CN110636082A - 一种入侵检测方法及装置 - Google Patents

一种入侵检测方法及装置 Download PDF

Info

Publication number
CN110636082A
CN110636082A CN201911056226.2A CN201911056226A CN110636082A CN 110636082 A CN110636082 A CN 110636082A CN 201911056226 A CN201911056226 A CN 201911056226A CN 110636082 A CN110636082 A CN 110636082A
Authority
CN
China
Prior art keywords
behavior
information
behavior information
preset
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911056226.2A
Other languages
English (en)
Other versions
CN110636082B (zh
Inventor
王健
顾成杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd Hefei Branch
Original Assignee
New H3C Technologies Co Ltd Hefei Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd Hefei Branch filed Critical New H3C Technologies Co Ltd Hefei Branch
Priority to CN201911056226.2A priority Critical patent/CN110636082B/zh
Publication of CN110636082A publication Critical patent/CN110636082A/zh
Application granted granted Critical
Publication of CN110636082B publication Critical patent/CN110636082B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)

Abstract

本申请实施例提供了一种入侵检测方法及装置。方法包括:获取用户当前输入目标账户的口令信息的当前行为信息;根据当前行为信息,获取当前行为信息表征的多个输入行为参数的当前参数值,并将多个输入行为参数的当前参数值组成当前行为向量;将当前行为向量输入预设的入侵检测模型,得到当前行为信息所表征的输入行为的检测结果,检测结果为当前行为信息所表征的输入行为是入侵行为,或检测结果为当前行为信息所表征的输入行为是正常行为。应用本申请实施例提供的技术方案,能够解决现有事后行为审计分析,不能达到有效保护核心资产的问题,提高信息系统的安全防御性能。

Description

一种入侵检测方法及装置
技术领域
本申请涉及网络安全技术领域,特别是涉及一种入侵检测方法及装置。
背景技术
现有的信息系统一般为口令账户系统,口令账户系统可为不同等级身份的用户提供不同的访问控制权限。口令账户系统通过用户输入的账号口令信息,对用户进行身份验证,基于验证结果实现用户对设备、软件、数据、系统的访问控制。但是,账号口令信息很容易被窃取。一但账号口令信息被非法用户窃取,非法用户即可获得该用户的全部操作权限,造成用户隐私、重要数据等核心资产的泄露。
为避免泄露用户隐私、重要数据等核心资产,目前提出了一种入侵检测方法,实现方法通常为:获取用户登录信息系统后的一些操作行为,审计分析这些操作行为,再通过审核结果判断账号口令信息是否泄露,即判断是否发生了入侵行为。
但上述入侵检测方法获取的是用户登录信息系统后的操作行为,此时,非法用户已经通过非法窃取的口令进入了信息系统,实际损害已经发生了。因此上述入侵检测方法是在侵入事件发生后的事后行为审计分析,并不能达到有效保护用户隐私、重要数据等核心资产的目的。
发明内容
本申请实施例的目的在于提供一种入侵检测方法及装置,以解决现有事后行为审计分析,不能达到有效保护核心资产的问题,提高信息系统的安全防御性能。具体技术方案如下:
第一方面,本申请实施例提供了一种入侵检测方法,所述方法包括:
获取用户当前输入目标账户的口令信息的当前行为信息;
根据所述当前行为信息,获取所述当前行为信息所表征的多个输入行为参数的当前参数值,并将所述多个输入行为参数的当前参数值组成当前行为向量;
将所述当前行为向量输入预设的入侵检测模型,得到所述当前行为信息所表征的输入行为的检测结果,所述检测结果为所述当前行为信息所表征的输入行为是入侵行为,或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。
第二方面,本申请实施例提供了一种入侵检测装置,所述装置包括:
第一获取单元,用于获取用户当前输入目标账户的口令信息的当前行为信息;
第二获取单元,用于根据所述当前行为信息,获取所述当前行为信息所表征的多个输入行为参数的当前参数值,并将所述多个输入行为参数的当前参数值组成当前行为向量;
检测单元,用于将所述当前行为向量输入预设的入侵检测模型,得到所述当前行为信息所表征的输入行为的检测结果,所述检测结果为所述当前行为信息所表征的输入行为是入侵行为,或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。
第三方面,本申请实施例提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第一方面提供的入侵检测方法步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第一方面提供的入侵检测方法步骤。
本申请实施例提供的一种入侵检测方法及装置,获取用户输入目标账户的口令信息的行为信息,即登录信息系统时的操作行为,基于登录信息系统时的操作行为检测当前的输入行为是否为入侵行为。此时用户并未进入信息系统,因此,本申请实施例提供的入侵检测方法属于事前安全防护,有效保护了核心资产,解决了现有事后行为审计分析不能达到有效保护核心资产的问题,提高了信息系统的安全防御性能。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的入侵检测方法的第一种流程示意图;
图2为本申请实施例提供的模型训练方法的第一种流程示意图;
图3为本申请实施例提供的入侵检测方法的第二种流程示意图;
图4为本申请实施例提供的模型训练方法的第二种流程示意图;
图5为本申请实施例提供的入侵检测装置的一种结构示意图;
图6为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为避免泄露用户隐私、重要数据等核心资产,现有的入侵检测方法通常为:获取用户登录信息系统后的一些操作行为,审计分析这些操作行为,再通过审核结果判断账号口令信息是否泄露,即判断是否发生了入侵行为。
但上述入侵检测方法获取的是用户登录信息系统后的操作行为,此时,非法用户已经通过非法窃取的口令进入了信息系统,实际损害已经发生了。因此上述入侵检测方法是在侵入事件发生后的事后行为审计分析,并不能达到有效保护用户隐私、重要数据等核心资产的目的。
为解决上述问题,提高了信息系统的安全防御性能,本申请实施例提供了一种入侵检测方法。本申请实施例提供的技术方案可以应用于服务器、防火墙设备、移动终端等电子设备。
本申请实施例提供的技术方案中,获取用户当前输入目标账户的口令信息的当前行为信息;根据当前行为信息,获取当前行为信息表征的多个输入行为参数的当前参数值,并将多个输入行为参数的当前参数值组成当前行为向量;将当前行为向量输入预设的入侵检测模型,得到当前行为信息所表征的输入行为的检测结果,检测结果为当前行为信息所表征的输入行为是入侵行为,或检测结果为当前行为信息所表征的输入行为是正常行为。
本申请实施例提供的技术方案中,获取用户输入目标账户的口令信息的行为信息,即登录信息系统时的操作行为,基于登录信息系统时的操作行为检测当前的输入行为是否为入侵行为。此时用户并未进入信息系统,因此,本申请实施例提供的入侵检测方法属于事前安全防护,有效保护了核心资产,解决了现有事后行为审计分析不能达到有效保护核心资产的问题,提高了信息系统的安全防御性能。
下面通过具体实施例,对本申请实施例提供的技术方案进行详细说明。
参考图1,图1为本申请实施例提供的入侵检测方法的第一种流程示意图。为便于描述,下面以电子设备为执行主体进行说明,并不起限定作用。该入侵检测方法包括如下步骤。
步骤101,获取用户当前输入目标账户的口令信息的当前行为信息。
本申请实施例中,口令信息包括用户名和密码等,即口令信息由一系列字符组成。在进行入侵检测时,电子设备获取用户当前输入目标账户的口令信息的行为信息,将获取的行为信息作为当前行为信息。这里,当前行为信息所表征的输入行为即为用户当前输入目标账户的口令信息的行为,也就是当前用户登录信息系统的行为,简称登录行为。
一个可选的实施例中,用户输入目标账户的口令信息的行为信息指在输入目标账户的口令信息的过程中,用户针对目标账户的口令信息中每一字符的操作行为的行为信息。此时,上述当前行为信息即为用户在当前输入目标账户的口令信息的过程中,针对目标账户的口令信息中每一字符的操作行为的行为信息。针对目标账户的口令信息中每一字符的操作行为是输入行为一部分,目标账户的口令信息包括多个字符,则输入行为包括多个操作行为。
本申请实施例中,用户针对目标账户的口令信息中每一字符的行为信息可以包括以下内容的一种或多种:每一字符对应的操作行为的序号、每一字符对应的操作行为的时间戳、每一字符对应的操作行为的内容、每一字符对应的操作行为的类型、口令信息的验证结果。
其中,操作行为的序号为操作行为的标识,用于区分不同的操作行为。操作行为的序号可以按照对操作行为的执行顺序确定。例如,口令信息为“ab+c_@”。针对该口令信息,用户先输入了字符“a”,则该操作行为的序号为1;之后,用户输入了字符“b”,则该操作行为的序号为2;再之后,用户删除了字符“b”,则该操作行为的序号为3,以此类推。
操作行为的内容可以包括字符输入、字符删除等。
操作行为的类型可以按照字母、数字和其他字符划分。例如,如果用户输入或删除的是字母,则操作行为的类型为字母操作类型;如果用户输入或删除的是数字,则操作行为的类型为数字操作类型等。
操作行为的类型也可以按照操作行为的复杂度划分。例如,操作行为的类型可划分为简单操作行为和特殊操作行为。简单操作行为是通过单个按键就可以完成的操作,例如输入数字1、2、3等操作行为,删除字母a、B等操作行为等。特殊操作行为是通过多个按键完成的复合操作,例如,输入加号、下划线、字母大小写切换等操作行为。
口令信息的验证结果包括口令信息验证成功和失败。
一个可选的实施例中,为了便于后续检测输入口令信息的行为是否为入侵行为,电子设备可以将用户每次输入目标账户的口令信息的行为信息记录在输入行为记录表中。
例如,操作行为的类型划分为简单操作行为和特殊操作行为,输入行为记录表如表1所示。表1中用户输入目标账户的口令信息的行为信息包括:操作序号、时间戳、操作内容、特殊操作行为标识和成功标识,具体的如表1所示。
表1
Figure BDA0002255716350000051
Figure BDA0002255716350000061
本申请实施例中,输入行为记录表也可以采用其他形式,对此不做具体限定。
步骤102,根据当前行为信息,获取当前行为信息所表征的多个输入行为参数的当前参数值,并将多个输入行为参数的当前参数值组成当前行为向量。
在获取到当前行为信息后,电子设备基于当前行为信息,对当前行为信息所表征的输入行为进行参数化定量描述,得到当前行为向量,即根据当前行为信息,获取当前行为信息所表征的多个输入行为参数的当前参数值,并将多个输入行为参数的当前参数值组成当前行为向量。
本申请实施例中,多个输入行为参数可以包括以下内容中的一种或多种:
第一输入行为参数,从目标账户的口令信息中第一个字符的输入开始至目标账户的口令信息验证结束所消耗的总时长;
第二输入行为参数,所有类型的操作行为的平均时间间隔;
第三输入行为参数,每种类型的操作行为的平均时间间隔;
第四输入行为参数,每种类型的操作行为的最大时间间隔与该种类型的操作行为的最小时间间隔的比值;
第五输入行为参数,每种操作内容的操作行为的操作次数;
第六输入行为参数,重新输入目标账户的口令信息的次数。
上述一操作行为的时间间隔即为该操作行为与上一操作行为间的时间差。
例如,用户输入口令信息“ab+c_@”所记录的行为信息包括:{操作行为1,输入字符“a”,时间戳1},{操作行为2,输入字符“c”,时间戳2},{操作行为3,删除字符“c”,时间戳3},{操作行为4,输入字符“b”,时间戳4},{操作行为5,输入字符“+”,时间戳5,SS},{操作行为6,输入字符“c”,时间戳6},{操作行为7,输入字符“_”,时间戳7,SS},{操作行为8,输入字符“@”,时间戳8,SS}。其中,SS为特殊操作行为标识,则简单操作行为包括操作行为1-4和操作行为6,特殊操作行为包括操作行为5和操作行为7-8。
电子设备包括上述第一输入行为参数至第五输入行为参数。此时,电子设备利用上述行为信息,可获取到第一输入行为参数的参数值为:从输入字符“a”到“ab+c_@”验证结束所消耗的总时长。
第二输入行为参数的参数值为简单操作行为和特殊操作行为的平均时间间隔:[(时间戳2-时间戳1)+(时间戳3-时间戳2)+(时间戳4-时间戳3)+(时间戳5-时间戳4)+(时间戳6-时间戳5)+(时间戳7-时间戳6)+(时间戳8-时间戳7)]/7。
第三输入行为参数的参数值包括简单操作行为的平均时间间隔和特殊操作行为的平均时间间隔。其中,简单操作行为的平均时间间隔为:[(时间戳2-时间戳1)+(时间戳3-时间戳2)+(时间戳4-时间戳3)+(时间戳6-时间戳5)]/4;特殊操作行为的平均时间间隔为:[(时间戳5-时间戳4)+(时间戳7-时间戳6)+(时间戳8-时间戳7)]/3。
第四输入行为参数的参数值包括简单操作行为的最大时间间隔与最小时间间隔的比值,以及特殊操作行为的最大时间间隔与最小时间间隔的比值。以简单操作行为为例,若操作行为1与操作行为2间的时间间隔最大,操作行为3与操作行为4间的时间间隔最小,则第四输入行为参数的参数值为:(时间戳2-时间戳1)/(时间戳4-时间戳3)。
第五输入行为参数的参数值包括字符输入操作行为的操作次数和字符删除操作行为的操作次数。以字符删除操作行为为例,第五输入行为参数的参数值为1。
步骤103,将当前行为向量输入预设的入侵检测模型,得到当前行为信息所表征的输入行为的检测结果。检测结果为当前行为信息所表征的输入行为是入侵行为,或检测结果为当前行为信息所表征的输入行为是正常行为。
其中,上述预设的入侵检测模型可以为相关技术中常用的入侵检测模型,例如支持向量机、常规聚类等机器学习模型,也可以为DNN(Deep Neural Networks,深度神经网络)、CNN(Convolutional Neural Networks,卷积神经网)等深度学习模型等,也可以为基于带标签的历史行为信息对应的历史行为向量训练得到的模型,标签用于指示历史行为信息所表征的输入行为是入侵行为或正常行为,对此不做具体限定。
本申请实施例中,在得到当前行为向量后,电子设备将当前行为向量输入预设的入侵检测模型,得到当前行为信息所表征的输入行为的检测结果。基于该检测结果,电子设备可确定当前行为信息所表征的输入行为是入侵行为,还是正常行为。
本申请实施例提供的技术方案中,获取用户输入目标账户的口令信息每一字符的行为信息,即登录信息系统时的操作行为,基于登录信息系统时的操作行为检测当前的输入行为是否为入侵行为。此时用户并未进入信息系统,因此,本申请实施例提供的入侵检测方法属于事前安全防护,有效保护了核心资产,解决了现有事后行为审计分析不能达到有效保护核心资产的问题,提高了信息系统的安全防御性能。
另外,本申请实施例提供的入侵检测方法,入侵行为的检测依据的是用户本身的输入行为,与用户使用的设备、具体位置等客观环境信息无关,信息被伪造的概率被大大降低。
再次,本申请实施例提供的入侵检测方法,由于人工输入口令信息的行为和机器输入大不相同,例如,人工输入口令信息时,用户是一个字符一个字符输入的信息系统,输入速度较慢,且不同字符输入的时间间隔不同,而机器输入口令信息时,可能是口令信息的粘贴复制,或快速地输入口令信息的每一字符,且不同字符输入的时间间隔很短,因此,基于用户输入口令信息的行为检测入侵行为,能够有效的识别口令信息是人工输入,还是机器输入,能够有效防止非法用户采用机器使用暴力破解、字典攻击等手段攻击信息系统。即使非法用户想采用机器攻击信息系统,也需要机器模拟用户输入口令信息的行为,此时,机器强大的计算能力将没用任何用途,非法用户采用机器攻击信息系统的攻击水平也降低到了人工的攻击水平。
结合图1所示的入侵检测方法,本申请实施例还提供了一种模型训练方法。参考图2,图2为本申请实施例提供的模型训练方法的第一种流程示意图。为便于描述,下面以电子设备为执行主体进行说明,并不起限定作用。该模型训练方法可以包括如下步骤。
步骤201,获取预设训练集,预设训练集包括带标签的历史行为信息,历史行为信息是用户历史输入目标账户的口令信息的行为信息,标签用于指示历史行为信息所表征的输入行为是入侵行为或正常行为。
在训练入侵检测模型时,电子设备获取预设训练集。为保证训练得到的入侵检测模型检测入侵行为的准确性,预设训练集包括的历史行为信息和历史行为向量越多越好。
上述历史行为信息对应的历史行为向量的获取可参考上述步骤102部分的描述。
步骤202,根据历史行为信息,获取历史行为信息所表征的多个输入行为参数的历史参数值,并将多个输入行为参数的历史参数值组成历史行为向量。
电子设备获取到预设训练集后,从预设训练集获取到历史行为信息,获取历史行为信息所表征的多个输入行为参数的历史参数值,并将多个输入行为参数的历史参数值组成历史行为向量。具体可参考上述步骤102部分的描述,此处不再赘述。
步骤203,将历史行为向量输入预设的入侵检测结构,得到历史行为信息所表征的输入行为的预测检测结果。
本申请实施例中,预设的入侵检测结构可以为支持向量机、常规聚类等机器学习模型,也可以为DNN(Deep Neural Networks,深度神经网络)、CNN(Convolutional NeuralNetworks,卷积神经网)等深度学习模型等。
电子设备将历史行为向量输入预设的入侵检测结构,得到历史行为信息所表征的输入行为的预测检测结果。预测检测结果可以为历史行为信息所表征的输入行为是入侵行为,或历史行为信息所表征的输入行为是正常行为。
一个可选的实施例中,为了提高训练效率,可以根据经验值,预先设置预设的入侵检测结构的参数。
步骤204,基于预测检测结果和历史行为信息的标签,确定入侵检测的损失值。
本申请实施例中,电子设备可基于预测检测结果和历史行为信息的标签,统计入侵检测的正确率作为损失值,或统计入侵检测的错误率作为损失值。
步骤205,当基于损失值确定入侵检测结构收敛时,完成训练,得到入侵检测模型。
一个可选的实施例中,损失值为入侵检测的正确率。当损失值大于预设正确率阈值时,确定入侵检测结构收敛,完成训练,得到入侵检测模型。当损失值小于等于预设正确率阈值时,确定入侵检测结构未收敛,电子设备可调整入侵检测结构的参数,重新执行步骤203。
另一个可选的实施例中,损失值为入侵检测的错误率。当损失值小于预设错误率阈值时,确定入侵检测结构收敛,完成训练,得到入侵检测模型。当损失值大于等于预设错误率阈值时,确定入侵检测结构未收敛,电子设备可调整入侵检测结构的参数,重新执行步骤203。
再一个可选的实施例中,以损失值为正确率为例进行说明,若损失值小于等于预设正确率阈值,但训练的迭代次数达到预设迭代次数阈值,则确定入侵检测结构收敛,完成训练,得到入侵检测模型。
本申请实施例中,采用图2所示的模型训练方法,利用用户输入口令信息的历史行为信息,训练得到入侵检测模型。此时,入侵检测模型充分学习到了用户输入口令信息的历史行为特征,利用该入侵检测模型检测入侵行为,能够提高检测的准确率。
在本申请的一个实施例中,入侵检测模型可以包括常规入侵检测模型和特殊入侵检测模型。其中,常规入侵检测模型是根据第一预设训练集训练得到的模型,第一预设训练集包括带标签的常规历史行为信息。特殊入侵检测模型是根据第二预设训练集训练得到的模型,第二预设训练集包括带标签的特殊历史行为信息。特殊历史行为信息为历史行为信息中符合预设特殊条件的行为信息,常规历史行为信息为历史行为信息中除特殊历史行为信息外的行为信息。
本申请实施例中,预设特殊条件可以根据实际需求进行设定。例如,预设特殊条件可以包括以下特殊条件中的一个或多个:近期口令信息发生修改、长时间用户没有登录账户等。
其中,符合近期口令信息发生修改的行为信息是指,口令信息发生修改后的预设数量条行为信息;或修改前和修改后的口令信息差距大于预设距离阈值的情况下,修改后的预设数量条行为信息。对于修改前和修改后的口令信息差距的计算,下面会详细说明,此处不再展开说明。
长时间用户没有登录账户,是指针对某一用户,两次口令信息的输入时间差大于预设时间差阈值。
符合长时间用户没有登录账户的行为信息是指,两次口令信息的输入时间差大于预设时间差阈值的情况下,这两个两次口令信息的输入时间中较晚的输入时间之后的预设数量条行为信息。
应当理解,上述预设数量、预设时间差阈值、预设距离阈值可依据情况自由设置,本方案不作特别限定。
对于一些特殊情况下用户输入口令信息的行为,例如上述近期口令信息发生修改,或长时间用户没有登录账户等情况下用户输入口令信息的行为,会与正常情况下用户输入口令信息的行为有所不同,如输入口令信息的速度变慢等,这导致特殊情况下的行为信息与正常情况下的行为信息会出现较大的偏差。为提高检测结果的准确性,本申请实施例需要在第一检测结果所表征的输入行为是异常行为时,判断第一检测结果是否受特殊情况下的行为信息的影响,以尽量减少特殊情况下的行为信息的影响,得到较为准确的最终的检测结果。因此本申请实施例中,将特殊情形下的行为信息(即满足预设特殊条件的历史行为信息)选出,将历史行为信息分为特殊历史行为信息和常规历史行为信息,并利用这两种历史行为信息分别训练得到常规入侵检测模型和特殊入侵检测模型。利用两种入侵检测模型检测入侵行为,提高了入侵检测的准确性。
基于上述常规入侵检测模型和特殊入侵检测模型,本申请实施例还提供了一种入侵检测方法。参考图3所示的入侵检测方法的第二种流程示意图,该方法可以包括如下步骤。
步骤301,获取用户当前输入目标账户的口令信息的当前行为信息。步骤301的具体实现过程可参阅步骤101。
步骤302,根据当前行为信息,获取当前行为信息所表征多个输入行为参数的当前参数值,并将多个输入行为参数的当前参数值组成当前行为向量。步骤302的具体实现过程可参阅步骤102。
步骤303,将当前行为向量输入常规入侵检测模型,得到当前行为信息所表征的输入行为的第一检测结果。
本申请实施例中,电子设备获取到当前行为向量后,先将当前行为向量输入常规入侵检测模型,得到当前行为信息所表征的输入行为的第一检测结果。第一检测结果可以为当前行为信息所表征的输入行为是入侵行为,也可以为当前行为信息所表征的输入行为是正常行为。
若第一检测结果为当前行为信息所表征的输入行为是入侵行为,则电子设备执行步骤304-305,进一步确定当前行为信息所表征的输入行为是否异常。
若第一检测结果为当前行为信息所表征的输入行为是正常行为,则电子设备可将第一检测结果作为最终的检测结果,结束本次入侵检测,确定当前行为信息所表征的输入行为是正常行为。
步骤304,若第一检测结果为当前行为信息所表征的输入行为是入侵行为,则判断当前行为信息是否为符合预设特殊条件的行为信息。
若当前行为信息为符合预设特殊条件的行为信息,则执行步骤305。若当前行为信息为不符合预设特殊条件的行为信息,则可将第一检测结果作为最终的检测结果,结束本次入侵检测,确定当前行为信息所表征的输入行为是入侵行为。
例如,预设特殊条件为口令信息发生修改后的20条行为信息。若第一检测结果为当前行为信息所表征的输入行为是入侵行为,则判断当前行为信息是否为口令信息发生修改后的20条行为信息中的一条。若是,则判定当前行为信息为符合预设特殊条件的行为信息。若否,则判定当前行为信息为不符合预设特殊条件的行为信息。
步骤305,将当前行为向量输入特殊入侵检测模型,得到当前行为信息所表征的输入行为的第二检测结果。
本申请实施例中,若当前行为信息为符合预设特殊条件的行为信息,则电子设备将当前行为向量输入特殊入侵检测模型,得到当前行为信息所表征的输入行为的第二检测结果。第二检测结果可以为当前行为信息所表征的输入行为是入侵行为,也可以为当前行为信息所表征的输入行为是正常行为。电子设备将第二检测结果作为最终的检测结果。
本申请实施例中,若通过常规入侵检测模型检测到当前行为信息所表征的输入行为是入侵行为,则在当前行为信息为符合预设特殊条件的行为信息时,再通过特殊入侵检测模型检测到当前行为信息所表征的输入行为是否为入侵行为。由于符合预设特殊条件的行为信息与符合预设特殊条件的行为信息有较大的偏差,符合预设特殊条件的行为信息所表征的输入行为很容易被常规入侵检测模型检测为是入侵行为。因此,在常规入侵检测模型的检测结果为当前行为信息所表征的输入行为是入侵行为时,将符合预设特殊条件的行为信息再输入特殊入侵检测模型进行检测,提高了入侵检测的准确性。
基于图3所示的入侵检测方法,本申请实施例还提供了一种模型训练方法。参考图4,图4为本申请实施例提供的模型训练方法的第二种流程示意图。该模型训练方法可以包括如下步骤。
步骤401,获取预设训练集,其中,预设训练集包括带标签的历史行为信息,历史行为信息是用户历史输入目标账户的口令信息的行为信息,标签用于指示历史行为信息所表征的输入行为是入侵行为或正常行为。步骤401的具体实现过程可参阅步骤201。
步骤402,根据历史行为信息,获取历史行为信息所表征的多个输入行为参数的历史参数值,并将多个输入行为参数的历史参数值组成历史行为向量。
步骤402的具体实现过程可参阅步骤202。
步骤403,从历史行为信息中筛选出符合预设特殊条件的行为信息作为特殊历史行为信息,将历史行为信息中除特殊历史行为信息外的行为信息作为常规历史行为信息。之后执行步骤404和步骤407。
本申请实施例中,预设特殊条件可以根据实际需求进行设定。例如,预设特殊条件可以包括以下特殊条件中的一个或多个:近期口令信息发生修改、长时间用户没有登录账户等。
步骤404,将常规历史行为信息的对应的历史行为向量输入第一预设入侵检测结构,得到常规历史行为信息所表征的输入行为的第一预测检测结果。
本申请实施例中,第一预设入侵检测结构可以为支持向量机、常规聚类等机器学习模型,也可以为DNN、CNN等深度学习模型等。
步骤405,基于第一预测检测结果和常规历史行为信息的标签,确定入侵检测的第一损失值。
步骤406,当基于第一损失值确定第一预设入侵检测结构收敛时,完成训练,得到常规入侵检测模型。
步骤407,将特殊历史行为信息的对应的历史行为向量输入第二预设入侵检测结构,得到特殊历史行为信息所表征的输入行为的第二预测检测结果。
本申请实施例中,第二预设入侵检测结构可以为支持向量机、常规聚类等机器学习模型,也可以为DNN、CNN等深度学习模型等。第一预设入侵检测结构和第二预设入侵检测结构可以相同,也可以不同。
步骤408,根据第二预测检测结果和特殊历史行为信息的标签,确定入侵检测的第二损失值。
步骤409,当基于第二损失值确定第二预设入侵检测结构收敛时,完成训练,得到特殊入侵检测模型。
上述步骤404-409可参阅上述步骤202-204部分的描述,此处不再赘述。
本申请实施例中,采用图4所示的模型训练方法,利用用户输入口令信息的常规历史行为信息,训练得到常规入侵检测模型,并利用用户输入口令信息的特殊历史行为信息,训练得到特殊入侵检测模型。此时,常规入侵检测模型和特殊入侵检测模型充分学习到了用户输入口令信息的历史行为特征,利用常规入侵检测模型和特殊入侵检测模型检测入侵行为,能够提高检测的准确率。
在本申请的一个可选的实施例中,预设特殊条件可以为:修改前和修改后的口令信息的差距大于预设距离阈值的情况下,修改后的预设数量条行为信息。此时,上述步骤403中从历史行为信息中筛选出符合预设特殊条件的行为信息作为特殊历史行为信息,具体可以包括如下步骤。
步骤4031,当目标账户的口令信息发生修改时,获取目标账户的修改前口令信息的第一字符向量和修改后口令信息的第二字符向量。
电子设备检测到目标账户的口令信息发生修改,获取目标账户的修改前口令信息和修改后口令信息。修改前口令信息和修改后口令信息均为一系列字符串,电子设备以字符向量的形式表示修改前口令信息和修改后口令信息,得到修改前口令信息的第一字符向量和修改后口令信息的第二字符向量。
例如,修改前口令信息“ab+c_@”,修改后口令信息为“ac+d_d”。则第一字符向量为{a,b,+,c,_,@},第二字符向量可以为{a,c,+,d,_,d}。
一个实施例中,为了便于确定特殊历史行为信息,电子设备中可预先设置一修改日志表,该修改日志表用于记录用户对口令信息进行修改的信息,包括但不限于修改内容、修改前口令信息的第一字符向量、修改后口令信息的第二字符向量、修改时间、修改前口令信息与修改后口令信息的差距。
上述修改内容包括用户名发生修改、密码发生修改等。修改时间为目标账户的口令信息发生修改的时间。
步骤4032,计算第一字符向量和第二字符向量间的欧氏距离。
这里,第一字符向量和第二字符向量间的欧氏距离即为,修改前和修改后的口令信息的差距。
本申请实施例中,修改前口令信息和修改后口令信息包括的相同字符串越长,说明修改前口令信息和修改后口令信息的差距越小。修改前口令信息采用第一字符向量表示,修改后口令信息采用第二字符向量表示。基于第一字符向量和第二字符向量,计算第一字符向量和第二字符向量间的欧氏距离,能很好的体现修改前口令信息和修改后口令信息的差距。
一个可选的实施例中,电子设备可以查找第一字符向量和第二字符向量是否包含相同的子字符向量,相同的子字符向量包含的字符个数大于等于预设个数。若包含相同的子字符向量,则电子设备可确定相同的子字符向量在目标字符向量中的目标位置,目标字符向量为第一字符向量和第二字符向量中长度较大者。电子设备确定与目标字符向量的长度相同的初始距离向量,在初始距离向量中目标位置处填充第一预设值,在初始距离向量中除目标位置外的位置处填充第二预设值,得到目标距离向量。电子设备根据目标距离向量,计算第一字符向量和第二字符向量间的欧氏距离。其中,预设个数可以根据实际需求进行设定。例如,预设个数可以为3、4、5等。
例如,预设个数为3。第一预设值为1,第二预设值为0。第一字符向量为[a1,a2,…,an],第二字符向量为[b1,b2,…,bm]。其中,m>n。则电子设备获取长度为m的向量,作为初始距离向量。若第一字符向量的子字符向量[a11,a12,a13]和第二字符向量的子字符向量[b5,b6,b7]相同,则电子设备可确定目标位置为子字符向量[b5,b6,b7]在第二字符向量[b1,b2,…,bm]中的位置,即第5-7位。电子设备在初始距离向量的第5-7位处填充1,在初始距离向量除第5-7位外的位置处填充0。此时,电子设备得到目标距离向量为[0,0,0,0,1,1,1,0,…,0]。电子设备根据目标距离向量[0,0,0,0,1,1,1,0,…,0],计算第一字符向量[a1,a2,…,an]和第二字符向量[b1,b2,…,bm]间的欧氏距离。
本申请实施例中,电子设备可以依据以下公式计算第一字符向量和第二字符向量间的欧氏距离d:
Figure BDA0002255716350000161
其中,[d1,d2,…,ds]为目标距离向量。
本申请实施例中,基于第一字符向量和第二字符向量间相同的子字符向量填充初始距离向量,填充后的距离向量(即目标距离向量)体现了修改前口令信息和修改后口令信息包括的相同字符串。基于目标距离向量,计算第一字符向量和第二字符向量间的欧氏距离,能很好的体现修改前口令信息和修改后口令信息的差距。
另一个可选的实施例中,电子设备还可以比较第一字符向量和第二字符向量中预设位置处的子字符向量是否相同。若预设位置处的子字符向量相同,则电子设备可在初始距离向量中预设位置处填充第一预设值,并在初始距离向量中目标位置处填充第一预设值,在初始距离向量中除目标位置和预设位置外的位置处填充第二预设值,得到目标距离向量。若预设位置处的子字符向量不同,则电子设备可在初始距离向量中目标位置处填充第一预设值,在初始距离向量中除目标位置外的位置处填充第二预设值,得到目标距离向量。进而电子设备根据目标距离向量,计算第一字符向量和第二字符向量间的欧氏距离。
仍以上述例子为例进行说明。预设个数为3。第一预设值为1,第二预设值为0。第一字符向量为[a1,a2,…,an],第二字符向量为[b1,b2,…,bm]。预设位置为第1-2位。电子设备比较第一字符向量[a1,a2,…,an]中的[a1,a2]和第二字符向量[b1,b2,…,bm]中的[b1,b2]是否相同。若相同,结合第一字符向量的子字符向量[a11,a12,a13]和第二字符向量的子字符向量[b5,b6,b7]相同,电子设备在距离向量的第1-2位处填充1,在距离向量的第5-7位处填充1,在距离向量除第1-2位和第5-7位外的位置处填充0,得到目标距离向量为[1,1,0,0,1,1,1,0,…,0]。电子设备根据目标距离向量[1,1,0,0,1,1,1,0,…,0],计算第一字符向量[a1,a2,…,an]和第二字符向量[b1,b2,…,bm]间的欧氏距离。
本申请实施例中,预设位置可以根据经验设定。例如,经验中,口令信息的前两个字符,对修改前口令信息和修改后口令信息的差距影响较大,因此,预设位置为第1-2位,如上述[a1,a2]和[b1,b2]。
步骤4033,若计算得到的欧氏距离大于等于预设距离阈值,则将目标账户的口令信息发生修改的时间之后的预设数量条历史行为信息作为特殊历史行为信息。
若计算得到的欧氏距离大于等于预设距离阈值,则电子设备可确定修改前后口令信息的差距较大,输入行为偏差较大,将发生修改的时间之后的预设数量条历史行为信息作为特殊历史行为信息,以提高后续训练得到的入侵检测模型入侵检测的准确性。
一个可选的实施例中,电子设备在获取到特殊历史行为信息后,按照时间顺序,将特殊历史行为信息划分为多个阶段的特殊历史行为信息,基于每一阶段的特殊历史行为信息,分别训练得到一个特殊入侵检测模型。
例如,阶段划分规则为:将第1-6个历史行为信息划分为一个阶段,将第7-14个历史行为信息划分为一个阶段,将第15-20个历史行为信息划分为一个阶段。历史行为信息1-20符合预设特殊条件,历史行为信息101-120符合预设特殊条件。
则电子设备获取历史行为信息1-6以及历史行为信息101-106,利用这12条历史行为信息训练得到特殊入侵检测模型1。电子设备获取历史行为信息7-14以及历史行为信息107-114,利用这16条历史行为信息训练得到特殊入侵检测模型2。电子设备获取历史行为信息15-20以及历史行为信息115-120,利用这12条历史行为信息训练得到特殊入侵检测模型3。
之后,当当前行为信息为符合预设特殊条件的行为信息时,若当前行为信息为符合预设特殊条件的行为信息中第1-6个行为信息中一条,则将当前行为信息对应的当前行为向量输入特殊入侵检测模型1进行检测。若当前行为信息为符合预设特殊条件的行为信息中第7-14个行为信息中一条,则将当前行为信息对应的当前行为向量输入特殊入侵检测模型2进行检测。若当前行为信息为符合预设特殊条件的行为信息中第15-20个行为信息中一条,则将当前行为信息对应的当前行为向量输入特殊入侵检测模型3进行检测。
如果当前行为信息符合第1-6个行为信息、第7-14个行为信息和第15-20个行为信息,那么则从特殊入侵检测模型1-3中任选一个进行检测。
由于不同阶段的特殊历史行为信息,行为信息存在一定的差异。本申请实施例中,将符合预设特殊条件的历史行为信息划分为多个阶段的特殊历史行为信息,进而分别训练得到多个特殊入侵检测模型。利用不同阶段的特殊入侵检测模型检测入侵行为,提高了检测的准确率。
一个可选的实施例中,在经过常规入侵检测模型和特殊入侵检测模型进行入侵检测后,在输出当前行为信息所表征的输入行为是入侵行为同时,还可以输出当前行为信息所表征的输入行为是入侵行为的预测评分值。电子设备基于预设的告警操作与评分值的对应关系,确定预测评分值对应的告警操作,并执行预测评分值对应的告警操作。
上述告警操作包括但不限于以下操作中一种或多种:
1.禁止当前的登录行为,并通过发送验证信息给用户,取得用户许可后方可登录。
2.允许当前的登录行为,但是需要提供更多的论证信息;其中,论证信息可以包括注册时间、注册邮箱等信息。
3.允许当前的登录行为,但对登录进入目标账户后的行为权限进行限制,并将入侵行为通知用户。
4.允许当前的登录行为,但对本次登录行为进行详细地记录,并将入侵行为通知用户。
本申请实施例中,基于预测评分值执行相应的告警操作,可以及时提示用户目前目标账户存在风险,以便用户及时排除风险。
基于上述入侵检测方法及模型训练方法,本申请实施例提供了一种入侵检测装置。参考图5,图5为本申请实施例提供的入侵检测装置的一种结构示意图,该装置包括:
第一获取单元501,用于获取用户当前输入目标账户的口令信息的当前行为信息;
第二获取单元502,用于根据当前行为信息,获取当前行为信息表征的多个输入行为参数的当前参数值,并将多个输入行为参数的当前参数值组成当前行为向量;
检测单元503,用于将当前行为向量输入预设的入侵检测模型,得到当前行为信息所表征的输入行为的检测结果,检测结果为当前行为信息所表征的输入行为是入侵行为,或检测结果为当前行为信息所表征的输入行为是正常行为。
一个可选的实施例中,行为信息为针对目标账户的口令信息中每一字符的操作行为的行为信息。
一个可选的实施例中,当前行为信息可以包括以下内容中的一种或多种:每一字符对应的操作行为的序号、每一字符对应的操作行为的时间戳、每一字符对应的操作行为的内容、每一字符对应的操作行为的类型、口令信息的验证结果;
多个输入行为参数可以包括以下内容中的一种或多种:从目标账户的口令信息中第一个字符的输入开始至目标账户的口令信息验证结束所消耗的总时长、所有类型的操作行为的平均时间间隔、每种类型的操作行为的平均时间间隔、每一种类型的操作行为的最大时间间隔与该种类型的操作行为的最小时间间隔的比值、每种操作内容的操作行为的操作次数、重新输入目标账户的口令信息的次数中的一种或多种。
一个可选的实施例中,上述入侵检测装置可以包括第一训练单元,用于训练获得入侵检测模型。第一训练单元可以包括:
第一获取子单元,用于获取预设训练集,所述预设训练集包括带标签的历史行为信息,所述历史行为信息是用户历史输入所述目标账户的口令信息的行为信息,所述标签用于指示所述历史行为信息所表征的输入行为是入侵行为或正常行为;
第二获取子单元,用于根据历史行为信息,获取历史行为信息所表征的多个输入行为参数的历史参数值,并将多个输入行为参数的历史参数值组成历史行为向量;
训练子单元,用于将所述历史行为向量输入预设的入侵检测结构,得到所述历史行为信息所表征的输入行为的预测检测结果;基于所述预测检测结果和所述历史行为信息的标签,确定入侵检测的损失值;当基于所述损失值确定所述入侵检测结构收敛时,完成训练,得到入侵检测模型。
一个可选的实施例中,入侵检测模型包括常规入侵检测模型和特殊入侵检测模型;常规入侵检测模型是根据第一预设训练集训练得到的模型,第一预设训练集包括带标签的常规历史行为信息;特殊入侵检测模型是根据第二预设训练集训练得到的模型,第二预设训练集包括带标签的特殊历史行为信息;特殊历史行为信息为历史行为信息中符合预设特殊条件的行为信息,常规历史行为信息为历史行为信息中除特殊历史行为信息外的行为信息;
检测单元503,具体可以用于:
将当前行为向量输入常规入侵检测模型,得到当前行为信息所表征的输入行为的第一检测结果;
若第一检测结果为当前行为信息所表征的输入行为是入侵行为,则判断当前行为信息是否为符合预设特殊条件的行为信息;
若为符合预设特殊条件的行为信息,则将当前行为向量输入特殊入侵检测模型,得到当前行为信息所表征的输入行为的第二检测结果。
一个可选的实施例中,上述入侵装置还可以包括:第二训练单元,用于训练获得常规入侵检测模型和特殊入侵检测模型。第二训练单元可以包括:
第三获取子单元,用于获取预设训练集,预设训练集包括带标签的历史行为信息,历史行为信息是用户历史输入目标账户的口令信息的行为信息,标签用于指示历史行为信息所表征的输入行为是入侵行为或正常行为;
第四获取子单元,用于根据历史行为信息,获取历史行为信息所表征的多个输入行为参数的历史参数值,并将多个输入行为参数的历史参数值组成历史行为向量;
筛选子单元,用于从历史行为信息中筛选出符合预设特殊条件的行为信息作为特殊历史行为信息,将历史行为信息中除特殊历史行为信息外的行为信息作为常规历史行为信息;
第一训练子单元,用于将常规历史行为信息对应的历史行为向量输入第一预设入侵检测结构,得到常规历史行为信息所表征的输入行为的第一预测检测结果;基于第一预测检测结果和常规历史行为信息的标签,确定入侵检测的第一损失值;当基于第一损失值确定第一预设入侵检测结构收敛时,完成训练,得到常规入侵检测模型;
第二训练子单元,用于将特殊历史行为信息对应的历史行为向量输入第二预设入侵检测结构,得到特殊历史行为信息所表征的输入行为的第二预测检测结果;根据第二预测检测结果和特殊历史行为信息的标签,确定入侵检测的第二损失值;当基于第二损失值确定第二预设入侵检测结构收敛时,完成训练,得到特殊入侵检测模型。
一个可选的实施例中,筛选子单元,具体可以用于:
当目标账户的口令信息发生修改时,获取目标账户的修改前口令信息的第一字符向量和修改后口令信息的第二字符向量;
计算第一字符向量和第二字符向量间的欧氏距离;
若计算得到的欧氏距离大于等于预设距离阈值,则将目标账户的口令信息发生修改的时间之后的预设数量条历史行为信息作为特殊历史行为信息。
一个可选的实施例中,筛选子单元,具体可以用于:
查找第一字符向量和第二字符向量是否包含相同的子字符向量,相同的子字符向量包含的字符个数大于等于预设个数;
若包含相同的子字符向量,则确定相同的子字符向量在目标字符向量中的目标位置,目标字符向量为第一字符向量和第二字符向量中长度较大者;
确定与目标字符向量的长度相同的初始距离向量,并在初始距离向量中目标位置处填充第一预设值,在初始距离向量中除目标位置外的位置处填充第二预设值,得到目标距离向量;
根据目标距离向量,计算第一字符向量和第二字符向量间的欧氏距离。
一个可选的实施例中,筛选子单元,还可以用于:
比较第一字符向量和第二字符向量中预设位置处的子字符向量是否相同;
若预设位置处的子字符向量相同,则在初始距离向量中预设位置和目标位置处填充第一预设值,在初始距离向量中除目标位置和预设位置外的位置处填充第二预设值,得到目标距离向量。
本申请实施例提供的入侵检测装置中,基于用户历史输入目标账户的口令信息的行为信息,训练得到入侵检测模型,进而依据用户当前输入目标账户的口令信息的行为信息、以及训练得到的入侵检测模型,得到当前输入行为是入侵行为或正常行为的检测结果。可见,本申请实施例提供的技术方案中,在事前检测用户输入口令信息的行为,即检测用户的登录行为,而非是对入侵信息系统后的行为进行检测分析,实现了核心资产的安全防护,解决了现有事后行为审计分析,不能达到有效保护核心资产的问题,提高了信息系统的安全防御性能。
基于上述入侵检测方法及模型训练方法,本申请实施例还提供了一种电子设备,如图6所示,包括处理器601和机器可读存储介质602,机器可读存储介质602存储有能够被处理器601执行的机器可执行指令。处理器601被机器可执行指令促使实现上述图1-图4所示的任一步骤。
一个可选的实施例中,如图6所示,电子设备还可以包括:通信接口603和通信总线604;其中,处理器601、机器可读存储介质602、通信接口603通过通信总线604完成相互间的通信,通信接口603用于上述电子设备与其他设备之间的通信。
基于上述入侵检测方法及模型训练方法,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图1-图4所示的任一步骤。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于入侵检测装置、电子设备、机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (16)

1.一种入侵检测方法,其特征在于,所述方法包括:
获取用户当前输入目标账户的口令信息的当前行为信息;
根据所述当前行为信息,获取所述当前行为信息所表征的多个输入行为参数的当前参数值,并将所述多个输入行为参数的当前参数值组成当前行为向量;
将所述当前行为向量输入预设的入侵检测模型,得到所述当前行为信息所表征的输入行为的检测结果,所述检测结果为所述当前行为信息所表征的输入行为是入侵行为,或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。
2.根据权利要求1所述的方法,其特征在于,所述当前行为信息包括以下内容中的一种或多种:每一字符对应的操作行为的序号、每一字符对应的操作行为的时间戳、每一字符对应的操作行为的内容、每一字符对应的操作行为的类型、口令信息的验证结果;
所述多个输入行为参数包括以下内容中的一种或多种:从所述目标账户的口令信息中第一个字符的输入开始至所述目标账户的口令信息验证结束所消耗的总时长、所有类型的操作行为的平均时间间隔、每种类型的操作行为的平均时间间隔、每一种类型的操作行为的最大时间间隔与该种类型的操作行为的最小时间间隔的比值、每种操作内容的操作行为的操作次数、重新输入所述目标账户的口令信息的次数。
3.根据权利要求1所述的方法,其特征在于,所述入侵检测模型通过以下方式训练获得:
获取预设训练集,所述预设训练集包括带标签的历史行为信息,所述历史行为信息是用户历史输入所述目标账户的口令信息的行为信息,所述标签用于指示所述历史行为信息所表征的输入行为是入侵行为或正常行为;
根据所述历史行为信息,获取所述历史行为信息所表征的多个输入行为参数的历史参数值,并将所述多个输入行为参数的历史参数值组成历史行为向量;
将所述历史行为向量输入预设的入侵检测结构,得到所述历史行为信息所表征的输入行为的预测检测结果;
基于所述预测检测结果和所述历史行为信息的标签,确定入侵检测的损失值;
当基于所述损失值确定所述入侵检测结构收敛时,完成训练,得到入侵检测模型。
4.根据权利要求1-3任一所述的方法,其特征在于,所述入侵检测模型包括常规入侵检测模型和特殊入侵检测模型;所述常规入侵检测模型是根据第一预设训练集训练得到的模型,所述第一预设训练集包括带标签的常规历史行为信息;所述特殊入侵检测模型是根据第二预设训练集训练得到的模型,所述第二预设训练集包括带标签的特殊历史行为信息;所述特殊历史行为信息为所述历史行为信息中符合预设特殊条件的行为信息,所述常规历史行为信息为所述历史行为信息中除所述特殊历史行为信息外的行为信息;
所述将所述当前行为向量输入预设的入侵检测模型,得到所述当前行为信息所表征的输入行为的检测结果的步骤,包括:
将所述当前行为向量输入所述常规入侵检测模型,得到所述当前行为信息所表征的输入行为的第一检测结果;
若所述第一检测结果为所述当前行为信息所表征的输入行为是入侵行为,则判断所述当前行为信息是否为符合所述预设特殊条件的行为信息;
若为符合所述预设特殊条件的行为信息,则将所述当前行为向量输入所述特殊入侵检测模型,得到所述当前行为信息所表征的输入行为的第二检测结果。
5.根据权利要求4所述的方法,其特征在于,所述常规入侵检测模型和特殊入侵检测模型通过以下方式训练获得:
获取预设训练集,所述预设训练集包括带标签的历史行为信息,所述历史行为信息是用户历史输入所述目标账户的口令信息的行为信息,所述标签用于指示历史行为信息所表征的输入行为是入侵行为或正常行为;
根据所述历史行为信息,获取所述历史行为信息所表征的多个输入行为参数的历史参数值,并将所述多个输入行为参数的历史参数值组成历史行为向量;
从所述历史行为信息中筛选出符合所述预设特殊条件的行为信息作为特殊历史行为信息,将所述历史行为信息中除所述特殊历史行为信息外的行为信息作为常规历史行为信息;
将所述常规历史行为信息对应的历史行为向量输入第一预设入侵检测结构,得到所述常规历史行为信息所表征的输入行为的第一预测检测结果;基于所述第一预测检测结果和所述常规历史行为信息的标签,确定入侵检测的第一损失值;当基于所述第一损失值确定所述第一预设入侵检测结构收敛时,完成训练,得到常规入侵检测模型;
将所述特殊历史行为信息对应的历史行为向量输入第二预设入侵检测结构,得到所述特殊历史行为信息所表征的输入行为的第二预测检测结果;根据所述第二预测检测结果和所述特殊历史行为信息的标签,确定入侵检测的第二损失值;当基于所述第二损失值确定所述第二预设入侵检测结构收敛时,完成训练,得到特殊入侵检测模型。
6.根据权利要求5所述的方法,其特征在于,所述从所述历史行为信息中筛选出符合所述预设特殊条件的行为信息作为特殊历史行为信息的步骤,包括:
当所述目标账户的口令信息发生修改时,获取所述目标账户的修改前口令信息的第一字符向量和修改后口令信息的第二字符向量;
计算所述第一字符向量和所述第二字符向量间的欧氏距离;
若计算得到的欧氏距离大于等于预设距离阈值,则将所述目标账户的口令信息发生修改的时间之后的预设数量条所述历史行为信息作为特殊历史行为信息。
7.根据权利要求6所述的方法,其特征在于,所述计算所述第一字符向量和所述第二字符向量间的欧氏距离的步骤,包括:
查找所述第一字符向量和所述第二字符向量是否包含相同的子字符向量,所述相同的子字符向量包含的字符个数大于等于预设个数;
若包含相同的子字符向量,则确定所述相同的子字符向量在目标字符向量中的目标位置,所述目标字符向量为所述第一字符向量和所述第二字符向量中长度较大者;
确定与所述目标字符向量的长度相同的初始距离向量,并在所述初始距离向量中所述目标位置处填充第一预设值,在所述初始距离向量中除所述目标位置外的位置处填充第二预设值,得到目标距离向量;
根据所述目标距离向量,计算所述第一字符向量和所述第二字符向量间的欧氏距离。
8.根据权利要求7所述的方法,其特征在于,并在所述初始距离向量中所述目标位置处填充第一预设值,在所述初始距离向量中除所述目标位置外的位置处填充第二预设值之前,所述方法还包括:
比较所述第一字符向量和所述第二字符向量中预设位置处的子字符向量是否相同;
所述在所述初始距离向量中所述目标位置处填充第一预设值,在所述初始距离向量中除所述目标位置外的位置处填充第二预设值,得到目标距离向量的步骤,包括:
若所述预设位置处的子字符向量相同,则在所述初始距离向量中所述预设位置和所述目标位置处填充第一预设值,在所述初始距离向量中除所述目标位置和所述预设位置外的位置处填充第二预设值,得到目标距离向量。
9.一种入侵检测装置,其特征在于,所述装置包括:
第一获取单元,用于获取用户当前输入目标账户的口令信息的当前行为信息;
第二获取单元,用于根据所述当前行为信息,获取所述当前行为信息所表征的多个输入行为参数的当前参数值,并将所述多个输入行为参数的当前参数值组成当前行为向量;
检测单元,用于将所述当前行为向量输入预设的入侵检测模型,得到所述当前行为信息所表征的输入行为的检测结果,所述检测结果为所述当前行为信息所表征的输入行为是入侵行为,或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。
10.根据权利要求9所述的装置,其特征在于,所述当前行为信息包括以下内容中的一种或多种:每一字符对应的操作行为的序号、每一字符对应的操作行为的时间戳、每一字符对应的操作行为的内容、每一字符对应的操作行为的类型、口令信息的验证结果;
所述多个输入行为参数包括以下内容中的一种或多种:从所述目标账户的口令信息中第一个字符的输入开始至所述目标账户的口令信息验证结束所消耗的总时长、所有类型的操作行为的平均时间间隔、每种类型的操作行为的平均时间间隔、每一种类型的操作行为的最大时间间隔与该种类型的操作行为的最小时间间隔的比值、每种操作内容的操作行为的操作次数、重新输入所述目标账户的口令信息的次数。
11.根据权利要求9或10所述的装置,其特征在于,所述入侵检测模型包括常规入侵检测模型和特殊入侵检测模型;所述常规入侵检测模型是根据第一预设训练集训练得到的模型,所述第一预设训练集包括带标签的常规历史行为信息;所述特殊入侵检测模型是根据第二预设训练集训练得到的模型,所述第二预设训练集包括带标签的特殊历史行为信息;所述特殊历史行为信息为所述历史行为信息中符合预设特殊条件的行为信息,所述常规历史行为信息为所述历史行为信息中除所述特殊历史行为信息外的行为信息;
所述检测单元,具体用于:
将所述当前行为向量输入所述常规入侵检测模型,得到所述当前行为信息所表征的输入行为的第一检测结果;
若所述第一检测结果为所述当前行为信息所表征的输入行为是入侵行为,则判断所述当前行为信息是否为符合所述预设特殊条件的行为信息;
若为符合所述预设特殊条件的行为信息,则将所述当前行为向量输入所述特殊入侵检测模型,得到所述当前行为信息所表征的输入行为的第二检测结果。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:第二训练单元,用于训练获得所述常规入侵检测模型和特殊入侵检测模型,所述第二训练单元包括:
第三获取子单元,用于获取预设训练集,所述预设训练集包括带标签的历史行为信息,所述历史行为信息是用户历史输入所述目标账户的口令信息的行为信息,所述标签用于指示历史行为信息所表征的输入行为是入侵行为或正常行为;
第四获取子单元,用于根据所述历史行为信息,获取所述历史行为信息所表征的多个输入行为参数的历史参数值,并将所述多个输入行为参数的历史参数值组成历史行为向量;
筛选子单元,用于从所述历史行为信息中筛选出符合所述预设特殊条件的行为信息作为特殊历史行为信息,将所述历史行为信息中除所述特殊历史行为信息外的行为信息作为常规历史行为信息;
第一训练子单元,用于将所述常规历史行为信息对应的历史行为向量输入第一预设入侵检测结构,得到所述常规历史行为信息所表征的输入行为的第一预测检测结果;基于所述第一预测检测结果和所述常规历史行为信息的标签,确定入侵检测的第一损失值;当基于所述第一损失值确定所述第一预设入侵检测结构收敛时,完成训练,得到常规入侵检测模型;
第二训练子单元,用于将所述特殊历史行为信息对应的历史行为向量输入第二预设入侵检测结构,得到所述特殊历史行为信息所表征的输入行为的第二预测检测结果;根据所述第二预测检测结果和所述特殊历史行为信息的标签,确定入侵检测的第二损失值;当基于所述第二损失值确定所述第二预设入侵检测结构收敛时,完成训练,得到特殊入侵检测模型。
13.根据权利要求12所述的装置,其特征在于,所述筛选子单元,具体用于:
当所述目标账户的口令信息发生修改时,获取所述目标账户的修改前口令信息的第一字符向量和修改后口令信息的第二字符向量;
计算所述第一字符向量和所述第二字符向量间的欧氏距离;
若计算得到的欧氏距离大于等于预设距离阈值,则将所述目标账户的口令信息发生修改的时间之后的预设数量条所述历史行为信息作为特殊历史行为信息。
14.根据权利要求13所述的装置,其特征在于,所述筛选子单元,还用于:
比较所述第一字符向量和所述第二字符向量中预设位置处的子字符向量是否相同;
若所述预设位置处的子字符向量相同,则在所述初始距离向量中所述预设位置和所述目标位置处填充第一预设值,在所述初始距离向量中除所述目标位置和所述预设位置外的位置处填充第二预设值,得到目标距离向量。
15.一种电子设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-8任一所述的方法步骤。
16.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-8任一所述的方法步骤。
CN201911056226.2A 2019-10-31 2019-10-31 一种入侵检测方法及装置 Active CN110636082B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911056226.2A CN110636082B (zh) 2019-10-31 2019-10-31 一种入侵检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911056226.2A CN110636082B (zh) 2019-10-31 2019-10-31 一种入侵检测方法及装置

Publications (2)

Publication Number Publication Date
CN110636082A true CN110636082A (zh) 2019-12-31
CN110636082B CN110636082B (zh) 2022-06-21

Family

ID=68976817

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911056226.2A Active CN110636082B (zh) 2019-10-31 2019-10-31 一种入侵检测方法及装置

Country Status (1)

Country Link
CN (1) CN110636082B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866017A (zh) * 2020-07-29 2020-10-30 北京天融信网络安全技术有限公司 一种can总线帧间隔异常的检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170301148A1 (en) * 2016-02-15 2017-10-19 Babu Vinod Method and system of automatic billing of transportation services
CN108875365A (zh) * 2018-04-22 2018-11-23 北京光宇之勋科技有限公司 一种入侵检测方法及入侵检测检测装置
CN109583574A (zh) * 2018-12-13 2019-04-05 东莞幻鸟新材料有限公司 一种高精度的网络入侵检测系统
CN110191113A (zh) * 2019-05-24 2019-08-30 新华三信息安全技术有限公司 一种用户行为风险评估方法及装置
CN110365708A (zh) * 2019-08-05 2019-10-22 山东浪潮人工智能研究院有限公司 一种基于向量自回归模型的交换机数据异常检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170301148A1 (en) * 2016-02-15 2017-10-19 Babu Vinod Method and system of automatic billing of transportation services
CN108875365A (zh) * 2018-04-22 2018-11-23 北京光宇之勋科技有限公司 一种入侵检测方法及入侵检测检测装置
CN109583574A (zh) * 2018-12-13 2019-04-05 东莞幻鸟新材料有限公司 一种高精度的网络入侵检测系统
CN110191113A (zh) * 2019-05-24 2019-08-30 新华三信息安全技术有限公司 一种用户行为风险评估方法及装置
CN110365708A (zh) * 2019-08-05 2019-10-22 山东浪潮人工智能研究院有限公司 一种基于向量自回归模型的交换机数据异常检测方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866017A (zh) * 2020-07-29 2020-10-30 北京天融信网络安全技术有限公司 一种can总线帧间隔异常的检测方法及装置
CN111866017B (zh) * 2020-07-29 2022-09-16 北京天融信网络安全技术有限公司 一种can总线帧间隔异常的检测方法及装置

Also Published As

Publication number Publication date
CN110636082B (zh) 2022-06-21

Similar Documents

Publication Publication Date Title
EP3651043B1 (en) Url attack detection method and apparatus, and electronic device
CN107070852B (zh) 网络攻击检测方法和装置
CN108449342A (zh) 恶意请求检测方法及装置
CN108924118B (zh) 一种撞库行为检测方法及系统
CN106549980B (zh) 一种恶意c&c服务器确定方法及装置
CN107438049B (zh) 一种恶意登录识别方法及装置
US9692771B2 (en) System and method for estimating typicality of names and textual data
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN105072214A (zh) 基于域名特征的c&c域名识别方法
CN109145030B (zh) 一种异常数据访问的检测方法和装置
CN110071917B (zh) 用户口令检测方法、设备、装置及存储介质
Aghaei et al. Threatzoom: neural network for automated vulnerability mitigation
CN110855716B (zh) 一种面向仿冒域名的自适应安全威胁分析方法及系统
CN112953918A (zh) 结合大数据服务器的网络攻击防护方法及大数据防护设备
CN108234441B (zh) 确定伪造访问请求的方法、装置、电子设备和存储介质
CN112765660A (zh) 一种基于MapReduce并行聚类技术的终端安全性分析方法和系统
CN110636082B (zh) 一种入侵检测方法及装置
CN111970272A (zh) 一种apt攻击操作识别方法
CN109359274B (zh) 一种对批量生成的字符串进行识别的方法、装置及设备
CN116962009A (zh) 一种网络攻击检测方法及装置
CN112989333B (zh) 一种安全认证方法及系统
CN112468444B (zh) 互联网域名滥用识别方法和装置,电子设备,存储介质
CN114499980A (zh) 一种钓鱼邮件检测方法、装置、设备及存储介质
CN107203718B (zh) 一种sql命令注入的检测方法及系统
Rongrat et al. Assessing Risk of Security Non-compliance of Banking Security Requirements Based on Attack Patterns

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant