入侵檢測(cè)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及入侵檢測(cè)領(lǐng)域,具體而言,涉及一種入侵檢測(cè)方法和裝置。
【背景技術(shù)】
[0002]入侵檢測(cè)系統(tǒng)(Intrus1n Detect1n System,簡(jiǎn)稱“ IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)控,在發(fā)現(xiàn)可疑網(wǎng)絡(luò)傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。根據(jù)數(shù)據(jù)來(lái)源不同,入侵檢測(cè)系統(tǒng)可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)。
[0003]傳統(tǒng)的入侵檢測(cè)系統(tǒng)通常采用匹配攻擊的數(shù)據(jù)特征的方式來(lái)檢測(cè)入侵行為,例如將檢測(cè)的數(shù)據(jù)與黑名單進(jìn)行匹配等。隨著入侵檢測(cè)系統(tǒng)的發(fā)展,黑客也越來(lái)越了解入侵檢測(cè)系統(tǒng)的各種匹配特征,并嘗試各種方法去繞過(guò)IDS的匹配特征。
[0004]現(xiàn)有的入侵檢測(cè)方案,針對(duì)各種變形的入侵只能通過(guò)提取其數(shù)據(jù)特征進(jìn)行檢測(cè)。然而通過(guò)提取數(shù)據(jù)特征的方式,本身就有滯后性,變形的入侵方式各種各樣,通過(guò)數(shù)據(jù)特征的提取難以完全涵蓋大部分入侵行為,并且針對(duì)變形的特征匹配,誤報(bào)較多,難以準(zhǔn)確地發(fā)現(xiàn)入侵行為。
[0005]綜上,數(shù)據(jù)特征的提取難以完全涵蓋大部分變形的入侵行為,以及針對(duì)變形的特征匹配誤報(bào)較多,現(xiàn)有的入侵檢測(cè)方案難以準(zhǔn)確地檢測(cè)入侵行為。
[0006]針對(duì)現(xiàn)有技術(shù)中難以準(zhǔn)確地檢測(cè)變形的入侵行為的問(wèn)題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0007]本發(fā)明實(shí)施例提供了一種入侵檢測(cè)方法和裝置,以解決難以準(zhǔn)確地檢測(cè)變形的入侵行為的問(wèn)題。
[0008]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種入侵檢測(cè)方法,包括:獲取待檢測(cè)數(shù)據(jù),所述待檢測(cè)數(shù)據(jù)為被檢測(cè)的數(shù)據(jù);確定所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征,所述行為特征為用于反映所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為的特征;根據(jù)所述行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式,所述預(yù)設(shè)檢測(cè)模式為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的檢測(cè)模式;以及基于選擇的檢測(cè)模式來(lái)檢測(cè)所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為。
[0009]根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種入侵檢測(cè)裝置,包括:獲取單元,用于獲取待檢測(cè)數(shù)據(jù),所述待檢測(cè)數(shù)據(jù)為被檢測(cè)的數(shù)據(jù);確定單元,用于確定所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征,所述行為特征為用于反映所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為的特征;選擇單元,用于根據(jù)所述行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式,所述預(yù)設(shè)檢測(cè)模式為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的檢測(cè)模式;以及檢測(cè)單元,用于基于選擇的檢測(cè)模式來(lái)檢測(cè)所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為。
[0010]根據(jù)本發(fā)明實(shí)施例,通過(guò)獲取待檢測(cè)數(shù)據(jù),確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征,根據(jù)行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式,該預(yù)設(shè)檢測(cè)模式為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的檢測(cè)模式,基于選擇的檢測(cè)模式來(lái)檢測(cè)待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為,根據(jù)預(yù)先對(duì)入侵行為的行為特征設(shè)置相應(yīng)的檢測(cè)模式,以入侵行為的目的來(lái)檢測(cè)入侵行為,解決了難以準(zhǔn)確地檢測(cè)變形的入侵行為的問(wèn)題,達(dá)到了準(zhǔn)確檢測(cè)變形的入侵行為的效果。
【附圖說(shuō)明】
[0011]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0012]圖1是根據(jù)本發(fā)明實(shí)施例的一種計(jì)算機(jī)的結(jié)構(gòu)框圖;
[0013]圖2是根據(jù)本發(fā)明實(shí)施例的入侵檢測(cè)方法的流程圖;
[0014]圖3是根據(jù)本發(fā)明實(shí)施例可選的入侵檢測(cè)方法的流程圖;
[0015]圖4是根據(jù)本發(fā)明實(shí)施例的入侵檢測(cè)方法的一種應(yīng)用場(chǎng)景示意圖;
[0016]圖5是根據(jù)本發(fā)明實(shí)施例另一可選的入侵檢測(cè)方法的流程圖;
[0017]圖6是根據(jù)本發(fā)明實(shí)施例又一可選的入侵檢測(cè)方法的流程圖;
[0018]圖7是根據(jù)本發(fā)明實(shí)施例的入侵檢測(cè)裝置的示意圖;以及
[0019]圖8是根據(jù)本發(fā)明實(shí)施例一種可選的入侵檢測(cè)裝置的流程圖。
【具體實(shí)施方式】
[0020]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0021]需要說(shuō)明的是,本發(fā)明的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0022]根據(jù)本發(fā)明實(shí)施例,可以提供了一種可以用于實(shí)施本申請(qǐng)裝置實(shí)施例的方法實(shí)施例,需要說(shuō)明的是,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0023]實(shí)施例1
[0024]根據(jù)本發(fā)明實(shí)施例,提供了一種入侵檢測(cè)方法,該方法可由計(jì)算機(jī)或者類似的運(yùn)算裝置執(zhí)行。圖1所示為一種計(jì)算機(jī)的結(jié)構(gòu)框圖。如圖1所示,計(jì)算機(jī)100包括一個(gè)或多個(gè)(圖中僅不出一個(gè))處理器102、存儲(chǔ)器104、以及傳輸模塊106。本領(lǐng)域普通技術(shù)人員可以理解,圖1所示的結(jié)構(gòu)僅為示意,其并不對(duì)上述電子裝置的結(jié)構(gòu)造成限定。例如,計(jì)算機(jī)100還可包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。
[0025]存儲(chǔ)器104可用于存儲(chǔ)軟件程序以及模塊,如本發(fā)明實(shí)施例中的入侵檢測(cè)方法和裝置對(duì)應(yīng)的程序指令/模塊,處理器102通過(guò)運(yùn)行存儲(chǔ)在存儲(chǔ)器104內(nèi)的軟件程序以及模塊,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理,即實(shí)現(xiàn)上述的入侵檢測(cè)方法和裝置,例如對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行入侵檢測(cè)。存儲(chǔ)器104可包括高速隨機(jī)存儲(chǔ)器,還可包括非易失性存儲(chǔ)器,如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置、閃存、或者其他非易失性固態(tài)存儲(chǔ)器。在一些實(shí)例中,存儲(chǔ)器104可進(jìn)一步包括相對(duì)于處理器102遠(yuǎn)程設(shè)置的存儲(chǔ)器,這些遠(yuǎn)程存儲(chǔ)器可以通過(guò)網(wǎng)絡(luò)連接至計(jì)算機(jī)100。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動(dòng)通信網(wǎng)及其組合。
[0026]傳輸模塊106用于經(jīng)由一個(gè)網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括有線網(wǎng)絡(luò)及無(wú)線網(wǎng)絡(luò)。在一個(gè)實(shí)例中,傳輸模塊106包括一個(gè)網(wǎng)絡(luò)適配器(NetworkInterface Controller,NIC),其可通過(guò)網(wǎng)線與其他網(wǎng)絡(luò)設(shè)備與路由器相連從而可與互聯(lián)網(wǎng)進(jìn)行通訊。在一個(gè)實(shí)例中,傳輸模塊106可以是射頻(Rad1 Frequency, RF)模塊,其用于通過(guò)無(wú)線方式與互聯(lián)網(wǎng)進(jìn)行通訊。
[0027]如圖2所示,該入侵檢測(cè)方法包括以下步驟:
[0028]步驟S202,獲取待檢測(cè)數(shù)據(jù)。
[0029]該待檢測(cè)數(shù)據(jù)為被檢測(cè)的數(shù)據(jù)。待檢測(cè)數(shù)據(jù)可以是通過(guò)傳輸模塊106傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù),即來(lái)自網(wǎng)絡(luò)的信息流。具體地,傳輸模塊106連接至網(wǎng)絡(luò),接收來(lái)自網(wǎng)絡(luò)的各種各樣的數(shù)據(jù),入侵檢測(cè)系統(tǒng)在對(duì)網(wǎng)絡(luò)傳輸進(jìn)行及時(shí)監(jiān)控的過(guò)程中,需要實(shí)時(shí)收集網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。另外,待檢測(cè)數(shù)據(jù)還可以是主機(jī)數(shù)據(jù),例如主機(jī)的審計(jì)日志等數(shù)據(jù)。獲取待檢測(cè)數(shù)據(jù),以便于對(duì)待檢測(cè)數(shù)據(jù)進(jìn)行收集??梢允菍?shí)時(shí)獲取待檢測(cè)數(shù)據(jù),以便對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)。
[0030]步驟S204,確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征。該行為特征為用于反映待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為的特征。
[0031]待檢測(cè)數(shù)據(jù)可以是執(zhí)行行為產(chǎn)生的數(shù)據(jù),或者執(zhí)行行為所用到的數(shù)據(jù)。計(jì)算機(jī)、月艮務(wù)器等設(shè)備在執(zhí)行操作或者命令的過(guò)程中,存在相應(yīng)的執(zhí)行行為,例如文件上傳、提權(quán)等,這些執(zhí)行行為對(duì)應(yīng)的數(shù)據(jù)如命令、請(qǐng)求等可以作為待檢測(cè)數(shù)據(jù)。不同的執(zhí)行行為對(duì)應(yīng)有不同的行為特征,例如,文件上傳行為可以有請(qǐng)求上傳文件、新增Cgi文件等行為特征。行為特征也可以是用于反映執(zhí)行行為的執(zhí)行步驟所處的狀態(tài),例如,執(zhí)行行為的執(zhí)行步驟包括:下載代碼、編譯、執(zhí)行,如果執(zhí)行行為處于編譯步驟,則該狀態(tài)即為其行為特征。行為特征也可以是反映一段時(shí)間內(nèi)執(zhí)行行為的操作次數(shù),例如,在一段時(shí)間內(nèi)用戶登錄請(qǐng)求的次數(shù)等。
[0032]步驟S206,根據(jù)行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式,預(yù)設(shè)檢測(cè)模式為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的檢測(cè)模式。
[0033]一個(gè)系統(tǒng)的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破壞系統(tǒng)的安全性,其入侵的目的包括:盜取數(shù)據(jù),破壞保密性;更改數(shù)據(jù),破壞完整性;更改服務(wù),破壞可用性。綜上,無(wú)論入侵怎樣變形,其目的是不變的。要達(dá)到入侵目的,其入侵行為也是相對(duì)穩(wěn)定的。
[0034]不同的行為特征可以從預(yù)設(shè)檢測(cè)模式中選擇不同的檢測(cè)模式進(jìn)行檢測(cè),例如,對(duì)于“登錄請(qǐng)求且登錄失敗”的行為特征,可以選擇用于對(duì)執(zhí)行次數(shù)進(jìn)行檢測(cè)的統(tǒng)計(jì)模式,以檢測(cè)該行為特征的執(zhí)行次數(shù)是否超過(guò)一定閾值,如果超過(guò),則認(rèn)定為入侵行為。預(yù)設(shè)檢測(cè)模式可以包括多種模式,例如,關(guān)聯(lián)模式、觸發(fā)模式、統(tǒng)計(jì)模式等等,在確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征之后,可以根據(jù)行為特征選擇相應(yīng)的檢測(cè)模式,用以進(jìn)行入侵檢測(cè)。當(dāng)然,對(duì)于相同的行為特征,可以選擇一種檢測(cè)模式,也可以選擇多種檢測(cè)模式并行檢測(cè),例如,選擇關(guān)聯(lián)模式和觸發(fā)模式同時(shí)對(duì)行為特征A進(jìn)行檢測(cè),這樣可以提高檢測(cè)精度。當(dāng)然,選擇檢測(cè)模式也可以確定對(duì)應(yīng)的檢測(cè)模式,例如,當(dāng)入侵檢測(cè)系統(tǒng)中配置有3種檢測(cè)模式,在確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征之后,直接確定采用3種檢測(cè)模式并行檢測(cè),達(dá)到提高檢測(cè)精度的效果。
[0035]步驟S208,基于選擇的檢測(cè)模式來(lái)檢測(cè)待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為。
[0036]在選擇到檢測(cè)模式之后,基于選擇的檢測(cè)模式來(lái)檢測(cè)檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為。例如,選擇關(guān)聯(lián)模式進(jìn)行檢測(cè):可以通過(guò)多個(gè)數(shù)據(jù)維度或者多個(gè)行為特征關(guān)聯(lián)分析,其中,每個(gè)數(shù)據(jù)維度的數(shù)據(jù)對(duì)應(yīng)一個(gè)行為特征,多個(gè)數(shù)據(jù)維度可以是任意的數(shù)據(jù)維度。通過(guò)任意維度數(shù)據(jù)關(guān)聯(lián)(包括上下文關(guān)聯(lián))判斷執(zhí)行行為是否滿足入侵行為的行為特征。選擇觸發(fā)模式進(jìn)行檢測(cè):由于入侵行為包括一系列的步驟序列,每