CN115514558A - 一种入侵检测方法、装置、设备及介质 - Google Patents

Abstract

本申请公开了一种入侵检测方法、装置、设备及介质，涉及计算机技术领域，包括：收集包括不同类型的入侵威胁数据的溯源信息数据；按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。本申请通过对获取到的溯源信息数据进一步分类处理，增强了不同类型的溯源信息数据的边界感，提升了入侵检测时的效率和精准度。

Description

一种入侵检测方法、装置、设备及介质

技术领域

本发明涉及计算机技术领域，特别涉及一种入侵检测方法、装置、设备及介质。

背景技术

随着计算机网络技术的飞速发展，社会经济、科学和文化等各个领域都离不开网络通信，利用计算机网络实施犯罪的事件已绝不少见。目前常见的安全技术包括防火墙、身份认证、蜜罐诱骗、访问控制和加密等。虽然这些技术在一定程度上可以减少攻击事件的发生，但是，人为的不安全操作同样会导致入侵的发生，例如系统文件配置错误，弱口令等。因此，实际情况中但很难能完全杜绝黑客的攻击行为。因此，入侵检测技术就成了系统保护的第二层屏障。

现代信息系统中存在的众多漏洞一直是攻击者进行攻击的关键突破点，但漏洞检测方法中对模糊测试覆盖率不足，漏洞发现后的补洞过程也极为耗时，此外，基于系统溯源图的入侵检测系统中，不同种类的溯源信息以及溯源图的边界感模糊，溯源响应较慢，同时需要较为复杂的算法，且检测准确度不能再上一个台阶。现有的方案是将提取到的不同种类的溯源信息统一放入存储模块中，虽然这样的获取方式和储存效率高，但仍存在入侵检测的精准度较低的问题。

综上，如何提高入侵检测的效率和精准度是目前有待解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种入侵检测方法、装置、设备及介质，能够提高入侵检测的效率和精准度。其具体方案如下：

第一方面，本申请公开了一种入侵检测方法，包括：

收集包括不同类型的入侵威胁数据的溯源信息数据；

按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；

获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；

若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

可选的，所述收集包括不同入侵威胁数据的溯源信息数据，包括：

收集包括不同类型的入侵威胁数据的溯源图、溯源路径、系统日志数据。

可选的，所述系统日志数据包括Windows系统日志数据和Linux系统日志数据。

可选的，所述将所述分类后溯源信息存储至预设数据库的过程中，还包括：

将所述溯源图的所有边作为数据流，以对所述溯源图进行流式处理以得到流式图，并将所述流式图存储至预设数据库。

可选的，所述按照预设分类规则对所述溯源信息数据进行分类处理之前，还包括：

对所述溯源信息数据进行数据压缩处理和数据剪枝处理，以去除所述溯源信息数据中与入侵检测不相关的冗余数据。

可选的，所述按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，包括：

利用子图模糊匹配方法对所述溯源信息数据进行分类处理得到第一分类后数据；

利用节点标签缓存计算方法对所述第一分类后数据进行分类处理，以得到第二分类后数据；

利用预设异常检测模型对所述第二分类后数据进行分类处理，以得到分类后溯源信息。

可选的，所述将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配之后，还包括：

若匹配不成功，则记录所述待检测溯源信息，并利用所述待检测溯源信息更新所述预设数据库。

第二方面，本申请公开了一种入侵检测装置，包括：

数据收集模块，用于收集包括不同类型的入侵威胁数据的溯源信息数据；

数据分类模块，用于按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；

信息匹配模块，用于获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；

警报模块，用于若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

第三方面，本申请公开了一种电子设备，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现前述公开的入侵检测方法的步骤。

第四方面，本申请公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的入侵检测方法的步骤。

可见，本申请收集包括不同类型的入侵威胁数据的溯源信息数据；按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。由此可见，本申请在获取到包括不同类型的入侵威胁数据的溯源信息数据后，还需要按照预设分类规则进一步对溯源信息数据进行分类处理，从而提前对不同类型的溯源信息数据进行划分，以增强不同类型的溯源信息数据的边界感，从而在获取到待检测溯源信息后，提升对待检测溯源信息进行入侵检测时的效率和精准度。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请公开的一种入侵检测方法流程图；

图2为本申请公开的一种具体的入侵检测方法流程图；

图3为本申请公开的一种入侵检测装置结构示意图；

图4为本申请公开的一种电子设备结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现代信息系统中存在的众多漏洞一直是攻击者进行攻击的关键突破点，但漏洞检测方法中对模糊测试覆盖率不足，漏洞发现后的补洞过程也极为耗时，此外，基于系统溯源图的入侵检测系统中，不同种类的溯源信息以及溯源图的边界感模糊，溯源响应较慢，同时需要较为复杂的算法，且检测准确度不能再上一个台阶。现有的方案是将提取到的不同种类的溯源信息统一放入存储模块中，虽然这样的获取方式和储存效率高，但仍存在入侵检测的精准度较低的问题。

为此，本申请实施例公开了一种入侵检测方法、装置、设备及介质，能够提高入侵检测的效率和精准度。

参见图1所示，本申请实施例公开了一种入侵检测方法，该方法包括：

步骤S11：收集包括不同类型的入侵威胁数据的溯源信息数据。

本实施例中，首先在没有外界入侵时，收集包括不同类型的入侵威胁数据的溯源信息数据，也即用于对溯源信息的威胁检测信息的收集。

步骤S12：按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库。

本实施例中，在收集到不同类型的入侵威胁数据的溯源信息数据，还需进一步按照预设分类规则对溯源信息数据进行分类处理，以得到分类后溯源信息。通过这种方式可以进一步增强不同种类的溯源信息的边界感，为实时入侵检测提供更为快速的溯源支持。然后将分类后溯源信息存储在预设数据库中，需要指出的是，本实施例提供了合理的数据存储模型来存储海量的数据并提供高效的查询分析接口。

步骤S13：获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配。

本实施例中，获取待检测溯源信息，并将待检测溯源信息与预设数据库中的所述分类后溯源信息进行匹配，以确定预设数据库中是否存在与待检测溯源信息匹配的分类后溯源信息，若存在，则表示匹配成功。

步骤S14：若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

在一种具体实施方式中，若匹配成功，则判定待检测溯源信息发生入侵攻击事件，也即该待检测溯源信息具有入侵攻击，则输出包括可疑溯源关系的警报内容。

在另一种具体实施方式中，上述将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配之后，还包括：若匹配不成功，则记录所述待检测溯源信息，并利用所述待检测溯源信息更新所述预设数据库。也即，若匹配不成功，则将待检测溯源信息录入并实时更新预设数据库。

可见，本申请收集包括不同类型的入侵威胁数据的溯源信息数据；按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。由此可见，本申请在获取到包括不同类型的入侵威胁数据的溯源信息数据后，还需要按照预设分类规则进一步对溯源信息数据进行分类处理，从而提前对不同类型的溯源信息数据进行划分，以增强不同类型的溯源信息数据的边界感，从而在获取到待检测溯源信息后，提升对待检测溯源信息进行入侵检测时的效率和精准度。

参见图2所示，本申请实施例公开了一种具体的入侵检测方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体包括：

步骤S21：收集包括不同类型的入侵威胁数据的溯源图、溯源路径、系统日志数据。

本实施例中，溯源信息可以包括但不限于溯源图、溯源路径、系统日志数据、数据节点等等。需要指出的是，其中的系统日志数据包括Windows系统日志数据和Linux系统日志数据，具体为Windows的内置日志系统Event Tracing for Windows(ETW，即windows事件跟踪)、Linux的日志系统Auditd等。

步骤S22：对所述溯源信息数据进行数据压缩处理和数据剪枝处理，以去除所述溯源信息数据中与入侵检测不相关的冗余数据。

本实施例中，在获取到溯源信息数据后，还可以先对溯源信息数据进行数据压缩处理和数据剪枝处理，以去除溯源信息数据中与入侵检测不相关的冗余数据，从而提高入侵检测效率。

步骤S23：按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库。

本实施例中，按照预设分类规则对去除冗余数据后的溯源信息数据进行分类处理。进一步的，上述按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，包括：利用子图模糊匹配方法对所述溯源信息数据进行分类处理得到第一分类后数据；利用节点标签缓存计算方法对所述第一分类后数据进行分类处理，以得到第二分类后数据；利用预设异常检测模型对所述第二分类后数据进行分类处理，以得到分类后溯源信息。可以理解的是，本实施例需要对溯源信息数据进行三次分类处理，首先对利用子图模糊匹配方法对溯源信息数据进行分类处理，具体为在溯源图中定位攻击行为抽象出的攻击图，基于威胁情报的图对齐、基于图嵌入的机器学习匹配，对溯源图和溯源信息做出分类，得到若干个第一分类后数据；然后对若干个第一分类后数据进行节点标签缓存计算，通过将流式图作为数据模型，可以避免大量的数据读写操作以对第一分类后数据进行再次分类，得到第二分类后数据；最后第二分类后数据中溯源图上的预设异常检测模型先寻找局部的异常点，并通过依赖分析关联异常点，从而作出全局的判断，得到分类后溯源信息。

需要指出的是，在利用节点标签缓存计算方法进行分类处理时，用到的算法流程如下：

while数据未发送完毕do{

取一个小数据块；

while还有未传送到的子节点do{

将数据块传送给子节点；

}

}

if接收到父节点传来的数据then

将接收到的数据块写入文件；

while还有未传送到的子节点，do{

将数据块传送给子节点；

}

}

if接收到父节点传来的数据then{

将接收到的数据块写入文件；

}

}

}

另外，上述将所述分类后溯源信息存储至预设数据库的过程中，还包括：将所述溯源图的所有边作为数据流，以对所述溯源图进行流式处理以得到流式图，并将所述流式图存储至预设数据库。可以理解的是，需要对溯源图进行流式处理以得到流式图，具体为将溯源图中所有边视为数据流，每个边只处理一次，并利用节点上标签记录计算。流式图方案存在优势的原因在于溯源图中边的数量远远大于节点数量，因此查询节点的属性效率比查询边的效率高得多。

步骤S24：获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配。

步骤S25：若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

其中，关于上述步骤S24和S25更加具体的处理过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

可见，本申请实施例中溯源信息可以包括但不限于溯源图、溯源路径、系统日志数据、数据节点等。并且，在对溯源信息数据进行分类处理前，需要去除溯源信息数据中与入侵检测不相关的冗余数据，以提高入侵检测效率。且需要对溯源信息数据进行三次分类处理，分别是依次利用子图模糊匹配方法、节点标签缓存计算方法、预设异常检测模型进行分类处理，实现对不同的语义信息进行重新划分，以增强不同类型的溯源信息数据的边界感，从而在获取到待检测溯源信息后，提升对待检测溯源信息进行入侵检测时的效率和精准度。

参见图3所示，本申请实施例公开了一种入侵检测装置，该装置包括：

数据收集模块11，用于收集包括不同类型的入侵威胁数据的溯源信息数据；

数据分类模块12，用于按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；

信息匹配模块13，用于获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；

警报模块14，用于若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

可见，本申请收集包括不同类型的入侵威胁数据的溯源信息数据；按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。由此可见，本申请在获取到包括不同类型的入侵威胁数据的溯源信息数据后，还需要按照预设分类规则进一步对溯源信息数据进行分类处理，从而提前对不同类型的溯源信息数据进行划分，以增强不同类型的溯源信息数据的边界感，从而在获取到待检测溯源信息后，提升对待检测溯源信息进行入侵检测时的效率和精准度。

图4为本申请实施例提供的一种电子设备的结构示意图。具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的由电子设备执行的入侵检测方法中的相关步骤。

本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。

其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing，数字信号处理)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)、PLA(Programmable Logic Array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU(Central ProcessingUnit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有GPU(Graphics Processing Unit，图像处理器)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括AI(Artificial Intelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统221、计算机程序222及数据223等，存储方式可以是短暂存储或者永久存储。

其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，以实现处理器21对存储器22中海量数据223的运算与处理，其可以是Windows、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的入侵检测方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括电子设备接收到的由外部设备传输进来的数据，也可以包括由自身输入输出接口25采集到的数据等。

进一步的，本申请实施例还公开了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行时，实现前述任一实施例公开的由入侵检测过程中执行的方法步骤。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种入侵检测方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种入侵检测方法，其特征在于，包括：

收集包括不同类型的入侵威胁数据的溯源信息数据；

按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；

获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；

若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

2.根据权利要求1所述的入侵检测方法，其特征在于，所述收集包括不同入侵威胁数据的溯源信息数据，包括：

收集包括不同类型的入侵威胁数据的溯源图、溯源路径、系统日志数据。

3.根据权利要求2所述的入侵检测方法，其特征在于，所述系统日志数据包括Windows系统日志数据和Linux系统日志数据。

4.根据权利要求2所述的入侵检测方法，其特征在于，所述将所述分类后溯源信息存储至预设数据库的过程中，还包括：

将所述溯源图的所有边作为数据流，以对所述溯源图进行流式处理以得到流式图，并将所述流式图存储至预设数据库。

5.根据权利要求1所述的入侵检测方法，其特征在于，所述按照预设分类规则对所述溯源信息数据进行分类处理之前，还包括：

对所述溯源信息数据进行数据压缩处理和数据剪枝处理，以去除所述溯源信息数据中与入侵检测不相关的冗余数据。

6.根据权利要求1所述的入侵检测方法，其特征在于，所述按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，包括：

利用子图模糊匹配方法对所述溯源信息数据进行分类处理得到第一分类后数据；

利用节点标签缓存计算方法对所述第一分类后数据进行分类处理，以得到第二分类后数据；

利用预设异常检测模型对所述第二分类后数据进行分类处理，以得到分类后溯源信息。

7.根据权利要求1至6任一项所述的入侵检测方法，其特征在于，所述将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配之后，还包括：

若匹配不成功，则记录所述待检测溯源信息，并利用所述待检测溯源信息更新所述预设数据库。

8.一种入侵检测装置，其特征在于，包括：

数据收集模块，用于收集包括不同类型的入侵威胁数据的溯源信息数据；

数据分类模块，用于按照预设分类规则对所述溯源信息数据进行分类处理，以得到分类后溯源信息，并将所述分类后溯源信息存储至预设数据库；

信息匹配模块，用于获取待检测溯源信息，并将所述待检测溯源信息与所述预设数据库中的所述分类后溯源信息进行匹配；

警报模块，用于若匹配成功，则判定所述待检测溯源信息发生入侵攻击事件，并输出包括可疑溯源关系的警报内容。

9.一种电子设备，其特征在于，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1至7任一项所述的入侵检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的入侵检测方法的步骤。

Images