【技术实现步骤摘要】
【国外来华专利技术】对计算机系统的入侵识别
[0001]各种示例一般涉及用于基于对计算机系统的日志消息的分析对所述计算机系统进行入侵识别的技术。各种示例特别是涉及分布式数据库与入侵识别相关联的使用。
技术介绍
[0002]用于入侵识别(英语:Intrusion Detection System,入侵识别系统;IDS)的分析设备是一种监视计算机系统(例如各个计算机或包括多个计算机的网络)并旨在识别攻击的设备。IDS通常使用两种不同的技术来识别攻击。第一种:基于签名(英语:signature
‑
based)的攻击识别使用存储在数据库中的攻击模式来监视活动的计算机系统。通过将来自数据库的攻击签名与主动的系统行为进行比较来识别攻击。如果存储的攻击签名与当前系统行为一致,则IDS推断存在攻击。第二种:基于异常的IDS。该技术试图通过识别计算机系统的系统行为的变化来检测攻击。这意味着IDS在第一步骤中学习/分析计算机系统的正常行为(或值得信赖的第三实体学习所述正常行为),以在第二步骤中将主动的系统行为与先前学习的正常行为进行比较。如果当前行为偏离了先前学习的正常行为,则这可以被评估为异常,并且可能是对计算机系统的攻击或损害的迹象。系统是否偏离正常行为的决定可以借助于统计方法或机器学习算法(英语:Machine Learning)来实现。
[0003]基于主机的IDS(HIDS)安装在计算机系统上并收集关于其操作状态的信息,以便借助于这些信息来识别攻击。基于网络的IDS(英语:network
‑
based ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种分析设备(111、111
‑
1、111
‑
2、111
‑
3),具有处理器(112)和通信接口(114),其中所述处理器(112)被设置为从存储器(113)加载程序代码并执行所述程序代码,并且在此基础上执行以下步骤:
‑
经由所述通信接口(114)与分布式数据库(200)的基础设施(129)的至少一个节点(121、121
‑
1、121
‑
2、121
‑
3)通信,以获得对计算机系统(101)进行入侵识别的授权(193、214、215),以及
‑
根据是否获得所述授权(193、214、215):基于对所述计算机系统(101)的经由所述通信接口(114)从所述计算机系统(101)接收到的日志消息(191)的分析,对所述计算机系统(101)进行入侵识别。2.如权利要求1所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述授权(193、214、215)基于由所述至少一个节点(121、121
‑
1、121
‑
2、121
‑
3)执行的智能合约(192、220)的结果值(214)。3.如权利要求2所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述处理器(112)还被设置为基于所述程序代码执行以下步骤:
‑
根据所述结果值(214)申请在所述分布式数据库中存储指示所述分析设备(111、111
‑
1、111
‑
2、111
‑
3)的身份的注册信息。4.如权利要求3所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述处理器(112)还被设置为基于所述程序代码执行以下步骤:
‑
向所述计算机系统(101)发送进行所述入侵识别的请求,所述请求指示所述注册信息。5.如权利要求4所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述请求包括所述分析设备(111、111
‑
1、111
‑
2、111
‑
3)的公共密码密钥材料和/或证书中的至少一个。6.如权利要求3至5中任一项所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述处理器还被设置为基于所述程序代码执行以下步骤:
‑
在所述分布式数据库(200)中查找以获得所述结果值,以及
‑
将所述结果值与所述注册信息进行比较,其中根据所述比较选择性地进行所述申请。7.如前述权利要求中任一项所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述分析基于至少一种算法。8.如权利要求6所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述处理器(112)还被设置为基于所述程序代码执行以下步骤:
‑
基于所述分布式数据库(200)中的对应条目或基于所述授权(193)选择至少一种机器学习算法。9.如前述权利要求中任一项所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中所述处理器(112)还被设置为基于所述程序代码执行以下步骤:
‑
将所述分析的结果存储在所述分布式数据库(200)中。10.如前述权利要求中任一项所述的分析设备(111、111
‑
1、111
‑
2、111
‑
3),其中经由端到端通信通道(302)直接从所述计算机系统(101)接收所述日志消息(191)或经由代理或预
言机接收所述日志消息(191)。11.一种分布式数据库(200)的基础设施(129)的节点(121、121
‑
1、121
‑
2、121
‑
3),所述节点具有处理器(122)和通信接口(124),其中所述处理器(122)被设置为从存储器...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。