本发明专利技术适用于互联网技术领域,提供了一种入侵检测方法及装置,所述方法包括:获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件;提取所述访问序列的访问数据特征;将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性;根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户。本发明专利技术由于预设动态更新模式库已经进行了相应的更新,因此,可以及时检测到新的入侵对象,提高了入侵检测系统的检测准确率。
【技术实现步骤摘要】
—种入侵检测方法及装置
本专利技术属于互联网
,尤其涉及一种入侵检测方法及装置。
技术介绍
随着互联网技术的发展,互联网安全已经成为亟待解决的问题,对各种危险进行检测的入侵检测系统(Intrus1n Detect1n Systems, IDS)也多种多样,IDS是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 现有的大多数入侵检测系统的检测过程为:将原始的网络数据包作为数据来源,对数据包的包头和负载进行基于静态特征的检测分析,并根据单位时间内的统计量及检测阈值来发现攻击行为。上述检测方法会存在以下问题:需要根据具体的入侵手段抽象成入侵特征或规则,一方面难于将具体的入侵手段抽象成入侵特征或规则,并且还要保证不会将正常的合法活动行为包含进来;另一方面,如果抽象出来的特征不够准确,又会出现大量的误报和漏报。因此,上述入侵检测方法是具有局限性的,当出现了的新的入侵攻击,而如果该攻击特征还未被加入到静态检测规则库时,那么该入侵检测系统对此类攻击无能为力。 综上,现有技术入侵检测系统是静态的,当出现了新的入侵行为时,无法及时检测到新的入侵的问题。
技术实现思路
本专利技术实施例的目的在于提供一种入侵检测方法,旨在解决现有技术入侵检测系统是静态的,当出现了新的入侵行为时,无法及时检测到新的入侵的问题。 为了实现上述目的,本专利技术实施例提供如下技术方案: 本专利技术第一方面提供了一种入侵检测方法,所述方法包括: 获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件; 提取所述访问序列的访问数据特征; 将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性; 根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户。 本专利技术第二方面提供了一种应用入侵检测装置,所述装置包括: 获取单元,用于获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件; 提取单元,用于提取所述访问序列的访问数据特征; 匹配单元,用于将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性; 判断单元,用于根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户。 本专利技术实施例与现有技术相比,有益效果在于:获取当前用户的访问序列,并将提取的该访问序列的访问数据特征在预设动态更新模式库中进行匹配,以确定当前用户的用户属性,并根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户,由于根据预设动态更新模式库进行更新,因此,可以及时有效的对入侵行为进行检测,特别是对新的入侵行为出现时,由于预设动态更新模式库已经进行了相应的更新,因此,可以及时检测到新的入侵对象,提高了入侵检测系统的检测准确率。 【附图说明】 为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 图1是本专利技术实施例一提供入侵检测方法的实现的流程图; 图2是本专利技术实施例二提供入侵检测方法的实现的流程图; 图3是本专利技术实施例三提供入侵检测装置的结构图; 图4是本专利技术实施例四提供入侵检测装置的结构图。 【具体实施方式】 为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。 本专利技术实施例,……。 以下结合具体实施例对本专利技术的实现进行详细描述: 实施例一 图1示出了本专利技术实施例一提供入侵检测方法的实现的流程图,其中,所述入侵检测系统可以是对某网络系统进行安全维护的入侵检测系统,详述如下: 在SlOl中,获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件; 本实施例中,所述访问序列为用户在预设时间内对网络系统的发起的所有访问事件,所述访问事件为用户对网络系统发起的业务请求,例如,浏览网页、登录账号等。 在S102中,提取所述访问序列的访问数据特征; [0031 ] 本实施例中,可以根据访问序列中访问事件,提取每一访问事件的访问数据特征,例如,可以提取访问事件的关键字、数据、指令等作为访问数据特征。 在S103中,将所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性; 本实施例中,预设动态更新模式库存储每一用户在预设时间内的访问序列对应的访问数据特征及每一用户的用户属性。 本实施例中,根据访问数据特征确定用户属性,例如,当一个用户数据特征为用户短时间内重复请求相同页面、用户进行了非法入侵尝试等则用户属性为非法用户。 本实施例中,S103中具体可以根据所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征的匹配程度确定所述当前用户的用户属性,例如,当二者的匹配度高于预设阈值时,则确定当前用户属性为合法用户,当二者的匹配度低于预设阈值时,则确定当前用户属性为非法用户。 在S104中,根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户。 本实施例中,可以根据用户属性的不同,将当前访问的用户分成不同的类型,从而对不同的访问用户采取不同的处理措施。 本实施例中,获取当前用户的访问序列,并将提取的该访问序列的访问数据特征在预设动态更新模式库中进行匹配,以确定当前用户的用户属性,并根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户,由于根据预设动态更新模式库进行更新,因此,可以及时有效的对入侵行为进行检测,特别是对新的入侵行为出现时,由于预设动态更新模式库已经进行了相应的更新,因此,可以及时检测到新的入侵对象,提高了入侵检测系统的检测准确率。 实施例二 图2示出了本专利技术实施例二提供入侵检测方法的实现的流程图,详述如下: 在S201中,获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件; 在S202中,提取所述访问序列的访问数据特征; 在S203中,将所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性; 本实施例中,S203中具体可以根据所述访问序列的访问数据特征与所述预设动态更新模式库中的访问数据特征的匹配程度确定所述当前用户的用户属性,例如,当二者的匹配度高于预设第一阈值时本文档来自技高网...
【技术保护点】
一种入侵检测方法,其特征在于,所述方法包括:获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件;提取所述访问序列的访问数据特征;将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性;根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户。
【技术特征摘要】
1.一种入侵检测方法,其特征在于,所述方法包括: 获取当前用户的访问序列,所述访问序列为所述当前用户在预设时间内的访问事件,所述访问序列至少包括一个当前用户的访问事件; 提取所述访问序列的访问数据特征; 将所述访问序列的访问数据特征与所述预设动态更新模式库中的数据特征进行匹配,以确定所述当前用户的用户属性,所述预设动态更新模式库存储每一用户的访问数据特征及用户属性; 根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户。2.如权利要求1所述的方法,其特征在于,所述根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户之后,所述方法还包括: 根据所述用户的访问序列的访问数据特征以及所述当前用户的用户属性,更新所述预设动态更新模式库。3.如权利要求2所述的方法,其特征在于,所述更新所述预设动态更新模式库包括: 当判断所述当前访问用户为新用户时,在预设动态更新模式库中创建新用户,并存储所述用户的访问序列的访问数据特征以及所述当前用户的用户属性;以及 当判断所述当前访问用户为旧用户时,将所述用户的访问序列的访问数据特征以及所述当前用户的用户属性更新至所述预设动态更新模式库中。4.如权利要求1所述的方法,其特征在于,所述根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户包括: 当匹配用户属性为恶意用户时,判断当前访问的用户是非法入侵用户; 当匹配用户属性为合法用户时,判断当前访问的用户是合法入侵用户; 当匹配用户属性为疑似非法用户时,判断当前访问的用户是疑似非法用户。5.如权利要求4所述的方法,其特征在于,所述根据匹配的用户属性,判断当前访问的用户是否是非法入侵用户之后,所述方法还包括: 当判断当前访问的用户是非法入侵用户时,则拦截所述当前用户的访问; 当判断当前访问的用户是合法入侵用户时,则放行所述当前用户的访问;...
【专利技术属性】
技术研发人员:陈勇,辛霄,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。