The invention provides a detection method, a detection system and a computer readable storage medium. Among them, the methods include: acquiring the current system log; using the detection rules obtained by association analysis of the system log to detect the current system log, and deciding that the system is intruded when the current system log meets the detection rules. Because the detection rules are obtained by association analysis of system logs, rather than user-set, it can get rid of the fact that only good rules can be used to detect unknown intrusions at this stage, and then set detection rules for unknown intrusions, thereby improving the security of the system.
【技术实现步骤摘要】
检测方法、系统以及计算机可读存储介质
本专利技术涉及系统安全领域,具体而言,涉及一种检测方法、一种检测系统以及一种计算机可读存储介质。
技术介绍
安全是信息化所面临的主要问题,现有对系统是否出现入侵的判断方法主要包括以下几种。具体地,第一种:单点分析,如单条数据的深度分析,判断该条数据(超文本传输协议)请求是否是攻击请求;第二种:通过分析一个实体下,多条数据的超文本传输协议请求的关联关系,判断是否具有扫描器的行为、是否存在尝试绕过网站应用级入侵防御系统(WebApplicationFirewell)的操作以及是否存在符合攻击链的关键步骤。然而,上述入侵检测的方法仅仅是通过设定好的规则进行入侵判断,对于未知的入侵行为是无法设置判断规则,无法实现对未知入侵的判断,因此,亟需一种入侵检测方法用于解决现有阶段面临的问题。
技术实现思路
本专利技术旨在至少解决现有技术或相关技术中存在的技术问题之一。为此,本专利技术第一个方面在于提出一种检测方法。本专利技术的第二个方面在于提出一种检测系统。本专利技术的第三个方面在于提出一种计算机可读存储介质。有鉴于此,根据本专利技术的第一个方面...
【技术保护点】
1.一种检测方法,其特征在于,包括:获取当前系统日志;使用通过系统日志进行关联分析得到的检测规则对所述当前系统日志进行检测,在所述当前系统日志满足所述检测规则的情况下,判定系统被入侵。
【技术特征摘要】
1.一种检测方法,其特征在于,包括:获取当前系统日志;使用通过系统日志进行关联分析得到的检测规则对所述当前系统日志进行检测,在所述当前系统日志满足所述检测规则的情况下,判定系统被入侵。2.根据权利要求1所述的检测方法,其特征在于,所述系统日志包括以下一种或多种:网站日志、数据库日志、上传木马日志、获取管理员权限日志。3.根据权利要求2所述的检测方法,其特征在于,通过系统日志进行关联分析得到的检测规则的具体步骤如下:获取至少一组系统被入侵的所述系统日志,确定所述系统日志中任一日志进行组合得到的组合日志;根据所述组合日志确定所述检测规则。4.根据权利要求3所述的检测方法,其特征在于,所述根据所述组合日志确定所述检测规则的步骤,具体包括:确定所述组合日志对应的关联规则,并根据所述关联规则确定对应的置信度;在所述置信度大于或等于预设的置信度阈值的情况下,将所述置信度所对应的关联规则设定为所述检测规则。5.根据权利要求4所述的检测方法,其特征在于,所述获取至少一组系统被入侵的所述系统日志,确定所述系统日志中任一日志进行组合得到的组合日志的步骤,具体包括:确定所述系统日志中任一日志及其组合以得...
【专利技术属性】
技术研发人员:林长家,
申请(专利权)人:深圳中兴网信科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。