本申请实施例提供了一种入侵检测方法、系统、设备及存储介质,应用于入侵检测系统,所述入侵检测系统包括系统管理器、规则管理器和检测模块,所述方法包括:系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,本申请实施例可以解决不能准确定位入侵行为,且造成极高的误报率或极低的检出率的技术问题。题。题。
【技术实现步骤摘要】
入侵检测方法、系统、设备及存储介质
[0001]本申请实施例涉及信息安全领域,具体涉及入侵检测方法、系统、设备及存储介质。
技术介绍
[0002]入侵行为越来越受到人们的重视,因为如果出现网络安全问题,则会正常的工作学习造成很大的影响。
[0003]现有技术中,对入侵行为的检测都是通过单一检测模块进行,所以不能准确定位入侵行为,且造成极高的误报率或极低的检出率。
[0004]所以急需一种可以精准定位入侵行为的技术方案来解决上述技术问题。
技术实现思路
[0005]本申请的目的在于找到解决或部分解决应对不能准确定位入侵行为,且造成极高的误报率或极低的检出率的技术问题。
[0006]第一方面,本申请实施例提供了一种入侵检测方法,应用于入侵检测系统,所述入侵检测系统包括系统管理器、规则管理器和检测模块,其特征在于,所述方法包括:
[0007]系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
[0008]系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;
[0009]系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
[0010]作为本申请的一优选实施例,所述检测规则包括逻辑表达式和规则内容,所述系统管理器根据行为数据类型选择与行为数据类型对应的检测规则,包括:
[0011]系统管理器根据行为数据类型选择与逻辑表达式中第一个检测模块行为数据类型对应的检测规则。
[0012]作为本申请的一优选实施例,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。
[0013]作为本申请的一优选实施例,所述检测规则通过系统管理器调用规则管理器进行解析,包括:
[0014]系统管理器调用规则管理器获取检测规则中存储的逻辑表达式并保存;
[0015]系统管理器通过逻辑表达式获取需要执行的检测模块名及与检测模块名对应的属性及属性值。
[0016]作为本申请的一优选实施例,所述系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,包括:
[0017]系统管理器将当前待检测数据的属性值与检测规则中检测模块的属性值一一做比较,如果都一致,且每个检测模块都基于检测规则的逻辑表达式进行检测,则当前待检测数据为入侵行为。
[0018]作为本申请的一优选实施例,所述方法还包括:
[0019]系统管理器判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
[0020]与现有技术相比,本申请实施例提供的入侵检测方法中的检测规则可以根据待检测行为数据进行调整,且每个检测规则下有多个检测模块,每个检测模块对应多个属性及属性值,每个检测规则中设置有逻辑表达式,因此可以通过多维数据定位行为数据,多维数据间使用逻辑表达式描述其关系,可以满足不同场景下检测规则的编辑及应用,可以准确定位入侵行为,且减少误报率或提高检出率。
[0021]第二方面,本申请实施例还提供了一种入侵检测系统,所述系统包括:系统管理器、规则管理器和检测模块;
[0022]系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;
[0023]系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;
[0024]系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。
[0025]作为本申请的一优选实施例,所述系统管理器还用于判断逻辑表达式是否执行完毕,如果执行完毕,则对行为数据的检测结果进行处理。
[0026]作为本申请的一优选实施例,所述检测规则包括逻辑表达式和规则内容,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。
[0027]第三方面,本申请实施例还提供了一种入侵检测设备,所述设备包括:处理器和存储器;
[0028]所述存储器用于存储一个或多个程序指令;
[0029]所述处理器,用于运行一个或多个程序指令,用以执行上述任一项所述的一种入侵检测方法的步骤。
[0030]第四方面,本申请实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的一种入侵检测方法的步骤。
[0031]与现有技术相比,第二至第四方面实施例提供的技术方案的有益效果与第一方面提供的脚本命令漏洞检测方法的有益效果相同,在此不再赘述。
附图说明
[0032]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
[0033]图1为本申请一实施例提供的入侵检测系统的结构示意图;
[0034]图2为本申请一实施例提供的的入侵检测方法的流程示意图;
[0035]图3为本申请另一实施例提供的的入侵检测方法的流程示意图;
[0036]图4为本申请一实施例提供的入侵检测设备的结构示意图。
具体实施方式
[0037]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0038]如图1所示,第一方面,本申请实施例提供了一种入侵检测系统,所述入侵检测系统包括系统管理器01、规则管理器02和检测模块03;
[0039]其中,入侵检测系统安装在终端上,运维人员可以提前将检测规则配置完成,并下发到每个终端进行保存,保存到终端上的检测规则,在检测规则下发的过程中已经进行了解析,所以保存在终端上的规则为已经解析好的检测规则,一般的行为数据都是通过启动进程,退出进程,文件读写,注册表读写等产生,当检测到终端设备上有行为数据产生时,系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,如行为数据为启动进程的行为数据,则选择与启动的进程文件名匹配的检测规则进行行为数据检测,如果多个检测规则中包含有进程模块,这样就可以通过多个检测规则对启动的进程产生的行为数据进行入侵检测。
[0040]本申请实施例每个终端设备上保存有已经解析完成的检测规则,每种行为数据对会对应有检测规则对其进行入侵检测,这样可以满足不同场景下检测规则的编辑及应用,可以准确定位入侵行为,且减少误报率或提高检出率。
[0041]如图2所示,本申请实施例还提供了一种入侵检测方法,所述方法应用于入侵检测系统,所述方法具体包括如下步本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种入侵检测方法,应用于入侵检测系统,所述入侵检测系统包括系统管理器、规则管理器和检测模块,其特征在于,所述方法包括:系统管理器获取检测规则,检测规则通过系统管理器调用规则管理器进行解析;系统管理器根据行为数据类型选择与行为数据类型对应的检测规则;系统管理器根据规则管理器的解析结果对行为数据进行入侵检测。2.如权利要求1所述的一种入侵检测方法,其特征在于,所述检测规则包括逻辑表达式和规则内容,所述系统管理器根据行为数据类型选择与行为数据类型对应的检测规则,包括:系统管理器根据行为数据类型选择与逻辑表达式中第一个检测模块行为数据类型对应的检测规则。3.如权利要求2所述的一种入侵检测方法,其特征在于,所述规则内容包括多个检测模块名和与检测模块名对应的属性及属性值。4.如权利要求2所述的入侵检测方法,其特征在于,所述检测规则通过系统管理器调用规则管理器进行解析,包括:系统管理器调用规则管理器获取检测规则中存储的逻辑表达式并保存;系统管理器通过逻辑表达式获取需要执行的检测模块名及与检测模块名对应的属性及属性值。5.如权利要求1所述的入侵检测方法,其特征在于,所述系统管理器根据规则管理器的解析结果对行为数据进行入侵检测,包括:系统管理器将当前待检测数据的属...
【专利技术属性】
技术研发人员:李玉成,孙维伯,何艺,陈洪国,黄翔宇,
申请(专利权)人:北京持安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。