CN111367762A - 设备入侵检测方法、系统及电子设备 - Google Patents

设备入侵检测方法、系统及电子设备 Download PDF

Info

Publication number
CN111367762A
CN111367762A CN202010130693.1A CN202010130693A CN111367762A CN 111367762 A CN111367762 A CN 111367762A CN 202010130693 A CN202010130693 A CN 202010130693A CN 111367762 A CN111367762 A CN 111367762A
Authority
CN
China
Prior art keywords
monitoring data
data collection
search engine
distributed search
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010130693.1A
Other languages
English (en)
Other versions
CN111367762B (zh
Inventor
闫新全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BOE Technology Group Co Ltd
Original Assignee
BOE Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BOE Technology Group Co Ltd filed Critical BOE Technology Group Co Ltd
Priority to CN202010130693.1A priority Critical patent/CN111367762B/zh
Publication of CN111367762A publication Critical patent/CN111367762A/zh
Application granted granted Critical
Publication of CN111367762B publication Critical patent/CN111367762B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请提出一种设备入侵检测方法、系统及电子设备,属于计算机应用技术领域。其中,该方法包括:多个数据收集组件根据预设的数据收集规则,收集目标设备的监控数据,其中,多个数据收集组件分别位于目标设备关联的各边缘设备内;多个数据收集组件分别将收集的监控数据发送给分布式搜索引擎;分布式搜索引擎按照预设的索引模版,存储监控数据;可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。由此,通过这种设备入侵检测方法,减少了入侵检测过程中的资源占用,节省了入侵检测的硬件成本,扩展了入侵检测的适用范围。

Description

设备入侵检测方法、系统及电子设备
技术领域
本申请涉及计算机应用技术领域,尤其涉及一种设备入侵检测方法、系统及电子设备。
背景技术
随着大数据和人工智能技术的发展,云解决方案作为一种新型的、可动态取用的服务受到越来越多的关注。云计算技术正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是,与此同时,它也引发了一系列新的安全威胁和挑战。
入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了网络安全基础结构的完整性。
相关技术中,基于ELK的入侵检测方法,是一种整体通用的解决方案,无需与其他方案进行集成。但是,这种入侵检测方法在日志的收集、处理和存储的过程,资源占用过大,限制了该入侵检测方法的适用范围。
发明内容
本申请提出的设备入侵检测方法、系统、电子设备、存储介质及计算机程序,用于解决相关技术中,基于ELK的入侵检测方法在日志的收集、处理和存储的过程,资源占用过大,适用范围受限的问题。
本申请一方面实施例提出的设备入侵检测方法,包括:多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,其中,所述多个数据收集组件分别位于所述目标设备关联的各边缘设备内;所述多个数据收集组件,分别将收集的监控数据发送给分布式搜索引擎;所述分布式搜索引擎,按照预设的索引模版,存储所述监控数据;可视化平台,从所述分布式搜索引擎中读取存储的监控数据,并进行展示。
本申请另一方面实施例提出的设备入侵检测系统,包括:多个数据收集组件,用于根据预设的数据收集规则,收集目标设备的监控数据,其中,所述多个数据收集组件分别位于所述目标设备关联的各边缘设备内;所述多个数据收集组件,用于分别将收集的监控数据发送给分布式搜索引擎;所述分布式搜索引擎,用于按照预设的索引模版,存储所述监控数据;可视化平台,用于从所述分布式搜索引擎中读取存储的监控数据,并进行展示。
本申请再一方面实施例提出的电子设备,其包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如前所述的设备入侵检测方法。
本申请又一方面实施例提出的计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如前所述的设备入侵检测方法。
本申请再一方面实施例提出的计算机程序,该程序被处理器执行时,以实现本申请实施例所述的设备入侵检测方法。
本申请实施例提供的设备入侵检测方法、系统、电子设备、计算机可读存储介质及计算机程序,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,并分别将收集的监控数据发送给分布式搜索引擎,之后分布式搜索引擎按照预设的索引模版,存储监控数据,进而可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据收集,从而减少了入侵检测过程中的资源占用,节省了入侵检测的硬件成本,扩展了入侵检测的适用范围。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例所提供的一种设备入侵检测方法的流程示意图;
图2为本申请实施例所提供的一种可疑流量分析图;
图3为本申请实施例所提供的一种网络请求分析图;
图4为本申请实施例所提供的另一种设备入侵检测方法的流程示意图;
图5为本申请实施例所提供的一种设备入侵检测系统的结构示意图;
图6为本申请实施例所提供的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
本申请实施例针对相关技术中,基于ELK的入侵检测方法在日志的收集、处理和存储的过程,资源占用过大,适用范围受限的问题,提出一种设备入侵检测方法。
本申请实施例提供的设备入侵检测方法,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,并分别将收集的监控数据发送给分布式搜索引擎,之后分布式搜索引擎按照预设的索引模版,存储监控数据,进而可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据收集,从而减少了入侵检测过程中的资源占用,节省了入侵检测的硬件成本,扩展了入侵检测的适用范围。
下面参考附图对本申请提供的设备入侵检测方法、系统、电子设备、存储介质及计算机程序进行详细描述。
图1为本申请实施例所提供的一种设备入侵检测方法的流程示意图。
如图1所示,该设备入侵检测方法,包括以下步骤:
步骤101,多个数据收集组件根据预设的数据收集规则,收集目标设备的监控数据,其中,多个数据收集组件分别位于目标设备关联的各边缘设备内。
需要说明的是,本申请实施例的设备入侵检测方法的执行主体为入侵检测系统,其中,入侵检测系统包括beat组件、分布式搜索引擎与可视化平台三个部分。
其中,目标设备,是指当前需要对其进行入侵检测的设备。需要说明的是,目标设备的数量可以是一个,也可以是多个,可以根据实际的应用场景确定。比如,本申请实施例的设备入侵方法应用于对单个设备进行入侵检测时,目标设备的数量为1个;应用对一段网络进行入侵检测时,目标设备为该段网络中的所有设备,即目标设备的数量为该段网络中包括的所有设备的数量。
其中,边缘设备,是指与目标设备的主机关联的设备。比如,与目标设备的主机连接的键盘、鼠标、显示器等外围设备。
其中,预设的采集规则,可以规定各数据收集组件获取监控数据的途径。比如,预设的采集规则中可以规定各数据收集组件分别从哪些协议或端口获取目标设备的监控数据。
其中,监控数据,可以包括主机的日志、网络包、审计事件等数据类型。
在本申请实施例中,可以基于分布式搜索引擎技术框架,实现对目标设备的入侵检测,其中,分布式搜索引擎可以为ElasticSearch。具体的,由于beat组件为轻量级的日志采集器,因此可以应用在各边缘设备中对主机的数据进行监控,从而可以利用beat组件构建应用于各边缘设备的数据收集组件(如各数据收集组件可以为利用beat组件构建的容器镜像),各数据收集组件在通过其所在的边缘设备收集目标设备的监控数据。
进一步的,可以根据具体的应用需求,构建各边缘设备对应的数据收集组件。即在本申请实施例一种可能的实现形式中,上述步骤101之前,还可以包括:
根据目标设备的待检测的监控数据类型,构建数据收集组件;
将数据收集组件分发至各边缘设备。
其中,待检测的监控数据类型,可以是根据当前的检测需求,确定的感兴趣的指标。比如,待检测的监控数据类型可以包括主机的日志、网络包、审计事件等类型。
在本申请实施例中,可以根据目标设备的待检测的监控数据类型,构建数据收集组件,以使各数据收集组件可以获取目标设备的特定类型的监控数据。从而,通过统一构建数据收集组件,并分发至各边缘设备,以使得不同类型的边缘设备具有相同的检测能力。
进一步的,对于不用类型的边缘设备,可以根据其自身的特性,确定各类型的边缘设备需要采集的监控数据。即在本申请实施例一种可能的实现形式中,上述步骤101之前,还可以包括:
根据各边缘设备的属性,确定各边缘设备分别对应的监控数据收集规则;
将各边缘设备分别对应的监控数据收集规则,分别发送给各边缘设备。
其中,边缘设备的属性,可以包括边缘设备的性能参数、设备类型等参数。实际使用时,可以根据实际需要选择所依据的边缘设备的属性中所包括的参数,本申请实施例对此不做限定。
作为一种可能的实现方式,不同类型的边缘设备的性能、功能可能均具有一定差异,因此可以根据各边缘设备的属性,确定各边缘设备收集目标设备的监控数据的协议和端口(如HTTP、DNS等)、特定应用的特殊端口及输出的数据平台(如Mysql、MongoDB、ElasticSearch等),进而根据各边缘设备收集监控数据的协议和端口、特定应用的特殊端口及输出的数据平台,生成各边缘设备分别对应的监控数据收集规则并分发给各边缘设备,以使各数据收集组件可以根据其所在的边缘设备对应的监控数据收集规则,收集目标设备的监控数据。
步骤102,多个数据收集组件分别将收集的监控数据发送给分布式搜索引擎。
其中,分布式搜索引擎,可以是ElasticSearch。实际使用时,也可以根据实际需求选择其他的分布式搜索引擎,本申请实施例对此不做限定。
在本申请实施例中,各数据收集组件在收集到目标设备的监控数据之后,可以将收集的监控数据发送给分布式搜索引擎,以使分布式搜索引擎对收集到的监控数据进行进一步的处理。
可选的,各数据收集组件可以根据预设的频率向分布式搜索引擎发送收集的监控数据;或者,可以在收集到新的监控数据时向分布式搜索引擎发送新的监控数据;或者,还可以在获取到分布式搜索引擎发送的获取请求时,向分布式搜索引擎发送收集的监控数据。
需要说明的是,各数据收集组件向分布式搜索引擎发送监控数据的时机,可以包括但不限于以上列举的情形。实际使用时,可以根据实际需要预设各数据收集组件向分布式搜索引擎发送监控数据的时机,本申请实施例对此不做限定。
步骤103,分布式搜索引擎按照预设的索引模版,存储监控数据。
在本申请实施例中,预设的索引模板,可以对监控数据的存储规则进行定义,从而在分布式搜索引擎获取到监控数据之后,可以根据预设的索引模板对各监控数据进行存储,从而使得存储的监控数据具有固定的存储结构,以便于对监控数据的查找和索引。比如,可以便于入侵检测系统可以根据对存储的监控数据进行深入剖析和持续观察,以确定获取的各监控数据是否为可疑数据。
步骤104,可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。
在本申请实施例中,还可以将存储的监控数据,或者对监控数据的分析结果,采用图表等可视化的方式进行展示,以使获取的监控数据或对监控数据的分析结果更加直观、便于理解,进而提高入侵检测系统的可交互性。
作为一种可能的实现方式,可视化平台可以通过Kibana组件实现。Kibana组件可以从分布式搜索引擎中读取存储的监控数据,并进行统计分析,进而将分析结果通过图表的方式进行展示。如图2和图3所示,分别可疑流量分析图和网络请求分析图。
本申请实施例提供的设备入侵检测方法,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,并分别将收集的监控数据发送给分布式搜索引擎,之后分布式搜索引擎按照预设的索引模版,存储监控数据,进而可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据收集,从而减少了入侵检测过程中的资源占用,节省了入侵检测的硬件成本,扩展了入侵检测的适用范围。
在本申请一种可能的实现形式中,对于不同类型的监控数据,可以采用不同的索引模板进行存储,以根据各类型的监控数据的特点,定制个性化的存储方案。
下面结合图4,对本申请实施例提供的设备入侵检测方法进行进一步说明。
图4为本申请实施例所提供的另一种设备入侵检测方法的流程示意图。
如图4所示,该设备入侵检测方法,包括以下步骤:
步骤201,多个数据收集组件根据预设的数据收集规则,收集目标设备的监控数据,其中,多个数据收集组件分别位于目标设备关联的各边缘设备内。
步骤202,多个数据收集组件分别将收集的监控数据发送给分布式搜索引擎。
上述步骤201-202的具体实现过程及原理,可以参照上述实施例的详细描述,此处不再赘述。
步骤203,根据各监控数据的类型,生成各监控数据分别对应的索引模版。
在本申请实施例中,监控数据的类型不同,其数据特点和数据形式可能具有较大差异,因此,可以根据目标设备待检测的监控数据类型,构建各类型的监控数据分别对应索引模板,以使各类型的监控数据对应的索引模板可以符合相应类型监控数据的数据特点,从而更加便于后续对存储的监控数据的索引和展示。
步骤204,向分布式搜索引擎发送各监控数据分别对应的索引模板。
在本申请实施例中,在构建出各类型的监控数据对应的索引模板之后,即可以将各类型的监控数据分别对应的索引模板发送至分布式搜索引擎,以使分布式搜索引擎可以根据各类型的监控数据对应的索引模板,分别对各类型的监控数据进行存储。
步骤205,分布式搜索引擎按照各监控数据分别对应的索引模版,存储监控数据。
在本申请实施例中,若各监控数据都有对应的个性化索引模板,则分布式搜索引擎在获取到监控数据之后,则可以根据各监控数据的业务类型,获取与各监控数据对应的索引模板,并利用各监控数据对应的索引模板分别对各监控数据进行存储。
步骤206,根据目标设备关联的各边缘设备的类型,确定各边缘设备收集的监控数据对应的展示样式。
在本申请实施例中,对于不同类型的边缘设备收集的监控数据,可以采用不同的展示样式进行展示。具体的,启用Kibana可视化平台后,会启动默认的可视化组件,对于每种类型的边缘设备会有对应的预设的可视化组件组,根据各边缘设备的类型对其对应的预设的可视化组件组进行自定义配置,则可以确定各边缘设备收集的监控数据对应的展示样式。
步骤207,将各边缘设备收集的监控数据与展示样式的对应关系,发送给可视化平台。
在本申请实施例中,确定出各边缘设备收集的监控数据对应的展示样式之后,即可以将各边缘设备采集的监控数据对应的展示样式,发送给可视化平台,以使可视化平台可以根据各边缘设备采集的监控数据对应的展示样式,对获取的各监控数据进行展示。
步骤208,可视化平台从分布式搜索引擎中读取存储的监控数据,并根据各边缘设备收集的监控数据与展示样式的对应关系,对监控数据进行展示。
在本申请实施例中,若各类型的边缘设备收集的监控数据具有对应的个性化展示样式,则可视化平台在对监控数据进行展示时,可以根据各监控数据对应的边缘设备的类型,获取与各监控数据对应的展示样式,进而利用各监控数据对应的展示样式对各监控数据进行展示。
本申请实施例提供的设备入侵检测方法,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据并发送给分布式搜索引擎,以及根据各监控数据的类型,生成各监控数据分别对应的索引模版并发送至分布式搜索引擎,之后分布式搜索引擎按照各监控数据分别对应的索引模版存储监控数据,进而根据目标设备关联的各边缘设备的类型,确定各边缘设备收集的监控数据对应的展示样式并发送给可视化平台,以使可视化平台根据各边缘设备收集的监控数据与展示样式的对应关系,对监控数据进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据收集,并采用不同的索引模板对不同业务类型的监控数据进行存储,以及采用不同的展示样式对不同类型的边缘设备收集的监控数据进行展示,从而不仅减少了入侵检测过程中的资源占用,扩展了入侵检测的适用范围,而且更加便于监控数据的查找和展示,提高了可视化平台展示界面的友好性和可交互性。
为了实现上述实施例,本申请还提出一种设备入侵检测系统。
图5为本申请实施例提供的一种设备入侵检测系统的结构示意图。
如图5所示,该设备入侵检测系统30,包括:
多个数据收集组件31,用于根据预设的数据收集规则,收集目标设备的监控数据,其中,多个数据收集组件分别位于目标设备关联的各边缘设备内;
多个数据收集组件31,用于分别将收集的监控数据发送给分布式搜索引擎;
分布式搜索引擎32,用于按照预设的索引模版,存储监控数据;
可视化平台33,用于从分布式搜索引擎中读取存储的监控数据,并进行展示。
在实际使用时,本申请实施例提供的设备入侵检测系统,可以被配置在电子设备中,以执行前述设备入侵检测方法。
本申请实施例提供的设备入侵检测系统,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,并分别将收集的监控数据发送给分布式搜索引擎,之后分布式搜索引擎按照预设的索引模版,存储监控数据,进而可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据收集,从而减少了入侵检测过程中的资源占用,节省了入侵检测的硬件成本,扩展了入侵检测的适用范围。
在本申请一种可能的实现形式中,上述设备入侵检测系统30,还用于:
根据目标设备的待检测业务类型,构建数据收集组件;
将数据收集组件分发至各边缘设备。
进一步的,在本申请另一种可能的实现形式中,上述设备入侵检测系统30,还用于:
根据各边缘设备的属性,确定各边缘设备分别对应的监控数据收集规则;
将各边缘设备分别对应的监控数据收集规则,分别发送给各边缘设备。
进一步的,在本申请再一种可能的实现形式中,上述设备入侵检测系统30,还用于:
根据各监控数据的类型,生成各监控数据分别对应的索引模版;
向分布式搜索引擎发送各监控数据分别对应的索引模板;
相应的,上述分布式搜索引擎32,还用于:
按照各监控数据分别对应的索引模版,存储监控数据。
进一步的,在本申请又一种可能的实现形式中,上述设备入侵检测系统30,还用于:
根据目标设备关联的各边缘设备的类型,确定各边缘设备收集的监控数据对应的展示样式;
将各边缘设备收集的监控数据与展示样式的对应关系,发送给可视化平台;
相应的,上述可视化平台33,还用于:
从分布式搜索引擎中读取存储的监控数据,并根据各边缘设备收集的监控数据与展示样式的对应关系,对监控数据进行展示。
需要说明的是,前述对图1、图4所示的设备入侵检测方法实施例的解释说明也适用于该实施例的设备入侵检测系统30,此处不再赘述。
本申请实施例提供的设备入侵检测系统,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据并发送给分布式搜索引擎,以及根据各监控数据的类型,生成各监控数据分别对应的索引模版并发送至分布式搜索引擎,之后分布式搜索引擎按照各监控数据分别对应的索引模版存储监控数据,进而根据目标设备关联的各边缘设备的类型,确定各边缘设备收集的监控数据对应的展示样式并发送给可视化平台,以使可视化平台根据各边缘设备收集的监控数据与展示样式的对应关系,对监控数据进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据收集,并采用不同的索引模板对不同类型的监控数据进行存储,以及采用不同的展示样式对不同类型的边缘设备采集的监控数据进行展示,从而不仅减少了入侵检测过程中的资源占用,扩展了入侵检测的适用范围,而且更加便于监控数据的查找和展示,提高了可视化平台展示界面的友好性和可交互性。
为了实现上述实施例,本申请还提出一种电子设备。
图6为本发明一个实施例的电子设备的结构示意图。
如图6所示,上述电子设备200包括:
存储器210及处理器220,连接不同组件(包括存储器210和处理器220)的总线230,存储器210存储有计算机程序,当处理器220执行所述程序时实现本申请实施例所述的设备入侵检测方法。
总线230表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备200典型地包括多种电子设备可读介质。这些介质可以是任何能够被电子设备200访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器210还可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)240和/或高速缓存存储器250。电子设备200可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统260可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线230相连。存储器210可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本申请各实施例的功能。
具有一组(至少一个)程序模块270的程序/实用工具280,可以存储在例如存储器210中,这样的程序模块270包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块270通常执行本申请所描述的实施例中的功能和/或方法。
电子设备200也可以与一个或多个外部设备290(例如键盘、指向设备、显示器291等)通信,还可与一个或者多个使得用户能与该电子设备200交互的设备通信,和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口292进行。并且,电子设备200还可以通过网络适配器293与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器293通过总线230与电子设备200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器220通过运行存储在存储器210中的程序,从而执行各种功能应用以及数据处理。
需要说明的是,本实施例的电子设备的实施过程和技术原理参见前述对本申请实施例的设备入侵检测方法的解释说明,此处不再赘述。
本申请实施例提供的电子设备,可以执行如前所述的设备入侵检测方法,通过分别位于目标设备关联的各边缘设备内的多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,并分别将收集的监控数据发送给分布式搜索引擎,之后分布式搜索引擎按照预设的索引模版,存储监控数据,进而可视化平台从分布式搜索引擎中读取存储的监控数据,并进行展示。由此,通过在主机的各边缘设备中设置数据收集组件,以利用各边缘设备对主机进行监控数据采集,从而减少了入侵检测过程中的资源占用,节省了入侵检测的硬件成本,扩展了入侵检测的适用范围。
为了实现上述实施例,本申请还提出一种计算机可读存储介质。
其中,该计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,以实现本申请实施例所述的设备入侵检测方法。
为了实现上述实施例,本申请再一方面实施例提供一种计算机程序,该程序被处理器执行时,以实现本申请实施例所述的设备入侵检测方法。
一种可选实现形式中,本实施例可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户电子设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种设备入侵检测方法,其特征在于,包括:
多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据,其中,所述多个数据收集组件分别位于所述目标设备关联的各边缘设备内;
所述多个数据收集组件,分别将收集的监控数据发送给分布式搜索引擎;
所述分布式搜索引擎,按照预设的索引模版,存储所述监控数据;
可视化平台,从所述分布式搜索引擎中读取存储的监控数据,并进行展示。
2.如权利要求1所述的方法,其特征在于,所述多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据之前,还包括:
根据所述目标设备的待检测的监控数据类型,构建数据收集组件;
将所述数据收集组件分发至所述各边缘设备。
3.如权利要求1所述的方法,其特征在于,所述多个数据收集组件,根据预设的数据收集规则,收集目标设备的监控数据之前,还包括:
根据各边缘设备的属性,确定各边缘设备分别对应的监控数据收集规则;
将各边缘设备分别对应的监控数据收集规则,分别发送给各边缘设备。
4.如权利要求1所述的方法,其特征在于,所述分布式搜索引擎,按照预设的索引模版,存储所述监控数据之前,还包括:
根据各监控数据的类型,生成各监控数据分别对应的索引模版;
向所述分布式搜索引擎发送所述各监控数据分别对应的索引模板;
所述分布式搜索引擎,按照预设的索引模版,存储所述监控数据,包括:
所述分布式搜索引擎,按照各监控数据分别对应的索引模版,存储所述监控数据。
5.如权利要求1-4任一所述的方法,其特征在于,所述可视化平台,从所述分布式搜索引擎中读取存储的监控数据,并进行展示之前,还包括:
根据所述目标设备关联的各边缘设备的类型,确定各边缘设备收集的监控数据对应的展示样式;
将所述各边缘设备收集的监控数据与展示样式的对应关系,发送给所述可视化平台;
所述可视化平台,从所述分布式搜索引擎中读取存储的监控数据,并进行展示,包括:
所述可视化平台,从所述分布式搜索引擎中读取存储的监控数据,并根据所述各边缘设备收集的监控数据与展示样式的对应关系,对所述监控数据进行展示。
6.一种设备入侵检测系统,其特征在于,包括:
多个数据收集组件,用于根据预设的数据收集规则,收集目标设备的监控数据,其中,所述多个数据收集组件分别位于所述目标设备关联的各边缘设备内;
所述多个数据收集组件,用于分别将收集的监控数据发送给分布式搜索引擎;
所述分布式搜索引擎,用于按照预设的索引模版,存储所述监控数据;
可视化平台,用于从所述分布式搜索引擎中读取存储的监控数据,并进行展示。
7.如权利要求6所述的系统,其特征在于,还用于:
根据所述目标设备的待检测的监控数据类型,构建数据收集组件;
将所述数据收集组件分发至所述各边缘设备。
8.如权利要求6所述的系统,其特征在于,还用于:
根据各边缘设备的属性,确定各边缘设备分别对应的监控数据收集规则;
将各边缘设备分别对应的监控数据收集规则,分别发送给各边缘设备。
9.一种电子设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-5中任一所述的设备入侵检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的设备入侵检测方法。
CN202010130693.1A 2020-02-28 2020-02-28 设备入侵检测方法、系统及电子设备 Active CN111367762B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010130693.1A CN111367762B (zh) 2020-02-28 2020-02-28 设备入侵检测方法、系统及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010130693.1A CN111367762B (zh) 2020-02-28 2020-02-28 设备入侵检测方法、系统及电子设备

Publications (2)

Publication Number Publication Date
CN111367762A true CN111367762A (zh) 2020-07-03
CN111367762B CN111367762B (zh) 2024-04-23

Family

ID=71206335

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010130693.1A Active CN111367762B (zh) 2020-02-28 2020-02-28 设备入侵检测方法、系统及电子设备

Country Status (1)

Country Link
CN (1) CN111367762B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774844B1 (en) * 2002-03-28 2010-08-10 Emc Corporation Intrusion detection through storage monitoring
CN107682351A (zh) * 2017-10-20 2018-02-09 携程旅游网络技术(上海)有限公司 网络安全监控的方法、系统、设备及存储介质
CN108156142A (zh) * 2017-12-14 2018-06-12 哈尔滨理工大学 基于数据挖掘的网络入侵检测方法
CN110365714A (zh) * 2019-08-23 2019-10-22 深圳前海微众银行股份有限公司 主机入侵检测方法、装置、设备及计算机存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774844B1 (en) * 2002-03-28 2010-08-10 Emc Corporation Intrusion detection through storage monitoring
CN107682351A (zh) * 2017-10-20 2018-02-09 携程旅游网络技术(上海)有限公司 网络安全监控的方法、系统、设备及存储介质
CN108156142A (zh) * 2017-12-14 2018-06-12 哈尔滨理工大学 基于数据挖掘的网络入侵检测方法
CN110365714A (zh) * 2019-08-23 2019-10-22 深圳前海微众银行股份有限公司 主机入侵检测方法、装置、设备及计算机存储介质

Also Published As

Publication number Publication date
CN111367762B (zh) 2024-04-23

Similar Documents

Publication Publication Date Title
US9876813B2 (en) System and method for web-based log analysis
EP3684033A1 (en) Systems and methods for collecting, monitoring, and analyzing vehicle data from a plurality of vehicles using edge computing
US11934287B2 (en) Method, electronic device and computer program product for processing data
CN112347165B (zh) 日志处理方法、装置及服务器和计算机可读存储介质
US11743155B2 (en) Systems and methods of monitoring and controlling remote assets
CN111831618A (zh) 数据写入方法、数据读取方法、装置、设备及存储介质
CN111198859A (zh) 数据处理方法、装置、电子设备及计算机可读存储介质
CN110955578A (zh) 基于宿主机的日志收集方法、装置、计算机设备及存储介质
CN111193633B (zh) 异常网络连接的检测方法及装置
JP7255636B2 (ja) 端末管理装置、端末管理方法、およびプログラム
CN110737634A (zh) 日志搜索方法、客户端、服务端与计算机可读存储介质
CN111787030A (zh) 网络安全巡检方法、装置、设备及存储介质
CN109669790A (zh) 基于云平台的数据共享方法、装置、共享平台及存储介质
CN107861821B (zh) 模块调用关系的挖掘方法、装置及计算机可读介质
CN113032341A (zh) 一种基于可视化配置的日志处理方法
CN111367762B (zh) 设备入侵检测方法、系统及电子设备
CN113377610B (zh) 性能监测方法、装置、计算机设备及存储介质
KR20210000041A (ko) 로그 데이터의 실시간 분석 방법 및 그 장치
CN111274104A (zh) 数据处理方法、装置、电子设备及计算机可读存储介质
CN114756301A (zh) 日志处理方法、装置和系统
CN110602162B (zh) 终端取证方法、装置、设备和存储介质
CN112347066B (zh) 日志处理方法、装置及服务器和计算机可读存储介质
CN111061744B (zh) 图数据的更新方法、装置、计算机设备及存储介质
CN115729765A (zh) 一种数据采集方法、装置、电子设备及存储介质
CN107872874B (zh) 定位数据的更新方法、服务器及计算机可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant