入侵检测方法及装置、存储介质及电子设备制造方法及图纸

本发明专利技术提供了一种入侵检测方法及装置、存储介质及电子设备，该方法包括：在需要对用户的操作行为进行检测的情况下，确定用户对应的历史操作命令集合，包括多个历史命令会话；对历史操作命令集合进行向量化处理，获得命令向量集合；依据命令向量集合和最小协方差行列式算法，确定命令向量集合的均值和协方差估计量；确定待检测命令会话和目标命令向量；依据所述均值、协方差估计量和目标命令向量，确定目标马氏距离；判断目标马氏距离是否符合预设异常条件，若符合，则将待检测命令会话对应的操作行为视为入侵行为。应用本发明专利技术的方法，以用户的历史行为基准进行入侵检测，对于已知类型或未知类型的伪装攻击均可进行识别，可提高检测的准确度。检测的准确度。检测的准确度。

【技术实现步骤摘要】
入侵检测方法及装置、存储介质及电子设备


[0001]本专利技术涉及系统安全
，特别是涉及一种入侵检测方法及装置、存储介质及电子设备。

技术介绍

[0002]在业务系统的运行过程中，对系统进行系统审计是保障系统安全性的重要措施之一，系统审计指的是对系统运行状况进行检查和评价。在系统审计的场景中，通常需要对用户在系统中使用的操作命令进行检测，识别该操作命令是否为攻击者伪装成用户所输入的操作指令，以检测系统是否存在入侵行为。
[0003]目前，在入侵检测的过程中，通常是按照已知的各类伪装攻击行为，设置各类攻击行为的操作命令形式，当检测到用户使用的操作命令与预设的操作命令形式相匹配时，将该用户的操作行为视为入侵行为。
[0004]随着攻击者的伪装攻击行为不断升级，攻击者使用的操作命令亦可能与系统已知的攻击行为并不匹配，基于现有的入侵检测方式，仅能对已知类型的伪装攻击行为进行检测，当攻击者使用新型的操作命令入侵系统时，难以准确对该入侵行为进行检测，导致入侵检测的检测准确性较差，而漏检率较高。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供了一种入侵检测方法，以解决现有入侵检测过程中，当攻击者使用新型的操作命令时，难以准确进行检测，检测准确率较低的问题。
[0006]本专利技术实施例还提供了一种入侵检测装置，用以保证上述方法实际中的实现及应用。
[0007]为实现上述目的，本专利技术实施例提供如下技术方案：
[0008]一种入侵检测方法，包括：
[0009]在需要对用户的操作行为进行检测的情况下，确定所述用户对应的历史操作命令集合；所述历史操作命令集合包括多个历史命令会话，每个所述历史命令会话包括多个命令符；
[0010]对所述历史操作命令集合进行向量化处理，获得所述历史操作命令集合对应的命令向量集合；所述命令向量集合包括每个所述历史命令会话对应的命令向量；
[0011]依据所述命令向量集合以及预设的最小协方差行列式算法，确定所述命令向量集合对应的均值和协方差估计量；
[0012]确定所述用户对应的待检测命令会话和所述待检测命令会话对应的目标命令向量；
[0013]依据所述均值、所述协方差估计量以及所述目标命令向量，确定所述待检测命令会话对应的目标马氏距离，所述目标马氏距离为所述目标命令向量与所述命令向量集合的整体分布之间的马氏距离；
[0014]判断所述目标马氏距离是否符合预设的异常条件；
[0015]若所述目标马氏距离符合所述预设的异常条件，则将所述待检测命令会话对应的操作行为确定为入侵行为。
[0016]上述的方法，可选的，所述对所述历史操作命令集合进行向量化处理，获得所述历史操作命令集合对应的命令向量集合，包括：
[0017]对于每个所述历史命令会话中的每个命令符，通过预设的词嵌入模型对该命令符进行向量化处理，获得该命令符对应的向量，并将该命令符对应的向量作为该历史命令会话对应的命令符向量；
[0018]对于每个所述历史命令会话，依据该历史命令会话对应的各个命令符向量，确定该历史命令会话对应的命令向量；
[0019]将各个所述历史命令会话对应的命令向量组成所述命令向量集合。
[0020]上述的方法，可选的，所述依据该历史命令会话对应的各个命令符向量，确定该历史命令会话对应的命令向量，包括：
[0021]依据该历史命令会话对应的各个命令符向量，构建该历史命令会话对应的第一向量；
[0022]基于预设的最大池化算法，对所述第一向量进行池化处理，获得所述第一向量对应的第二向量，并将所述第二向量作为该历史命令会话对应的命令向量。
[0023]上述的方法，可选的，所述依据所述命令向量集合以及预设的最小协方差行列式算法，确定所述命令向量集合对应的均值和协方差估计量，包括：
[0024]依据所述预设的最小协方差行列式算法，在所述命令向量集合中确定命令向量子集合；所述预设的最小协方差行列式算法为最小协方差行列式快速估计算法；
[0025]依据所述预设的最小协方差行列式算法对应的均值计算策略，计算所述命令向量子集合对应的均值，并将所述命令向量子集合对应的均值作为该命令向量集合对应的均值；
[0026]依据所述预设的最小协方差行列式算法对应的协方差计算策略，计算所述命令向量子集合对应的协方差估计量，并将所述命令向量子集合对应的协方差估计量作为该命令向量集合对应的协方差估计量。
[0027]上述的方法，可选的，所述判断所述目标马氏距离是否符合预设的异常条件，包括：
[0028]将所述目标马氏距离与预设阈值进行比较；
[0029]若所述目标马氏距离大于所述预设阈值，则确定所述目标马氏距离符合所述预设的异常条件；
[0030]若所述目标马氏距离小于或等于所述预设阈值，则确定所述目标马氏距离不符合所述预设的异常条件。
[0031]一种入侵检测装置，包括：
[0032]第一确定单元，用于在需要对用户的操作行为进行检测的情况下，确定所述用户对应的历史操作命令集合；所述历史操作命令集合包括多个历史命令会话，每个所述历史命令会话包括多个命令符；
[0033]向量化单元，用于对所述历史操作命令集合进行向量化处理，获得所述历史操作
命令集合对应的命令向量集合；所述命令向量集合包括每个所述历史命令会话对应的命令向量；
[0034]第二确定单元，用于依据所述命令向量集合以及预设的最小协方差行列式算法，确定所述命令向量集合对应的均值和协方差估计量；
[0035]第三确定单元，用于确定所述用户对应的待检测命令会话和所述待检测命令会话对应的目标命令向量；
[0036]第四确定单元，用于依据所述均值、所述协方差估计量以及所述目标命令向量，确定所述待检测命令会话对应的目标马氏距离，所述目标马氏距离为所述目标命令向量与所述命令向量集合的整体分布之间的马氏距离；
[0037]判断单元，用于判断所述目标马氏距离是否符合预设的异常条件；
[0038]第五确定单元，用于若所述目标马氏距离符合所述预设的异常条件，则将所述待检测命令会话对应的操作行为确定为入侵行为。
[0039]上述的装置，可选的，所述向量化单元，包括：
[0040]处理子单元，用于对于每个所述历史命令会话中的每个命令符，通过预设的词嵌入模型对该命令符进行向量化处理，获得该命令符对应的向量，并将该命令符对应的向量作为该历史命令会话对应的命令符向量；
[0041]确定子单元，用于对于每个所述历史命令会话，依据该历史命令会话对应的各个命令符向量，确定该历史命令会话对应的命令向量；
[0042]组合子单元，用于将各个所述历史命令会话对应的命令向量组成所述命令向量集合。
[0043]上述的装置，可选的，所述确定子单元，包括：
[0044]构建子单元，用于依据该历史命令会话对应的各个命令符向量，构建该历史命令会话对应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种入侵检测方法，其特征在于，包括：在需要对用户的操作行为进行检测的情况下，确定所述用户对应的历史操作命令集合；所述历史操作命令集合包括多个历史命令会话，每个所述历史命令会话包括多个命令符；对所述历史操作命令集合进行向量化处理，获得所述历史操作命令集合对应的命令向量集合；所述命令向量集合包括每个所述历史命令会话对应的命令向量；依据所述命令向量集合以及预设的最小协方差行列式算法，确定所述命令向量集合对应的均值和协方差估计量；确定所述用户对应的待检测命令会话和所述待检测命令会话对应的目标命令向量；依据所述均值、所述协方差估计量以及所述目标命令向量，确定所述待检测命令会话对应的目标马氏距离，所述目标马氏距离为所述目标命令向量与所述命令向量集合的整体分布之间的马氏距离；判断所述目标马氏距离是否符合预设的异常条件；若所述目标马氏距离符合所述预设的异常条件，则将所述待检测命令会话对应的操作行为确定为入侵行为。2.根据权利要求1所述的方法，其特征在于，所述对所述历史操作命令集合进行向量化处理，获得所述历史操作命令集合对应的命令向量集合，包括：对于每个所述历史命令会话中的每个命令符，通过预设的词嵌入模型对该命令符进行向量化处理，获得该命令符对应的向量，并将该命令符对应的向量作为该历史命令会话对应的命令符向量；对于每个所述历史命令会话，依据该历史命令会话对应的各个命令符向量，确定该历史命令会话对应的命令向量；将各个所述历史命令会话对应的命令向量组成所述命令向量集合。3.根据权利要求2所述的方法，其特征在于，所述依据该历史命令会话对应的各个命令符向量，确定该历史命令会话对应的命令向量，包括：依据该历史命令会话对应的各个命令符向量，构建该历史命令会话对应的第一向量；基于预设的最大池化算法，对所述第一向量进行池化处理，获得所述第一向量对应的第二向量，并将所述第二向量作为该历史命令会话对应的命令向量。4.根据权利要求1所述的方法，其特征在于，所述依据所述命令向量集合以及预设的最小协方差行列式算法，确定所述命令向量集合对应的均值和协方差估计量，包括：依据所述预设的最小协方差行列式算法，在所述命令向量集合中确定命令向量子集合；所述预设的最小协方差行列式算法为最小协方差行列式快速估计算法；依据所述预设的最小协方差行列式算法对应的均值计算策略，计算所述命令向量子集合对应的均值，并将所述命令向量子集合对应的均值作为该命令向量集合对应的均值；依据所述预设的最小协方差行列式算法对应的协方差计算策略，计算所述命令向量子集合对应的协方差估计量，并将所述命令向量子集合对应的协方差估计量作为该命令向量集合对应的协方差估计量。5.根据权利要求1所述的方法，其特征在于，所述判断所述目标马氏距离是...

【专利技术属性】
技术研发人员：范皓，高浩浩，马奇辰，焦伟，周博雅，王景丽，赵佳祥，
申请(专利权)人：中债金科信息技术有限公司，
类型：发明
国别省市：