一種入侵檢測(cè)方法及裝置制造方法
【專利摘要】本發(fā)明適用于互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,提供了一種入侵檢測(cè)方法及裝置��,所述方法包括:獲取當(dāng)前用戶的訪問序列�����,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件��,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件����;提取所述訪問序列的訪問數(shù)據(jù)特征;將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的數(shù)據(jù)特征進(jìn)行匹配�,以確定所述當(dāng)前用戶的用戶屬性,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性����;根據(jù)匹配的用戶屬性,判斷當(dāng)前訪問的用戶是否是非法入侵用戶�����。本發(fā)明由于預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)已經(jīng)進(jìn)行了相應(yīng)的更新�,因此,可以及時(shí)檢測(cè)到新的入侵對(duì)象,提高了入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確率����。
【專利說明】—種入侵檢測(cè)方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,尤其涉及一種入侵檢測(cè)方法及裝置�。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,互聯(lián)網(wǎng)安全已經(jīng)成為亟待解決的問題�����,對(duì)各種危險(xiǎn)進(jìn)行檢測(cè)的入侵檢測(cè)系統(tǒng)(Intrus1n Detect1n Systems, IDS)也多種多樣�,IDS是依照一定的安全策略,通過軟�����、硬件�,對(duì)網(wǎng)絡(luò)��、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視���,盡可能發(fā)現(xiàn)各種攻擊企圖����、攻擊行為或者攻擊結(jié)果���,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性��、完整性和可用性�。
[0003]現(xiàn)有的大多數(shù)入侵檢測(cè)系統(tǒng)的檢測(cè)過程為:將原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)來源,對(duì)數(shù)據(jù)包的包頭和負(fù)載進(jìn)行基于靜態(tài)特征的檢測(cè)分析����,并根據(jù)單位時(shí)間內(nèi)的統(tǒng)計(jì)量及檢測(cè)閾值來發(fā)現(xiàn)攻擊行為。上述檢測(cè)方法會(huì)存在以下問題:需要根據(jù)具體的入侵手段抽象成入侵特征或規(guī)則���,一方面難于將具體的入侵手段抽象成入侵特征或規(guī)則�����,并且還要保證不會(huì)將正常的合法活動(dòng)行為包含進(jìn)來���;另一方面,如果抽象出來的特征不夠準(zhǔn)確�,又會(huì)出現(xiàn)大量的誤報(bào)和漏報(bào)。因此����,上述入侵檢測(cè)方法是具有局限性的,當(dāng)出現(xiàn)了的新的入侵攻擊,而如果該攻擊特征還未被加入到靜態(tài)檢測(cè)規(guī)則庫(kù)時(shí)����,那么該入侵檢測(cè)系統(tǒng)對(duì)此類攻擊無能為力。
[0004]綜上�����,現(xiàn)有技術(shù)入侵檢測(cè)系統(tǒng)是靜態(tài)的�����,當(dāng)出現(xiàn)了新的入侵行為時(shí)���,無法及時(shí)檢測(cè)到新的入侵的問題�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例的目的在于提供一種入侵檢測(cè)方法����,旨在解決現(xiàn)有技術(shù)入侵檢測(cè)系統(tǒng)是靜態(tài)的���,當(dāng)出現(xiàn)了新的入侵行為時(shí)���,無法及時(shí)檢測(cè)到新的入侵的問題。
[0006]為了實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供如下技術(shù)方案:
[0007]本發(fā)明第一方面提供了一種入侵檢測(cè)方法�,所述方法包括:
[0008]獲取當(dāng)前用戶的訪問序列,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件��,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件�;
[0009]提取所述訪問序列的訪問數(shù)據(jù)特征;
[0010]將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的數(shù)據(jù)特征進(jìn)行匹配���,以確定所述當(dāng)前用戶的用戶屬性���,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性;
[0011]根據(jù)匹配的用戶屬性����,判斷當(dāng)前訪問的用戶是否是非法入侵用戶。
[0012]本發(fā)明第二方面提供了一種應(yīng)用入侵檢測(cè)裝置����,所述裝置包括:
[0013]獲取單元,用于獲取當(dāng)前用戶的訪問序列����,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件�����;
[0014]提取單元,用于提取所述訪問序列的訪問數(shù)據(jù)特征���;
[0015]匹配單元����,用于將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的數(shù)據(jù)特征進(jìn)行匹配���,以確定所述當(dāng)前用戶的用戶屬性�,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性���;
[0016]判斷單元��,用于根據(jù)匹配的用戶屬性����,判斷當(dāng)前訪問的用戶是否是非法入侵用戶��。
[0017]本發(fā)明實(shí)施例與現(xiàn)有技術(shù)相比�,有益效果在于:獲取當(dāng)前用戶的訪問序列����,并將提取的該訪問序列的訪問數(shù)據(jù)特征在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中進(jìn)行匹配����,以確定當(dāng)前用戶的用戶屬性����,并根據(jù)匹配的用戶屬性,判斷當(dāng)前訪問的用戶是否是非法入侵用戶���,由于根據(jù)預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)進(jìn)行更新����,因此�����,可以及時(shí)有效的對(duì)入侵行為進(jìn)行檢測(cè)��,特別是對(duì)新的入侵行為出現(xiàn)時(shí)��,由于預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)已經(jīng)進(jìn)行了相應(yīng)的更新����,因此���,可以及時(shí)檢測(cè)到新的入侵對(duì)象,提高了入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確率����。
【專利附圖】
【附圖說明】
[0018]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0019]圖1是本發(fā)明實(shí)施例一提供入侵檢測(cè)方法的實(shí)現(xiàn)的流程圖�;
[0020]圖2是本發(fā)明實(shí)施例二提供入侵檢測(cè)方法的實(shí)現(xiàn)的流程圖;
[0021]圖3是本發(fā)明實(shí)施例三提供入侵檢測(cè)裝置的結(jié)構(gòu)圖��;
[0022]圖4是本發(fā)明實(shí)施例四提供入侵檢測(cè)裝置的結(jié)構(gòu)圖�。
【具體實(shí)施方式】
[0023]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,以下結(jié)合附圖及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明����。
[0024]本發(fā)明實(shí)施例�,……。
[0025]以下結(jié)合具體實(shí)施例對(duì)本發(fā)明的實(shí)現(xiàn)進(jìn)行詳細(xì)描述:
[0026]實(shí)施例一
[0027]圖1示出了本發(fā)明實(shí)施例一提供入侵檢測(cè)方法的實(shí)現(xiàn)的流程圖����,其中,所述入侵檢測(cè)系統(tǒng)可以是對(duì)某網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全維護(hù)的入侵檢測(cè)系統(tǒng)�,詳述如下:
[0028]在SlOl中,獲取當(dāng)前用戶的訪問序列���,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件��,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件����;
[0029]本實(shí)施例中,所述訪問序列為用戶在預(yù)設(shè)時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)系統(tǒng)的發(fā)起的所有訪問事件�,所述訪問事件為用戶對(duì)網(wǎng)絡(luò)系統(tǒng)發(fā)起的業(yè)務(wù)請(qǐng)求,例如�,瀏覽網(wǎng)頁、登錄賬號(hào)等���。
[0030]在S102中���,提取所述訪問序列的訪問數(shù)據(jù)特征;
[0031 ] 本實(shí)施例中���,可以根據(jù)訪問序列中訪問事件��,提取每一訪問事件的訪問數(shù)據(jù)特征�,例如��,可以提取訪問事件的關(guān)鍵字���、數(shù)據(jù)���、指令等作為訪問數(shù)據(jù)特征�����。
[0032]在S103中�����,將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的訪問數(shù)據(jù)特征進(jìn)行匹配,以確定所述當(dāng)前用戶的用戶屬性�,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性;
[0033]本實(shí)施例中�,預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問序列對(duì)應(yīng)的訪問數(shù)據(jù)特征及每一用戶的用戶屬性。
[0034]本實(shí)施例中����,根據(jù)訪問數(shù)據(jù)特征確定用戶屬性,例如����,當(dāng)一個(gè)用戶數(shù)據(jù)特征為用戶短時(shí)間內(nèi)重復(fù)請(qǐng)求相同頁面、用戶進(jìn)行了非法入侵嘗試等則用戶屬性為非法用戶����。
[0035]本實(shí)施例中,S103中具體可以根據(jù)所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的訪問數(shù)據(jù)特征的匹配程度確定所述當(dāng)前用戶的用戶屬性,例如�,當(dāng)二者的匹配度高于預(yù)設(shè)閾值時(shí),則確定當(dāng)前用戶屬性為合法用戶�,當(dāng)二者的匹配度低于預(yù)設(shè)閾值時(shí),則確定當(dāng)前用戶屬性為非法用戶���。
[0036]在S104中�,根據(jù)匹配的用戶屬性�����,判斷當(dāng)前訪問的用戶是否是非法入侵用戶���。
[0037]本實(shí)施例中���,可以根據(jù)用戶屬性的不同,將當(dāng)前訪問的用戶分成不同的類型����,從而對(duì)不同的訪問用戶采取不同的處理措施。
[0038]本實(shí)施例中��,獲取當(dāng)前用戶的訪問序列�,并將提取的該訪問序列的訪問數(shù)據(jù)特征在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中進(jìn)行匹配,以確定當(dāng)前用戶的用戶屬性,并根據(jù)匹配的用戶屬性����,判斷當(dāng)前訪問的用戶是否是非法入侵用戶,由于根據(jù)預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)進(jìn)行更新�����,因此���,可以及時(shí)有效的對(duì)入侵行為進(jìn)行檢測(cè),特別是對(duì)新的入侵行為出現(xiàn)時(shí)���,由于預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)已經(jīng)進(jìn)行了相應(yīng)的更新����,因此�,可以及時(shí)檢測(cè)到新的入侵對(duì)象,提高了入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確率�。
[0039]實(shí)施例二
[0040]圖2示出了本發(fā)明實(shí)施例二提供入侵檢測(cè)方法的實(shí)現(xiàn)的流程圖,詳述如下:
[0041]在S201中��,獲取當(dāng)前用戶的訪問序列����,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件�,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件���;
[0042]在S202中��,提取所述訪問序列的訪問數(shù)據(jù)特征��;
[0043]在S203中�,將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的訪問數(shù)據(jù)特征進(jìn)行匹配���,以確定所述當(dāng)前用戶的用戶屬性�����,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性����;
[0044]本實(shí)施例中��,S203中具體可以根據(jù)所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的訪問數(shù)據(jù)特征的匹配程度確定所述當(dāng)前用戶的用戶屬性�,例如,當(dāng)二者的匹配度高于預(yù)設(shè)第一閾值時(shí)�����,則確定當(dāng)前用戶屬性為合法用戶,當(dāng)二者的匹配度低于預(yù)設(shè)第二閾值時(shí)�����,則確定當(dāng)前用戶屬性為非法用戶����,當(dāng)二者的匹配度高于預(yù)設(shè)第二閾值,低于預(yù)設(shè)第一閾值時(shí)�,則確定當(dāng)前用戶屬性為非法用戶疑似非法用戶。
[0045]在S204中����,根據(jù)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性����,更新所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)。
[0046]本實(shí)施中�����,根據(jù)用戶訪問數(shù)據(jù)特征及用戶的用戶屬性��,對(duì)預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)進(jìn)行動(dòng)態(tài)更新,可以為后續(xù)的入侵?jǐn)?shù)據(jù)檢測(cè)提供更加有效的數(shù)據(jù)�,提高檢測(cè)的準(zhǔn)確率。
[0047]可選的���,對(duì)S204進(jìn)行更新具體包括:
[0048]當(dāng)判斷所述當(dāng)前訪問用戶為新用戶時(shí)�,在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中創(chuàng)建新用戶���,并存儲(chǔ)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性���;以及當(dāng)判斷所述當(dāng)前訪問用戶為舊用戶時(shí),將所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性更新至所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中���。即當(dāng)現(xiàn)行網(wǎng)絡(luò)系統(tǒng)有新的訪問用戶時(shí)��,則在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)建立新的用戶�����,當(dāng)訪問用戶為已有的用戶���,則對(duì)預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的用戶數(shù)據(jù)進(jìn)行更新。
[0049]在S205中���,根據(jù)匹配的用戶屬性���,判斷當(dāng)前訪問的用戶是否是非法入侵用戶��。
[0050]可選的����,根據(jù)用戶屬性判斷用戶是否是非法用戶�����,所述S205具體包括:
[0051]a��、當(dāng)匹配用戶屬性為惡意用戶時(shí)����,判斷當(dāng)前訪問的用戶是非法入侵用戶;
[0052]b��、當(dāng)匹配用戶屬性為合法用戶時(shí)���,判斷當(dāng)前訪問的用戶是合法入侵用戶;
[0053]C����、當(dāng)匹配用戶屬性為疑似非法用戶時(shí)���,判斷當(dāng)前訪問的用戶是疑似非法用戶。
[0054]根據(jù)上述S205的具體方案中����,可選的,S205之后����,還可以對(duì)不同屬性的用戶采取不同的措施,具體包括:
[0055]1����、當(dāng)判斷當(dāng)前訪問的用戶是非法入侵用戶時(shí),則攔截所述當(dāng)前用戶的訪問��;
[0056]2���、當(dāng)判斷當(dāng)前訪問的用戶是合法入侵用戶時(shí)�,則放行所述當(dāng)前用戶的訪問�����;
[0057]3、當(dāng)判斷當(dāng)前訪問的用戶是疑似非法用戶時(shí)����,則執(zhí)行獲取當(dāng)前用戶的訪問序列。
[0058]本實(shí)施例中����,當(dāng)判斷當(dāng)前訪問的用戶是疑似非法用戶時(shí),則暫時(shí)不對(duì)該用戶進(jìn)行攔截�,而繼續(xù)獲取用戶后續(xù)的訪問序列,進(jìn)而對(duì)該用戶的屬性進(jìn)行判斷��,直至確定用戶是合法用戶還是非法用戶�。
[0059]本實(shí)施例中,根據(jù)不同的屬性���,對(duì)不同的用戶采用不同的措施����,實(shí)現(xiàn)了對(duì)不同的用戶進(jìn)行個(gè)性化的處理�,進(jìn)一步提高處理的準(zhǔn)確性。
[0060]本實(shí)施例中�����,由于采用了預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)���,因此可以及時(shí)檢測(cè)到新的入侵對(duì)象�����,提高了入侵檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確率��;另外�����,當(dāng)根據(jù)當(dāng)前訪問的用戶的屬性判斷出用戶的屬性時(shí)�����,可以根據(jù)不同的屬性���,對(duì)不同的用戶采用不同的措施,實(shí)現(xiàn)了對(duì)不同的用戶進(jìn)行個(gè)性化的處理���,進(jìn)一步提高處理的準(zhǔn)確性����。
[0061]實(shí)施例三
[0062]圖3是本發(fā)明實(shí)施例三提供的入侵檢測(cè)裝置的結(jié)構(gòu)圖,為了便于說明���,僅示出了與本發(fā)明實(shí)施例相關(guān)的部分��,該裝置可以是內(nèi)置于網(wǎng)絡(luò)終端中的軟件單元���、硬件單元或者軟硬結(jié)合單元。
[0063]所述裝置包括:獲取單元31��、提取單元32�����、匹配單元33和判斷單元34�。
[0064]獲取單元31,用于獲取當(dāng)前用戶的訪問序列�����,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件����,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件�����;
[0065]提取單元32�,用于提取所述訪問序列的訪問數(shù)據(jù)特征����;
[0066]匹配單元33���,用于將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的數(shù)據(jù)特征進(jìn)行匹配��,以確定所述當(dāng)前用戶的用戶屬性���,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性;
[0067]判斷單元34��,用于根據(jù)匹配的用戶屬性�,判斷當(dāng)前訪問的用戶是否是非法入侵用戶。
[0068]本發(fā)明實(shí)施例提供的入侵檢測(cè)裝置可以使用在前述對(duì)應(yīng)的方法實(shí)施例一中����,詳情參見上述實(shí)施例一的描述,在此不再贅述����。
[0069]實(shí)施例四
[0070]圖4是本發(fā)明實(shí)施例四提供的入侵檢測(cè)裝置的結(jié)構(gòu)圖����,為了便于說明����,僅示出了與本發(fā)明實(shí)施例相關(guān)的部分,該裝置可以是內(nèi)置于網(wǎng)絡(luò)終端中的軟件單元���、硬件單元或者軟硬結(jié)合單元��。
[0071]所述裝置包括:獲取單元41�、提取單元42���、匹配單元43��、更新單元44�����、判斷單元45�、處理單元46���。
[0072]可選的����,所述裝置還包括更新單元44,用于根據(jù)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性�����,更新所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)���。
[0073]可選的,所述更新單元44��,用于當(dāng)判斷所述當(dāng)前訪問用戶為新用戶時(shí)���,在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中創(chuàng)建新用戶�����,并存儲(chǔ)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性���;以及當(dāng)判斷所述當(dāng)前訪問用戶為舊用戶時(shí),將所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性更新至所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中�����。
[0074]可選的,所述判斷單元45�����,用于當(dāng)匹配用戶屬性為惡意用戶時(shí)���,判斷當(dāng)前訪問的用戶是非法入侵用戶����;當(dāng)匹配用戶屬性為合法用戶時(shí)�,判斷當(dāng)前訪問的用戶是合法入侵用戶;以及當(dāng)匹配用戶屬性為疑似非法用戶時(shí)��,判斷當(dāng)前訪問的用戶是疑似非法用戶�。
[0075]可選的,所述裝置還包括處理單元46�,用于當(dāng)判斷當(dāng)前訪問的用戶是非法入侵用戶時(shí),則攔截所述當(dāng)前用戶的訪問��;當(dāng)判斷當(dāng)前訪問的用戶是合法入侵用戶時(shí)�����,則放行所述當(dāng)前用戶的訪問;以及當(dāng)判斷當(dāng)前訪問的用戶是疑似非法用戶時(shí)�,則執(zhí)行獲取當(dāng)前用戶的訪問序列。
[0076]本發(fā)明實(shí)施例提供的入侵檢測(cè)裝置可以使用在前述對(duì)應(yīng)的方法實(shí)施例二中��,詳情參見上述實(shí)施例二的描述��,在此不再贅述���。
[0077]值得注意的是��,上述實(shí)施例中��,所包括的各個(gè)單元只是按照功能邏輯進(jìn)行劃分的,但并不局限于上述的劃分���,只要能夠?qū)崿F(xiàn)相應(yīng)的功能即可�;另外�����,各功能單元的具體名稱也只是為了便于相互區(qū)分���,并不用于限制本發(fā)明的保護(hù)范圍��。
[0078]另外�����,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述各實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成�,相應(yīng)的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,所述的存儲(chǔ)介質(zhì)�����,如R0M/RAM�����、磁盤或光盤等�����。
[0079]以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【權(quán)利要求】
1.一種入侵檢測(cè)方法�,其特征在于���,所述方法包括: 獲取當(dāng)前用戶的訪問序列��,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件�,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件�����; 提取所述訪問序列的訪問數(shù)據(jù)特征�����; 將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的數(shù)據(jù)特征進(jìn)行匹配�,以確定所述當(dāng)前用戶的用戶屬性����,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性; 根據(jù)匹配的用戶屬性��,判斷當(dāng)前訪問的用戶是否是非法入侵用戶。
2.如權(quán)利要求1所述的方法�����,其特征在于�,所述根據(jù)匹配的用戶屬性,判斷當(dāng)前訪問的用戶是否是非法入侵用戶之后����,所述方法還包括: 根據(jù)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性,更新所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)�。
3.如權(quán)利要求2所述的方法,其特征在于�����,所述更新所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)包括: 當(dāng)判斷所述當(dāng)前訪問用戶為新用戶時(shí)����,在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中創(chuàng)建新用戶,并存儲(chǔ)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性�;以及 當(dāng)判斷所述當(dāng)前訪問用戶為舊用戶時(shí),將所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性更新至所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中�����。
4.如權(quán)利要求1所述的方法,其特征在于����,所述根據(jù)匹配的用戶屬性,判斷當(dāng)前訪問的用戶是否是非法入侵用戶包括: 當(dāng)匹配用戶屬性為惡意用戶時(shí)����,判斷當(dāng)前訪問的用戶是非法入侵用戶; 當(dāng)匹配用戶屬性為合法用戶時(shí)����,判斷當(dāng)前訪問的用戶是合法入侵用戶; 當(dāng)匹配用戶屬性為疑似非法用戶時(shí)����,判斷當(dāng)前訪問的用戶是疑似非法用戶。
5.如權(quán)利要求4所述的方法��,其特征在于�����,所述根據(jù)匹配的用戶屬性��,判斷當(dāng)前訪問的用戶是否是非法入侵用戶之后����,所述方法還包括: 當(dāng)判斷當(dāng)前訪問的用戶是非法入侵用戶時(shí),則攔截所述當(dāng)前用戶的訪問����; 當(dāng)判斷當(dāng)前訪問的用戶是合法入侵用戶時(shí),則放行所述當(dāng)前用戶的訪問�����; 當(dāng)判斷當(dāng)前訪問的用戶是疑似非法用戶時(shí)�����,則執(zhí)行獲取當(dāng)前用戶的訪問序列���。
6.一種入侵檢測(cè)裝置�,其特征在于���,所述裝置包括: 獲取單元����,用于獲取當(dāng)前用戶的訪問序列,所述訪問序列為所述當(dāng)前用戶在預(yù)設(shè)時(shí)間內(nèi)的訪問事件���,所述訪問序列至少包括一個(gè)當(dāng)前用戶的訪問事件�����; 提取單元���,用于提取所述訪問序列的訪問數(shù)據(jù)特征; 匹配單元����,用于將所述訪問序列的訪問數(shù)據(jù)特征與所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中的數(shù)據(jù)特征進(jìn)行匹配,以確定所述當(dāng)前用戶的用戶屬性����,所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)存儲(chǔ)每一用戶的訪問數(shù)據(jù)特征及用戶屬性; 判斷單元��,用于根據(jù)匹配的用戶屬性���,判斷當(dāng)前訪問的用戶是否是非法入侵用戶�。
7.如權(quán)利要求6所述的裝置���,其特征在于���,所述裝置還包括更新單元,用于根據(jù)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性�,更新所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)。
8.如權(quán)利要求7所述的裝置����,其特征在于,所述更新單元����,用于當(dāng)判斷所述當(dāng)前訪問用戶為新用戶時(shí),在預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中創(chuàng)建新用戶�����,并存儲(chǔ)所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性�����;以及當(dāng)判斷所述當(dāng)前訪問用戶為舊用戶時(shí)�����,將所述用戶的訪問序列的訪問數(shù)據(jù)特征以及所述當(dāng)前用戶的用戶屬性更新至所述預(yù)設(shè)動(dòng)態(tài)更新模式庫(kù)中。
9.如權(quán)利要求6所述的裝置�����,其特征在于���,所述判斷單元����,用于當(dāng)匹配用戶屬性為惡意用戶時(shí)�,判斷當(dāng)前訪問的用戶是非法入侵用戶;當(dāng)匹配用戶屬性為合法用戶時(shí)���,判斷當(dāng)前訪問的用戶是合法入侵用戶��;以及當(dāng)匹配用戶屬性為疑似非法用戶時(shí)����,判斷當(dāng)前訪問的用戶是疑似非法用戶����。
10.如權(quán)利要求9所述的裝置,其特征在于�����,所述裝置還包括處理單元,用于當(dāng)判斷當(dāng)前訪問的用戶是非法入侵用戶時(shí)����,則攔截所述當(dāng)前用戶的訪問���;當(dāng)判斷當(dāng)前訪問的用戶是合法入侵用戶時(shí)�,則放行所述當(dāng)前用戶的訪問��;以及當(dāng)判斷當(dāng)前訪問的用戶是疑似非法用戶時(shí)��,則執(zhí)行獲取當(dāng)前用戶的訪問序列�。
【文檔編號(hào)】H04L9/32GK104426836SQ201310364294
【公開日】2015年3月18日 申請(qǐng)日期:2013年8月20日 優(yōu)先權(quán)日:2013年8月20日
【發(fā)明者】陳勇, 辛霄 申請(qǐng)人:深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司