可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:基于选择的检测模式来判断待检测数据对应的行为特征是否满足预设条件。该预设条件为根据入侵行为的行为特征预先设定的条件;如果判断出待检测数据对应的行为特征满足预设条件,则确定待检测数据对应的执行行为是入侵行为。
[0160]可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(R0M,Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0161]可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行本发明实施例I的方法步骤。
[0162]可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
[0163]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0164]上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
[0165]在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0166]在本申请所提供的几个实施例中,应该理解到,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
[0167]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0168]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0169]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种入侵检测方法,其特征在于,包括: 获取待检测数据,所述待检测数据为被检测的数据; 确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征; 根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及 基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。2.根据权利要求1所述的入侵检测方法,其特征在于,基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为包括: 基于选择的检测模式来判断所述待检测数据对应的行为特征是否满足预设条件,所述预设条件为根据入侵行为的行为特征预先设定的条件;以及 如果判断出所述待检测数据对应的行为特征满足所述预设条件,则确定所述待检测数据对应的执行行为是入侵行为。3.根据权利要求2所述的入侵检测方法,其特征在于,所述待检测数据对应的行为特征包括多个行为特征,其中, 根据所述行为特征从预设检测模式中选择检测模式包括:基于所述多个行为特征选择关联模式,所述关联模式用于对所述多个行为特征进行关联检测, 基于选择的检测模式判断所述待检测数据对应的行为特征是否满足预设条件包括:对所述多个行为特征对应的待检测数据进行关联分析计算,得到计算结果;通过判断所述计算结果是否满足关联条件来判断所述行为特征是否满足所述预设条件。4.根据权利要求3所述的入侵检测方法,其特征在于,对所述多个行为特征对应的待检测数据进行关联分析计算,得到计算结果包括: 确定所述多个行为特征对应的待检测数据的数据维度数量; 创建于所述数据维度数量相应的堆栈; 将所述多个行为特征对应的待检测数据缓存进创建的堆栈;以及 对所述堆栈中的数据进行关联分析计算,得到所述计算结果。5.根据权利要求2所述的入侵检测方法,其特征在于,所述行为特征包括所述待检测数据对应的执行行为状态,所述执行行为状态用于反映所述待检测数据对应的执行行为的执行步骤,其中, 根据所述行为特征从预设检测模式中选择检测模式包括:基于所述执行行为状态选择触发模式,所述触发模式用于对所述执行行为状态进行检测, 基于选择的检测模式判断所述待检测数据对应的行为特征是否满足预设条件包括:判断所述执行行为状态是否满足预设状态,其中,如果判断出所述执行行为状态满足所述预设状态,则确定所述执行行为状态满足所述预设条件。6.根据权利要求5所述的入侵检测方法,其特征在于,所述待检测数据对应的执行行为的执行步骤包括预设步骤,其中, 判断所述执行行为状态是否满足预设状态包括:判断所述执行步骤是否执行到所述预设步骤,其中,如果所述判断出所述待检测数据的执行行为执行到所述预设步骤,则判断所述预设步骤是否超时,如果所述预设步骤超时,则确定所述执行行为状态不满足所述预设状态。7.根据权利要求2所述的入侵检测方法,其特征在于, 确定所述待检测数据对应的行为特征包括:确定预设时间段内所述待检测数据对应的执行行为的执行次数, 根据所述行为特征从预设检测模式中选择检测模式包括:基于所述执行次数选择统计模式,所述统计模式用于对所述执行次数进行检测, 基于选择的检测模式判断所述行为特征是否满足预设条件包括:判断所述执行次数是否超过数量阈值,其中,如果判断出所述执行次数超过所述数量阈值,则确定所述行为特征满足所述预设条件。8.一种入侵检测装置,其特征在于,包括: 获取单元,用于获取待检测数据,所述待检测数据为被检测的数据; 确定单元,用于确定所述待检测数据对应的行为特征,所述行为特征为用于反映所述待检测数据对应的执行行为的特征; 选择单元,用于根据所述行为特征从预设检测模式中选择检测模式,所述预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及 检测单元,用于基于选择的检测模式来检测所述待检测数据对应的执行行为是否为入侵行为。9.根据权利要求8所述的入侵检测装置,其特征在于,所述检测单元包括: 判断子单元,用于基于选择的检测模式来判断所述待检测数据对应的行为特征是否满足预设条件,所述预设条件为根据入侵行为的行为特征预先设定的条件;以及 确定子单元,用于当判断出所述待检测数据对应的行为特征满足所述预设条件时,确定所述待检测数据对应的执行行为是入侵行为。10.根据权利要求9所述的入侵检测装置,其特征在于,所述待检测数据对应的行为特征包括多个行为特征,其中, 所述选择单元包括:第一选择模块,用于基于所述多个行为特征选择关联模式,所述关联模式用于对所述多个行为特征进行关联检测, 所述判断子单元包括:计算模块,用于对所述多个行为特征对应的待检测数据进行关联分析计算,得到计算结果;第一判断模块,用于通过判断所述计算结果是否满足关联条件来判断所述行为特征是否满足所述预设条件。11.根据权利要求10所述的入侵检测装置,其特征在于,所述计算模块包括: 确定子模块,用于确定所述多个行为特征对应的待检测数据的数据维度数量; 创建子模块,用于创建于所述数据维度数量相应的堆栈; 缓存子模块,用于将所述多个行为特征对应的待检测数据缓存进创建的堆栈;以及 计算子模块,用于对所述堆栈中的数据进行关联分析计算,得到所述计算结果。12.根据权利要求9所述的入侵检测装置,其特征在于,所述行为特征包括所述待检测数据对应的执行行为状态,所述执行行为状态用于反映所述待检测数据对应的执行行为的执行步骤,其中, 所述选择单元包括:第二选择模块,用于基于所述执行行为状态选择触发模式,所述触发模式用于对所述执行行为状态进行检测, 所述判断子单元包括:第二判断模块,用于判断所述执行行为状态是否满足预设状态,其中,如果判断出所述执行行为状态满足所述预设状态,则确定所述执行行为状态满足所述预设条件。13.根据权利要求12所述的入侵检测装置,其特征在于,所述待检测数据对应的执行行为的执行步骤包括预设步骤,其中, 所述第二判断模块包括:判断子模块,用于判断所述执行步骤是否执行到所述预设步骤,其中,如果所述判断出所述待检测数据的执行行为执行到所述预设步骤,则判断所述预设步骤是否超时,如果所述预设步骤超时,则确定所述执行行为状态不满足所述预设状态。14.根据权利要求9所述的入侵检测装置,其特征在于, 所述确定单元包括:确定模块,用于确定预设时间段内所述待检测数据对应的执行行为的执行次数, 所述选择单元包括:第三选择模块,用于基于所述执行次数选择统计模式,所述统计模式用于对所述执行次数进行检测, 所述判断子单元包括:第三判断模块,用于判断所述执行次数是否超过数量阈值,其中,如果判断出所述执行次数超过所述数量阈值,则确定所述行为特征满足所述预设条件。
【专利摘要】本发明公开了一种入侵检测方法和装置,其中,入侵检测方法包括:获取待检测数据,待检测数据为被检测的数据;确定待检测数据对应的行为特征,行为特征为用于反映待检测数据对应的执行行为的特征;根据行为特征从预设检测模式中选择检测模式,预设检测模式为根据入侵行为的行为特征预先设定的检测模式;以及基于选择的检测模式来检测待检测数据对应的执行行为是否为入侵行为。通过本发明,解决了难以准确地检测变形的入侵行为的问题,达到了准确检测变形的入侵行为的效果。
【IPC分类】H04L12/24, H04L29/06
【公开号】CN105187224
【申请号】CN201410270632
【发明人】孙亚东, 刘宁, 宗泽, 胡珀, 江虎, 张博, 朱海星
【申请人】腾讯科技(深圳)有限公司
【公开日】2015年12月23日
【申请日】2014年6月17日