置文件中存有入侵行為步驟序列，根據(jù)該入侵行為步驟序列需要緩存入入侵行為狀態(tài)。
[0078]步驟S504，初始化相互關(guān)聯(lián)計(jì)算方法。
[0079]步驟S506，判斷是否有新的待檢測(cè)數(shù)據(jù)。如果有，則執(zhí)行步驟S508，反之，則進(jìn)入休眠。
[0080]步驟S508，分析判斷當(dāng)前入侵步驟。
[0081]步驟S510，查找預(yù)先緩存的入侵步驟，判斷該緩存的入侵步驟是否超時(shí)，如果超時(shí)，則執(zhí)行步驟S512，反之，則執(zhí)行步驟S514。
[0082]步驟S512，清除超時(shí)時(shí)序。返回步驟S506。
[0083]步驟S514，判斷入侵步驟是否達(dá)到告警條件。如果是，則執(zhí)行步驟S516，反之，則執(zhí)行步驟S518。
[0084]步驟S516，輸出結(jié)果告警。該結(jié)果告警用于表示待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是入侵行為。返回步驟S506。
[0085]步驟S518，緩存入侵步驟。即緩存入侵行為狀態(tài)。返回步驟S506。
[0086]優(yōu)選地，確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征包括:確定預(yù)設(shè)時(shí)間段內(nèi)待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為的執(zhí)行次數(shù)；根據(jù)行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式包括:基于執(zhí)行次數(shù)選擇統(tǒng)計(jì)模式，統(tǒng)計(jì)模式用于對(duì)執(zhí)行次數(shù)進(jìn)行檢測(cè)；基于選擇的檢測(cè)模式判斷行為特征是否滿足預(yù)設(shè)條件包括:判斷執(zhí)行次數(shù)是否超過(guò)數(shù)量閾值，其中，如果判斷出執(zhí)行次數(shù)超過(guò)數(shù)量閾值，則確定行為特征滿足預(yù)設(shè)條件。
[0087]當(dāng)待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征滿足用于進(jìn)行統(tǒng)計(jì)模式檢測(cè)的條件時(shí)，可以選擇統(tǒng)計(jì)模式來(lái)對(duì)該行為特征進(jìn)行檢測(cè)。具體地，根據(jù)入侵行為頻繁的動(dòng)作特征，以一個(gè)或幾個(gè)特征為基準(zhǔn)，聚合統(tǒng)計(jì)其動(dòng)作，從而確定行為是否為入侵行為。例如端口掃描數(shù)據(jù)，掃描端口數(shù)和掃描次數(shù)等，如果掃描次數(shù)的數(shù)量超過(guò)一定限度，則確定其行為為入侵行為，輸出結(jié)果報(bào)警。
[0088]應(yīng)用場(chǎng)景3，端口掃描行為:機(jī)器A對(duì)某一網(wǎng)段的開(kāi)放端口進(jìn)行批量掃描。判斷方法:以來(lái)源ip (機(jī)器A的ip)統(tǒng)計(jì)某一時(shí)間段內(nèi)掃描數(shù)據(jù)的數(shù)量；超出數(shù)量閾值即確定為端口掃描行為，即認(rèn)定為入侵行為。
[0089]應(yīng)用場(chǎng)景4，暴力破解行為:機(jī)器B收到大量的某一用戶的登錄請(qǐng)求，并且登錄失敗。判斷方法:以受害ip (機(jī)器B的ip)統(tǒng)計(jì)某一時(shí)間段內(nèi)登錄失敗的數(shù)量；超出數(shù)量閾值即確定為暴力破解行為，即認(rèn)定為入侵行為。
[0090]具體地，如圖6所示，該方法包括:
[0091]步驟S602，加載配置文件。該配置文件中，配置有需要進(jìn)行聚合的聚合特征，例如，端口掃描和用戶登錄等。
[0092]步驟S604，初始化聚合特征。
[0093]步驟S606，判斷是否有新的待檢測(cè)數(shù)據(jù)。如果有，則執(zhí)行步驟S608，反之，進(jìn)入休眠。
[0094]步驟S608，根據(jù)數(shù)據(jù)的特征進(jìn)行聚合。
[0095]步驟S610，判斷聚合后的聚合特征是否達(dá)到數(shù)量閾值。如果達(dá)到數(shù)量閾值，則執(zhí)行步驟S612，反之，則返回步驟S606。
[0096]步驟S612，輸出結(jié)果告警。該結(jié)果告警用于表示待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為為入侵行為。然后繼續(xù)執(zhí)行步驟S606。
[0097]需要說(shuō)明的是，對(duì)于前述的各方法實(shí)施例，為了簡(jiǎn)單描述，故將其都表述為一系列的動(dòng)作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描述的動(dòng)作順序的限制，因?yàn)橐罁?jù)本發(fā)明，某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說(shuō)明書(shū)中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動(dòng)作和模塊并不一定是本發(fā)明所必須的。
[0098]通過(guò)以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實(shí)施例的方法可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)，當(dāng)然也可以通過(guò)硬件，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)(如R0M/RAM、磁碟、光盤(pán))中，包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)，計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
[0099]實(shí)施例2
[0100]根據(jù)本發(fā)明實(shí)施例，還提供了一種用于實(shí)施上述入侵檢測(cè)方法的入侵檢測(cè)裝置，如圖7所示，該裝置包括:獲取單元10、確定單元30、選擇單元50和檢測(cè)單元70。
[0101]獲取單元10用于獲取待檢測(cè)數(shù)據(jù)，待檢測(cè)數(shù)據(jù)為被檢測(cè)的數(shù)據(jù)。
[0102]該待檢測(cè)數(shù)據(jù)為被檢測(cè)的數(shù)據(jù)。待檢測(cè)數(shù)據(jù)可以是通過(guò)傳輸模塊106傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，即來(lái)自網(wǎng)絡(luò)的信息流。具體地，傳輸模塊106連接至網(wǎng)絡(luò)，接收來(lái)自網(wǎng)絡(luò)的各種各樣的數(shù)據(jù)，入侵檢測(cè)系統(tǒng)在對(duì)網(wǎng)絡(luò)傳輸進(jìn)行及時(shí)監(jiān)控的過(guò)程中，需要實(shí)時(shí)收集網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。另外，待檢測(cè)數(shù)據(jù)還可以是主機(jī)數(shù)據(jù)，例如主機(jī)的審計(jì)日志等數(shù)據(jù)。獲取待檢測(cè)數(shù)據(jù)，以便于對(duì)待檢測(cè)數(shù)據(jù)進(jìn)行收集?？梢允菍?shí)時(shí)獲取待檢測(cè)數(shù)據(jù)，以便對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)。
[0103]確定單元30用于確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征，行為特征為用于反映待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為的特征。
[0104]待檢測(cè)數(shù)據(jù)可以是執(zhí)行行為產(chǎn)生的數(shù)據(jù)，或者執(zhí)行行為所用到的數(shù)據(jù)。計(jì)算機(jī)、月艮務(wù)器等設(shè)備在執(zhí)行操作或者命令的過(guò)程中，存在相應(yīng)的執(zhí)行行為，例如文件上傳、提權(quán)等，這些執(zhí)行行為對(duì)應(yīng)的數(shù)據(jù)如命令、請(qǐng)求等可以作為待檢測(cè)數(shù)據(jù)。不同的執(zhí)行行為對(duì)應(yīng)有不同的行為特征，例如，文件上傳行為可以有請(qǐng)求上傳文件、新增cgi文件等行為特征。行為特征也可以是用于反映執(zhí)行行為的執(zhí)行步驟所處的狀態(tài)，例如，執(zhí)行行為的執(zhí)行步驟包括:下載代碼、編譯、執(zhí)行，如果執(zhí)行行為處于編譯步驟，則該狀態(tài)即為其行為特征。行為特征也可以是反映一段時(shí)間內(nèi)執(zhí)行行為的操作次數(shù)，例如，在一段時(shí)間內(nèi)用戶登錄請(qǐng)求的次數(shù)等。
[0105]選擇單元50用于根據(jù)行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式，預(yù)設(shè)檢測(cè)模式為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的檢測(cè)模式。
[0106]一個(gè)系統(tǒng)的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破壞系統(tǒng)的安全性，其入侵的目的包括:盜取數(shù)據(jù)，破壞保密性；更改數(shù)據(jù)，破壞完整性；更改服務(wù)，破壞可用性。綜上，無(wú)論入侵怎樣變形，其目的是不變的。要達(dá)到入侵目的，其入侵行為也是相對(duì)穩(wěn)定的。
[0107]不同的行為特征可以從預(yù)設(shè)檢測(cè)模式中選擇不同的檢測(cè)模式進(jìn)行檢測(cè)，例如，對(duì)于“登錄請(qǐng)求且登錄失敗”的行為特征，可以選擇用于對(duì)執(zhí)行次數(shù)進(jìn)行檢測(cè)的統(tǒng)計(jì)模式，以檢測(cè)該行為特征的執(zhí)行次數(shù)是否超過(guò)一定閾值，如果超過(guò)，則認(rèn)定為入侵行為。預(yù)設(shè)檢測(cè)模式可以包括多種模式，例如，關(guān)聯(lián)模式、觸發(fā)模式、統(tǒng)計(jì)模式等等，在確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征之后，可以根據(jù)行為特征選擇相應(yīng)的檢測(cè)模式，用以進(jìn)行入侵檢測(cè)。當(dāng)然，對(duì)于相同的行為特征，可以選擇一種檢測(cè)模式，也可以選擇多種檢測(cè)模式并行檢測(cè)，例如，選擇關(guān)聯(lián)模式和觸發(fā)模式同時(shí)對(duì)行為特征A進(jìn)行檢測(cè)，這樣可以提高檢測(cè)精度。當(dāng)然，選擇檢測(cè)模式也可以確定對(duì)應(yīng)的檢測(cè)模式，例如，當(dāng)入侵檢測(cè)系統(tǒng)中配置有3種檢測(cè)模式，在確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征之后，直接確定采用3種檢測(cè)模式并行檢測(cè)，達(dá)到提高檢測(cè)精度的效果。
[0108]檢測(cè)單元70用于基于選擇的檢測(cè)模式來(lái)檢測(cè)待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為。
[0109]在選擇到檢測(cè)模式之后，基于選擇的檢測(cè)模式來(lái)檢測(cè)檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為。例如，選擇關(guān)聯(lián)模式進(jìn)行檢測(cè):可以通過(guò)多個(gè)數(shù)據(jù)維度或者多個(gè)行為特征關(guān)聯(lián)分析，其中，每個(gè)數(shù)據(jù)維度的數(shù)據(jù)對(duì)應(yīng)一個(gè)行為特征，多個(gè)數(shù)據(jù)維度可以是任意的數(shù)據(jù)維度。通過(guò)任意維度數(shù)據(jù)關(guān)聯(lián)(包括上下文關(guān)聯(lián))判斷執(zhí)行行為是否滿足入侵行為的行為特征。選擇觸發(fā)模式進(jìn)行檢測(cè):由于入侵行為包括一系列的步驟序列，每多執(zhí)行一步，其入侵行為的特征越明顯，因此，可以根據(jù)執(zhí)行行為執(zhí)行到步驟狀態(tài)判斷該執(zhí)行行為是否達(dá)到告警條件，如果達(dá)到告警條件則確定其為入侵行為。選擇統(tǒng)計(jì)模式進(jìn)行檢測(cè):統(tǒng)計(jì)一段時(shí)間內(nèi)重復(fù)執(zhí)行的動(dòng)作的次數(shù)，通過(guò)判斷其是否超過(guò)一定閾值來(lái)確定執(zhí)行的動(dòng)作行為是否為入侵行為。
[0110]根據(jù)本發(fā)明實(shí)施例，通過(guò)獲取待檢測(cè)數(shù)據(jù)，確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征，根據(jù)行為特征從預(yù)設(shè)檢測(cè)模式中選擇檢測(cè)模式，該預(yù)設(shè)檢測(cè)模式為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的檢測(cè)模式，基于選擇的檢測(cè)模式來(lái)檢測(cè)待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是否為入侵行為，根據(jù)預(yù)先對(duì)入侵行為的行為特征設(shè)置相應(yīng)的檢測(cè)模式，以入侵行為的目的來(lái)檢測(cè)入侵行為，解決了難以準(zhǔn)確地檢測(cè)變形的入侵行為的問(wèn)題，達(dá)到了準(zhǔn)確檢測(cè)變形的入侵行為的效果。
[0111]優(yōu)選地，所述檢測(cè)單元70包括:判斷子單元，用于基于選擇的檢測(cè)模式來(lái)判斷待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征是否滿足預(yù)設(shè)條件，預(yù)設(shè)條件為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的條件；確定子單元用于當(dāng)判斷出待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征滿足預(yù)設(shè)條件時(shí)，確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是入侵行為。
[0112]—個(gè)系統(tǒng)的安全性包括:保密性、完整性、可用性。黑客入侵的目的就是破壞系統(tǒng)的安全性，其入侵的目的包括:盜取數(shù)據(jù)，破壞保密性；更改數(shù)據(jù)，破壞完整性；更改服務(wù)，破壞可用性。綜上，無(wú)論入侵怎樣變形，其目的是不變的。要達(dá)到入侵目的，其入侵行為也是相對(duì)穩(wěn)定的。
[0113]通過(guò)分析入侵行為特征，根據(jù)各個(gè)維度數(shù)據(jù)交互印證，從而定性為入侵行為。經(jīng)過(guò)對(duì)入侵行為的分析總結(jié)，只有滿足預(yù)設(shè)條件的執(zhí)行行為才能認(rèn)定為入侵行為。例如，通過(guò)多個(gè)數(shù)據(jù)維度或者多個(gè)行為特征關(guān)聯(lián)分析，其中，每個(gè)數(shù)據(jù)維度的數(shù)據(jù)對(duì)應(yīng)一個(gè)行為特征，多個(gè)數(shù)據(jù)維度可以是任意的數(shù)據(jù)維度。通過(guò)任意維度數(shù)據(jù)關(guān)聯(lián)(包括上下文關(guān)聯(lián))判斷執(zhí)行行為是否滿足入侵行為的行為特征。還可以采用觸發(fā)式來(lái)檢測(cè)，由于入侵行為包括一系列的步驟序列，每多執(zhí)行一步，其入侵行為的特征越明顯，因此，可以根據(jù)執(zhí)行行為執(zhí)行到步驟狀態(tài)判斷該執(zhí)行行為是否達(dá)到告警條件，如果達(dá)到告警條件則確定其為入侵行為。當(dāng)然也可以采用統(tǒng)計(jì)式的方式，統(tǒng)計(jì)一段時(shí)間內(nèi)重復(fù)執(zhí)行的動(dòng)作的次數(shù)，通過(guò)判斷其是否超過(guò)一定閾值來(lái)確定執(zhí)行的動(dòng)作行為是否為入侵行為。
[0114]根據(jù)本發(fā)明實(shí)施例，通過(guò)基于選擇的檢測(cè)模式來(lái)判斷待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征是否滿足預(yù)設(shè)條件，預(yù)設(shè)條件為根據(jù)入侵行為的行為特征預(yù)先設(shè)定的條件，如果判斷出待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的行為特征滿足預(yù)設(shè)條件，則確定待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的執(zhí)行行為是入侵行為。根據(jù)預(yù)先對(duì)入侵行為的行為特征設(shè)置相應(yīng)的條件，以入侵行為的目的來(lái)檢測(cè)入侵行為，達(dá)到了進(jìn)一步提高對(duì)變形的入侵行為檢測(cè)的準(zhǔn)確性的效果。
[0115]本發(fā)明實(shí)施例中，可以通過(guò)圖1所示的計(jì)算機(jī)100來(lái)實(shí)現(xiàn)上述入