CN110912899B - 网络安全入侵检测方法、装置、服务器及可读存储介质 - Google Patents
网络安全入侵检测方法、装置、服务器及可读存储介质 Download PDFInfo
- Publication number
- CN110912899B CN110912899B CN201911179981.XA CN201911179981A CN110912899B CN 110912899 B CN110912899 B CN 110912899B CN 201911179981 A CN201911179981 A CN 201911179981A CN 110912899 B CN110912899 B CN 110912899B
- Authority
- CN
- China
- Prior art keywords
- detection
- intrusion
- network security
- intrusion detection
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请实施例提供一种网络安全入侵检测方法、装置、服务器及可读存储介质,考虑到预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,能够从多个入侵检测点的维度进行网络安全入侵综合加权检测,从而可以有效提高对多种变化的入侵行为进行入侵检测的精准度以及灵活性。并且通过确定至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足预设特征条件的疑似入侵位置后,获取可信入侵位置的位置范围及疑似入侵位置的位置范围,从而根据可信入侵位置的位置范围及疑似入侵位置的位置范围的比值确定可信入侵位置,由此针对多样化特征的入侵行为都能够达到较好的检测效果,从而有效地避免漏检测以及误检测现象。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种网络安全入侵检测方法、装置、服务器及可读存储介质。
背景技术
在计算机网络不断发展的过程中,全球信息化已经成为人类发展的一大趋势,但是因为计算机网络的形式具有终端分布不均、多样化及互联性的特点,容易受到恶意软件、黑客及其他形式的攻击,人们在网络中信息的保密性及安全性成为了值得思考的重要问题。所以,计算机网络就要具备良好的安全措施,否则此网络就会危及到国家及个人安全。不断是广域网还是局域网中,都具有多种人为及自然因素,从而导致网络具备潜在威胁。网络安全措施能够全面针对不同威胁进行保护,从而保证网络信息的可用性、保密性及完整性。网络安全目前已经是计算机网络不断发展过程中的重要因素。
网络安全包含多种学科,比如通信技术、计算机科学、信息安全技术、网络技术等,网络信息安全指的是网络系统软硬件及系统数据的保护,使其不受因素泄露及破坏,使系统能够正常的运行。目前的计算机网络安全入侵检测只能够对特定或者一直的入侵行为进行检测,检测维度较为粗略,降低了入侵检测的精准度以及灵活性;并且由于入侵行为是多样化的,各个入侵行为的特征等不同,往往也会导致在进行入侵检测时经常出现误检测或漏检测现象,从而进一步影响入侵检测的精准度。
发明内容
为了至少克服现有技术中的上述不足,本申请的目的之一在于提供一种网络安全入侵检测方法、装置、服务器及可读存储介质,能够从多个入侵检测点的维度进行网络安全入侵综合加权检测,从而可以有效提高对多种变化的入侵行为进行入侵检测的精准度以及灵活性,针对多样化特征的入侵行为都能够达到较好的检测效果,从而有效地避免漏检测以及误检测现象。
第一方面,本申请提供一种网络安全入侵检测方法,应用于服务器,所述方法包括:
获取目标网络中预设网络安全元素的多个入侵检测点,并根据所述获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值;
获取与所述预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,并计算所述预设网络安全元素的入侵检测值与所述正/负入侵检测值的偏差值,得到目标入侵检测值;
根据预设的加权策略对所述目标入侵检测值进行加权,确定网络安全入侵检测结果;
确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置;
获取所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围;计算所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围的比值,并根据所述比值,当所述比值处于预设比值区间时,判定疑似入侵位置为可信入侵位置;
根据判定结果确定所述目标网络中的可信入侵位置。
在第一方面的一种可能的设计中,所述根据所述获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值的步骤,包括:
根据所述预设网络安全元素的多个入侵检测点分别计算第一可视特征区域的特征区域位置范围、所述第二可视特征区域的特征区域位置范围的特征区域位置范围,其中,所述第一可视特征区域和所述第二可视特征区域为时序上相关联的可视特征区域;
比较所述第一可视特征区域的特征区域位置范围和所述第二可视特征区域的特征区域位置范围,将特征区域位置范围大的第一可视特征区域/第二可视特征区域确定为目标可视特征区域;
计算所述目标可视特征区域对应的特征区域位置范围与所述网络边缘的特征区域位置范围的比值,得到第一入侵检测值。
在第一方面的一种可能的设计中,所述确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置的步骤,包括:
按照不同的待检测入侵元素所对应的不同的检测算法定位所述网络安全入侵检测结果中的待检测位置;
对所述待检测位置进行分块检测,并获取每一块待检测位置的基准特征;
判断各块待检测位置的基准特征是否满足预设特征条件;
将确定包含有满足所述预设特征条件的基准特征的区域确定为可信入侵位置;
将不确定是否包含有满足所述预设特征条件的基准特征的区域确定为疑似入侵位置。
在第一方面的一种可能的设计中,所述按照不同的待检测入侵元素所对应的不同的检测算法定位所述网络安全入侵检测结果中的待检测位置的步骤,包括:
按照不同的待检测入侵元素所对应的不同的检测算法检测所述网络安全入侵检测结果中的主检测位置以及与所述主检测位置的特征关联的副检测位置,并根据所述主检测位置和所述副检测位置获取所述主检测位置的检测等级信息;
根据所述检测等级信息和检测定位区域确定所述主检测位置可视特征区域中不同子区域的原始检测强度;
根据所述主检测位置的入侵检测方式确定所述不同子区域的入侵检测标识,并按照与所述入侵检测标识对应的权重设置策略确定所述不同子区域的检测强度权重,其中,当所述不同子区域的入侵检测标识为入侵检测优先级排序时,按照由入侵检测优先级排序权重递减策略获取所述不同子区域的区域业务,并根据所述区域业务查询按照预设的线性权重分布曲线或者非线性权重分布曲线,确定所述不同子区域的检测强度权重;
根据所述不同子区域的原始检测强度和对应的检测强度权重确定所述不同子区域的目标检测强度;
根据所述不同子区域的目标检测强度从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。如此,考虑在入侵检测时,用户通常要求入侵检测效果与对应的检测强度和检测等级相关,因此通过有效地筛查,提高入侵检测的实际效果,进一步提高入侵检测的准确性。
在第一方面的一种可能的设计中,所述根据所述检测等级信息和检测定位区域确定所述主检测位置可视特征区域中不同子区域的原始检测强度的步骤,包括:
根据所述检测等级信息和检测定位区域确定所述主检测位置中前端区域的第一检测等级信息和可视特征区域的第二检测等级信息;
根据所述第二检测等级信息获取所述主检测位置可视特征区域中不同子区域的平均检测等级信息;
根据所述第一检测等级信息和所述不同子区域的平均检测等级信息获取所述不同子区域的原始检测强度。
在第一方面的一种可能的设计中,所述根据所述不同子区域的原始检测强度和对应的检测强度权重确定所述不同子区域的目标检测强度的步骤,包括:
获取所述不同子区域的原始检测强度与对应的检测强度权重的乘积,确定所述不同子区域的目标检测强度。
在第一方面的一种可能的设计中,所述根据所述不同子区域的目标检测强度从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置的步骤,包括:
根据所述不同子区域的目标检测强度和所述不同子区域中各检测位置的检测等级信息确定所述可视特征区域中每个检测位置的检测等级信息;
根据所述可视特征区域中每个检测位置的检测等级信息从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
第二方面,本申请还提供一种网络安全入侵检测装置,应用于与待挖掘服务所对应的各个业务服务器通信连接的服务器,所述装置包括:
获取聚类模块,用于从各个业务服务器中获取多个维度的业务大数据,并针对每个维度,对该维度的所有业务大数据进行聚类,得到每个维度的聚类簇;
提取确定模块,用于提取每个维度的聚类簇的特征信息,并根据每个维度的聚类簇的特征信息,确定所述待挖掘服务的多个数据挖掘项目以及每个数据挖掘项目对应的待挖掘数据维度;
数据获取模块,用于根据所述待挖掘服务的多个数据挖掘项目以及每个数据挖掘项目对应的待挖掘数据维度,分别在每个数据挖掘项目下获取待挖掘数据维度对应的业务过程数据;
数据挖掘模块,用于根据在每个数据挖掘项目下获取待挖掘数据维度对应的业务过程数据,得到所述待挖掘服务的网络安全入侵检测结果。
第三方面,本申请实施例提供一种服务器,包括处理器、存储器和网络接口。其中,存储器、网络接口处理器之间可以通过总线系统相连。网络接口用于接收报文,存储器用于存储程序、指令或代码,处理器用于执行存储器中的程序、指令或代码,以完成上述第一方面或第一方面的任意可能的设计方式中的所执行的操作。
第四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上检测时,使得计算机执行上述第一方面或第一方面的任意可能的设计方式中的方法。
基于上述任意一个方面,本申请考虑到预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,能够从多个入侵检测点的维度进行网络安全入侵综合加权检测,从而可以有效提高对多种变化的入侵行为进行入侵检测的精准度以及灵活性。并且通过确定至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足预设特征条件的疑似入侵位置后,获取可信入侵位置的位置范围及疑似入侵位置的位置范围,从而根据可信入侵位置的位置范围及疑似入侵位置的位置范围的比值确定可信入侵位置,由此针对多样化特征的入侵行为都能够达到较好的检测效果,从而有效地避免漏检测以及误检测现象。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络安全入侵检测方法的流程示意图;
图2为图1中所示的一种可能的实施方式中步骤S110包括的各个子步骤的流程示意图;
图3为图1中所示的一种可能的实施方式中步骤S140包括的各个子步骤的流程示意图;
图4为图3中所示的一种可能的实施方式中步骤S141包括的各个子步骤的流程示意图;
图5为本申请实施例提供的网络安全入侵检测装置的功能模块示意图;
图6为本申请实施例提供的用于执行上述的网络安全入侵检测方法的服务器的结构示意框图。
具体实施方式
下面结合说明书附图对本申请进行具体说明,方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。在本申请的描述中,除非另有说明,“至少一个”包括一个或多个。“多个”是指两个或两个以上。例如,A、B和C中的至少一个,包括:单独存在A、单独存在B、同时存在A和B、同时存在A和C、同时存在B和C,以及同时存在A、B和C。在本申请中,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
请参阅图1,为本申请实施例提供的网络安全入侵检测方法的流程示意图。下面对该网络安全入侵检测方法进行详细介绍。
步骤S110,获取目标网络中预设网络安全元素的多个入侵检测点,并根据所述获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值。
步骤S120,获取与所述预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,并计算所述预设网络安全元素的入侵检测值与所述正/负入侵检测值的偏差值,得到目标入侵检测值。
步骤S130,根据预设的加权策略对所述目标入侵检测值进行加权,确定网络安全入侵检测结果。
步骤S140,确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置。
步骤S150,获取所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围。
步骤S160,计算所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围的比值,并根据所述比值,当所述比值处于预设比值区间时,判定疑似入侵位置为可信入侵位置。
步骤S170,根据判定结果确定所述目标网络中的可信入侵位置。
基于上述步骤,本实施例考虑到预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,能够从多个入侵检测点的维度进行网络安全入侵综合加权检测,从而可以有效提高对多种变化的入侵行为进行入侵检测的精准度以及灵活性。并且通过确定至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足预设特征条件的疑似入侵位置后,获取可信入侵位置的位置范围及疑似入侵位置的位置范围,从而根据可信入侵位置的位置范围及疑似入侵位置的位置范围的比值确定可信入侵位置,由此针对多样化特征的入侵行为都能够达到较好的检测效果,从而有效地避免漏检测以及误检测现象。
在一些可能的设计中,为了从时序上关联入侵行为,以检测入侵行为的变化情况,提高检测效果,针对步骤S110,请结合参阅图2,具体可以通过以下子步骤实现:
子步骤S111,根据所述预设网络安全元素的多个入侵检测点分别计算第一可视特征区域的特征区域位置范围、所述第二可视特征区域的特征区域位置范围的特征区域位置范围,其中,所述第一可视特征区域和所述第二可视特征区域为时序上相关联的可视特征区域。
子步骤S112,比较所述第一可视特征区域的特征区域位置范围和所述第二可视特征区域的特征区域位置范围,将特征区域位置范围大的第一可视特征区域/第二可视特征区域确定为目标可视特征区域。
子步骤S113,计算所述目标可视特征区域对应的特征区域位置范围与所述网络边缘的特征区域位置范围的比值,得到第一入侵检测值。
基于上述步骤,通过从时序上关联入侵行为,以检测入侵行为的变化情况,从而有效提高检测效果。
在一些可能的设计中,针对步骤S140,请结合参阅图3,具体可以通过以下子步骤实现:
子步骤S141,按照不同的待检测入侵元素所对应的不同的检测算法定位所述网络安全入侵检测结果中的待检测位置。
子步骤S142,对所述待检测位置进行分块检测,并获取每一块待检测位置的基准特征。
子步骤S143,判断各块待检测位置的基准特征是否满足预设特征条件。
子步骤S144,将确定包含有满足所述预设特征条件的基准特征的区域确定为可信入侵位置。
子步骤S145,将不确定是否包含有满足所述预设特征条件的基准特征的区域确定为疑似入侵位置。
如此,通过基准特征来确定可信入侵位置和疑似入侵位置,针对多样化特征的入侵行为都能够达到较好的检测效果,从而有效地避免漏检测以及误检测现象。
在一些可能的设计中,针对子步骤S141,考虑在入侵检测时,用户通常要求入侵检测效果与对应的检测强度和检测等级相关,然而,目前的入侵检测方案缺乏有效地筛查,可能导致入侵检测的实际效果差于预估效果,进一步影响入侵检测的准确性,基于此请结合参阅图4,子步骤S141具体可以通过以下子步骤实现:
子步骤S1411,按照不同的待检测入侵元素所对应的不同的检测算法检测所述网络安全入侵检测结果中的主检测位置以及与所述主检测位置的特征关联的副检测位置,并根据所述主检测位置和所述副检测位置获取所述主检测位置的检测等级信息。
子步骤S1412,根据所述检测等级信息和检测定位区域确定所述主检测位置可视特征区域中不同子区域的原始检测强度。
子步骤S1413,根据所述主检测位置的入侵检测方式确定所述不同子区域的入侵检测标识,并按照与所述入侵检测标识对应的权重设置策略确定所述不同子区域的检测强度权重,其中,当所述不同子区域的入侵检测标识为入侵检测优先级排序时,按照由入侵检测优先级排序权重递减策略获取所述不同子区域的区域业务,并根据所述区域业务查询按照预设的线性权重分布曲线或者非线性权重分布曲线,确定所述不同子区域的检测强度权重。
子步骤S1414,根据所述不同子区域的原始检测强度和对应的检测强度权重确定所述不同子区域的目标检测强度。
子步骤S1415,根据所述不同子区域的目标检测强度从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
如此,考虑在入侵检测时,用户通常要求入侵检测效果与对应的检测强度和检测等级相关,因此通过有效地筛查,提高入侵检测的实际效果,进一步提高入侵检测的准确性。
在一些可能的设计中,针对子步骤S1412,具体可以根据所述检测等级信息和检测定位区域确定所述主检测位置中前端区域的第一检测等级信息和可视特征区域的第二检测等级信息,然后根据所述第二检测等级信息获取所述主检测位置可视特征区域中不同子区域的平均检测等级信息,从而根据所述第一检测等级信息和所述不同子区域的平均检测等级信息获取所述不同子区域的原始检测强度。
在一些可能的设计中,针对子步骤S1414,具体可以获取所述不同子区域的原始检测强度与对应的检测强度权重的乘积,确定所述不同子区域的目标检测强度。
在一些可能的设计中,针对子步骤S1415,具体可以根据所述不同子区域的目标检测强度和所述不同子区域中各检测位置的检测等级信息确定所述可视特征区域中每个检测位置的检测等级信息,然后根据所述可视特征区域中每个检测位置的检测等级信息从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
图5为本申请实施例提供的网络安全入侵检测装置200的功能模块示意图,本实施例可以根据上述方法实施例对该网络安全入侵检测装置200进行功能模块的划分。例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。比如,在采用对应各个功能划分各个功能模块的情况下,图5示出的网络安全入侵检测装置200只是一种装置示意图。其中,网络安全入侵检测装置200可以包括获取模块210、计算模块220、加权确定模块230、位置确定模块240以及判定模块250,下面分别对该网络安全入侵检测装置200的各个功能模块的功能进行详细阐述。
获取模块210,用于获取目标网络中预设网络安全元素的多个入侵检测点,并根据所述获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值。
计算模块220,用于获取与所述预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,并计算所述预设网络安全元素的入侵检测值与所述正/负入侵检测值的偏差值,得到目标入侵检测值。
加权确定模块230,用于根据预设的加权策略对所述目标入侵检测值进行加权,确定网络安全入侵检测结果。
位置确定模块240,用于确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置。
判定模块250,用于获取所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围。计算所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围的比值,并根据所述比值,当所述比值处于预设比值区间时,判定疑似入侵位置为可信入侵位置。
所述位置确定模块240,还用于根据判定结果确定所述目标网络中的可信入侵位置。
在一些可能的设计中,获取模块210可以通过以下方式计算所述预设网络安全元素的入侵检测值:
根据所述预设网络安全元素的多个入侵检测点分别计算第一可视特征区域的特征区域位置范围、所述第二可视特征区域的特征区域位置范围的特征区域位置范围,其中,所述第一可视特征区域和所述第二可视特征区域为时序上相关联的可视特征区域;
比较所述第一可视特征区域的特征区域位置范围和所述第二可视特征区域的特征区域位置范围,将特征区域位置范围大的第一可视特征区域/第二可视特征区域确定为目标可视特征区域;
计算所述目标可视特征区域对应的特征区域位置范围与所述网络边缘的特征区域位置范围的比值,得到第一入侵检测值。
在一些可能的设计中,位置确定模块240可以通过以下方式确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置:
按照不同的待检测入侵元素所对应的不同的检测算法定位所述网络安全入侵检测结果中的待检测位置;
对所述待检测位置进行分块检测,并获取每一块待检测位置的基准特征;
判断各块待检测位置的基准特征是否满足预设特征条件;
将确定包含有满足所述预设特征条件的基准特征的区域确定为可信入侵位置;
将不确定是否包含有满足所述预设特征条件的基准特征的区域确定为疑似入侵位置。
在一些可能的设计中,位置确定模块240可以通过以下方式定位所述网络安全入侵检测结果中的待检测位置的步骤,包括:
按照不同的待检测入侵元素所对应的不同的检测算法检测所述网络安全入侵检测结果中的主检测位置以及与所述主检测位置的特征关联的副检测位置,并根据所述主检测位置和所述副检测位置获取所述主检测位置的检测等级信息;
根据所述检测等级信息和检测定位区域确定所述主检测位置可视特征区域中不同子区域的原始检测强度;
根据所述主检测位置的入侵检测方式确定所述不同子区域的入侵检测标识,并按照与所述入侵检测标识对应的权重设置策略确定所述不同子区域的检测强度权重,其中,当所述不同子区域的入侵检测标识为入侵检测优先级排序时,按照由入侵检测优先级排序权重递减策略获取所述不同子区域的区域业务,并根据所述区域业务查询按照预设的线性权重分布曲线或者非线性权重分布曲线,确定所述不同子区域的检测强度权重;
根据所述不同子区域的原始检测强度和对应的检测强度权重确定所述不同子区域的目标检测强度;
根据所述不同子区域的目标检测强度从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
在一些可能的设计中,位置确定模块240可以通过以下方式确定所述主检测位置可视特征区域中不同子区域的原始检测强度:
根据所述检测等级信息和检测定位区域确定所述主检测位置中前端区域的第一检测等级信息和可视特征区域的第二检测等级信息;
根据所述第二检测等级信息获取所述主检测位置可视特征区域中不同子区域的平均检测等级信息;
根据所述第一检测等级信息和所述不同子区域的平均检测等级信息获取所述不同子区域的原始检测强度。
在一些可能的设计中,位置确定模块240可以通过以下方式确定所述不同子区域的目标检测强度:
获取所述不同子区域的原始检测强度与对应的检测强度权重的乘积,确定所述不同子区域的目标检测强度。
在一些可能的设计中,位置确定模块240可以通过以下方式从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置:
根据所述不同子区域的目标检测强度和所述不同子区域中各检测位置的检测等级信息确定所述可视特征区域中每个检测位置的检测等级信息;
根据所述可视特征区域中每个检测位置的检测等级信息从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
图6为本申请实施例提供的用于执行上述网络安全入侵检测方法的服务器100的结构示意图,如图6所示,该服务器100可包括网络接口110、机器可读存储介质120、处理器130以及总线140。处理器130的数量可以是一个或多个,图6中以一个处理器130为例;网络接口110、机器可读存储介质120以及处理器130可以通过总线140或其他方式连接,图6中以通过总线140连接为例。
机器可读存储介质120作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请实施例中的网络安全入侵检测方法对应的程序指令/模块(例如,图5中所示的网络安全入侵检测装置200中的获取模块210、计算模块220、加权确定模块230、位置确定模块240以及判定模块250)。处理器130通过检测存储在机器可读存储介质120中的软件程序、指令以及模块,从而执行终端设备的各种功能应用以及数据处理,即实现上述的网络安全入侵检测方法,在此不再赘述。
机器可读存储介质120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,机器可读存储介质120可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-OnlyMemory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合时刻的存储器。在一些实例中,机器可读存储介质120可进一步包括相对于处理器130远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器130可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器、数字信号处理器(DigitalSignalProcessorDSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。
服务器100可以通过通信接口110和其它设备进行信息交互。通信接口110可以是电路、总线、收发器或者其它任意可以用于进行信息交互的装置。处理器130可以利用通信接口110收发信息。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (9)
1.一种网络安全入侵检测方法,其特征在于,应用于服务器,所述方法包括:
获取目标网络中预设网络安全元素的多个入侵检测点,并根据获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值;
获取与所述预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,并计算所述预设网络安全元素的入侵检测值与所述正/负入侵检测值的偏差值,得到目标入侵检测值;
根据预设的加权策略对所述目标入侵检测值进行加权,确定网络安全入侵检测结果;
确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置;
获取所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围;
计算所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围的比值,并根据所述比值,当所述比值处于预设比值区间时,判定疑似入侵位置为可信入侵位置;
根据判定结果确定所述目标网络中的可信入侵位置;
其中,所述根据获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值的步骤,包括:
根据所述预设网络安全元素的多个入侵检测点分别计算第一可视特征区域的特征区域位置范围、第二可视特征区域的特征区域位置范围的特征区域位置范围,其中,所述第一可视特征区域和所述第二可视特征区域为时序上相关联的可视特征区域;
比较所述第一可视特征区域的特征区域位置范围和所述第二可视特征区域的特征区域位置范围,将特征区域位置范围大的第一可视特征区域/第二可视特征区域确定为目标可视特征区域;
计算所述目标可视特征区域对应的特征区域位置范围与网络边缘的特征区域位置范围的比值,得到第一入侵检测值。
2.根据权利要求1所述的网络安全入侵检测方法,其特征在于,所述确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置的步骤,包括:
按照不同的待检测入侵元素所对应的不同的检测算法定位所述网络安全入侵检测结果中的待检测位置;
对所述待检测位置进行分块检测,并获取每一块待检测位置的基准特征;
判断各块待检测位置的基准特征是否满足预设特征条件;
将确定包含有满足所述预设特征条件的基准特征的区域确定为可信入侵位置;
将不确定是否包含有满足所述预设特征条件的基准特征的区域确定为疑似入侵位置。
3.根据权利要求2所述的网络安全入侵检测方法,其特征在于,所述按照不同的待检测入侵元素所对应的不同的检测算法定位所述网络安全入侵检测结果中的待检测位置的步骤,包括:
按照不同的待检测入侵元素所对应的不同的检测算法检测所述网络安全入侵检测结果中的主检测位置以及与所述主检测位置的特征关联的副检测位置,并根据所述主检测位置和所述副检测位置获取所述主检测位置的检测等级信息;
根据所述检测等级信息和检测定位区域确定所述主检测位置可视特征区域中不同子区域的原始检测强度;
根据所述主检测位置的入侵检测方式确定所述不同子区域的入侵检测标识,并按照与所述入侵检测标识对应的权重设置策略确定所述不同子区域的检测强度权重,其中,当所述不同子区域的入侵检测标识为入侵检测优先级排序时,按照由入侵检测优先级排序权重递减策略获取所述不同子区域的区域业务,并根据所述区域业务查询按照预设的线性权重分布曲线或者非线性权重分布曲线,确定所述不同子区域的检测强度权重;
根据所述不同子区域的原始检测强度和对应的检测强度权重确定所述不同子区域的目标检测强度;
根据所述不同子区域的目标检测强度从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
4.根据权利要求3所述的网络安全入侵检测方法,其特征在于,所述根据所述检测等级信息和检测定位区域确定所述主检测位置可视特征区域中不同子区域的原始检测强度的步骤,包括:
根据所述检测等级信息和检测定位区域确定所述主检测位置中前端区域的第一检测等级信息和可视特征区域的第二检测等级信息;
根据所述第二检测等级信息获取所述主检测位置可视特征区域中不同子区域的平均检测等级信息;
根据所述第一检测等级信息和所述不同子区域的平均检测等级信息获取所述不同子区域的原始检测强度。
5.根据权利要求3所述的网络安全入侵检测方法,其特征在于,所述根据所述不同子区域的原始检测强度和对应的检测强度权重确定所述不同子区域的目标检测强度的步骤,包括:
获取所述不同子区域的原始检测强度与对应的检测强度权重的乘积,确定所述不同子区域的目标检测强度。
6.根据权利要求3所述的网络安全入侵检测方法,其特征在于,所述根据所述不同子区域的目标检测强度从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置的步骤,包括:
根据所述不同子区域的目标检测强度和所述不同子区域中各检测位置的检测等级信息确定所述可视特征区域中每个检测位置的检测等级信息;
根据所述可视特征区域中每个检测位置的检测等级信息从所述主检测位置可视特征区域中定位所述网络安全入侵检测结果中的待检测位置。
7.一种网络安全入侵检测装置,其特征在于,应用于服务器,所述装置包括:
获取模块,用于获取目标网络中预设网络安全元素的多个入侵检测点,并根据获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值;
计算模块,用于获取与所述预设网络安全元素对应的正/负预置安全元素的正/负入侵检测值,并计算所述预设网络安全元素的入侵检测值与所述正/负入侵检测值的偏差值,得到目标入侵检测值;
加权确定模块,用于根据预设的加权策略对所述目标入侵检测值进行加权,确定网络安全入侵检测结果;
位置确定模块,用于确定所述网络安全入侵检测结果中至少一块满足预设特征条件的可信入侵位置,并确定至少一块待确认是否满足所述预设特征条件的疑似入侵位置;
判定模块,用于获取所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围;计算所述可信入侵位置的位置范围及所述疑似入侵位置的位置范围的比值,并根据所述比值,当所述比值处于预设比值区间时,判定疑似入侵位置为可信入侵位置;
所述位置确定模块,还用于根据判定结果确定所述目标网络中的可信入侵位置;
其中,所述根据获取到的预设网络安全元素的多个入侵检测点计算所述预设网络安全元素的入侵检测值的步骤,包括:
根据所述预设网络安全元素的多个入侵检测点分别计算第一可视特征区域的特征区域位置范围、第二可视特征区域的特征区域位置范围的特征区域位置范围,其中,所述第一可视特征区域和所述第二可视特征区域为时序上相关联的可视特征区域;
比较所述第一可视特征区域的特征区域位置范围和所述第二可视特征区域的特征区域位置范围,将特征区域位置范围大的第一可视特征区域/第二可视特征区域确定为目标可视特征区域;
计算所述目标可视特征区域对应的特征区域位置范围与网络边缘的特征区域位置范围的比值,得到第一入侵检测值。
8.一种服务器,其特征在于,所述服务器包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述处理器在执行所述机器可执行指令时,该服务器实现权利要求1-6中任意一项所述的网络安全入侵检测方法。
9.一种可读存储介质,其特征在于,所述可读存储介质中存储有机器可执行指令,所述机器可执行指令被执行时实现权利要求1-6中任意一项所述的网络安全入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911179981.XA CN110912899B (zh) | 2019-11-27 | 2019-11-27 | 网络安全入侵检测方法、装置、服务器及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911179981.XA CN110912899B (zh) | 2019-11-27 | 2019-11-27 | 网络安全入侵检测方法、装置、服务器及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110912899A CN110912899A (zh) | 2020-03-24 |
CN110912899B true CN110912899B (zh) | 2022-05-31 |
Family
ID=69818568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911179981.XA Active CN110912899B (zh) | 2019-11-27 | 2019-11-27 | 网络安全入侵检测方法、装置、服务器及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110912899B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436336A (zh) * | 2007-11-15 | 2009-05-20 | 中国科学院自动化研究所 | 一种入侵检测系统及方法 |
CN102289904A (zh) * | 2011-06-22 | 2011-12-21 | 无锡国科微纳传感网科技有限公司 | 一种入侵检测方法及系统 |
CN107896215A (zh) * | 2017-11-24 | 2018-04-10 | 北京国网富达科技发展有限责任公司 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
WO2018107811A1 (zh) * | 2016-12-14 | 2018-06-21 | 平安科技(深圳)有限公司 | 网络安全联合防御方法、装置、服务器和存储介质 |
CN109547254A (zh) * | 2018-11-28 | 2019-03-29 | 湖北文理学院 | 一种入侵检测方法、装置、电子设备及存储介质 |
-
2019
- 2019-11-27 CN CN201911179981.XA patent/CN110912899B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436336A (zh) * | 2007-11-15 | 2009-05-20 | 中国科学院自动化研究所 | 一种入侵检测系统及方法 |
CN102289904A (zh) * | 2011-06-22 | 2011-12-21 | 无锡国科微纳传感网科技有限公司 | 一种入侵检测方法及系统 |
WO2018107811A1 (zh) * | 2016-12-14 | 2018-06-21 | 平安科技(深圳)有限公司 | 网络安全联合防御方法、装置、服务器和存储介质 |
CN107896215A (zh) * | 2017-11-24 | 2018-04-10 | 北京国网富达科技发展有限责任公司 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
CN109547254A (zh) * | 2018-11-28 | 2019-03-29 | 湖北文理学院 | 一种入侵检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
数据挖掘技术在入侵检测系统中的应用;陈红军等;《平顶山工学院学报》;20051130(第06期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110912899A (zh) | 2020-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11562065B2 (en) | Data breach detection | |
CN107943954B (zh) | 网页敏感信息的检测方法、装置及电子设备 | |
CN113672937B (zh) | 一种区块链节点 | |
CN108228722B (zh) | 破碎化区域采样点的地理空间分布均匀度检测方法 | |
CN110442762B (zh) | 基于云平台大数据的大数据处理方法 | |
CN110682875B (zh) | 一种车辆安全风险评估方法、装置及车辆 | |
US10198576B2 (en) | Identification of mislabeled samples via phantom nodes in label propagation | |
CN112714040A (zh) | 全息报文检测方法、装置、设备及存储介质 | |
US10356109B2 (en) | Security indicator linkage determination | |
CN112016078A (zh) | 一种登录设备的封禁检测方法、装置、服务器和存储介质 | |
CN110912899B (zh) | 网络安全入侵检测方法、装置、服务器及可读存储介质 | |
CN111181979B (zh) | 访问控制方法、装置、计算机设备和计算机可读存储介质 | |
CN112866300A (zh) | 基于人工智能的区块链大数据安全防护方法及系统 | |
US10984105B2 (en) | Using a machine learning model in quantized steps for malware detection | |
CN108650249B (zh) | Poc攻击检测方法、装置、计算机设备和存储介质 | |
US11263307B2 (en) | Systems and methods for detecting and mitigating code injection attacks | |
CN113556338B (zh) | 一种计算机网络安全异常操作拦截方法 | |
CN111431869B (zh) | 漏洞情报热度的获取方法及装置 | |
CN111191235B (zh) | 可疑文件分析方法、装置和计算机可读存储介质 | |
CN110413871B (zh) | 应用推荐方法、装置及电子设备 | |
CN114884712A (zh) | 一种网络资产风险级别信息确定方法、装置、设备及介质 | |
JP7075362B2 (ja) | 判定装置、判定方法及び判定プログラム | |
CN111143843B (zh) | 恶意应用程序的检测方法及装置 | |
KR101872406B1 (ko) | 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법 | |
CN109840417B (zh) | 一种恶意软件检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220511 Address after: 518000 room 613, main building, science and technology building, No. 85, Taining Road, cuining community, Cuizhu street, Luohu District, Shenzhen, Guangdong Province Applicant after: DYXNET OF SHENZHEN COMMUNICATION CO.,LTD. Address before: 074203 No. 90, beijiazhuang village, lingyunce Township, Yi County, Baoding City, Hebei Province Applicant before: Wang Xiangyuan |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |