CN113810342A - 一种入侵检测方法、装置、设备、介质 - Google Patents
一种入侵检测方法、装置、设备、介质 Download PDFInfo
- Publication number
- CN113810342A CN113810342A CN202010542229.3A CN202010542229A CN113810342A CN 113810342 A CN113810342 A CN 113810342A CN 202010542229 A CN202010542229 A CN 202010542229A CN 113810342 A CN113810342 A CN 113810342A
- Authority
- CN
- China
- Prior art keywords
- target network
- data packet
- network data
- file
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种入侵检测方法、装置、设备、介质,该方法包括:获取目标网络数据包;对所述目标网络数据包进行文件识别;如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。这样能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,可以获取文件入侵特征,提高了入侵检测检测率和入侵检测效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种入侵检测方法、装置、设备、介质。
背景技术
通过文件入侵,是攻击者最常用的入侵方式之一,在网络数据包的文件会携带漏洞特征或者病毒攻击行为,通过漏洞利用或者病毒恶意行为,达到入侵目标系统的目的。针对文件入侵的检测通常直接对获取到的网络数据包采用入侵检测,以上方法主要存在以下问题,其一是基于模式匹配的入侵检测方法无法完全的描述文件入侵特征,无法对抗文件绕过攻击,文件入侵检测效果较差,且模式匹配方法采用正则表达式来描述入侵特征,由于缺乏文件语义解析和复杂运算等能力,正则表达式无法完全的描述文件入侵特征,因而无法对抗文件绕过攻击,也降低了检测率,例如,一个office文件漏洞特征为五个不同数据A-E,满足表达式A+B+C+D>E,首先必须解析出office文件中的五个数据,其次需要判断这五个数据是否满足上述表达式,入侵检测方法一般不具备文件语义解析能力,无法解析出需要的数据,并且正则表达式无法描述上述表达式这样的复杂运算,因此无法完全描述文件入侵特征。二是入侵检测方法通常只摘取文件中部分二进制字符串作为特征,这些特征无法描述文件入侵特征,检测效果较差。
发明内容
有鉴于此,本申请的目的在于提供一种入侵检测方法、装置、设备、介质,能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,这样可以描述文件入侵特征,提高了入侵检测检测率和入侵检测效果。其具体方案如下:
第一方面,本申请公开了一种入侵检测方法,包括:
获取目标网络数据包;
对所述目标网络数据包进行文件识别;
如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
可选地,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据之前,还包括:
提取出所述目标网络数据包中存在的文件,得到待检测文件。
可选地,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据;
如果所述目标网络数据包中存在入侵数据或不存在入侵数据,则完成所述目标网络数据包入侵检测;
如果不能确定所述目标网络数据包中是否存在入侵数据,则对所述待检测文件进行云端文件查杀,以确定所述待检测文件中是否存在入侵数据。
可选地,所述对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:
利用预先建立的病毒库对所述待检测文件进行特征匹配,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
可选地,所述对所述待检测文件进行云端文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:
利用预先建立的沙箱对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
可选地,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
利用预设入侵特征库对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预设异常检测算法对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
可选地,所述对所述目标网络数据包进行文件识别,包括:
对所述目标网络数据包中的应用层协议进行识别;
如果所述目标网络数据包中的应用层协议支持文件传输,则查找所述目标网络数据包中是否存在目标文件信息;
如果所述目标网络数据包中存在目标文件信息,则所述目标网络数据包中存在文件。
第二方面,本申请公开了一种入侵检测装置,包括:
数据包获取模块,用于获取目标网络数据包;
文件识别模块,用于对所述目标网络数据包进行文件识别;
第一检测模块,用于在所述目标网络数据包中存在文件时,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
第二检测模块,用于在所述目标网络数据包中不存在文件时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
第三方面,本申请公开了一种入侵检测设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的入侵检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的入侵检测方法。
可见,本申请先获取目标网络数据包,然后对所述目标网络数据包进行文件识别,如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。由此可见,本申请能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,这样可以获得文件入侵特征,提高了入侵检测检测率和入侵检测效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种入侵检测方法流程图;
图2为本申请公开的一种具体的入侵检测方法流程图;
图3为本申请公开的一种具体的入侵检测方法流程图;
图4为本申请公开的一种入侵检测装置结构示意图;
图5为本申请公开的一种入侵检测设备结构图;
图6为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,本申请实施例公开了一种入侵检测方法,该方法包括:
步骤S11:获取目标网络数据包。
在具体的实施过程中,需要先获取目标网络数据包,其中,所述目标网络数据包为需要进行入侵检测的网络数据包,网络数据包(Network Packet),又称为网络报文,为计算机网络中传输的数据单位,遵循TCP/IP协议。
步骤S12:对所述目标网络数据包进行文件识别。
可以理解的是,在获取到所述目标网络数据包之后,还需要对所述目标网络数据包进行文件识别。具体的,在获取到的所述目标网络数据包中会进行文件传输,对于包括文件的网络数据包需要进行单独的处理,以便提高入侵检测率,所以需要先对所述目标网络数据包进行文件识别,其中,所述文件识别包括多类文件的识别,不具体限定为一类或某几类文件,也即识别到的文件类型可以包括多种。
步骤S13:如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
在对所述目标网络数据包进行文件识别之后,如果所述目标网络数据包中存在文件,则需要对所述目标网络数据包中存在的文件进行文件入侵检测,来确定所述目标网络数据包中是否存在入侵数据。
步骤S14:如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
在对所述目标网络数据包进行文件识别之后,如果所述目标网络书数据包中不存在文件,则直接对所述目标网络数据包进行入侵检测,可以确定出所述目标网络数据包中是否存在入侵数据。
可见,本申请先获取目标网络数据包,然后对所述目标网络数据包进行文件识别,如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。由此可见,本申请能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,这样可以获得文件入侵特征,提高了入侵检测检测率和入侵检测效果。
参见图2所示,本申请实施例公开了一种具体的入侵检测方法,该方法包括:
步骤S21:获取目标网络数据包。
步骤S22:对所述目标网络数据包中的应用层协议进行识别。
可以理解的是,在获取到所述目标网络数据包之后,还需要对所述目标网络数据包进行文件识别。具体的,就是先对所述目标网络数据包中的应用层协议进行识别,确定所述目标网络数据包遵从的应用层协议为允许文件传输的应用层协议还是不允许文件传输的应用层协议。其中,所述应用层协议定义了运行在不同端系统上应用程序进程如何传递数据包,遵循TCP/IP协议栈,常见的应用层协议包括超文本传输协议(Hyper TextTransfer Protocol,HTTP)、文件传输协议(File Transfer Protocol,FTP)等。例如,HTTP协议为支持文件传输的协议。
步骤S23:如果所述目标网络数据包中的应用层协议支持文件传输,则查找所述目标网络数据包中是否存在目标文件信息。
相应地,在对所述目标网络数据包中的应用层协议进行识别之后,如果所述目标网络数据包中的应用层协议不支持文件传输,则判定所述目标网络数据包中不存在文件。如果所述目标网络数据包中的应用层协议支持文件传输,则表示所述目标网络数据包中可能存在文件,所以需要进行下一步操作,以确定所述目标网络数据包中是否确实存在文件,也即,需要查找所述目标网络数据包中是否存在目标文件信息,其中,所述目标文件信息包括文件魔数和/或文件后缀名,其中,所述文件魔数(Magic Number),为文件起始处的固定长度的、可以确定文件类型的字节,所述文件后缀名(Filename Extension),又称为文件扩展名,操作系统标记文件类型的一种机制,通常情况下,文件都有相应的后缀名来表明文件类型。例如,利用HTTP协议下载一个PDF文件,在HTTP请求中,会存在PDF文件后缀名“.pdf”,并且HTTP返回的PDF文件会携带文件魔数“%PDF-”。
步骤S24:如果所述目标网络数据包中存在目标文件信息,则所述目标网络数据包中存在文件。
可以理解的是,如果所述目标网络数据包中存在目标文件信息,则所述目标网络数据包中存在文件。具体的,如果所述目标网络数据包中包括文件魔数和文件后缀名中的至少一项,则可以确定所述网络数据包中存在文件。这样先对网络数据包中的应用层协议进行解析,初步判断哪些网络数据包中可能存在文件,在对可能存在文件的网络数据包进行文件信息查找,可以降低文件信息查找部分的工作量,提高网络数据包处理的吞吐量,提供处理效率。
步骤S25:如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
如果所述目标网络数据包中存在文件,则需要对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据。具体的,可以先提取出所述目标网络数据包中的文件,得到待检测文件,然后对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据,如果所述目标网络数据包中存在入侵数据,则完成所述目标网络数据包检测,如果所述目标网络数据包中不存在入侵数据,也可完成所述目标网络数据包检测,如果无法确定所述目标网络数据包中是否存在入侵数据,则对所述待检测文件进行云端文件查杀,以确定所述待检测文件中是否存在入侵数据。这样先进行待检测文件的本地文件查杀,可以先确定出大部分的网络数据包中是否存在入侵数据,降低了云端的工作量,避免占用大量的网络带宽等,也提供了检测效率。
在具体的实施过程中,所述对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预先建立的病毒库对所述待检测文件进行特征匹配,以确定所述目标网络数据包中是否存在入侵数据;和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。所述对所述待检测文件进行云端文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预先建立的沙箱对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据;和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。其中,所述病毒库为一种记录文件病毒特征的数据库;所述沙箱(sandboxie),又称为沙盒,为一种文件的动态分析与检测方法,将文件运行在隔离的环境中,通过文件运行过程中产生的行为来检测文件是否为恶意;所述人工智能模型(Artificial Intelligence)为一种广泛应用于数据分析中的方法,通过一些算法建模来进行数据的分类和预测任务。对于云端文件查杀由于无资源和网络等方面限制,可以采用沙箱、人工智能模型等资源消耗型方法来判定文件是否存在入侵,提高了文件入侵检测能力和检测率。
步骤S26:如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
对所述目标网络数据包中的文件进行识别之后,如果所述目标网络数据包中不存在文件,就可以直接利用入侵检测方法对所述目标网络数据包进行入侵检测,以确定出所述目标网络数据包中是否存在入侵数据。所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:利用预设入侵特征库对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;和/或,利用预设异常检测算法对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。也即,在所述目标网络数据包中不存在文件,则可以按照直接模式匹配方法或利用异常检测算法确定所述目标网络数据包中是否存在入侵数据。对于不包括文件的网络数据包直接进行入侵检测,节约了文件识别部分需要消耗的资源,加快了处理效率。
参见图3所示,为一种入侵检测方法流程图。在获取到待检测网络数据包之后,对待检测网络数据包进行文件识别,如果待检测网络数据包中有文件,则对所述待检测网络数据包中的文件进行本地文件查杀,以便判断所述待检测网络数据包中是否存在入侵数据,如果所述待检测网络数据包中存在入侵或不存在入侵,则检测结束,如果无法判断,则对所述待检测网络数据包中的文件再进行云端文件查杀,以确定所述待检测网络数据包中是否存在入侵数据。如果所述待检测网络数据包中不存在文件,则直接对所述待检测网络数据包进行入侵检测,以便确定所述待检测网络数据包中是否存在入侵数据。
参见图4所示,本申请实施例公开了一种入侵检测装置,包括:
数据包获取模块11,用于获取目标网络数据包;
文件识别模块12,用于对所述目标网络数据包进行文件识别;
第一检测模块13,用于在所述目标网络数据包中存在文件时,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
第二检测模块14,用于在所述目标网络数据包中不存在文件时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
可见,本申请先获取目标网络数据包,然后对所述目标网络数据包进行文件识别,如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。由此可见,本申请能够先对网络数据包中的文件进行识别,并根据文件的识别结果进行处理,这样可以描述文件入侵特征,提高了入侵检测检测率和入侵检测效果。
在具体的实施过程中,所述入侵检测装置,还包括:
文件提取模块,用于提取出所述目标网络数据包中存在的文件,得到待检测文件。
具体的,第一检测模块13,包括:
第一文件查杀子模块,用于对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据;
检测完成子模块,用于在所述目标网络数据包中存在入侵数据或不存在入侵数据时,则完成所述目标网络数据包入侵检测;
第二文件查杀子模块,用于不能确定所述目标网络数据包中是否存在入侵数据,则对所述待检测文件进行云端文件查杀,以确定所述待检测文件中是否存在入侵数据。
其中,所述第一文件查杀子模块,包括:
第一文件查杀单元,用于利用预先建立的病毒库对所述待检测文件进行特征匹配,以确定所述目标网络数据包中是否存在入侵数据;
和/或,第二文件查杀单元,用于利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
其中,所述第二文件查杀子模块,包括:
第三文件查杀单元,用于利用预先建立的沙箱对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据;
和/或,第四文件查杀单元,用于利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
所述第二检测模块14,具体用于:
利用预设入侵特征库对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预设异常检测算法对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
所述文件识别模块12,包括:
协议识别单元,用于对所述目标网络数据包中的应用层协议进行识别;
信息单元,用于查找如果所述目标网络数据包中的应用层协议支持文件传输,则查找所述目标网络数据包中是否存在目标文件信息;
文件确定单元,用于所述目标网络数据包中存在目标文件信息,则所述目标网络数据包中存在文件。
进一步的,参见图5所示,本申请实施例还公开了一种入侵检测设备,包括:处理器21和存储器22。
其中,所述存储器22,用于存储计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例中公开的入侵检测方法。
其中,关于上述入侵检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,参见图6所示,为本申请实施例提供的一种电子设备20的结构示意图,该电子设备20具体可以包括但不限于平板电脑、笔记本电脑或台式电脑等。
通常,本实施例中的电子设备20除包括前述实施例中公开的处理器21和存储器22外,还可以包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。
其中,处理器21可以包括一个或多个处理核心,比如四核心处理器、八核心处理器等。处理器21可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(central processing unit,中应处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以集成有GPU(graphics processing unit,图像处理器),GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中,处理器21可以包括AI(artificialintelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器22可以包括一个或多个计算机可读存储介质,计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器22至少用于存储以下计算机程序221,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例中公开的入侵检测方法步骤。另外,存储器22所存储的资源还可以包括操作系统222和数据223等,存储方式可以是短暂存储也可以是永久存储。其中,操作系统222可以是Windows、Unix、Linux等。数据223可以包括各种各样的数据。
本技术领域人员可以理解,图6中示出的结构并不构成对电子设备20的限定,可以包括比图示更多或更少的组件。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的入侵检测方法。
其中,关于上述入侵检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种入侵检测方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种入侵检测方法,其特征在于,包括:
获取目标网络数据包;
对所述目标网络数据包进行文件识别;
如果所述目标网络数据包中存在文件,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
如果所述目标网络数据包中不存在文件,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据之前,还包括:
提取出所述目标网络数据包中存在的文件,得到待检测文件。
3.根据权利要求2所述的入侵检测方法,其特征在于,所述对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据;
如果所述目标网络数据包中存在入侵数据或不存在入侵数据,则完成所述目标网络数据包入侵检测;
如果不能确定所述目标网络数据包中是否存在入侵数据,则对所述待检测文件进行云端文件查杀,以确定所述待检测文件中是否存在入侵数据。
4.根据权利要求3所述的入侵检测方法,其特征在于,所述对所述待检测文件进行本地文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:
利用预先建立的病毒库对所述待检测文件进行特征匹配,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
5.根据权利要求3所述的入侵检测方法,其特征在于,所述对所述待检测文件进行云端文件查杀,以确定所述目标网络数据包中是否存在入侵数据,包括:
利用预先建立的沙箱对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预先建立的人工智能模型对所述待检测文件进行检测,以确定所述目标网络数据包中是否存在入侵数据。
6.根据权利要求1所述的入侵检测方法,其特征在于,所述对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据,包括:
利用预设入侵特征库对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
和/或,利用预设异常检测算法对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
7.根据权利要求1至6任一项所述的入侵检测方法,其特征在于,所述对所述目标网络数据包进行文件识别,包括:
对所述目标网络数据包中的应用层协议进行识别;
如果所述目标网络数据包中的应用层协议支持文件传输,则查找所述目标网络数据包中是否存在目标文件信息;
如果所述目标网络数据包中存在目标文件信息,则所述目标网络数据包中存在文件。
8.一种入侵检测装置,其特征在于,包括:
数据包获取模块,用于获取目标网络数据包;
文件识别模块,用于对所述目标网络数据包进行文件识别;
第一检测模块,用于在所述目标网络数据包中存在文件时,则对所述目标网络数据包中存在的文件进行文件入侵检测,以确定所述目标网络数据包中是否存在入侵数据;
第二检测模块,用于在所述目标网络数据包中不存在文件时,则对所述目标网络数据包进行入侵检测,以确定所述目标网络数据包中是否存在入侵数据。
9.一种入侵检测设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至7任一项所述的入侵检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的入侵检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010542229.3A CN113810342B (zh) | 2020-06-15 | 2020-06-15 | 一种入侵检测方法、装置、设备、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010542229.3A CN113810342B (zh) | 2020-06-15 | 2020-06-15 | 一种入侵检测方法、装置、设备、介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810342A true CN113810342A (zh) | 2021-12-17 |
| CN113810342B CN113810342B (zh) | 2023-03-21 |
Family
ID=78892335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010542229.3A Active CN113810342B (zh) | 2020-06-15 | 2020-06-15 | 一种入侵检测方法、装置、设备、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810342B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114003914A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种文件的安全性检测方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
| CN107395650A (zh) * | 2017-09-07 | 2017-11-24 | 杭州安恒信息技术有限公司 | 基于沙箱检测文件识别木马回连方法及装置 |
| CN108009425A (zh) * | 2017-11-29 | 2018-05-08 | 四川无声信息技术有限公司 | 文件检测及威胁等级判定方法、装置及系统 |
| US20200089881A1 (en) * | 2018-09-16 | 2020-03-19 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
| CN111163094A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 |
| CN111159709A (zh) * | 2019-12-27 | 2020-05-15 | 深信服科技股份有限公司 | 一种文件类型识别方法、装置、设备及存储介质 |
-
2020
- 2020-06-15 CN CN202010542229.3A patent/CN113810342B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
| CN107395650A (zh) * | 2017-09-07 | 2017-11-24 | 杭州安恒信息技术有限公司 | 基于沙箱检测文件识别木马回连方法及装置 |
| CN108009425A (zh) * | 2017-11-29 | 2018-05-08 | 四川无声信息技术有限公司 | 文件检测及威胁等级判定方法、装置及系统 |
| US20200089881A1 (en) * | 2018-09-16 | 2020-03-19 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
| CN111159709A (zh) * | 2019-12-27 | 2020-05-15 | 深信服科技股份有限公司 | 一种文件类型识别方法、装置、设备及存储介质 |
| CN111163094A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114003914A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种文件的安全性检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113810342B (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9349006B2 (en) | Method and device for program identification based on machine learning | |
| EP3258409B1 (en) | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware | |
| WO2019128529A1 (zh) | Url攻击检测方法、装置以及电子设备 | |
| CN107563201B (zh) | 基于机器学习的关联样本查找方法、装置及服务器 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| EP3547121B1 (en) | Combining device, combining method and combining program | |
| CN111917740A (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN116303290B (zh) | 一种office文档检测方法及装置、设备及介质 | |
| US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
| CN107577943B (zh) | 基于机器学习的样本预测方法、装置及服务器 | |
| CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
| CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
| US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
| CN113810342B (zh) | 一种入侵检测方法、装置、设备、介质 | |
| CN112839055B (zh) | 面向tls加密流量的网络应用识别方法、装置及电子设备 | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、系统及存储介质 | |
| EP3848822B1 (en) | Data classification device, data classification method, and data classification program | |
| CN114697066A (zh) | 网络威胁检测方法和装置 | |
| CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
| CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN116032595A (zh) | 一种通用型恶意样本的分类方法、装置、介质及设备 | |
| JP7180765B2 (ja) | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム | |
| EP3799367B1 (en) | Generation device, generation method, and generation program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |