可以先对待匹配IP地址所属网段与正常来源的IP地址的网段进行匹配,当所属网段不同时,直接确定待匹配IP地址的来源不正常,是入侵者;而当所属网段相同时,再通过一一对比的方式进行匹配。
可选的,如图3所示,所述确定单元22包括:
获取模块223,用于从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容;
判断模块224,用于判断所述命令内容是否与所述用户名的执行权限相匹配;
第二确定模块225,用于当所述命令内容与所述用户名的执行权限不匹配时,确定所述IP地址为入侵者。
可选的,所述判断模块224,还用于当所述命令内容与所述用户名的执行权限匹配时,判断所述命令内容是否与所述用户名的历史正常行为特征相匹配,所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征;
第三确定模块226,用于当所述命令内容与所述历史正常行为特征不匹配时,确定所述IP地址为入侵者。
可选的,所述获取单元21,用于获取远程日志服务器接收到的用户设备发送的所述历史操作记录,所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录。
对于普遍使用的一种shell bash而言,从bash4.1版本开始,bash开始支持rsyslog,因此可以基于bash4.1版本实现远程记录历史操作记录的功能。具体的,可以通过修改bashhist.c文件中的特定语句来实现,修改后的语句中可以定义输出以下参数:PID、UID、USER、Cmd、host,其中PID表示当前执行shell命令的进程ID(可以用getpid函数获取)、UID表示当前执行shell命令的用户ID、USER表示当前执行shell命令的用户名、Cmd表示当前执行的命令内容、host表示当前执行shell命令的IP地址(可以用gethost函数获取)。
相比于现有技术无法检测出Linux系统入侵者而言,本发明实施例提供的入侵检测装置,能够先获取到对系统执行shell命令的历史操作记录,然后通过对该历史操作记录中执行shell命令的IP地址的来源进行异常分析来确定该IP地址是否为入侵者,或者通过对该历史操作记录反映的执行行为进行异常分析,来确定该IP地址是否为入侵者,从而可以预防该入侵者再次入侵。
进一步的,依据上述方法实施例,本发明的另一个实施例还提供了一种存储介质,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行如上所述的入侵检测方法。
相比于现有技术无法检测出Linux系统入侵者而言,本发明实施例提供的存储介质中存储的指令,能够先获取到对系统执行shell命令的历史操作记录,然后通过对该历史操作记录中执行shell命令的IP地址的来源进行异常分析来确定该IP地址是否为入侵者,或者通过对该历史操作记录反映的执行行为进行异常分析,来确定该IP地址是否为入侵者,从而可以预防该入侵者再次入侵。
进一步的,依据上述方法实施例,本发明的另一个实施例还提供了一种电子设备,所述电子设备包括存储介质和处理器;
所述处理器,适于实现各指令;
所述存储介质,适于存储多条指令;
所述指令适于由所述处理器加载并执行如上所述的入侵检测方法。
相比于现有技术无法检测出Linux系统入侵者而言,本发明实施例提供的电子设备,能够先获取到对系统执行shell命令的历史操作记录,然后通过对该历史操作记录中执行shell命令的IP地址的来源进行异常分析来确定该IP地址是否为入侵者,或者通过对该历史操作记录反映的执行行为进行异常分析,来确定该IP地址是否为入侵者,从而可以预防该入侵者再次入侵。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求防护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求防护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的入侵检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (10)

1.一种入侵检测方法,其特征在于,所述方法包括:
获取关于shell命令的历史操作记录;
通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,确定所述IP地址是否为入侵者;
其中,获取关于shell命令的历史操作记录包括:获取远程日志服务器接收到的用户设备发送的所述历史操作记录,所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录;
通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,确定所述IP地址是否为入侵者包括:
将所述执行shell命令的IP地址与正常来源的IP地址进行匹配,其中,先将所述执行shell命令的IP地址所属网段与正常来源的IP地址所属网段进行匹配,当所属网段不同时,直接确定所述执行shell命令的IP地址的来源不正常,是入侵者;而当所属网段相同时,再通过一一对比的方式进行匹配;
若所述执行shell命令的IP地址与所述正常来源的IP地址均不相同,则确定所述执行shell命令的IP地址是入侵者;
当需要匹配的正常来源的IP地址较多且对IP地址来源异常的判断需要花费的时间较长时,通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
2.根据权利要求1所述的方法,其特征在于,所述正常来源的IP地址包括:本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。
3.根据权利要求1所述的方法,其特征在于,通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者包括:
从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容;
判断所述命令内容是否与所述用户名的执行权限相匹配;
若所述命令内容与所述用户名的执行权限不匹配,则确定所述IP地址为入侵者。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述命令内容与所述用户名的执行权限匹配,则判断所述命令内容是否与所述用户名的历史正常行为特征相匹配,所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征;
若所述命令内容与所述历史正常行为特征不匹配,则确定所述IP地址为入侵者。
5.一种入侵检测装置,其特征在于,所述装置包括:
获取单元,用于获取关于shell命令的历史操作记录;
确定单元,用于通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析,确定所述IP地址是否为入侵者;
其中,所述获取单元,用于获取远程日志服务器接收到的用户设备发送的所述历史操作记录,所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录;
所述确定单元包括:
第一匹配模块,用于将所述执行shell命令的IP地址与正常来源的IP地址进行匹配,其中,先将所述执行shell命令的IP地址所属网段与正常来源的IP地址所属网段进行匹配,当所属网段不同时,直接确定所述执行shell命令的IP地址的来源不正常,是入侵者;而当所属网段相同时,再通过一一对比的方式进行匹配;
第一确定模块,用于当所述执行shell命令的IP地址与所述正常来源的IP地址均不相同时,确定所述执行shell命令的IP地址是入侵者;
确定单元还用于当需要匹配的正常来源的IP地址较多且对IP地址来源异常的判断需要花费的时间较长时通过对所述历史操作记录反映的执行行为进行异常分析,确定所述IP地址是否为入侵者。
6.根据权利要求5所述的装置,其特征在于,所述正常来源的IP地址包括:本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。
7.根据权利要求5所述的装置,其特征在于,所述确定单元包括:
获取模块,用于从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容;
判断模块,用于判断所述命令内容是否与所述用户名的执行权限相匹配;
第二确定模块,用于当所述命令内容与所述用户名的执行权限不匹配时,确定所述IP地址为入侵者。
8.根据权利要求7所述的装置,其特征在于,所述判断模块,还用于当所述命令内容与所述用户名的执行权限匹配时,判断所述命令内容是否与所述用户名的历史正常行为特征相匹配,所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征;
第三确定模块,用于当所述命令内容与所述历史正常行为特征不匹配时,确定所述IP地址为入侵者。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行如权利要求1-4中任一项所述的入侵检测方法。
10.一种电子设备,其特征在于,所述电子设备包括存储介质和处理器;
所述处理器,适于实现各指令;
所述存储介质,适于存储多条指令;
所述指令适于由所述处理器加载并执行如权利要求1-4中任一项所述的入侵检测方法。
CN201711476087.XA 2017-12-29 2017-12-29 入侵检测方法及装置 Active CN108234480B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711476087.XA CN108234480B (zh) 2017-12-29 2017-12-29 入侵检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711476087.XA CN108234480B (zh) 2017-12-29 2017-12-29 入侵检测方法及装置

Publications (2)

Publication Number Publication Date
CN108234480A CN108234480A (zh) 2018-06-29
CN108234480B true CN108234480B (zh) 2021-06-22

Family

ID=62646120

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711476087.XA Active CN108234480B (zh) 2017-12-29 2017-12-29 入侵检测方法及装置

Country Status (1)

Country Link
CN (1) CN108234480B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111988302A (zh) * 2020-08-14 2020-11-24 苏州浪潮智能科技有限公司 一种检测反弹程序的方法、系统、终端及存储介质
CN112039879A (zh) * 2020-08-28 2020-12-04 杭州安恒信息技术股份有限公司 一种高交互蜜罐的攻击记录方法、装置和介质
CN112887333A (zh) * 2021-03-02 2021-06-01 深信服科技股份有限公司 一种异常设备检测方法、装置、电子设备及可读存储介质
CN113395287B (zh) * 2021-06-22 2022-06-28 杭州默安科技有限公司 一种记录网络攻击ip和命令执行回显的方法和系统
CN113835931B (zh) * 2021-10-11 2022-08-26 长春嘉诚信息技术股份有限公司 一种应用于区块链的数据修改发现方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102891855A (zh) * 2012-10-16 2013-01-23 北京神州绿盟信息安全科技股份有限公司 网络数据流安全处理方法及设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1333552C (zh) * 2005-03-23 2007-08-22 北京首信科技有限公司 基于机器学习的用户行为异常的检测方法
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN105160245B (zh) * 2014-06-11 2019-01-08 腾讯科技(深圳)有限公司 操作事件的检查方法和装置
CN105207831B (zh) * 2014-06-12 2017-11-03 腾讯科技(深圳)有限公司 操作事件的检测方法和装置
WO2017160760A1 (en) * 2016-03-15 2017-09-21 Carbon Black, Inc. System and method for reverse command shell detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102891855A (zh) * 2012-10-16 2013-01-23 北京神州绿盟信息安全科技股份有限公司 网络数据流安全处理方法及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于模式挖掘的用户行为异常检测";连一峰,戴英侠,王航;《计算机学报》;20020331;第25卷(第3期);325-330 *

Also Published As

Publication number Publication date
CN108234480A (zh) 2018-06-29

Similar Documents

Publication Publication Date Title
CN109067815B (zh) 攻击事件溯源分析方法、系统、用户设备及存储介质
CN108234480B (zh) 入侵检测方法及装置
JP7544738B2 (ja) ロギングによる機密データの暴露の検出
CN106650436B (zh) 一种基于局域网的安全检测方法和装置
CN101098226B (zh) 一种病毒在线实时处理系统及其方法
US9892261B2 (en) Computer imposed countermeasures driven by malware lineage
US10055585B2 (en) Hardware and software execution profiling
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
CN111651757A (zh) 攻击行为的监测方法、装置、设备及存储介质
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
CN107579997A (zh) 无线网络入侵检测系统
CN107566401B (zh) 虚拟化环境的防护方法及装置
CN112291258B (zh) 网关风险控制方法及装置
US11556652B2 (en) End-point visibility
CN108959936B (zh) 一种基于路径分析的缓冲区溢出漏洞自动利用方法
CN113497786A (zh) 一种取证溯源方法、装置以及存储介质
CN113886814A (zh) 一种攻击检测方法及相关装置
CN114117414A (zh) 移动应用的安全防护系统、方法、设备及存储介质
CN113569240B (zh) 恶意软件的检测方法、装置及设备
WO2017080424A1 (zh) 一种基于局域网的安全检测方法和装置
CN106650439A (zh) 检测可疑应用程序的方法及装置
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
CN111444510A (zh) 基于虚拟机实现的cpu漏洞检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant