CN110363002A - 一种入侵检测方法、装置、设备及可读存储介质 - Google Patents
一种入侵检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110363002A CN110363002A CN201910641095.8A CN201910641095A CN110363002A CN 110363002 A CN110363002 A CN 110363002A CN 201910641095 A CN201910641095 A CN 201910641095A CN 110363002 A CN110363002 A CN 110363002A
- Authority
- CN
- China
- Prior art keywords
- file
- document
- abnormal document
- information
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种入侵检测方法,包括:对高交互蜜罐中的文件进行监控,判断文件的文件信息是否发生变化;若文件信息发生变化,则确定文件为异常文件,并获取异常文件的异常文件特征码;将异常文件特征码和各个病毒特征码进行对比,判断异常文件是否为病毒文件;若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息;本发明解决了现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题;此外,本发明还提供了一种入侵检测装置、设备及计算机可读存储介质,同样具有上述有益效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种入侵检测方法、装置、设备及计算机可读存储介质。
背景技术
随着互联网技术的快速发展,越来越多的网络入侵工具和网络入侵技术被发明出来。为了防御和探测网络入侵攻击,需要部署高交互的蜜罐伪装成真实环境去收集入侵者的入侵数据。
蜜罐系统是一种对入侵者进行欺骗的系统。通过布置一些作为诱饵的主机、网络服务或者信息,诱使入侵者对它们实施入侵,从而可以对入侵行为进行捕获和分析,了解入侵者所使用的方法,推测入侵意图和动机。通过蜜罐系统,防御方能够清晰地了解自身所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。现有技术能够捕获已知攻击事件和自动预测未知攻击事件,并提取隐蔽的互联网恶意资源信息。但现有技术的检测目标过于单一,只能检测高交互蜜罐的基本信息、进程列表和网络连接数据,无法获取入侵者的入侵数据,进而无法全面地了解入侵者在进行入侵时的惯用方法。
因此,如何解决现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种入侵检测方法、装置、设备及计算机可读存储介质,解决了现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题。
为解决上述技术问题,本发明提供了一种入侵检测方法,包括:
对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;
若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;
将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;
若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。
可选的,所述对高交互蜜罐中的文件进行监控,包括:
获取蜜罐信息,利用所述蜜罐信息建立所述高交互蜜罐;其中,所述蜜罐信息包括IP地址、子网掩码、网关和操作系统类型;
利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控。
可选的,在利用所述蜜罐信息建立所述高交互蜜罐之后,在利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控之前,还包括:
获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;
若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。
可选的,获取所述异常文件的异常文件特征码,包括:
利用弱哈希算法对所述异常文件进行分片处理,得到多个异常文件分片;
利用哈希算法计算各个所述异常文件分片的哈希值,并对所述哈希值进行压缩处理,得到与所述哈希值对应的压缩哈希值;
查询预设特征码表得到各个所述压缩哈希值对应的ASCII码字符,并按照所述异常文件分片在所述异常文件中的位置排列所述ASCII码字符,得到所述异常文件特征码。
可选的,将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件,包括:
分别计算所述异常文件特征码和各个所述病毒特征码之间的编辑距离,获取各个所述编辑距离中的最小值,并判断所述最小值是否小于距离阈值;
若所述最小值小于所述距离阈值,则确定所述异常文件为所述最小值对应的所述病毒文件。
可选的,在确定所述文件为异常文件之后,还包括:
利用所述文件信息获取所述异常文件的路径,利用所述路径获取所述异常文件并将所述异常文件移入沙盒中。
本发明还提供了一种入侵检测装置,包括:
第一判断模块,用于对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;
特征码获取模块,用于若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;
第二判断模块,用于将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;
信息输出模块,用于若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。
可选的,还包括:
信息获取模块,用于获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;
变化信息输出模块,用于若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。
本发明还提供了一种入侵检测设备,包括存储器和处理器,其中:
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的入侵检测方法。
本发明还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的入侵检测方法。
可见,本方法对高交互蜜罐中的文件进行监控,获取文件信息,并判断文件信息是否发生变化。若文件信息发生变化,则确定文件为异常文件,获取异常文件的异常文件特征码。利用异常文件特征码和各个病毒特征码判断异常文件是否为病毒文件。若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息。本方法通过对高交互蜜罐中的文件进行监控,判断入侵者在高交互蜜罐中部署的病毒文件的类别,进而可以了解入侵者在进行入侵时惯用的病毒,更加全面地了解入侵者在进行入侵时的惯用方法。
此外,本发明还提供了一种入侵检测装置、设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种入侵检测方法流程图;
图2为本发明实施例提供的另一种入侵检测方法流程图;
图3为本发明实施例提供的另一种入侵检测方法流程图;
图4为本发明实施例提供的另一种入侵检测方法流程图;
图5为本发明实施例提供的一种入侵检测装置的结构示意图;
图6为本发明实施例提供的一种入侵检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例提供的一种入侵检测方法流程图。该方法包括:
S101:对高交互蜜罐中的文件进行监控。
具体的,分析中心获取蜜罐信息,利用蜜罐信息建立高交互蜜罐,具体请参考图2,图2为本发明实施例提供的另一种入侵检测方法流程图。其中,蜜罐信息包括IP地址、子网掩码、网关和操作系统类型。本实施例并不限定高交互蜜罐的具体数量,也不限定蜜罐信息是否仅有IP地址、子网掩码、网关和操作系统类型四项,可以根据具体情况设置高交互蜜罐的数量和蜜罐信息的具体内容。在本实施例中,利用与操作系统类型对应的监控程序对高交互蜜罐中的文件进行监控,例如当操作系统类型为Windows操作系统时,可以利用Windows底层驱动程序来进监控文件系统事件,即对Windows高交互蜜罐中的文件进行监控;当操作系统类型为Linux操作系统时,可以利用Inotify监控Linux文件系统事件,即对Linux高交互蜜罐中的文件进行监控。本实施例并不限定监控程序的启动时间,例如可以在高交互蜜罐启动后自动启动。本实施例并不限定被监控文件的具体数量和种类,例如可以监控高交互蜜罐中所有文件;或者可以监控高交互蜜罐中特殊文件夹中的文件;或者可以预设监控文件列表,仅监控该列表中的文件。本实施例并不限定执行监控操作的频率,例如可以实时对高交互蜜罐中的文件进行监控,即每执行完一次监控操作,立即执行下一次监控操作;或者可以每隔预设监控时间执行一次监控操作,例如每隔10分钟执行一次监控操作。优选的,为了保证及时发现文件信息发生变化的文件,采用实时监控的方式对高交互蜜罐中的文件进行监控。
优选的,在建立好高交互蜜罐后,先获取高交互蜜罐的进程信息和网络连接信息,并判断进程信息或网络连接信息是否发生变化。若进程信息或网络连接信息未发生变化,则不对高交互蜜罐中的文件进行监控。若进程信息或网络连接信息发生变化,认为高交互蜜罐有可能遭受入侵,则输出发生变化的进程信息和网络连接信息,并对高交互蜜罐中的文件进行监控,并执行后续操作。这样既可以减少执行监控操作的频率,减少处理器或CPU因高频运转而造成的损耗,又可以及时发现可能的入侵行为,在可能的入侵行为发生后,及时对高交互蜜罐中的文件进行监控。
S102:判断文件的文件信息是否发生变化。
具体的,本实施例并不限定获取的文件信息的数量和种类,文件信息可以为打开信息、关闭信息、路径移动信息、重命名信息、删除/新增信息和属性改变信息中的一项或多项。在对高交互蜜罐进行监控操作时,获取文件的文件信息,并将当前获取的文件信息与上一次监控操作获取的文件信息进行比对,判断两次获取的文件信息是否一致。若两次获取的文件信息一致,说明文件信息未发生变化,本实施例并不限定文件信息未发生变化时执行的操作,例如可以不执行任何操作,即进入步骤S106;或者重新执行对高交互蜜罐中的文件进行监控的步骤。当文件的文件信息发生变化时,则进入步骤S103。
S103:确定文件为异常文件,获取异常文件的异常文件特征码。
当文件的文件信息发生变化时,确定发生变化的文件信息对应的文件为异常文件。本实施例中优选的,在确认文件为异常文件后,利用文件信息获取异常文件的路径,利用路径获取异常文件并将异常文件移入沙盒中,以保护高交互蜜罐的安全。在将异常文件移入沙盒后,计算异常文件的哈希值,输出异常文件的路径和哈希值,以提醒操作人员出现了异常文件,高交互蜜罐可能受到攻击。
本实施例并不限定获取异常文件特征码和将异常文件移入沙盒两个的操作顺序,例如可以先将异常文件移入沙盒,再获取异常文件特征码;或者可以先获取异常文件特征码,再将异常文件移入沙盒;或者两操作同时进行。为了保证高交互蜜罐不被入侵者攻破,本实施例优选的,先将异常文件移入沙盒,再获取异常文件特征码。
利用特征分析程序获取异常文件的异常文件特征码。具体请参考图3,图3为本发明实施例提供的另一种入侵检测方法流程图,包括:
S201:利用弱哈希算法对异常文件进行分片处理,得到多个异常文件分片。
利用具有预设分片条件的弱哈希算法分析异常文件的局部特点,并对异常文件进行分片处理,得到多个异常文件分片。本实施例并不限定预设分片条件的数量和具体内容。本实施例并不限定异常文件分片的数量和每一个异常文件分片的大小,各个异常文件分片可以为相同大小的分片,也可以为不同大小的分片。本实施例中,利用模糊哈希计算工具ssdeep中的Alder-32[4]功能对异常文件进行分片。
S202:利用哈希算法计算各个异常文件分片的哈希值,并对哈希值进行压缩处理,得到与哈希值对应的压缩哈希值。
本实施例中,利用模糊哈希计算工具ssdeep中的Flower-Noll-Vo hash[5]功能计算每一个异常文件分片的哈希值。本实施例并不限定采用什么方法对哈希值进行压缩处理。优选的,可以选取各个哈希值的最后8位作为各个哈希值对应的压缩哈希值。
S203:查询预设特征码表得到各个压缩哈希值对应的ASCII码字符,并按照异常文件分片在异常文件中的位置排列ASCII码字符,得到异常文件特征码。
具体的,本实施例中与预设有预设特征码表。本实施例并不限定预设特征码表的具体形式,例如可以将压缩哈希值,即哈希值的最后8位,中的高四位作为ASCII码的高四位,将压缩哈希值的低四位作为ASCII码的低四位,以此来确定压缩哈希值对应的ASCII码字符。将各个ASCII码字符按照对应的异常文件分片在异常文件中的位置进行排列,得到异常文件特征码。本实施例并不限定得到异常文件特征码的具体过程,例如可以先获取每一个异常文件分片对应的ASCII码字符,再将ASCII码字符进行排列,得到异常文件特征码;或者每获取一个异常文件分片对应的ASCII码字符就将其放入异常文件分片对应的位置,再获取下一个异常文件分片对应的ASCII码字符,直到得到异常文件特征码。
S104:将异常文件特征码和各个病毒特征码进行对比,判断异常文件是否为病毒文件。
具体请参考图4,图4为本发明实施例提供的另一种入侵检测方法流程图,包括:
S301:分别计算异常文件特征码和各个病毒特征码之间的编辑距离,获取各个编辑距离中的最小值。
本发明实施例中,病毒特征码的获取方法与异常文件特征码的获取方法为相同方法,即利用获取异常文件特征码的方法获取各个病毒特征码。本实施例中并不限定病毒特征码的个数,其数量越多越好。病毒库收录的病毒特征码越多,就越可能确定异常文件属于哪一种病毒。
具体的,利用编辑距离算法计算异常文件特征码与各个病毒特征码之间的编辑距离,得到多个编辑距离,并获取各个编辑距离中的最小值。
S302:判断最小值是否小于距离阈值。
本实施例中预设有距离阈值,距离阈值用来与最小值进行对比,以判断异常文件是否为病毒文件。本实施例并不限定距离阈值的具体大小,可以根据具体情况进行设定。当最小值小于距离阈值时,进入步骤S303。当最小值大于或等于距离阈值时,认为该异常文件不是病毒文件,本实施例并不限定当最小距离大于或等于距离阈值时执行的操作,例如可以不执行任何操作,即进入步骤S106。
S303:确定异常文件为最小值对应的病毒文件。
当最小值小于距离阈值时,说明异常文件为病毒文件,且异常文件的类别与病毒文件的类别相同。进入步骤S105。
S105:获取病毒文件对应的病毒信息,并输出病毒信息。
获取病毒文件对应的病毒信息,并将其输出。本实施例行不限定病毒信息的具体内容,例如可以包括病毒名称、病毒种类、病毒原理和病毒危害效果。本实施例并不限定输出病毒信息的方式,例如可以输出到显示屏上,以便操作人员查阅。
应用本发明实施例提供的入侵监测方法,对高交互蜜罐中的文件进行监控,获取文件信息,并判断文件信息是否发生变化。若文件信息发生变化,则确定文件为异常文件,获取异常文件的异常文件特征码。利用异常文件特征码和各个病毒特征码判断异常文件是否为病毒文件。若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息。本方法通过对高交互蜜罐进行监控,判断入侵者在高交互蜜罐中部署的病毒文件的类别,进而可以了解入侵者在进行入侵时惯用的病毒,全面地了解入侵者在进行入侵时的惯用方法。
下面对本发明实施例提供的入侵检测装置进行介绍,下文描述的入侵检测装置与上文描述的入侵检测方法可相互对应参照。
请参考图5,图5为本发明实施例提供的一种入侵检测装置的结构示意图,包括:
第一判断模块100,用于对高交互蜜罐中的文件进行监控,判断文件的文件信息是否发生变化;
特征码获取模块200,用于若文件信息发生变化,则确定文件为异常文件,并获取异常文件的异常文件特征码;
第二判断模块300,用于将异常文件特征码和各个病毒特征码进行对比,判断异常文件是否为病毒文件;
信息输出模块400,用于若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息。
应用本发明实施例提供的入侵监测装置,对高交互蜜罐中的文件进行监控,获取文件信息,并判断文件信息是否发生变化。若文件信息发生变化,则确定文件为异常文件,获取异常文件的异常文件特征码。利用异常文件特征码和各个病毒特征码判断异常文件是否为病毒文件。若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息。本装置通过对高交互蜜罐进行监控,判断入侵者在高交互蜜罐中部署的病毒文件的类别,进而可以了解入侵者在进行入侵时惯用的病毒,全面地了解入侵者在进行入侵时的惯用方法。
可选的,第一判断模块100,包括:
蜜罐信息获取单元,用于获取蜜罐信息,利用蜜罐信息建立高交互蜜罐;其中,蜜罐信息包括IP地址、子网掩码、网关和操作系统类型;
监控单元,用于利用与操作系统类型对应的监控程序对高交互蜜罐中的文件进行监控。
可选的,还包括:
信息获取模块,用于获取高交互蜜罐的进程信息和网络连接信息,判断进程信息或网络连接信息是否发生变化;
变化信息输出模块,用于若进程信息或网络连接信息发生变化,则输出发生变化的进程信息或网络连接信息,并执行利用与操作系统类型对应的监控程序对高交互蜜罐中的文件进行监控的步骤。
可选的,特征码获取模块200,包括:
分片单元,用于利用弱哈希算法对异常文件进行分片处理,得到多个异常文件分片;
压缩单元,用于利用哈希算法计算各个异常文件分片的哈希值,并对哈希值进行压缩处理,得到与哈希值对应的压缩哈希值;
特征码获取单元,用于查询预设特征码表得到各个压缩哈希值对应的ASCII码字符,并按照异常文件分片在异常文件中的位置排列ASCII码字符,得到异常文件特征码。
可选的,第二判断模块300,包括:
据利判断单元,用于分别计算异常文件特征码和各个病毒特征码之间的编辑距离,获取各个编辑距离中的最小值,并判断最小值是否小于距离阈值;
确定单元,用于若最小值小于距离阈值,则确定异常文件为最小值对应的病毒文件。
可选的,还包括:
沙盒模块,用于利用文件信息获取异常文件的路径,利用路径获取异常文件并将异常文件移入沙盒中。
下面对本发明实施例提供的入侵检测设备进行介绍,下文描述的入侵检测设备与上文描述的入侵检测方法可相互对应参照。
请参考图6,图6为本发明实施例所提供的一种入侵检测设备的结构示意图,该入侵检测设备包括存储器和处理器,其中:
存储器10,用于存储计算机程序;
处理器20,用于执行计算机程序,以实现上述的入侵检测方法。
下面对本发明实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的入侵检测方法可相互对应参照。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的入侵检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本发明所提供的入侵检测方法、装置、设备和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种入侵检测方法,其特征在于,包括:
对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;
若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;
将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;
若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述对高交互蜜罐中的文件进行监控,包括:
获取蜜罐信息,利用所述蜜罐信息建立所述高交互蜜罐;其中,所述蜜罐信息包括IP地址、子网掩码、网关和操作系统类型;
利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控。
3.根据权利要求2所述的入侵检测方法,其特征在于,在利用所述蜜罐信息建立所述高交互蜜罐之后,在利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控之前,还包括:
获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;
若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。
4.根据权利要求1所述的入侵检测方法,其特征在于,获取所述异常文件的异常文件特征码,包括:
利用弱哈希算法对所述异常文件进行分片处理,得到多个异常文件分片;
利用哈希算法计算各个所述异常文件分片的哈希值,并对所述哈希值进行压缩处理,得到与所述哈希值对应的压缩哈希值;
查询预设特征码表得到各个所述压缩哈希值对应的ASCII码字符,并按照所述异常文件分片在所述异常文件中的位置排列所述ASCII码字符,得到所述异常文件特征码。
5.根据权利要求4所述的入侵检测方法,其特征在于,将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件,包括:
分别计算所述异常文件特征码和各个所述病毒特征码之间的编辑距离,获取各个所述编辑距离中的最小值,并判断所述最小值是否小于距离阈值;
若所述最小值小于所述距离阈值,则确定所述异常文件为所述最小值对应的所述病毒文件。
6.根据权利要求1所述的入侵检测方法,其特征在于,在确定所述文件为异常文件之后,还包括:
利用所述文件信息获取所述异常文件的路径,利用所述路径获取所述异常文件并将所述异常文件移入沙盒中。
7.一种入侵检测装置,其特征在于,包括:
第一判断模块,用于对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;
特征码获取模块,用于若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;
第二判断模块,用于将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;
信息输出模块,用于若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。
8.根据权利要求7所述的入侵检测装置,其特征在于,还包括:
信息获取模块,用于获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;
变化信息输出模块,用于若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。
9.一种入侵检测设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至6任一项所述的入侵检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910641095.8A CN110363002A (zh) | 2019-07-16 | 2019-07-16 | 一种入侵检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910641095.8A CN110363002A (zh) | 2019-07-16 | 2019-07-16 | 一种入侵检测方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110363002A true CN110363002A (zh) | 2019-10-22 |
Family
ID=68219623
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910641095.8A Pending CN110363002A (zh) | 2019-07-16 | 2019-07-16 | 一种入侵检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110363002A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111526164A (zh) * | 2020-07-03 | 2020-08-11 | 北京每日优鲜电子商务有限公司 | 一种用于电商平台的网络攻击检测方法及系统 |
CN115378739A (zh) * | 2022-10-24 | 2022-11-22 | 北京星阑科技有限公司 | 一种api访问行为检测方法、装置、设备及存储介质 |
CN117313134A (zh) * | 2023-11-29 | 2023-12-29 | 联通(广东)产业互联网有限公司 | 文件加密方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
CN103902898A (zh) * | 2012-12-27 | 2014-07-02 | 中国电信股份有限公司 | 病毒辨识方法与装置 |
US20180146009A1 (en) * | 2016-11-18 | 2018-05-24 | Brad Austin Primm | Computer network security system for protecting against malicious software |
CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
-
2019
- 2019-07-16 CN CN201910641095.8A patent/CN110363002A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103902898A (zh) * | 2012-12-27 | 2014-07-02 | 中国电信股份有限公司 | 病毒辨识方法与装置 |
CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
US20180146009A1 (en) * | 2016-11-18 | 2018-05-24 | Brad Austin Primm | Computer network security system for protecting against malicious software |
CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
Non-Patent Citations (3)
Title |
---|
DINKAR SITARAM 等: "《迁移到云端——在云计算机的新世界中开发应用》", 30 June 2015, 国防工业出版社 * |
PI9NC: "模糊哈希算法的原理与应用", 《CSDN》 * |
金小江: "《信息安全与管理》", 28 February 2018, 北京希望电子出版社 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111526164A (zh) * | 2020-07-03 | 2020-08-11 | 北京每日优鲜电子商务有限公司 | 一种用于电商平台的网络攻击检测方法及系统 |
CN115378739A (zh) * | 2022-10-24 | 2022-11-22 | 北京星阑科技有限公司 | 一种api访问行为检测方法、装置、设备及存储介质 |
CN117313134A (zh) * | 2023-11-29 | 2023-12-29 | 联通(广东)产业互联网有限公司 | 文件加密方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9894100B2 (en) | Dynamically optimized security policy management | |
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
US7114183B1 (en) | Network adaptive baseline monitoring system and method | |
US6742128B1 (en) | Threat assessment orchestrator system and method | |
CN102694817B (zh) | 一种识别程序的网络行为是否异常的方法、装置及系统 | |
KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
JP6408395B2 (ja) | ブラックリストの管理方法 | |
CN110363002A (zh) | 一种入侵检测方法、装置、设备及可读存储介质 | |
KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN108959923B (zh) | 综合安全感知方法、装置、计算机设备和存储介质 | |
CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
CN106888197A (zh) | 一种网络风险的处理方法和设备 | |
CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191022 |
|
RJ01 | Rejection of invention patent application after publication |