本申請涉及網(wǎng)絡技術領域，尤其涉及一種入侵檢測方法、裝置及服務器。

背景技術：

入侵檢測一直是業(yè)界長期研究的問題，攻擊者入侵會導致數(shù)據(jù)泄露，由于數(shù)據(jù)泄露很難分析出攻擊原因和攻擊路徑，因此攻擊路徑的發(fā)現(xiàn)是較難解決的問題，現(xiàn)有技術中，通過人工或日志讀取工具，讀取一條條的服務器日志并進行分析，從中找到可疑日志之后，分析可疑日志產(chǎn)生的原因，由于日志分析的方法只能做到事后排查，因此不能夠及時發(fā)現(xiàn)入侵操作以及入侵者的攻擊路徑。

技術實現(xiàn)要素：

有鑒于此，本申請?zhí)峁┮环N新的技術方案，可以及時發(fā)現(xiàn)入侵操作和入侵者的攻擊路徑。

為實現(xiàn)上述目的，本申請?zhí)峁┘夹g方案如下：

根據(jù)本申請的第一方面，提出了一種入侵檢測方法，包括：

確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同；

當所述被監(jiān)控計算設備執(zhí)行的操作與所述預設操作相同時，確定所述被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，其中，所述攻擊者為發(fā)起入侵攻擊的計算設備；

基于所述攻擊者的第一ip地址，確定所述入侵操作的攻擊路徑。

根據(jù)本申請的第二方面，提出了一種入侵檢測裝置，包括：

第一確定模塊，用于確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同；

第二確定模塊，用于當所述第一確定模塊確定所述被監(jiān)控計算設備執(zhí)行的操作與所述預設操作相同時，確定所述被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，其中，所述攻擊者為發(fā)起入侵攻擊的計算設備；

第三確定模塊，用于基于所述攻擊者的第一ip地址，確定所述第二確定模塊確定的所述入侵操作的攻擊路徑。

根據(jù)本申請的第三方面，提出了一種服務器，所述服務器包括：

處理器；用于存儲所述處理器可執(zhí)行指令的存儲器；

其中，所述處理器，用于確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同；

當所述被監(jiān)控計算設備執(zhí)行的操作與所述預設操作相同時，確定所述被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，其中，所述攻擊者為發(fā)起入侵攻擊的計算設備；

基于所述攻擊者的第一ip地址，確定所述入侵操作的攻擊路徑。

由以上技術方案可見，本申請當被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，基于攻擊者的第一ip地址，確定入侵操作的攻擊路徑，由此可以對被監(jiān)控計算設備進行實時監(jiān)控，因此避免了現(xiàn)有技術中的通過日志分析的方法進行事后排查，確保及時發(fā)現(xiàn)入侵操作的攻擊路徑，快速找到被入侵者攻擊的系統(tǒng)薄弱點。

附圖說明

圖1示出了根據(jù)本發(fā)明實施例所適用的系統(tǒng)架構(gòu)圖；

圖2示出了本發(fā)明的示例性實施例一的入侵檢測方法的流程示意圖；

圖3示出了本發(fā)明的示例性實施例二的入侵檢測方法的流程示意圖；

圖4示出了本發(fā)明的示例性實施例三的入侵檢測方法的流程示意圖；

圖5示出了本發(fā)明的示例性實施例四的入侵檢測方法的流程示意圖；

圖6a示出了本發(fā)明的示例性實施例五的入侵檢測方法的流程示意圖；

圖6b示出了本發(fā)明的示例性實施例五的入侵檢測方法的場景圖；

圖7a示出了本發(fā)明的示例性實施例六的入侵檢測方法的流程示意圖；

圖7b示出了本發(fā)明的示例性實施例六的入侵檢測方法的場景圖；

圖8示出了本發(fā)明的一示例性實施例的服務器的結(jié)構(gòu)示意圖；

圖9示出了本發(fā)明的示例性實施例一的入侵檢測裝置的結(jié)構(gòu)示意圖；

圖10示出了本發(fā)明的示例性實施例二的入侵檢測裝置的結(jié)構(gòu)示意圖；

圖11示出了本發(fā)明的示例性實施例三的入侵檢測裝置的結(jié)構(gòu)示意圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語“和/或”是指并包含一個或多個相關聯(lián)的列出項目的任何或所有可能組合。

應當理解，盡管在本申請可能采用術語第一、第二、第三等來描述各種信息，但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。

圖1示出了根據(jù)本發(fā)明實施例所適用的系統(tǒng)架構(gòu)圖；如圖1所示，系統(tǒng) 架構(gòu)圖包括：數(shù)據(jù)庫監(jiān)控系統(tǒng)110、文件監(jiān)控系統(tǒng)120、黑名單數(shù)據(jù)庫130、分析引擎140、流量數(shù)據(jù)庫150、漏洞數(shù)據(jù)庫160、攻擊路徑還原系統(tǒng)170、輸出系統(tǒng)180。

其中，數(shù)據(jù)庫監(jiān)控系統(tǒng)110可以實時監(jiān)控數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)庫服務器上執(zhí)行的操作；文件監(jiān)控系統(tǒng)120可以實時監(jiān)控文件系統(tǒng)中的文件服務器上是否有新創(chuàng)建的可執(zhí)行文件或者對文件是否進行了刪除、修改等操作；黑名單數(shù)據(jù)庫130用于記錄通過數(shù)據(jù)庫監(jiān)控系統(tǒng)110和文件監(jiān)控系統(tǒng)120得到的攻擊者的ip地址，供分析引擎140分析ip地址；攻擊路徑還原系統(tǒng)170從流量數(shù)據(jù)庫150提取出黑名單數(shù)據(jù)庫130記錄的攻擊者的ip地址的全部訪問路徑，從全部訪問路徑中提取出有效的攻擊路徑，從而快速還原出攻擊者的攻擊路徑，進而確定整個計算機系統(tǒng)(本實施例中以數(shù)據(jù)庫系統(tǒng)和文件系統(tǒng)為例進行示例性說明)的薄弱點；漏洞數(shù)據(jù)庫160用于記錄已知的可對系統(tǒng)造成一定破壞的漏洞攻擊載荷，并可實時更新，漏洞攻擊載荷的更新源為已有的漏洞公布平臺；輸出系統(tǒng)180用于將攻擊路徑還原系統(tǒng)150分析出的攻擊者的ip地址以瀏覽器/服務器(browser/server，簡稱為b/s)平臺的方式展示相關數(shù)據(jù)信息，從而讓監(jiān)控者直觀地看到整個計算機系統(tǒng)的運行效率和運行結(jié)果，并根據(jù)入侵及時做出防御。

本申請中涉及的基礎概念包括：

入侵檢測：通過對計算機網(wǎng)絡或計算機系統(tǒng)中多個關鍵點收集信息并對搜集到的信息進行分析，從搜集到的信息中發(fā)現(xiàn)計算機網(wǎng)絡或計算機系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

攻擊者：指通過利用計算機系統(tǒng)中的漏洞發(fā)起入侵攻擊的計算設備。

攻擊路徑：攻擊者為達到攻擊目的而必須進行的一系列連續(xù)操作，例如，訪問特定url、端口等。

為對本申請進行進一步說明，提供下列實施例：

圖2示出了本發(fā)明的示例性實施例一的入侵檢測方法的流程示意圖；本實施例結(jié)合圖1進行示例性說明，如圖2所示，包括如下步驟：

步驟201，確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同，當被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，執(zhí)行步驟202，當被監(jiān)控計算設備執(zhí)行的操作與預設操作不同時，繼續(xù)檢測被監(jiān)控計算設備上執(zhí)行的操作。

步驟202，當被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，其中，攻擊者為發(fā)起入侵攻擊的計算設備。

步驟203，基于攻擊者的第一ip地址，確定入侵操作的攻擊路徑。

在上述步驟201中，在一實施例中，被監(jiān)控計算設備可以為數(shù)據(jù)庫服務器，也可以為文件服務器，相應地，預設操作與被監(jiān)控計算設備的類型相對應，當被監(jiān)控計算設備為數(shù)據(jù)庫服務器時，預設操作可以為數(shù)據(jù)庫服務器存在的讀寫文件操作或者延時查詢操作等，當被監(jiān)控計算設備為文件服務器時，預設操作可以為文件服務器上文件的創(chuàng)建、修改、刪除等操作。

在上述步驟202中，在一個示例性場景中，數(shù)據(jù)庫監(jiān)控系統(tǒng)110可以實時監(jiān)控數(shù)據(jù)庫服務器執(zhí)行的每一條sql語句，如果執(zhí)行的每一條sql語句中出現(xiàn)與預設操作相同的操作時，例如，執(zhí)行的sql語句為讀寫文件操作或者延時查詢操作，則可以確定數(shù)據(jù)庫服務器執(zhí)行的操作為攻擊者的入侵操作；在另一個示例性場景中，文件監(jiān)控系統(tǒng)120實時監(jiān)控文件服務器上的文件系統(tǒng)，當文件服務器上執(zhí)行的操作與創(chuàng)建可執(zhí)行文件的操作相同時，可以確定文件服務器執(zhí)行的操作為攻擊者的入侵操作。

在上述步驟203中，在一實施例中，可以通過分析引擎140對流量數(shù)據(jù)庫150中記錄的全部網(wǎng)絡流量進行分析，從全部網(wǎng)絡流量中找到被監(jiān)控計算設備執(zhí)行上述步驟201檢測到的操作的時間點應的數(shù)據(jù)包；在流量數(shù)據(jù)庫150中查詢與上述時間點和數(shù)據(jù)包相匹配的ip地址后，將該ip地址確定為第一ip地址。在一實施例中，可以通過第一ip地址在設定時間段內(nèi)訪問的url來確定入侵操作的攻擊路徑。

由上述描述可知，本發(fā)明實施例當被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，基于攻擊 者的第一ip地址，確定入侵操作的攻擊路徑，可以對被監(jiān)控計算設備進行實時監(jiān)控，避免了現(xiàn)有技術中的通過日志分析的方法進行事后排查，確保及時發(fā)現(xiàn)入侵操作的攻擊路徑，快速找到被入侵者攻擊的系統(tǒng)薄弱點。

圖3示出了本發(fā)明的示例性實施例二的入侵檢測方法的流程示意圖；本實施例以如何基于攻擊者的第一ip地址確定入侵操作的攻擊路徑為例進行示例性說明，如圖3所示，包括如下步驟：

步驟301，確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同。

步驟302，當被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作。

步驟303，從第一數(shù)據(jù)庫中提取攻擊者的第一ip地址已訪問的多個url。

步驟304，將多個url與第二數(shù)據(jù)庫中記錄的攻擊載荷進行比對。

步驟305，根據(jù)比對結(jié)果判斷確定入侵操作的攻擊路徑。

上述步驟301和步驟302的描述可以參見上述圖2所示實施例的相關描述，在此不再詳述。

上述步驟303中，在一實施例中，第一數(shù)據(jù)庫可以為上述圖1中的流量數(shù)據(jù)庫150。在一實施例中，可以從流量數(shù)據(jù)庫150中提取出設定時間段內(nèi)第一ip地址已訪問的多個url。

上述步驟304和步驟305中，在一實施例中，第二數(shù)據(jù)庫可以為上述圖1中的漏洞數(shù)據(jù)庫160。在一實施例中，攻擊載荷為原始的攻擊url，每一個攻擊載荷可以對應一個提取規(guī)則，以漏洞數(shù)據(jù)庫160記錄的攻擊載荷為“/aaa.php？id＝123'unionselect”進行示例性說明，則對應的提取規(guī)則為：/\w{1,}\？id＝\d{1,3}\'\sunion\sselect，按照上述提取規(guī)則對第一ip地址已訪問的多個url進行提取，對提取后的特征進行比對，從而根據(jù)比對結(jié)果判斷確定入侵操作的攻擊路徑，攻擊路徑例如為：

訪問網(wǎng)站首頁→訪問網(wǎng)站后臺→進行弱口令猜解攻擊→進入后臺系統(tǒng)→上傳可執(zhí)行文件。

本實施例中，通過對被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作進 行監(jiān)控，從而可以快速而有效地發(fā)現(xiàn)攻擊者的第一ip地址的攻擊路徑，從而找到整個服務器系統(tǒng)的薄弱點，以便及時堵住由第一ip地址對應的計算設備導致的漏洞。

圖4示出了本發(fā)明的示例性實施例三的入侵檢測方法的流程示意圖；本實施例結(jié)合圖1進行示例性說明，如圖4所示，包括如下步驟：

步驟401，確定預設列表中是否存在與第一ip地址相同的ip地址，當預設列表中不存在與第一ip地址相同的ip地址時，執(zhí)行步驟402，當預設列表中存在與第一ip地址相同的ip地址時，執(zhí)行步驟403。

步驟402，當預設列表中不存在與第一ip地址相同的ip地址時，將第一ip地址存儲在預設列表中，執(zhí)行步驟403。

在步驟403中，控制與被監(jiān)控計算設備與第一ip地址對應的計算設備斷開連接。

在上述步驟401中，在一實施例中，第一ip地址可以記錄在預設列表中，該預設列表中可以記錄被監(jiān)控計算設備上執(zhí)行的操作、執(zhí)行的操作的時間點與ip地址。在一實施例中，預設操作可以存儲在黑名單數(shù)據(jù)庫130中。

在上述步驟402中，當預設列表中不存在與第一ip地址相同的ip地址時，可以通過分析引擎140對流量數(shù)據(jù)庫150中記錄的全部網(wǎng)絡流量進行分析，從全部網(wǎng)絡流量中找到被監(jiān)控服務器執(zhí)行的操作的時間點應的數(shù)據(jù)包內(nèi)容。在流量數(shù)據(jù)庫150中查詢與時間點和數(shù)據(jù)包內(nèi)容相匹配的ip地址后，將該查詢到的ip地址確定為第一ip地址，可以將該第一ip地址存儲在黑名單中，并禁止該第一ip地址對應的設備訪問被監(jiān)控服務器。

本實施例在具有上述實施例的有益技術效果的基礎上，當不存在與被監(jiān)控計算設備執(zhí)行的操作相匹配的第一ip地址時，可以通過流量數(shù)據(jù)庫對被監(jiān)控計算設備執(zhí)行的操作的第一ip地址進行快速定位，進而將對預設列表進行更新，確保預設列表得到不斷的完善，以便及時發(fā)現(xiàn)黑客入侵；通過斷開被監(jiān)控計算設備與第一ip地址對應的計算設備之間的通信連接，可以及時禁止第一ip地址的計算設備訪問被監(jiān)控計算設備，避免被監(jiān)控計算設備被黑客攻 擊。

圖5示出了本發(fā)明的示例性實施例四的入侵檢測方法的流程示意圖；本實施例以如何根據(jù)屬于攻擊者的多個ip地址確定有效攻擊的ip地址對應的攻擊路徑為例并結(jié)合圖1進行示例性說明，如圖5所示，包括如下步驟：

步驟501，確定預設列表中記錄的多個ip地址已訪問的多個url。

步驟502，基于第二數(shù)據(jù)庫記錄的攻擊載荷，從多個url中確定出有效攻擊的ip地址。

步驟503，確定有效攻擊的ip地址在設定時間段內(nèi)的網(wǎng)絡流量。

步驟504，基于確定出的網(wǎng)絡流量，確定有效攻擊的ip地址對應的攻擊路徑。

在上述步驟501中，在一實施例中，分析引擎140可以從黑名單數(shù)據(jù)庫130存儲的預設列表中獲取到當前存儲的屬于攻擊者的多個ip地址(該多個ip既可以為預設列表中的全部ip地址，也可以為預設列表中的部分ip地址)。在一實施例中，分析引擎140可以從流量數(shù)據(jù)庫150獲取到被監(jiān)控計算設備所在的區(qū)域網(wǎng)絡的網(wǎng)絡流量，根據(jù)預設列表中記錄的ip地址對應的時間點確定ip地址已訪問的多個url。在一實施例中，流量數(shù)據(jù)庫150可以利用流量旁路復制技術記錄該區(qū)域網(wǎng)絡的全部網(wǎng)絡流量。

在上述步驟502中，在一實施例中，可以通過漏洞數(shù)據(jù)庫160存儲的攻擊載荷，該攻擊載荷可以為現(xiàn)有已知的可對系統(tǒng)造成一定破壞的漏洞攻擊載荷，也可以稱為原始的攻擊url，通過從攻擊url中提取出漏洞攻擊載荷，此外，還可以從參數(shù)(param)以及返回的響應(response)數(shù)據(jù)包提取出漏洞攻擊載荷。漏洞數(shù)據(jù)庫160可根據(jù)現(xiàn)有的漏洞進行實時更新，更新源可以為現(xiàn)有技術中的漏洞公布平臺。

在上述步驟503和步驟504中，例如，當前時間點為2016.03.29下午15：00，需要提取當前時間點之前的24個小時之內(nèi)的有效攻擊ip地址的網(wǎng)絡流量，例如，提取出100m的有效攻擊的ip地址的網(wǎng)絡流量，從該100m的網(wǎng)絡流量中確定出有效攻擊的ip地址對應的攻擊路徑。

在一個示例性場景中，預設列表中記錄的其中一個ip地址訪問了上千個url并上向文件服務器傳了可執(zhí)行文件，攻擊路徑還原系統(tǒng)170將提取出此ip地址的攻擊路徑可能為：訪問網(wǎng)站首頁→訪問網(wǎng)站后臺→進行弱口令猜解攻擊→進入后臺系統(tǒng)→上傳可執(zhí)行文件。

本實施例中，通過對屬于攻擊者的多個ip地址進行監(jiān)控，從而可以快速定位有效攻擊的ip地址，進而快速而有效地發(fā)現(xiàn)并還原出攻擊路徑，從而找到整個服務器系統(tǒng)的薄弱點，以便及時堵住漏洞。

圖6a示出了本發(fā)明的示例性實施例四的入侵檢測方法的流程示意圖，圖6b示出了本發(fā)明的示例性實施例四的入侵檢測方法的場景圖；本實施例以如何監(jiān)控數(shù)據(jù)庫服務器為例進行示例性說明，如圖6a所示，包括如下步驟：

步驟601，實時監(jiān)控數(shù)據(jù)庫服務器執(zhí)行的sql語句。

步驟602，確定數(shù)據(jù)庫服務器執(zhí)行的sql語句是否與預設的讀寫文件操作或者延時查詢操作相同，當數(shù)據(jù)庫服務器執(zhí)行的操作與預設操作相同時，執(zhí)行步驟603。

步驟603，當數(shù)據(jù)庫服務器執(zhí)行的操作與預設操作相同時，確定數(shù)據(jù)庫服務器執(zhí)行的操作為攻擊者的入侵操作。

步驟604中，控制數(shù)據(jù)庫服務器與攻擊者的第一ip地址對應的設備斷開連接。

上述步驟601-步驟603中，在一個示例性場景中，如圖6b所示，被監(jiān)控計算設備包括數(shù)據(jù)庫服務器111、數(shù)據(jù)庫服務器112、…、數(shù)據(jù)庫服務器11n，n表示數(shù)據(jù)庫系統(tǒng)中所包含的數(shù)據(jù)庫服務器的數(shù)量。可以通過在數(shù)據(jù)庫服務器111、數(shù)據(jù)庫服務器112、…、數(shù)據(jù)庫服務器11n上設置代理(agent)，通過代理的方式實時監(jiān)控各自對應的數(shù)據(jù)庫服務器執(zhí)行的每一條sql語句，數(shù)據(jù)庫服務器111、數(shù)據(jù)庫服務器112、…、數(shù)據(jù)庫服務器11n各自的代理將執(zhí)行的sql語句的操作上報給數(shù)據(jù)庫監(jiān)控系統(tǒng)110，數(shù)據(jù)庫監(jiān)控系統(tǒng)110通過上述圖2所示實施例的相關描述來識別是否與預設操作相同，當與預設 操作相同時，則認為存在黑客攻擊。

上述步驟604中第一ip地址的確定方式可以參見上述圖4實施例的描述，在此不再詳述。

在一個示例性場景中，數(shù)據(jù)庫監(jiān)控系統(tǒng)110實時監(jiān)控數(shù)據(jù)庫服務器上執(zhí)行的每一條sql語句，如果出現(xiàn)讀寫文件操作或者延時查詢操作，則認為存在黑客攻擊，可以切斷數(shù)據(jù)庫服務器與發(fā)送惡意sql語句的第一ip地址的設備的通信連接，從而禁止第一ip地址的設備訪問數(shù)據(jù)庫服務器。例如，sql語句：

selectcontent,time,authorfromnewswherenews_id＝123unionselect‘<？eval($_get[1])>’intooutfile‘/home/www/web/1.php’中，下劃線部分的sql語句在正常系統(tǒng)使用中是不會出現(xiàn)的，因此可以被用于確定惡意攻擊的依據(jù)。

本實施例中，通過斷開數(shù)據(jù)庫服務器與第一ip地址對應的設備之間的通信連接，可以及時禁止第一ip地址的設備訪問數(shù)據(jù)庫服務器，避免數(shù)據(jù)庫服務器被黑客攻擊。

圖7a示出了本發(fā)明的示例性實施例五的入侵檢測方法的流程示意圖，圖7b示出了本發(fā)明的示例性實施例五的入侵檢測方法的場景圖；本實施例以如何監(jiān)控文件服務器為例進行示例性說明，如圖7a所示，包括如下步驟：

步驟701，實時監(jiān)控被監(jiān)控計算設備上創(chuàng)建可執(zhí)行文件的操作。

步驟702，比較被監(jiān)控計算設備上創(chuàng)建可執(zhí)行文件的操作是否與預設的創(chuàng)建可執(zhí)行文件的操作相同，當文件服務器執(zhí)行的操作為預設操作時，執(zhí)行步驟703。

步驟703，當文件服務器執(zhí)行的操作為預設操作時，確定文件服務器執(zhí)行的操作為攻擊者的入侵操作。

步驟704，控制文件服務器與攻擊者的第一ip地址對應的計算設備斷開連接。

上述步驟701-步驟703中，在一個示例性場景中，如圖7b所示，被監(jiān) 控計算設備包括文件服務器121、文件服務器122、…、文件服務器12m，m表示文件系統(tǒng)中所包含的文件服務器的數(shù)量?？梢酝ㄟ^在文件服務器121、文件服務器122、…、文件服務器12m上設置代理(agent)，通過代理的方式實時監(jiān)控各自對應的文件服務器上是有存在對文件的增刪改以及可執(zhí)行文件的創(chuàng)建等操作，文件服務器121、文件服務器122、…、文件服務器12m各自的代理將監(jiān)測結(jié)果上報給文件監(jiān)控系統(tǒng)120，文件監(jiān)控系統(tǒng)120通過上述圖2所示實施例的相關描述來識別是否存在預設操作，當存在預設操作時，則認為存在黑客攻擊。

上述步驟704中第一ip地址的確定方式可以參見上述圖4實施例的描述，在此不再詳述。。

在一個示例性場景中，文件監(jiān)控系統(tǒng)120實時監(jiān)控文件服務器的文件系統(tǒng)，以確保文件服務器上沒有可執(zhí)行文件被創(chuàng)建。由于正常用戶只會上傳圖片、文檔之類的可閱讀信息類文件，不會去創(chuàng)建可執(zhí)行文件，因此本申請可以針對可執(zhí)行的php、aspx、asp、jsp、exe等類型的可執(zhí)行文件進行監(jiān)控，從而可以有效地發(fā)現(xiàn)攻擊者入侵的痕跡。例如，下述文件后綴名在正常使用時均不會出現(xiàn)，因此可以被文件監(jiān)控系統(tǒng)120于判定惡意攻擊的依據(jù)，其中，“***”表示任意文件名。

***.asp；.jpg//iis6解析漏洞，作為asp可執(zhí)行文件解析；

***.php.jpg//apache解析漏洞，作為php可執(zhí)行文件解析；

***.jsp//tomcat上傳漏洞，作為jsp可執(zhí)行文件解析；

***.php::$data//windowsntfs文件系統(tǒng)漏洞，作為php可執(zhí)行文件解析。

本實施例中，通過斷開文件服務器與第一ip地址對應的設備之間的通信連接，可以及時禁止第一ip地址的設備訪問文件服務器，避免文件服務器被黑客攻擊。

通過上述實施例可知，本申請既可以及時發(fā)現(xiàn)入侵并及時制止黑客入侵，還可以快速而有效地發(fā)現(xiàn)攻擊路徑，從而可以及時堵住漏洞。

對應于上述的入侵檢測方法，本申請還提出了圖8所示的根據(jù)本發(fā)明的一示例性實施例的服務器系統(tǒng)的示意結(jié)構(gòu)圖。請參考圖8，在硬件層面，該服務器系統(tǒng)中的每一服務器可包括處理器、內(nèi)部總線、網(wǎng)絡接口、內(nèi)存以及非易失性存儲器，當然還可能包括其他業(yè)務所需要的硬件。處理器從非易失性存儲器中讀取對應的計算機程序到內(nèi)存中然后運行，在邏輯層面上實現(xiàn)入侵檢測裝置。當然，除了軟件實現(xiàn)方式之外，本申請并不排除其他實現(xiàn)方式，比如邏輯器件抑或軟硬件結(jié)合的方式等等，也就是說以下處理流程的執(zhí)行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。

其中，處理器，用于確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同；當被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，其中，攻擊者為發(fā)起入侵攻擊的計算設備；基于攻擊者的第一ip地址，確定入侵操作的攻擊路徑。

圖9示出了本發(fā)明的示例性實施例一的入侵檢測裝置的結(jié)構(gòu)示意圖；如圖8所示，該入侵檢測可以包括：第一確定模塊91、第二確定模塊92、第三確定模塊93。其中：

第一確定模塊91，用于確定被監(jiān)控計算設備執(zhí)行的操作是否與預設操作相同；

第二確定模塊92，用于當?shù)谝淮_定模塊91確定被監(jiān)控計算設備執(zhí)行的操作與預設操作相同時，確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作，其中，攻擊者為發(fā)起入侵攻擊的計算設備；

第三確定模塊93，用于基于攻擊者的第一ip地址，確定第二確定模塊92確定的入侵操作的攻擊路徑。

圖10示出了本發(fā)明的示例性實施例二的入侵檢測裝置的結(jié)構(gòu)示意圖；如圖10所示，在上述圖9所示實施例的基礎上，在一實施例中，第三確定模塊93可包括

提取單元931，用于從第一數(shù)據(jù)庫中提取攻擊者的第一ip地址已訪問的多個url；

比對單元932，用于將提取單元931提取到的多個url與第二數(shù)據(jù)庫中記錄的攻擊載荷進行比對；

第一確定單元933，用于根據(jù)比對單元932得到的比對結(jié)果判斷確定入侵操作的攻擊路徑。

在一實施例中，裝置還可包括：

第四確定模塊94，用于確定定預設列表中是否存在與第一ip地址相同的ip地址，預設列表用于記錄攻擊者的ip地址；

存儲模塊95，用于當?shù)谒拇_定模塊94確定預設列表中不存在與第一ip地址相同的ip地址時，將第一ip地址存儲在預設列表中。

在一實施例中，裝置還可包括：

第五確定模塊96，用于確定預設列表中記錄的多個ip地址已訪問的多個url；

第六確定模塊97，用于基于第二數(shù)據(jù)庫記錄的攻擊載荷，從第五確定模塊96確定的多個url中確定出有效攻擊的ip地址。

在一實施例中，裝置還可包括：

第七確定模塊98，用于確定第六確定模塊97確定的有效攻擊的ip地址在設定時間段內(nèi)的網(wǎng)絡流量；

第八確定模塊99，用于基于第七確定模塊98確定的網(wǎng)絡流量，確定有效攻擊的ip地址對應的攻擊路徑。

圖11示出了本發(fā)明的示例性實施例三的入侵檢測裝置的結(jié)構(gòu)示意圖；如圖11所示，在上述圖9或圖10所示實施例的基礎上，在一實施例中，第一確定模塊91可包括：

第一監(jiān)控單元911，用于實時監(jiān)控被監(jiān)控計算設備執(zhí)行的sql語句；

第二確定單元912，用于當?shù)谝槐O(jiān)控單元911監(jiān)控到被監(jiān)控計算設備執(zhí)行的sql語句是否與預設的讀寫文件操作或者延時查詢操作相同。

在一實施例中，第一確定模塊91可包括：

第二監(jiān)控單元913，用于實時監(jiān)控被監(jiān)控計算設備上創(chuàng)建可執(zhí)行文件的 操作；

第三確定單元914，用于當?shù)诙O(jiān)控單元913監(jiān)控到被監(jiān)控計算設備上創(chuàng)建可執(zhí)行文件的操作是否與預設的創(chuàng)建可執(zhí)行文件的操作相同。

在一實施例中，裝置還可包括：

控制模塊90，用于在第二確定模塊92確定被監(jiān)控計算設備執(zhí)行的操作為攻擊者的入侵操作時，控制被監(jiān)控計算設備與第一ip地址對應的設備斷開連接。

上述實施例可見，本申請既可以及時發(fā)現(xiàn)入侵并及時制止黑客入侵，還可以快速而有效地發(fā)現(xiàn)攻擊路徑，從而可以及時堵住漏洞。

本領域技術人員在考慮說明書及實踐這里公開的發(fā)明后，將容易想到本申請的其它實施方案。本申請旨在涵蓋本申請的任何變型、用途或者適應性變化，這些變型、用途或者適應性變化遵循本申請的一般性原理并包括本申請未公開的本技術領域中的公知常識或慣用技術手段。說明書和實施例僅被視為示例性的，本申請的真正范圍和精神由下面的權利要求指出。

還需要說明的是，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內(nèi)。