CN114866296B - 入侵检测方法、装置、设备及可读存储介质 - Google Patents

入侵检测方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN114866296B
CN114866296B CN202210419739.0A CN202210419739A CN114866296B CN 114866296 B CN114866296 B CN 114866296B CN 202210419739 A CN202210419739 A CN 202210419739A CN 114866296 B CN114866296 B CN 114866296B
Authority
CN
China
Prior art keywords
value
system software
intrusion detection
attack
hardware index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210419739.0A
Other languages
English (en)
Other versions
CN114866296A (zh
Inventor
王子玥
梁意文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN202210419739.0A priority Critical patent/CN114866296B/zh
Publication of CN114866296A publication Critical patent/CN114866296A/zh
Application granted granted Critical
Publication of CN114866296B publication Critical patent/CN114866296B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种入侵检测方法、装置、设备及可读存储介质。该方法包括:获取用户行为特征值以及系统软硬件指标值;将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中;检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;若存在,则确定攻击类别并产生对应的入侵预警信号;若不存在,则确定不存在入侵。通过本发明,解决了现有技术中若异常数据样本较少,导致入侵检测效果不准确,不能准确的进行入侵预警的问题。

Description

入侵检测方法、装置、设备及可读存储介质
技术领域
本发明涉及互联网技术领域,尤其涉及一种入侵检测方法、装置、设备及可读存储介质。
背景技术
随着互联网技术的发展,互联网恶意攻击呈现多样化、攻击频繁、规模化等特点。目前,国内外对于入侵检测的研究主要集中在机器学习领域和统计分析领域。基于机器学习的入侵检测大多采用人工神经网络或支持向量机等方法,所以需要大量的异常数据样本,若异常数据样本较少,就会导致基于机器学习的入侵检测效果不准确,从而不能准确的进行入侵预警。
发明内容
本发明的主要目的在于提供一种入侵检测方法、装置、设备及可读存储介质,旨在解决现有技术中若异常数据样本较少,导致入侵检测效果不准确,不能准确的进行入侵预警的问题。
第一方面,本发明提供一种入侵检测方法,所述入侵检测方法包括:
获取用户行为特征值以及系统软硬件指标值;
将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;
将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的线性加权移动平均线与第一预设值的和;
检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;
若存在,则确定攻击类别并产生对应的入侵预警信号;
若不存在,则确定不存在入侵。
可选的,在所述确定攻击类别并产生对应的入侵预警信号的步骤之后,包括:
通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值;
通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值;
若第一差值大于第二预设值,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值;
若第二差值大于第三预设值,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值。
可选的,在所述确定攻击类别并产生对应的入侵预警信号的步骤之后,包括:
根据攻击类别启动对应的反制措施,其中,所述反制措施包括封禁账号IP和/或封禁账号和/或对系统用户发送攻击提醒和/或提高防火墙安全级别和/或将账号加入黑名单和/或开启TCP拦截和/或开启优化负载均衡和/或扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序。
可选的,所述用户行为特征值包括用户登录失败次数和/或文件访问次数和/或文件访问出错率和/或网络连接数和/或击键频率和/或事件间的时间间隔。
可选的,所述系统软硬件指标值包括单位时间窗口内的进程数据和/或CPU的均值和/或CPU的方差和/或进程发起的网络外连IP数量。
第二方面,本发明还提供一种入侵检测装置,所述入侵检测装置包括:
获取模块,用于获取用户行为特征值以及系统软硬件指标值;
第一存储模块,用于将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;
第二存储模块,用于将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的加权移动平均量与第一预设值的和;
检测模块,用于检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;
第一确定模块,用于若存在,则确定攻击类别并产生对应的入侵预警信号;
第二确定模块,用于若不存在,则确定不存在入侵。
可选的,所述入侵检测装置还包括调整模块,用于:
通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值;
通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值;
若第一差值大于第二预设值,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值;
若第二差值大于第三预设值,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值。
可选的,所述入侵检测装置还包括反制模块,用于:
根据攻击类别启动对应的反制措施,其中,所述反制措施包括封禁账号IP和/或封禁账号和/或对系统用户发送攻击提醒和/或提高防火墙安全级别和/或将账号加入黑名单和/或开启TCP拦截和/或开启优化负载均衡和/或扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序。
第三方面,本发明还提供一种入侵检测设备,所述入侵检测设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的入侵检测程序,其中所述入侵检测程序被所述处理器执行时,实现如上所述的入侵检测方法的步骤。
第四方面,本发明还提供一种可读存储介质,所述可读存储介质上存储有入侵检测程序,其中所述入侵检测程序被处理器执行时,实现如上所述的入侵检测方法的步骤。
本发明中,获取用户行为特征值以及系统软硬件指标值;将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的线性加权移动平均线与第一预设值的和;检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;若存在,则确定攻击类别并产生对应的入侵预警信号;若不存在,则确定不存在入侵。通过本发明,获取用户行为特征值后,将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中,获取系统软硬件指标值,将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,若攻击类别数据库中存在与异常行为日志以及异常状态日志中相同的值,则确定攻击类别并产生对应的入侵预警信号,若攻击类别数据库中不存在与异常行为日志以及异常状态日志中相同的值,则确定不存在入侵,不需要大量异常数据样本就能确定是否存在入侵,解决了现有技术中若异常数据样本较少,导致入侵检测效果不准确,不能准确的进行入侵预警的问题。
附图说明
图1为本发明实施例方案中涉及的入侵检测设备的硬件结构示意图;
图2为本发明入侵检测方法第一实施例的流程示意图;
图3为本发明入侵检测方法一实施例的架构图;
图4为本发明入侵检测方法第二实施例的流程示意图;
图5为本发明入侵检测装置一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
第一方面,本发明实施例提供一种入侵检测设备,该入侵检测设备可以是个人计算机(personal computer,PC)、笔记本电脑、服务器等具有数据处理功能的设备。
参照图1,图1为本发明实施例方案中涉及的入侵检测设备的硬件结构示意图。本发明实施例中,入侵检测设备可以包括处理器1001(例如中央处理器Central ProcessingUnit,CPU),通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信;用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard);网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真WIreless-FIdelity,WI-FI接口);存储器1005可以是高速随机存取存储器(random accessmemory,RAM),也可以是稳定的存储器(non-volatile memory),例如磁盘存储器,存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解,图1中示出的硬件结构并不构成对本发明的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
继续参照图1,图1中作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及入侵检测程序。其中,处理器1001可以调用存储器1005中存储的入侵检测程序,并执行本发明实施例提供的入侵检测方法。
第二方面,本发明实施例提供了一种入侵检测方法。
一实施例中,参照图2,图2为本发明入侵检测方法第一实施例的流程示意图。如图2所示,入侵检测方法包括:
步骤S10,获取用户行为特征值以及系统软硬件指标值;
本实施例中,参照图3,图3为本发明入侵检测方法一实施例的架构图。如图3所示,获取T0至T1时长内用户的行为特征值以及系统软硬件指标值。其中,可根据实际需要选取T0至T1时长内用户的行为特征值以及系统软硬件指标值,也可以获取T0至T1时长内所有的用户的行为特征值以及系统软硬件指标值。
进一步地,一实施例中,所述用户行为特征值包括用户登录失败次数和/或文件访问次数和/或文件访问出错率和/或网络连接数和/或击键频率和/或事件间的时间间隔。
本实施例中,用户行为特征值包括用户登录失败次数和/或文件访问次数和/或文件访问出错率和/或网络连接数和/或击键频率和/或事件间的时间间隔。容易想到的是,本实施例中用户行为特征值所包括内容仅供参考,用户行为特征值还可以包括其他内容,在此不做限制。
进一步地,一实施例中,所述系统软硬件指标值包括单位时间窗口内的进程数据和/或CPU的均值和/或CPU的方差和/或进程发起的网络外连IP数量。
本实施例中,系统软硬件指标值包括单位时间窗口内的进程数据和/或CPU的均值和/或CPU的方差和/或进程发起的网络外连IP数量。其中,进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。中央处理器(CPU,英语:Central Processing Unit/Processor),是电子计算机的主要设备之一,电脑中的核心配件,其功能主要是解释计算机指令以及处理计算机软件中的数据。容易想到的是,本实施例中系统软硬件指标值所包括内容仅供参考,系统软硬件指标值还可以包括其他内容,在此不做限制。
步骤S20,将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;
本实施例中,继续参照图3,以用户行为特征值包括用户登录失败次数和文件访问次数为例,若用户登录失败次数对应的行为特征阈值为5次,文件访问次数为10次,则当用户登录失败次数在T0至T1时长内大于5次,则认为用户登录失败次数是异常数据,则将目标用户行为特征值,即用户登录失败次数存入异常行为日志中。进一步地,当文件访问次数在T0至T1时长内小于或等于10次,则认为文件访问次数是正常数据,则不针对文件访问次数进一步进行处理。
步骤S30,将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的线性加权移动平均线与第一预设值的和;
本实施例中,继续参照图3,以系统软硬件指标值包括进程发起的网络外连IP数量为例,若进程发起的网络外连IP数量对应的系统软硬件指标阈值为6次,则当进程发起的网络外连IP数量在T0至T1时长内大于6次,则认为进程发起的网络外连IP数量是异常数据,则将目标系统软硬件指标值,即进程发起的网络外连IP数量存入异常状态日志中。进一步地,当进程发起的网络外连IP数量在T0至T1时长内小于或等于6次,则认为进程发起的网络外连IP数量是正常数据,则不针对进程发起的网络外连IP数量进一步进行处理,其中,系统软硬件指标阈值为系统软硬件指标的线性加权移动平均线与第一预设值的和。
线性加权移动平均线(WMA)计算公式如下:
其中,T为移动平均时间窗口,y={...;yt-2;yt-1;yt;yt+1;yt+2;...},y为时间序列。
步骤S40,检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;
本实施例中,攻击类别数据库是记录了不同的入侵手段特征的数据库,储存的内容包括攻击类别以及攻击特点,其中,每种攻击类别包括该种攻击类别对应的用户行为特征值以及系统软硬件指标特征变化值。所以通过检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值即可确定是否存在入侵,以及存在入侵时对应的攻击类别。
步骤S50,若存在,则确定攻击类别并产生对应的入侵预警信号;
本实施例中,继续参照图3,若攻击类别数据库中存在与异常行为日志以及异常状态日志中相同的值,则根据异常行为日志中的用户行为特征值以及异常状态日志中系统软硬件指标值即可确定攻击类别。其中,攻击类别包括侦察类攻击和/或信息收集类攻击和/或访问类攻击和/或拒绝服务类攻击和/或病毒入侵类攻击。确定攻击类别之后,产生攻击类别对应的入侵预警信号,以供管理人员采取相应的措施。
步骤S60,若不存在,则确定不存在入侵。
本实施例中,若攻击类别数据库中不存在与异常行为日志以及异常状态日志中相同的值,则确定系统不存在入侵。
本实施例中,获取用户行为特征值以及系统软硬件指标值;将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的线性加权移动平均线与第一预设值的和;检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;若存在,则确定攻击类别并产生对应的入侵预警信号;若不存在,则确定不存在入侵。通过本实施例,获取用户行为特征值后,将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中,获取系统软硬件指标值,将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,若攻击类别数据库中存在与异常行为日志以及异常状态日志中相同的值,则确定攻击类别并产生对应的入侵预警信号,若攻击类别数据库中不存在与异常行为日志以及异常状态日志中相同的值,则确定不存在入侵,不需要大量异常数据样本就能确定是否存在入侵,解决了现有技术中若异常数据样本较少,导致入侵检测效果不准确,不能准确的进行入侵预警的问题。
进一步地,一实施例中,在所述确定攻击类别并产生对应的入侵预警信号的步骤之后,包括:
通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值;
通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值;
若第一差值大于第二预设值,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值;
若第二差值大于第三预设值,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值。
本实施例中,参照图4,图4为本发明入侵检测方法第二实施例的流程示意图。如图3和图4所示,通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值。通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值。若第一差值大于第二预设值,则表示用户行为特征值对应的攻击类别的危险级别较高,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值,以便提高对用户行为特征值入侵检测攻击的灵敏度。
若第二差值大于第三预设值,则表示系统软硬件指标值对应的攻击类别的危险级别较高,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值,以便提高对系统软硬件指标值入侵检测攻击的灵敏度。通过不断调整用户行为特征值对应的行为特征阈值和/或系统软硬件指标值对应的系统软硬件指标阈值,使得本方案有较强的适应性,即使检测环境不断变化,也能得到准确度较高的入侵检测结果。
进一步地,一实施例中,在所述确定攻击类别并产生对应的入侵预警信号的步骤之后,包括:
根据攻击类别启动对应的反制措施,其中,所述反制措施包括封禁账号IP和/或封禁账号和/或对系统用户发送攻击提醒和/或提高防火墙安全级别和/或将账号加入黑名单和/或开启TCP拦截和/或开启优化负载均衡和/或扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序。
本实施例中,继续参照图3,确定攻击类别后,根据攻击类别启动对应的反制措施。具体地,若攻击类别为侦察类攻击或信息收集类攻击,则启动封禁账号IP和/或提高防火墙安全级别的反制措施;若攻击类别为访问类攻击,则启动将账号加入黑名单和/或对系统用户发送攻击提醒的的反制措施;若攻击类别为拒绝服务类攻击,则启动封禁账号IP和/或开启TCP拦截和/或开启优化负载均衡的反制措施;若攻击类别为病毒入侵类攻击,则启动扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序的反制措施。容易想到的是,本实施例中启动的反制措施仅供参考,在此不做限制。
第三方面,本发明实施例还提供一种入侵检测装置。
一实施例中,参照图5,图5为本发明入侵检测装置一实施例的功能模块示意图。如图5所示,入侵检测装置包括:
获取模块10,用于获取用户行为特征值以及系统软硬件指标值;
第一存储模块20,用于将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;
第二存储模块30,用于将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的加权移动平均量与第一预设值的和;
检测模块40,用于检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;
第一确定模块50,用于若存在,则确定攻击类别并产生对应的入侵预警信号;
第二确定模块60,用于若不存在,则确定不存在入侵。
进一步地,一实施例中,所述入侵检测装置还包括调整模块,用于:
通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值;
通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值;
若第一差值大于第二预设值,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值;
若第二差值大于第三预设值,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值。
进一步地,一实施例中,所述入侵检测装置还包括反制模块,用于:
根据攻击类别启动对应的反制措施,其中,所述反制措施包括封禁账号IP和/或封禁账号和/或对系统用户发送攻击提醒和/或提高防火墙安全级别和/或将账号加入黑名单和/或开启TCP拦截和/或开启优化负载均衡和/或扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序。
进一步地,一实施例中,用户行为特征值包括用户登录失败次数和/或文件访问次数和/或文件访问出错率和/或网络连接数和/或击键频率和/或事件间的时间间隔。
进一步地,一实施例中,系统软硬件指标值包括单位时间窗口内的进程数据和/或CPU的均值和/或CPU的方差和/或进程发起的网络外连IP数量。
其中,上述入侵检测装置中各个模块的功能实现与上述入侵检测方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
第四方面,本发明实施例还提供一种可读存储介质。
本发明可读存储介质上存储有入侵检测程序,其中所述入侵检测程序被处理器执行时,实现如上述的入侵检测方法的步骤。
其中,入侵检测程序被执行时所实现的方法可参照本发明入侵检测方法的各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种入侵检测方法,其特征在于,所述入侵检测方法包括:
获取用户行为特征值以及系统软硬件指标值;
将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;
将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的线性加权移动平均线与第一预设值的和;
检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;
若存在,则确定攻击类别并产生对应的入侵预警信号;
若不存在,则确定不存在入侵;
在所述确定攻击类别并产生对应的入侵预警信号的步骤之后,包括:
通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值;
通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值;
若第一差值大于第二预设值,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值;
若第二差值大于第三预设值,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值。
2.如权利要求1所述的入侵检测方法,其特征在于,在所述确定攻击类别并产生对应的入侵预警信号的步骤之后,包括:
根据攻击类别启动对应的反制措施,其中,所述反制措施包括封禁账号IP和/或封禁账号和/或对系统用户发送攻击提醒和/或提高防火墙安全级别和/或将账号加入黑名单和/或开启TCP拦截和/或开启优化负载均衡和/或扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序。
3.如权利要求1所述的入侵检测方法,其特征在于,所述用户行为特征值包括用户登录失败次数和/或文件访问次数和/或文件访问出错率和/或网络连接数和/或击键频率和/或事件间的时间间隔。
4.如权利要求1所述的入侵检测方法,其特征在于,所述系统软硬件指标值包括单位时间窗口内的进程数据和/或CPU的均值和/或CPU的方差和/或进程发起的网络外连IP数量。
5.一种入侵检测装置,其特征在于,所述入侵检测装置包括:
获取模块,用于获取用户行为特征值以及系统软硬件指标值;
第一存储模块,用于将用户行为特征值中大于对应的行为特征阈值的目标用户行为特征值存入异常行为日志中;
第二存储模块,用于将系统软硬件指标值中大于对应的系统软硬件指标阈值的目标系统软硬件指标值存入异常状态日志中,其中,系统软硬件指标阈值为系统软硬件指标的加权移动平均量与第一预设值的和;
检测模块,用于检测攻击类别数据库中是否存在与异常行为日志以及异常状态日志中相同的值;
第一确定模块,用于若存在,则确定攻击类别并产生对应的入侵预警信号;
第二确定模块,用于若不存在,则确定不存在入侵;
所述入侵检测装置还包括调整模块,用于:
通过攻击类别数据库与异常行为日志中都存在的用户行为特征值减去对应的行为特征阈值,得到第一差值;
通过攻击类别数据库与异常状态日志中都存在的系统软硬件指标值减去对应的系统软硬件指标阈值,得到第二差值;
若第一差值大于第二预设值,则减小攻击类别数据库与异常行为日志中都存在的用户行为特征值对应的行为特征阈值;
若第二差值大于第三预设值,则减小攻击类别数据库与异常状态日志中都存在的系统软硬件指标值对应的系统软硬件指标阈值。
6.如权利要求5所述的入侵检测装置,其特征在于,所述入侵检测装置还包括反制模块,用于:
根据攻击类别启动对应的反制措施,其中,所述反制措施包括封禁账号IP和/或封禁账号和/或对系统用户发送攻击提醒和/或提高防火墙安全级别和/或将账号加入黑名单和/或开启TCP拦截和/或开启优化负载均衡和/或扫描并处理危险文件和/或紧急备份文件和/或启动补丁程序。
7.一种入侵检测设备,其特征在于,所述入侵检测设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的入侵检测程序,其中所述入侵检测程序被所述处理器执行时,实现如权利要求1至4中任一项所述的入侵检测方法的步骤。
8.一种可读存储介质,其特征在于,所述可读存储介质上存储有入侵检测程序,其中所述入侵检测程序被处理器执行时,实现如权利要求1至4中任一项所述的入侵检测方法的步骤。
CN202210419739.0A 2022-04-20 2022-04-20 入侵检测方法、装置、设备及可读存储介质 Active CN114866296B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210419739.0A CN114866296B (zh) 2022-04-20 2022-04-20 入侵检测方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210419739.0A CN114866296B (zh) 2022-04-20 2022-04-20 入侵检测方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN114866296A CN114866296A (zh) 2022-08-05
CN114866296B true CN114866296B (zh) 2023-07-21

Family

ID=82632244

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210419739.0A Active CN114866296B (zh) 2022-04-20 2022-04-20 入侵检测方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN114866296B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115914897B (zh) * 2023-03-09 2023-05-12 天津瑞利通科技有限公司 一种用于ptn设备的传输切换测试系统及方法
CN116828001B (zh) * 2023-08-28 2023-11-17 长春易加科技有限公司 一种基于大数据分析的智慧工厂生产效率优化系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108491310A (zh) * 2018-03-26 2018-09-04 北京九章云极科技有限公司 一种日志监测方法及系统
CN110474878A (zh) * 2019-07-17 2019-11-19 海南大学 基于动态阈值的DDoS攻击态势预警方法和服务器

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104008332A (zh) * 2014-04-30 2014-08-27 浪潮电子信息产业股份有限公司 一种基于Android平台的入侵检测系统
CN105471819B (zh) * 2014-08-19 2019-08-30 腾讯科技(深圳)有限公司 账号异常检测方法及装置
CN105809035B (zh) * 2016-03-07 2018-11-09 南京邮电大学 基于安卓应用实时行为的恶意软件检测方法和系统
CN110881022A (zh) * 2018-09-06 2020-03-13 福建雷盾信息安全有限公司 一种大型网络安全态势检测分析方法
CN109067794B (zh) * 2018-09-26 2021-12-31 新华三信息安全技术有限公司 一种网络行为的检测方法和装置
CN110224876B (zh) * 2019-06-28 2020-11-20 北京理工大学 一种应用层DDoS攻防效用度量方法
CN111193719A (zh) * 2019-12-14 2020-05-22 贵州电网有限责任公司 一种网络入侵防护系统
CN112910911B (zh) * 2021-02-10 2022-11-29 中国工商银行股份有限公司 一种网络入侵检测方法及装置
CN112926048B (zh) * 2021-05-11 2021-08-20 北京天空卫士网络安全技术有限公司 一种异常信息检测方法和装置
CN114358106A (zh) * 2021-09-29 2022-04-15 腾讯科技(深圳)有限公司 系统异常检测方法、装置、计算机程序产品及电子设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108491310A (zh) * 2018-03-26 2018-09-04 北京九章云极科技有限公司 一种日志监测方法及系统
CN110474878A (zh) * 2019-07-17 2019-11-19 海南大学 基于动态阈值的DDoS攻击态势预警方法和服务器

Also Published As

Publication number Publication date
CN114866296A (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
US11570211B1 (en) Detection of phishing attacks using similarity analysis
CN113515433B (zh) 告警日志处理方法、装置、设备及存储介质
CN114866296B (zh) 入侵检测方法、装置、设备及可读存储介质
EP2769508B1 (en) System and method for detection of denial of service attacks
US8312536B2 (en) Hygiene-based computer security
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
US20110314558A1 (en) Method and apparatus for context-aware authentication
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
CN112073389B (zh) 云主机安全态势感知系统、方法、设备及存储介质
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
CN105471819A (zh) 账号异常检测方法及装置
CN111404949A (zh) 一种流量检测方法、装置、设备及存储介质
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
CN109547427B (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN111314326B (zh) Http漏洞扫描主机的确认方法、装置、设备及介质
CN115618283B (zh) 一种跨站点脚本攻击检测方法、装置、设备及存储介质
CN116015979B (zh) 一种智能安全态势感知方法、系统和存储介质
CN111131166A (zh) 一种用户行为预判方法及相关设备
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN113852625B (zh) 一种弱口令监测方法、装置、设备及存储介质
CN112948831A (zh) 应用程序风险识别的方法和装置
CN112073426A (zh) 一种云防护环境下网站扫描检测方法、系统及设备
CN115632840B (zh) 基于零信任的风险处理方法、装置、设备及存储介质
CN115102793B (zh) 基于日志信息分析的工控网络安全策略匹配方法和系统
JP7280814B2 (ja) 信頼度評価装置、信頼度評価方法及び信頼度評価プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant