本发明专利技术公开了一种入侵检测方法,包括:对高交互蜜罐中的文件进行监控,判断文件的文件信息是否发生变化;若文件信息发生变化,则确定文件为异常文件,并获取异常文件的异常文件特征码;将异常文件特征码和各个病毒特征码进行对比,判断异常文件是否为病毒文件;若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息;本发明专利技术解决了现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题;此外,本发明专利技术还提供了一种入侵检测装置、设备及计算机可读存储介质,同样具有上述有益效果。
【技术实现步骤摘要】
一种入侵检测方法、装置、设备及可读存储介质
本专利技术涉及网络安全领域,特别涉及一种入侵检测方法、装置、设备及计算机可读存储介质。
技术介绍
随着互联网技术的快速发展,越来越多的网络入侵工具和网络入侵技术被专利技术出来。为了防御和探测网络入侵攻击,需要部署高交互的蜜罐伪装成真实环境去收集入侵者的入侵数据。蜜罐系统是一种对入侵者进行欺骗的系统。通过布置一些作为诱饵的主机、网络服务或者信息,诱使入侵者对它们实施入侵,从而可以对入侵行为进行捕获和分析,了解入侵者所使用的方法,推测入侵意图和动机。通过蜜罐系统,防御方能够清晰地了解自身所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。现有技术能够捕获已知攻击事件和自动预测未知攻击事件,并提取隐蔽的互联网恶意资源信息。但现有技术的检测目标过于单一,只能检测高交互蜜罐的基本信息、进程列表和网络连接数据,无法获取入侵者的入侵数据,进而无法全面地了解入侵者在进行入侵时的惯用方法。因此,如何解决现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题,是本领域技术人员需要解决的技术问题。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种入侵检测方法、装置、设备及计算机可读存储介质,解决了现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题。为解决上述技术问题,本专利技术提供了一种入侵检测方法,包括:对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。可选的,所述对高交互蜜罐中的文件进行监控,包括:获取蜜罐信息,利用所述蜜罐信息建立所述高交互蜜罐;其中,所述蜜罐信息包括IP地址、子网掩码、网关和操作系统类型;利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控。可选的,在利用所述蜜罐信息建立所述高交互蜜罐之后,在利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控之前,还包括:获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。可选的,获取所述异常文件的异常文件特征码,包括:利用弱哈希算法对所述异常文件进行分片处理,得到多个异常文件分片;利用哈希算法计算各个所述异常文件分片的哈希值,并对所述哈希值进行压缩处理,得到与所述哈希值对应的压缩哈希值;查询预设特征码表得到各个所述压缩哈希值对应的ASCII码字符,并按照所述异常文件分片在所述异常文件中的位置排列所述ASCII码字符,得到所述异常文件特征码。可选的,将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件,包括:分别计算所述异常文件特征码和各个所述病毒特征码之间的编辑距离,获取各个所述编辑距离中的最小值,并判断所述最小值是否小于距离阈值;若所述最小值小于所述距离阈值,则确定所述异常文件为所述最小值对应的所述病毒文件。可选的,在确定所述文件为异常文件之后,还包括:利用所述文件信息获取所述异常文件的路径,利用所述路径获取所述异常文件并将所述异常文件移入沙盒中。本专利技术还提供了一种入侵检测装置,包括:第一判断模块,用于对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;特征码获取模块,用于若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;第二判断模块,用于将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;信息输出模块,用于若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。可选的,还包括:信息获取模块,用于获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;变化信息输出模块,用于若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。本专利技术还提供了一种入侵检测设备,包括存储器和处理器,其中:所述存储器,用于存储计算机程序;所述处理器,用于执行所述计算机程序,以实现上述的入侵检测方法。本专利技术还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的入侵检测方法。可见,本方法对高交互蜜罐中的文件进行监控,获取文件信息,并判断文件信息是否发生变化。若文件信息发生变化,则确定文件为异常文件,获取异常文件的异常文件特征码。利用异常文件特征码和各个病毒特征码判断异常文件是否为病毒文件。若异常文件为病毒文件,则获取病毒文件对应的病毒信息,并输出病毒信息。本方法通过对高交互蜜罐中的文件进行监控,判断入侵者在高交互蜜罐中部署的病毒文件的类别,进而可以了解入侵者在进行入侵时惯用的病毒,更加全面地了解入侵者在进行入侵时的惯用方法。此外,本专利技术还提供了一种入侵检测装置、设备及计算机可读存储介质,同样具有上述有益效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本专利技术实施例提供的一种入侵检测方法流程图;图2为本专利技术实施例提供的另一种入侵检测方法流程图;图3为本专利技术实施例提供的另一种入侵检测方法流程图;图4为本专利技术实施例提供的另一种入侵检测方法流程图;图5为本专利技术实施例提供的一种入侵检测装置的结构示意图;图6为本专利技术实施例提供的一种入侵检测设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参考图1,图1为本专利技术实施例提供的一种入侵检测方法流程图。该方法包括:S101:对高交互蜜罐中的文件进行监控。具体的,分析中心获取蜜罐信息,利用蜜罐信息建立高交互蜜罐,具体请参考图2,图2为本专利技术实施例提供的另一种入侵检测方法流程图。其中,蜜罐信息包括IP地址、子网掩码、网关和操作系统类型。本实施例并不限定高交互蜜罐的具体数量,也不限定蜜罐信息是否仅有IP地址、子网掩码、网关和操作系统类型四项,可以根据具体情况设置高交互蜜罐的数量和蜜罐信息的具体内容。在本实施例中,利用与操作系统类型对应的监控程序对高交互蜜罐中的文件进行监控,例如当操作系统类型为Windows操作系统时,可以利用Windows底层驱动程序来进监控文件系统事件,即对本文档来自技高网...
【技术保护点】
1.一种入侵检测方法,其特征在于,包括:对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。
【技术特征摘要】
1.一种入侵检测方法,其特征在于,包括:对高交互蜜罐中的文件进行监控,判断所述文件的文件信息是否发生变化;若所述文件信息发生变化,则确定所述文件为异常文件,并获取所述异常文件的异常文件特征码;将所述异常文件特征码和各个病毒特征码进行对比,判断所述异常文件是否为病毒文件;若所述异常文件为所述病毒文件,则获取所述病毒文件对应的病毒信息,并输出所述病毒信息。2.根据权利要求1所述的入侵检测方法,其特征在于,所述对高交互蜜罐中的文件进行监控,包括:获取蜜罐信息,利用所述蜜罐信息建立所述高交互蜜罐;其中,所述蜜罐信息包括IP地址、子网掩码、网关和操作系统类型;利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控。3.根据权利要求2所述的入侵检测方法,其特征在于,在利用所述蜜罐信息建立所述高交互蜜罐之后,在利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控之前,还包括:获取所述高交互蜜罐的进程信息和网络连接信息,判断所述进程信息或所述网络连接信息是否发生变化;若所述进程信息或所述网络连接信息发生变化,则输出发生变化的所述进程信息或所述网络连接信息,并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。4.根据权利要求1所述的入侵检测方法,其特征在于,获取所述异常文件的异常文件特征码,包括:利用弱哈希算法对所述异常文件进行分片处理,得到多个异常文件分片;利用哈希算法计算各个所述异常文件分片的哈希值,并对所述哈希值进行压缩处理,得到与所述哈希值对应的压缩哈希值;查询预设特征码表得到各个所述压缩哈希值对应的ASCII码字符,并按照所述异常文件分片在所述异常文件中的位置排列所述ASCII码字符,得到所述异常文件特征码。5.根据权利要求4所述的入侵检测方法,其特征在于,将所述异常文件特征码和各...
【专利技术属性】
技术研发人员:张帅哲,范渊,黄进,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。