入侵检测方法、装置及服务器制造方法及图纸

本申请提供一种入侵检测方法、装置及服务器，该方法包括：确定被监控计算设备执行的操作是否与预设操作相同；当所述被监控计算设备执行的操作与所述预设操作相同时，确定所述被监控计算设备执行的操作为攻击者的入侵操作，其中，所述攻击者为发起入侵攻击的计算设备；基于所述攻击者的第一IP地址，确定所述入侵操作的攻击路径。在本申请的技术方案可以对被监控计算设备进行实时监控，避免现有技术中的通过日志分析的方法进行事后排查，确保及时发现入侵操作的攻击路径，快速找到被入侵者攻击的系统薄弱点。

Intrusion detection method, device and server

An intrusion detection method, a device and a server, the method includes determining the monitored computing device to perform operation is the same with the preset operation; when the monitored computing device to perform the operation and the preset operation is same, determining the monitored computing device to perform operation for the attacker's intrusion the operation, which, the attacker initiated computing device intrusion; the attacker's first IP address based on the determined attack path of the invasion operation. In the technical scheme of the application can be monitored on a computing device for real-time monitoring, avoid through log analysis in the prior art after the investigation, ensure timely detection of intrusion attack path operation, find the weak point of the fast attack intruder system.

【技术实现步骤摘要】
入侵检测方法、装置及服务器
本申请涉及网络
，尤其涉及一种入侵检测方法、装置及服务器。
技术介绍
入侵检测一直是业界长期研究的问题，攻击者入侵会导致数据泄露，由于数据泄露很难分析出攻击原因和攻击路径，因此攻击路径的发现是较难解决的问题，现有技术中，通过人工或日志读取工具，读取一条条的服务器日志并进行分析，从中找到可疑日志之后，分析可疑日志产生的原因，由于日志分析的方法只能做到事后排查，因此不能够及时发现入侵操作以及入侵者的攻击路径。
技术实现思路
有鉴于此，本申请提供一种新的技术方案，可以及时发现入侵操作和入侵者的攻击路径。为实现上述目的，本申请提供技术方案如下：根据本申请的第一方面，提出了一种入侵检测方法，包括：确定被监控计算设备执行的操作是否与预设操作相同；当所述被监控计算设备执行的操作与所述预设操作相同时，确定所述被监控计算设备执行的操作为攻击者的入侵操作，其中，所述攻击者为发起入侵攻击的计算设备；基于所述攻击者的第一IP地址，确定所述入侵操作的攻击路径。根据本申请的第二方面，提出了一种入侵检测装置，包括：第一确定模块，用于确定被监控计算设备执行的操作是否与预设操作相同；第二本文档来自技高网...

【技术保护点】
一种入侵检测方法，其特征在于，所述方法包括：确定被监控计算设备执行的操作是否与预设操作相同；当所述被监控计算设备执行的操作与所述预设操作相同时，确定所述被监控计算设备执行的操作为攻击者的入侵操作，其中，所述攻击者为发起入侵攻击的计算设备；基于所述攻击者的第一IP地址，确定所述入侵操作的攻击路径。

【技术特征摘要】
1.一种入侵检测方法，其特征在于，所述方法包括：确定被监控计算设备执行的操作是否与预设操作相同；当所述被监控计算设备执行的操作与所述预设操作相同时，确定所述被监控计算设备执行的操作为攻击者的入侵操作，其中，所述攻击者为发起入侵攻击的计算设备；基于所述攻击者的第一IP地址，确定所述入侵操作的攻击路径。2.根据权利要求1所述的方法，其特征在于，所述基于所述攻击者的第一IP地址，确定所述入侵操作的攻击路径，包括：从第一数据库中提取所述攻击者的第一IP地址已访问的多个URL；将所述多个URL与第二数据库中记录的攻击载荷进行比对；根据比对结果判断确定所述入侵操作的攻击路径。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：确定预设列表中是否存在与所述第一IP地址相同的IP地址，所述预设列表用于记录攻击者的IP地址；当所述预设列表中不存在与所述第一IP地址相同的IP地址时，将所述第一IP地址存储在所述预设列表中。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：确定所述预设列表中记录的多个IP地址已访问的多个URL；基于第二数据库记录的攻击载荷，从所述多个URL中确定出有效攻击的IP地址。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：确定所述有效攻击的IP地址在设定时间段内的网络流量；基于所述网络流量，确定所述有效攻击的IP地址对应的攻击路径。6.根据权利要求1所述的方法，其特征在于，所述确定被监控计算设备执行的操作是否与预设操作相同，包括：实时监控被监控计算设备执行的SQL语句；比较所述被监控计算设备执行的所述SQL语句是否与预设的读写文件操作或者延时查询操作相同。7.根据权利要求1所述的方法，其特征在于，所述确定被监控计算设备执行的操作是否与预设操作相同，包括：实时监控被监控计算设备上创建可执行文件的操作；比较所述被监控计算设备上创建可执行文件的操作是否与预设的创建可执行文件的操作相同。8.根据权利要求1-7任一所述的方法，其特征在于，所述方法还包括：在确定所述被监控计算设备执行的操作为攻击者的入侵操作时，控制所述被监控计算设备与所述第一IP地址对应的计算设备断开连接。9.一种入侵检测装置，其特征在于，所述装置包括：第一确定模块，用于确定被监控计算设备执行的操作是否与预设操作相同；第二确定模块，用于当所述第一确定模块确定所述被监控计算设备执行的操作与所述预设操作相同时，确定所述被监控计算设备执行的操作为攻击者的入侵操作，其中，所述攻击者为发起入侵攻击的计算设备；第三确定模块，用于基于所述攻击者的第一IP地址，确定所述第二确定模块确定的所述入侵操作的攻击...

【专利技术属性】
技术研发人员：季凡，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY