置文件中存有入侵行为步骤序列,根据该入侵行为步骤序列需要缓存入入侵行为状态。
[0078]步骤S504,初始化相互关联计算方法。
[0079]步骤S506,判断是否有新的待检测数据。如果有,则执行步骤S508,反之,则进入休眠。
[0080]步骤S508,分析判断当前入侵步骤。
[0081]步骤S510,查找预先缓存的入侵步骤,判断该缓存的入侵步骤是否超时,如果超时,则执行步骤S512,反之,则执行步骤S514。
[0082]步骤S512,清除超时时序。返回步骤S506。
[0083]步骤S514,判断入侵步骤是否达到告警条件。如果是,则执行步骤S516,反之,则执行步骤S518。
[0084]步骤S516,输出结果告警。该结果告警用于表示待检测数据对应的执行行为是入侵行为。返回步骤S506。
[0085]步骤S518,缓存入侵步骤。即缓存入侵行为状态。返回步骤S506。
[0086]优选地,确定待检测数据对应的行为特征包括:确定预设时间段内待检测数据对应的执行行为的执行次数;根据行为特征从预设检测模式中选择检测模式包括:基于执行次数选择统计模式,统计模式用于对执行次数进行检测;基于选择的检测模式判断行为特征是否满足预设条件包括:判断执行次数是否超过数量阈值,其中,如果判断出执行次数超过数量阈值,则确定行为特征满足预设条件。
[0087]当待检测数据对应的行为特征满足用于进行统计模式检测的条件时,可以选择统计模式来对该行为特征进行检测。具体地,根据入侵行为频繁的动作特征,以一个或几个特征为基准,聚合统计其动作,从而确定行为是否为入侵行为。例如端口扫描数据,扫描端口数和扫描次数等,如果扫描次数的数量超过一定限度,则确定其行为为入侵行为,输出结果报警。
[0088]应用场景3,端口扫描行为:机器A对某一网段的开放端口进行批量扫描。判断方法:以来源ip (机器A的ip)统计某一时间段内扫描数据的数量;超出数量阈值即确定为端口扫描行为,即认定为入侵行为。
[0089]应用场景4,暴力破解行为:机器B收到大量的某一用户的登录请求,并且登录失败。判断方法:以受害ip (机器B的ip)统计某一时间段内登录失败的数量;超出数量阈值即确定为暴力破解行为,即认定为入侵行为。
[0090]具体地,如图6所示,该方法包括:
[0091]步骤S602,加载配置文件。该配置文件中,配置有需要进行聚合的聚合特征,例如,端口扫描和用户登录等。
[0092]步骤S604,初始化聚合特征。
[0093]步骤S606,判断是否有新的待检测数据。如果有,则执行步骤S608,反之,进入休眠。
[0094]步骤S608,根据数据的特征进行聚合。
[0095]步骤S610,判断聚合后的聚合特征是否达到数量阈值。如果达到数量阈值,则执行步骤S612,反之,则返回步骤S606。
[0096]步骤S612,输出结果告警。该结果告警用于表示待检测数据对应的行为为入侵行为。然后继续执行步骤S606。
[0097]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0098]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如R0M/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0099]实施例2
[0100]根据本发明实施例,还提供了一种用于实施上述入侵检测方法的入侵检测装置,如图7所示,该装置包括:获取单元10、确定单元30、选择单元50和检测单元70。
[0101]获取单元10用于获取待检测数据,待检测数据为被检测的数据。
[0102]该待检测数据为被检测的数据。待检测数据可以是通过传输模块106传输的网络数据,即来自网络的信息流。具体地,传输模块106连接至网络,接收来自网络的各种各样的数据,入侵检测系统在对网络传输进行及时监控的过程中,需要实时收集网络传输的数据。另外,待检测数据还可以是主机数据,例如主机的审计日志等数据。获取待检测数据,以便于对待检测数据进行收集。可以是实时获取待检测数据,以便对网络传输的数据进行实时检测。
[0103]确定单元30用于确定待检测数据对应的行为特征,行为特征为用于反映待检测数据对应的执行行为的特征。
[0104]待检测数据可以是执行行为产生的数据,或者执行行为所用到的数据。计算机、月艮务器等设备在执行操作或者命令的过程中,存在相应的执行行为,例如文件上传、提权等,这些执行行为对应的数据如命令、请求等可以作为待检测数据。不同的执行行为对应有不同的行为特征,例如,文件上传行为可以有请求上传文件、新增cgi文件等行为特征。行为特征也可以是用于反映执行行为的执行步骤所处的状态,例如,执行行为的执行步骤包括:下载代码、编译、执行,如果执行行为处于编译步骤,则该状态即为其行为特征。行为特征也可以是反映一段时间内执行行为的操作次数,例如,在一段时间内用户登录请求的次数等。
[0105]选择单元50用于根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式。
[0106]一个系统的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破坏系统的安全性,其入侵的目的包括:盗取数据,破坏保密性;更改数据,破坏完整性;更改服务,破坏可用性。综上,无论入侵怎样变形,其目的是不变的。要达到入侵目的,其入侵行为也是相对稳定的。
[0107]不同的行为特征可以从预设检测模式中选择不同的检测模式进行检测,例如,对于“登录请求且登录失败”的行为特征,可以选择用于对执行次数进行检测的统计模式,以检测该行为特征的执行次数是否超过一定阈值,如果超过,则认定为入侵行为。预设检测模式可以包括多种模式,例如,关联模式、触发模式、统计模式等等,在确定待检测数据对应的行为特征之后,可以根据行为特征选择相应的检测模式,用以进行入侵检测。当然,对于相同的行为特征,可以选择一种检测模式,也可以选择多种检测模式并行检测,例如,选择关联模式和触发模式同时对行为特征A进行检测,这样可以提高检测精度。当然,选择检测模式也可以确定对应的检测模式,例如,当入侵检测系统中配置有3种检测模式,在确定待检测数据对应的行为特征之后,直接确定采用3种检测模式并行检测,达到提高检测精度的效果。
[0108]检测单元70用于基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。
[0109]在选择到检测模式之后,基于选择的检测模式来检测检测数据对应的执行行为是否为入侵行为。例如,选择关联模式进行检测:可以通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。选择触发模式进行检测:由于入侵行为包括一系列的步骤序列,每多执行一步,其入侵行为的特征越明显,因此,可以根据执行行为执行到步骤状态判断该执行行为是否达到告警条件,如果达到告警条件则确定其为入侵行为。选择统计模式进行检测:统计一段时间内重复执行的动作的次数,通过判断其是否超过一定阈值来确定执行的动作行为是否为入侵行为。
[0110]根据本发明实施例,通过获取待检测数据,确定待检测数据对应的行为特征,根据行为特征从预设检测模式中选择检测模式,该预设检测模式为根据入侵行为的行为特征预先设定的检测模式,基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为,根据预先对入侵行为的行为特征设置相应的检测模式,以入侵行为的目的来检测入侵行为,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
[0111]优选地,所述检测单元70包括:判断子单元,用于基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件,预设条件为根据入侵行为的行为特征预先设定的条件;确定子单元用于当判断出待检测数据对应的行为特征满足预设条件时,确定待检测数据对应的执行行为是入侵行为。
[0112]—个系统的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破坏系统的安全性,其入侵的目的包括:盗取数据,破坏保密性;更改数据,破坏完整性;更改服务,破坏可用性。综上,无论入侵怎样变形,其目的是不变的。要达到入侵目的,其入侵行为也是相对稳定的。
[0113]通过分析入侵行为特征,根据各个维度数据交互印证,从而定性为入侵行为。经过对入侵行为的分析总结,只有满足预设条件的执行行为才能认定为入侵行为。例如,通过多个数据维度或者多个行为特征关联分析,其中,每个数据维度的数据对应一个行为特征,多个数据维度可以是任意的数据维度。通过任意维度数据关联(包括上下文关联)判断执行行为是否满足入侵行为的行为特征。还可以采用触发式来检测,由于入侵行为包括一系列的步骤序列,每多执行一步,其入侵行为的特征越明显,因此,可以根据执行行为执行到步骤状态判断该执行行为是否达到告警条件,如果达到告警条件则确定其为入侵行为。当然也可以采用统计式的方式,统计一段时间内重复执行的动作的次数,通过判断其是否超过一定阈值来确定执行的动作行为是否为入侵行为。
[0114]根据本发明实施例,通过基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件,预设条件为根据入侵行为的行为特征预先设定的条件,如果判断出待检测数据对应的行为特征满足预设条件,则确定待检测数据对应的执行行为是入侵行为。根据预先对入侵行为的行为特征设置相应的条件,以入侵行为的目的来检测入侵行为,达到了进一步提高对变形的入侵行为检测的准确性的效果。
[0115]本发明实施例中,可以通过图1所示的计算机100来实现上述入