【技术实现步骤摘要】
入侵的检测方法和装置、存储介质、电子装置
本申请涉及互联网领域,具体而言,涉及一种入侵的检测方法和装置、存储介质、电子装置。
技术介绍
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等),其中,入侵攻击是最常见的网络攻击之一。入侵检测系统(IntrusionDetectionSystem,简称“IDS”)是一种应对网络攻击的检测系统,可以对网络传输进行即时监控,在发现可疑网络传输时发出警报或者采取主动反应措施的网络安全设备。IDS是安全防护体系的重要一环,也是安全纵深防御体系中的最后一环。当攻击者攻击到内部网络,获得了服务器的权限,通过账户操作、提权操作、网络配置、文件操作,往往会给主机所有者造成严重的损害,包括服务中断或彻底破坏、数据泄露或丢失、持续执行与业务无关的操作(例如发送DDOS攻击数据包、挖矿等),有时还会使服务器持续留有后门。Linux系统的HIDS一直是安全...
【技术保护点】
1.一种入侵的检测方法,其特征在于,包括:/n确定系统内核中的目标进程,其中,所述目标进程为待确认是否为入侵所述系统内核所产生的异常进程;/n通过通信连接获取所述目标进程的事件数据,其中,所述通信连接为与所述系统内核之间进行通信的连接,所述事件数据为所述目标进程的关联事件产生的数据;/n根据所述事件数据的数据特征确定所述目标进程是否为异常进程。/n
【技术特征摘要】
1.一种入侵的检测方法,其特征在于,包括:
确定系统内核中的目标进程,其中,所述目标进程为待确认是否为入侵所述系统内核所产生的异常进程;
通过通信连接获取所述目标进程的事件数据,其中,所述通信连接为与所述系统内核之间进行通信的连接,所述事件数据为所述目标进程的关联事件产生的数据;
根据所述事件数据的数据特征确定所述目标进程是否为异常进程。
2.根据权利要求1所述的方法,其特征在于,
在通过通信连接获取所述目标进程的事件数据之前,所述方法还包括:建立监控应用与所述系统内核之间的所述通信连接,其中,所述监控应用为用户态的应用;
通过通信连接获取所述目标进程的事件数据包括:在所述监控应用中,通过调用所述通信连接获取所述目标进程的事件数据。
3.根据权利要求2所述的方法,其特征在于,建立监控应用与所述系统内核之间的所述通信连接包括:
向所述系统内核发送第一指示信息,其中,所述第一指示信息用于指示所述系统内核建立连接器实例,所述第一指示信息中携带有所述连接器实例的实例标识,所述连接器实例用于实现所述监控应用与所述系统内核之间的所述通信连接,所述连接器实例为内核态的应用实例;
在接收到所述系统内核的表示建立成功的第一响应消息的情况下,向所述系统内核发送第二指示信息,其中,所述第二指示信息用于指示所述系统内核将所述实例标识加入到目标标识集合中,所述目标标识集合中的标识用于表示所述内核态中允许与所述用户态中应用进行通信的应用;
在接收所述系统内核的表示加入成功的第二响应消息的情况下,利用所述连接器实例建立所述监控应用与所述系统内核之间的所述通信连接。
4.根据权利要求2所述的方法,其特征在于,在根据所述事件数据的数据特征确定所述目标进程是否为异常进程之后,所述方法还包括:
在所述监控应用中展示所述目标进程是否为异常进程的提示信息。
5.根据权利要求1所述的方法,其特征在于,确定系统内核中的目标进程包括:
接收所述系统内核中的连接器实例监听到的进程创建消息,其中,所述进程创建消息中携带有在所述系统内核中创建的进程的进程标识;
将所述进程...
【专利技术属性】
技术研发人员:翁迟迟,
申请(专利权)人:北京奇艺世纪科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。