CN114900339A - 入侵检测方法、系统、设备及存储介质 - Google Patents
入侵检测方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN114900339A CN114900339A CN202210418049.3A CN202210418049A CN114900339A CN 114900339 A CN114900339 A CN 114900339A CN 202210418049 A CN202210418049 A CN 202210418049A CN 114900339 A CN114900339 A CN 114900339A
- Authority
- CN
- China
- Prior art keywords
- detection
- rule
- manager
- behavior data
- system manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 207
- 230000006399 behavior Effects 0.000 claims abstract description 76
- 238000000034 method Methods 0.000 claims abstract description 35
- 230000014509 gene expression Effects 0.000 claims description 42
- 238000004590 computer program Methods 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请实施例提供了一种入侵检测方法、系统、设备及存储介质,应用于入侵检测系统,所述入侵检测系统包括系统管理器、规则管理器和检测模块,所述方法包括:系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,本申请实施例可以解决不能准确定位入侵行为,且造成极高的误报率或极低的检出率的技术问题。
Description
技术领域
本申请实施例涉及信息安全领域,具体涉及入侵检测方法、系统、设备及存储介质。
背景技术
入侵行为越来越受到人们的重视,因为如果出现网络安全问题,则会正常的工作学习造成很大的影响。
现有技术中,对入侵行为的检测都是通过单一检测模块进行,所以不能准确定位入侵行为,且造成极高的误报率或极低的检出率。
所以急需一种可以精准定位入侵行为的技术方案来解决上述技术问题。
发明内容
本申请的目的在于找到解决或部分解决应对不能准确定位入侵行为,且造成极高的误报率或极低的检出率的技术问题。
第一方面,本申请实施例提供了一种入侵检测方法,应用于入侵检测系统,所述入侵检测系统包括系统管理器、规则管理器和检测模块,其特征在于,所述方法包括:
系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;
系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
作为本申请的一优选实施例,所述检测规则包括逻辑表达式和规则内容,所述系统管理器根据行为数据类型选择与行为数据类型对应的检测规则,包括:
系统管理器根据行为数据类型选择与逻辑表达式中第一个检测模块行为数据类型对应的检测规则。
作为本申请的一优选实施例,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。
作为本申请的一优选实施例,所述检测规则通过系统管理器调用规则管理器进行解析,包括:
系统管理器调用规则管理器获取检测规则中存储的逻辑表达式并保存;
系统管理器通过逻辑表达式获取需要执行的检测模块名及与检测模块名对应的属性及属性值。
作为本申请的一优选实施例,所述系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,包括:
系统管理器将当前待检测数据的属性值与检测规则中检测模块的属性值一一做比较,如果都一致,且每个检测模块都基于检测规则的逻辑表达式进行检测,则当前待检测数据为入侵行为。
作为本申请的一优选实施例,所述方法还包括:
系统管理器判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
与现有技术相比,本申请实施例提供的入侵检测方法中的检测规则可以根据待检测行为数据进行调整,且每个检测规则下有多个检测模块,每个检测模块对应多个属性及属性值,每个检测规则中设置有逻辑表达式,因此可以通过多维数据定位行为数据,多维数据间使用逻辑表达式描述其关系,可以满足不同场景下检测规则的编辑及应用,可以准确定位入侵行为,且减少误报率或提高检出率。
第二方面,本申请实施例还提供了一种入侵检测系统,所述系统包括:系统管理器、规则管理器和检测模块;
系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;
系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
作为本申请的一优选实施例,所述系统管理器还用于判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
作为本申请的一优选实施例,所述检测规则包括逻辑表达式和规则内容,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。
第三方面,本申请实施例还提供了一种入侵检测设备,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行上述任一项所述的一种入侵检测方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的一种入侵检测方法的步骤。
与现有技术相比,第二至第四方面实施例提供的技术方案的有益效果与第一方面提供的脚本命令漏洞检测方法的有益效果相同,在此不再赘述。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
图1为本申请一实施例提供的入侵检测系统的结构示意图;
图2为本申请一实施例提供的的入侵检测方法的流程示意图;
图3为本申请另一实施例提供的的入侵检测方法的流程示意图;
图4为本申请一实施例提供的入侵检测设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
如图1所示,第一方面,本申请实施例提供了一种入侵检测系统,所述入侵检测系统包括系统管理器01、规则管理器02和检测模块03;
其中,入侵检测系统安装在终端上,运维人员可以提前将检测规则配置完成,并下发到每个终端进行保存,保存到终端上的检测规则,在检测规则下发的过程中已经进行了解析,所以保存在终端上的规则为已经解析好的检测规则,一般的行为数据都是通过启动进程,退出进程,文件读写,注册表读写等产生,当检测到终端设备上有行为数据产生时,系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,如行为数据为启动进程的行为数据,则选择与启动的进程文件名匹配的检测规则进行行为数据检测,如果多个检测规则中包含有进程模块,这样就可以通过多个检测规则对启动的进程产生的行为数据进行入侵检测。
本申请实施例每个终端设备上保存有已经解析完成的检测规则,每种行为数据对会对应有检测规则对其进行入侵检测,这样可以满足不同场景下检测规则的编辑及应用,可以准确定位入侵行为,且减少误报率或提高检出率。
如图2所示,本申请实施例还提供了一种入侵检测方法,所述方法应用于入侵检测系统,所述方法具体包括如下步骤:
步骤S01,系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
需要说明的是,在本申请实施例中,通过运维人员配置完成的检测规则下发至每个终端设备上,在下发的过程中已经将检测规则进行解析完成,所述检测规则包括逻辑表达式和规则内容,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值,检测规则解析过程为:系统管理器调用规则管理器获取检测规则中存储的逻辑表达式并保存;系统管理器通过逻辑表达式获取需要执行的检测模块名及与检测模块名对应的属性及属性值,因为逻辑表达式都是存储在每个检测规则中,所以在解析检测规则时,只要将检测规则中逻辑表达式取出即可,逻辑表达式代表每个检测规则中的检测模块在检测行为数据时的逻辑关系,获取逻辑表达式后,就可以知道每个检测规则中的检测模块之间的逻辑关系,首先遍历检测规则,查找检测模块名,并获取检测模块名信息并保存,获取检测模块名的字段内容,解析检测模块名的字段内容属性、属性值等字段,并将属性、属性值等内容保存到每个检测模块的列表中,获取所有的检测模块名及对应的属性、属性值信息。
步骤S02,系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;
步骤S02中,所述检测规则包括逻辑表达式和规则内容,所述系统管理器根据行为数据类型选择与行为数据类型对应的检测规则,包括:
系统管理器根据行为数据类型选择与逻辑表达式中第一个检测模块行为数据类型对应的检测规则。
需要说明的是,每个检测规则中都包含有与行为数据对应字段名,因为逻辑表达式的执行过程都是从前往后进行,如果检测到行为数据为启动进程相关的行为数据,则调用检测规则中的逻辑表达式中的的第一个检测模块包含进程模块的检测规则进行检测,对应逻辑表达式中除过第一检测模块的其它检测模块用于检测行为数据在执行过程中产生的其它数据的检测,当然整个检测规则中的检测模块不一定可以全部检测一个行为数据产生的所有行为,但是此检测规则可以检测此行为数据在执行过程中的一些重要的节点的行为。
比如,一个检测规则中的有多个检测模块,逻辑表达式可能是Process&Resitry,也可能是Registry&Process,检测到进程行为数据时,应该选择Process&Resitry这条检测规则,也就是说,当检测到行为数据为进程数据时,如果选择执行后者的Registry模块,这条检测规则一定会执行失败;逻辑表达式的执行顺序是按照从前往后的进行执行。步骤S03,系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
也就是说,当系统有进程启动时,获取规则列表中逻辑表达式的第一个检测模块包含进程模块的检测规则;然后获取检测规则的逻辑表达式,并依次获取逻辑表达式的检测模块信息,随后获取检测模块中的属性信息,然后将获取到的当前启动进程的进程名,与检测模块中的属性信息做字符串匹配,如果一致,则当前检测模块的属性信息表示命中,重复上述步骤,执行完所有检测模块的所有属性信息,每一检测模块执行完会有结果返回,返回0或1,0表示返回失败,1表示返回成功,当检测模块返回结果是需要根据逻辑表达式判断检测规则是否需要继续执行。如果当检测模块返回1时,判断检测模块的逻辑表达式为“与”,所以需要继续执行其它检测模块的规则,否则,不再需要执行其它检测模块规则,当逻辑表达式中检测模块执行完毕时,返回此逻辑表达式对应的检测规则的结果。
如图3所示,在图2的基础上,所述方法还包括:
步骤S04,系统管理器判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
也就是说,如果判断行为数据为入侵数据,则将行为数据停止运行,否则,行为数据代表的行为继续运行。
与现有技术相比,本申请实施例提供的入侵检测方法中的检测规则可以根据待检测行为数据进行调整,且每个检测规则下有多个检测模块,每个检测模块对应多个属性及属性值,每个检测规则中设置有逻辑表达式,因此可以通过多维数据定位行为数据,多维数据间使用逻辑表达式描述其关系,可以满足不同场景下检测规则的编辑及应用,可以准确定位入侵行为,且减少误报率或提高检出率。
第三方面,本申请实施例还提供了一种入侵检测设备,所述设备包括:处理器41和存储器42;
所述存储器42用于存储一个或多个程序指令;
所述处理器41,用于运行一个或多个程序指令,用以执行上述任一项所述的一种入侵检测方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的一种入侵检测方法的步骤。
与现有技术相比,第二至第四方面实施例提供的技术方案的有益效果与第一方面提供的脚本命令漏洞检测方法的有益效果相同,在此不再赘述。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种入侵检测方法,应用于入侵检测系统,所述入侵检测系统包括系统管理器、规则管理器和检测模块,其特征在于,所述方法包括:
系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;
系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
2.如权利要求1所述的一种入侵检测方法,其特征在于,所述检测规则包括逻辑表达式和规则内容,所述系统管理器根据行为数据类型选择与行为数据类型对应的检测规则,包括:
系统管理器根据行为数据类型选择与逻辑表达式中第一个检测模块行为数据类型对应的检测规则。
3.如权利要求2所述的一种入侵检测方法,其特征在于,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。
4.如权利要求2所述的入侵检测方法,其特征在于,所述检测规则通过系统管理器调用规则管理器进行解析,包括:
系统管理器调用规则管理器获取检测规则中存储的逻辑表达式并保存;
系统管理器通过逻辑表达式获取需要执行的检测模块名及与检测模块名对应的属性及属性值。
5.如权利要求1所述的入侵检测方法,其特征在于,所述系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,包括:
系统管理器将当前待检测数据的属性值与检测规则中检测模块的属性值一一做比较,如果都一致,且每个检测模块都基于检测规则的逻辑表达式进行检测,则当前待检测数据为入侵行为。
6.如权利要求1所述的入侵检测方法,其特征在于,所述方法还包括:
系统管理器判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
7.一种入侵检测系统,其特征在于,所述系统包括:系统管理器、规则管理器和检测模块;
系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
8.如权利要求6所述的入侵检测系统,其特征在于,所述系统管理器还用于判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
9.如权利要求6所述的一种入侵检测系统,其特征在于,所述检测规则包括逻辑表达式和规则内容,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。
10.一种入侵检测设备,其特征在于,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如权利要求1至6任一项所述的一种入侵检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210418049.3A CN114900339A (zh) | 2022-04-20 | 2022-04-20 | 入侵检测方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210418049.3A CN114900339A (zh) | 2022-04-20 | 2022-04-20 | 入侵检测方法、系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114900339A true CN114900339A (zh) | 2022-08-12 |
Family
ID=82718562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210418049.3A Pending CN114900339A (zh) | 2022-04-20 | 2022-04-20 | 入侵检测方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114900339A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090217341A1 (en) * | 2008-02-22 | 2009-08-27 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
| CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
| CN108809926A (zh) * | 2017-12-25 | 2018-11-13 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN108881145A (zh) * | 2017-12-26 | 2018-11-23 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN111553332A (zh) * | 2020-07-10 | 2020-08-18 | 杭州海康威视数字技术股份有限公司 | 入侵检测规则生成方法、装置及电子设备 |
| CN111756697A (zh) * | 2020-05-27 | 2020-10-09 | 杭州数梦工场科技有限公司 | Api安全检测方法、装置、存储介质及计算机设备 |
| CN112688956A (zh) * | 2020-12-29 | 2021-04-20 | 成都科来网络技术有限公司 | 一种基于关联规则的实时安全检测方法及系统 |
| CN113328982A (zh) * | 2020-07-27 | 2021-08-31 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
| CN113641873A (zh) * | 2021-07-09 | 2021-11-12 | 厦门雅基软件有限公司 | 数据处理方法、装置、电子设备及可读存储介质 |
-
2022
- 2022-04-20 CN CN202210418049.3A patent/CN114900339A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090217341A1 (en) * | 2008-02-22 | 2009-08-27 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
| CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
| CN108809926A (zh) * | 2017-12-25 | 2018-11-13 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN108881145A (zh) * | 2017-12-26 | 2018-11-23 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN111756697A (zh) * | 2020-05-27 | 2020-10-09 | 杭州数梦工场科技有限公司 | Api安全检测方法、装置、存储介质及计算机设备 |
| CN111553332A (zh) * | 2020-07-10 | 2020-08-18 | 杭州海康威视数字技术股份有限公司 | 入侵检测规则生成方法、装置及电子设备 |
| CN113328982A (zh) * | 2020-07-27 | 2021-08-31 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
| CN112688956A (zh) * | 2020-12-29 | 2021-04-20 | 成都科来网络技术有限公司 | 一种基于关联规则的实时安全检测方法及系统 |
| CN113641873A (zh) * | 2021-07-09 | 2021-11-12 | 厦门雅基软件有限公司 | 数据处理方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106951364B (zh) | 测试方法及装置 | |
| CN111163065A (zh) | 异常用户检测方法及装置 | |
| CN110764980A (zh) | 日志处理方法和装置 | |
| CN112256318B (zh) | 一种用于依赖产品的构建方法及设备 | |
| CN111368289A (zh) | 一种恶意软件检测方法和装置 | |
| CN112799953A (zh) | 一种接口测试方法及装置、计算机设备及存储介质 | |
| CN115567736A (zh) | 视频内容检测方法、装置、设备和存储介质 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN114900339A (zh) | 入侵检测方法、系统、设备及存储介质 | |
| CN116361793A (zh) | 代码检测方法、装置、电子设备及存储介质 | |
| CN113259371B (zh) | 基于soar系统的网络攻击事件阻止方法及系统 | |
| CN106610899B (zh) | 一种测试用例生成方法及装置 | |
| CN114579809A (zh) | 事件分析方法、装置、电子设备及存储介质 | |
| CN114546799A (zh) | 埋点日志校验方法、装置、电子设备、存储介质及产品 | |
| CN111901310A (zh) | 一种网站安全测试方法、装置、电子设备及存储介质 | |
| CN113037521A (zh) | 识别通讯设备状态的方法、通讯系统及存储介质 | |
| CN111949524A (zh) | 一种数据接口测试方法、装置、服务器和存储介质 | |
| CN112181539B (zh) | 文件处理方法、装置、设备及介质 | |
| CN110109809B (zh) | 根据syslog测试日志审计功能的方法及设备 | |
| CN112506736A (zh) | office文件打开状态监控方法及装置 | |
| CN116756113A (zh) | 日志记录方法、装置、电子设备及存储介质 | |
| CN116303317A (zh) | 一种用于lua程序接口的日志处理方法、装置及计算机设备 | |
| CN115396208A (zh) | 一种数据库入侵检测方法以及装置 | |
| CN114281585A (zh) | 一种系统异常处理方法、装置、设备和存储介质 | |
| CN112148842A (zh) | 一种降低攻击检测中误报率方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |