用于入侵檢測的數據檢測方法和裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及入侵檢測領域，具體而言，涉及一種用于入侵檢測的數據檢測方法和
目.ο
【背景技術】
[0002]隨著互聯網的發(fā)展，互聯網被廣泛的應用到各個領域，這樣互聯網的安全隱患也就逐漸顯露出來，例如web類業(yè)務，尤其是web框架、公共網關接口(Common GatewayInterface,簡稱為CGI)的漏洞引起的命令執(zhí)行、命令注入攻擊,給web類業(yè)務帶來極大的安全隱患。
[0003]目前，對于入侵行為的檢測通常是基于規(guī)則匹配(黑名單)的方式，該方式會收集一些可疑的、黑客滲透的常用命令加入黑名單中，將待檢測數據與黑名單進行匹配，確定其是否為入侵行為。然而，對于待檢測數據中的一些異常數據，通過黑名單難以有效識別該異常數據是否為入侵行為的數據。例如，通過收集的一些可疑的、黑客滲透的常用命令，web管理員也會在對web運營維護的時候使用這些命令。這樣黑名單的檢測方式就會在對入侵行為的漏報與誤報之間難以平衡。黑名單增多，覆蓋管理員操作，會導致誤報；黑名單減少，缺乏某些危險命令，會導致漏報。
[0004]另外、由于命令執(zhí)行、注入的方式各種各樣，通過編碼、混淆等方式很容易繞過基于黑名單的檢測方式。由于無法準確檢測出通過編碼、混淆等方式產生的異常數據，因此無法對這些異常數據作進一步的入侵檢測，導致無法準確檢測出入侵行為。
[0005]針對現有技術中無法準確檢測異常數據的問題，目前尚未提出有效的解決方案。

【發(fā)明內容】

[0006]本發(fā)明實施例提供了一種用于入侵檢測的數據檢測方法和裝置，以解決現有技術中無法準確檢測異常數據的問題。
[0007]根據本發(fā)明實施例的一個方面，提供了一種用于入侵檢測的數據檢測方法，包括:獲取待檢測數據，所述待檢測數據為被檢測的數據；將所述待檢測數據與正常模型進行比較，得到比較結果，其中，所述正常模型為預先建立的正常行為對應的數據模型；以及根據所述比較結果確定所述待檢測數據是否為異常數據。
[0008]根據本發(fā)明實施例的另一方面，還提供了一種用于入侵檢測的數據檢測裝置，包括:獲取單元，用于獲取待檢測數據，所述待檢測數據為被檢測的數據；比較單元，用于將所述待檢測數據與正常模型進行比較，得到比較結果，其中，所述正常模型為預先建立的正常行為對應的數據模型；以及第一確定單元，用于根據所述比較結果確定所述待檢測數據是否為異常數據。
[0009]在本發(fā)明實施例中，通過獲取待檢測數據，將待檢測數據與正常模型進行比較，根據比較結果確定待檢測數據是否為異常數據，通過采用正常模型來匹配待檢測數據，由于計算機或者服務器的正常業(yè)務運維、訪問命令，通常具有固定性和規(guī)律性，也即有固定的數據模型，準確地檢測出異常數據，用于進行入侵檢測，找出入侵行為，解決了無法準確檢測異常數據的問題，達到了提高異常數據檢測的準確性的效果。
【附圖說明】
[0010]此處所說明的附圖用來提供對本發(fā)明的進一步理解，構成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構成對本發(fā)明的不當限定。在附圖中:
[0011]圖1是根據本發(fā)明實施例的一種計算機的結構框圖；
[0012]圖2是根據本發(fā)明實施例的數據檢測方法的流程圖；
[0013]圖3是根據本發(fā)明實施例一種可選的數據檢測方法的流程圖；
[0014]圖4是根據本發(fā)明實施例另一種可選的數據檢測方法的流程圖；
[0015]圖5是根據本發(fā)明實施例的數據檢測裝置的示意圖；
[0016]圖6是根據本發(fā)明實施例一種可選的數據檢測裝置的示意圖；以及
[0017]圖7是根據本發(fā)明實施例另一種可選的數據檢測裝置的示意圖。
【具體實施方式】
[0018]為了使本技術領域的人員更好地理解本發(fā)明方案，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應當屬于本發(fā)明保護的范圍。
[0019]需要說明的是，本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數據在適當情況下可以互換，以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序實施。此外，術語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對于這些過程、方法、產品或設備固有的其它步驟或單元。
[0020]實施例1
[0021]根據本發(fā)明實施例，提供了一種用于入侵檢測的數據檢測方法，該方法可由計算機或者類似的運算裝置執(zhí)行。圖1所示為一種計算機的結構框圖。如圖1所示，計算機100包括一個或多個(圖中僅示出一個)處理器102、存儲器104、以及傳輸模塊106。本領域普通技術人員可以理解，圖1所示的結構僅為示意，其并不對上述電子裝置的結構造成限定。例如，計算機100還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。
[0022]存儲器104可用于存儲軟件程序以及模塊，如本發(fā)明實施例中的用于入侵檢測的數據檢測方法和裝置對應的程序指令/模塊，處理器102通過運行存儲在存儲器104內的軟件程序以及模塊，從而執(zhí)行各種功能應用以及數據處理，即實現上述的用于入侵檢測的數據檢測方法和裝置，例如對網絡傳輸的數據進行入侵檢測。存儲器104可包括高速隨機存儲器，還可包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中，存儲器104可進一步包括相對于處理器102遠程設置的存儲器，這些遠程存儲器可以通過網絡連接至計算機100。上述網絡的實例包括但不限于互聯網、企業(yè)內部網、局域網、移動通信網及其組合。
[0023]傳輸模塊106用于經由一個網絡接收或者發(fā)送數據。上述的網絡具體實例可包括有線網絡及無線網絡。在一個實例中，傳輸模塊106包括一個網絡適配器(NetworkInterface Controller,NIC),其可通過網線與其他網絡設備與路由器相連從而可與互聯網進行通訊。在一個實例中，傳輸模塊106可以是射頻(Rad1 Frequency, RF)模塊,其用于通過無線方式與互聯網進行通訊。
[0024]如圖2所示，該用于入侵檢測的數據檢測方法包括:
[0025]步驟S202，獲取待檢測數據，待檢測數據為被檢測的數據。
[0026]待檢測數據可以是通過傳輸模塊106傳輸的網絡數據，即來自網絡的信息流。具體地，傳輸模塊106連接至網絡，接收來自網絡的各種各樣的數據，入侵檢測系統在對網絡傳輸進行及時監(jiān)控的過程中，需要實時收集網絡傳輸的數據。具體地，本發(fā)明實施例的待檢測數據可以是web服務器執(zhí)行的命令。獲取待檢測數據，以便于對待檢測數據進行收集。可以是實時獲取待檢測數據，以便對網絡傳輸的數據進行實時檢測。
[0027]步驟S204，將待檢測數據與正常模型進行比較，得到比較結果。其中，正常模型為預先建立的正常行為對應的數據模型。
[0028]由于計算機或者服務器的正常業(yè)務運維、訪問命令，通常具有固定性和規(guī)律性，也即有固定的數據模型。利用正常的業(yè)務行為對應的數據(如命令等)建立正常模型，用于對待檢測數據進行檢測。惡意訪問、數據竊取、篡改等命令會異常于正常模型。該正常模型相當于白名單，當待檢測數據與該正常模型完全一樣時，表明該待檢測數據不是異常數據，否則，則為疑似異常數據。
[0029]本發(fā)明實施例，可以根據不同的來源ip，預先建立不同的正常模型，從而對于可以針對單個ip來對待檢測數據進行檢測，提高監(jiān)測的準確性。建立的正常模型的數據維度可以包括來源ip、命令、目錄、參數、執(zhí)行時間等。
[0030]進一步地，可以根據比較結果來修正正常模型，從而實現對正常模型的訓練，使其具備學習能力，不斷提高監(jiān)測效果。當然，對于正常模型中的超時數據，可以進行刪除修正，從而減少正常模型的冗余數據，提高監(jiān)測效率。
[0031]在獲取到待檢測數據之后，將待檢測數據與正常模型進行比較，以便于根據比較結果對待檢測數據進行異常檢測。
[0032]步驟S206，根據比較結果確定待檢測數據是否為異常數據。
[0033]在得到比較結果之后，可以根據比較結果確定檢測數據是否為異常數據。例如，當待檢測數據與正常模型完全相同，則認為待檢測數據不是異常數據，反之，則為異常數據。當然，也可以采用相似度來判斷。由于大部分情況下，待檢測數據與正常模型之間都會存在差異，可以通過計算待檢測數據與正常模型之間的相似度，利用相似度來確定待檢測數據與正常模型之間的差異，可以設置為:相似度的值越大，待檢測數據與正常模型之間的差異越大；反之，則差異則越小。當然也可以設置為