本申请提供一种入侵检测方法、装置、电子设备及计算机可读存储介质,属于计算机技术领域。入侵检测方法,包括:获取数据包;确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数;基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果。通过预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数和攻击规则库中的攻击特征对数据包进行检测,提高了不同攻击特征进行检测时的检测深度,从而可以更加全面地对数据包进行检测。从而可以更加全面地对数据包进行检测。从而可以更加全面地对数据包进行检测。
【技术实现步骤摘要】
入侵检测方法、装置、电子设备及计算机可读存储介质
[0001]本申请涉及计算机的
,具体而言,涉及一种入侵检测方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]在用户使用电子设备访问互联网时,一般通过部署入侵检测设备来检测访问互联网时产生的流量中可能存在的攻击行为。安全研究员会根据真实攻击行为中的流量,分析出该类型攻击特有的攻击特征,并将该攻击特征通过文本方式记录到攻击规则库中。
[0003]入侵检测设备在对流量中的数据包进行检测时,会读取数据包中预设字节数量的内容,并将该部分内容与攻击规则库中的攻击特征进行匹配,若匹配成功,则认为该数据包存在攻击行为。其中,本申请专利技术人在研究本申请时,发现现有的这种检测方式难以全面地检测到数据包中存在的攻击行为。
技术实现思路
[0004]本申请提供一种入侵检测方法、装置、电子设备及计算机可读存储介质,以解决现有的检测方式难以全面地检测到数据包中存在的攻击行为的问题。
[0005]第一方面,本申请提供一种入侵检测方法,包括:获取数据包;确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数;基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果。
[0006]本申请实施例中,通过预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数和攻击规则库中的攻击特征对数据包进行检测,提高了不同攻击特征进行检测时的检测深度,从而可以更加全面地对数据包进行检测。
[0007]结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,包括:从所述攻击规则库中随机获取并记录两个深度参数,删除记录的所述两个深度参数中最小的深度参数;从所述攻击规则库的剩余深度参数中随机获取并记录一个深度参数,删除记录的两个深度参数中最小的深度参数,直至所述攻击规则库中不存在剩余的深度参数,最终记录的最大的深度参数为所述最大深度参数。
[0008]本申请实施例中,通过记录两个深度参数,并删除其中最小的深度参数,可以使记录的深度参数始终大于被删除的所有深度参数。因此,在攻击规则库中不存在剩余的深度参数时,记录的最大深度参数为攻击规则库中的最大深度参数。通过遍历所有的深度参数,保证最终得到的最大深度参数的准确性。
[0009]结合上述第一方面提供的技术方案,在一些可能的实施方式中,若所述最大深度参数为所述攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,所述基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果,包括:获取所述数据包中字节数为所述最大深度参数的内容,并将该内容与所述攻击规则
库中的所有攻击特征分别进行匹配,得到所述检测结果。
[0010]本申请实施例中,在最大深度参数为攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数时,将该最大深度参数作为所有攻击特征进行检测时检测的字节数,提高了不同攻击特征进行检测时的检测深度,从而可以更加全面地对数据包进行检测。
[0011]结合上述第一方面提供的技术方案,在一些可能的实施方式中,若所述最大深度参数为所述攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数,所述基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果,包括:针对每种类型,获取所述数据包中字节数为该类型对应的最大深度参数的内容,并将该内容与该类型下的所有攻击特征分别进行匹配,得到所述检测结果。
[0012]本申请实施例中,通过将不同类型对应的最大深度参数作为该类型所有攻击特征进行检测时检测的字节数,可以较为全面地对该类型攻击行为进行检测。同时,不同攻击类型对应不同的最大深度参数,可以减少部分类型对应的攻击特征进行匹配时需要的计算量,提高匹配效率。
[0013]结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述攻击规则库还包括每个攻击特征用于攻击的协议类型,所述确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,包括:获取所述数据包对应的目标协议类型;根据所述攻击规则库中用于攻击所述目标协议类型的所有攻击特征对应的深度参数,确定所述最大深度参数;相应的,所述基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果,包括:获取所述数据包中字节数为所述最大深度参数的内容,并将该内容与所述攻击规则库中用于攻击所述目标协议类型的所有攻击特征分别进行匹配,得到所述检测结果。
[0014]本申请实施例中,通过获取数据包对应的目标协议类型,从而在后续进行匹配时,无需将该数据包与不用于攻击该目标协议类型的攻击特征进行匹配,降低了匹配需要的时间,提高了匹配效率。
[0015]第二方面,本申请提高一种入侵检测装置,包括:获取模块、确定模块和处理模块,获取模块用于获取数据包;确定模块用于确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数;处理模块用于基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果。
[0016]结合上述第二方面提供的技术方案,在一些可能的实施方式中,若所述最大深度参数为所述攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,所述处理模块,具体用于获取所述数据包中字节数为所述最大深度参数的内容,并将该内容与所述攻击规则库中的所有攻击特征分别进行匹配,得到所述检测结果。
[0017]结合上述第二方面提供的技术方案,在一些可能的实施方式中,若所述最大深度参数为所述攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数,所述处理模块,具体用于针对每种类型,获取所述数据包中字节数为该类型对应的最大深度参数的内容,并将该内容与该类型下的所有攻击特征分别进行匹配,得到所述检测结果。
[0018]第三方面,本申请实施例还提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器连接;所述存储器,用于存储程序;所述处理器,用于调用存储于所述存储器中的程序,以执行如上述第一方面实施例和/或结合上述第一方面实施例的任一种可
能的实施方式提供的方法。
[0019]第四方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被计算机运行时,执行如上述第一方面实施例和/或结合上述第一方面实施例的任一种可能的实施方式提供的方法。
附图说明
[0020]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0021]图1为本申请实施例示出的第一种入侵检测方法的流程示意图;
[0022]图2为本申请实施例示出的第本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种入侵检测方法,其特征在于,包括:获取数据包;确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数;基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果。2.根据权利要求1所述的方法,其特征在于,所述确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,包括:从所述攻击规则库中随机获取并记录两个深度参数,删除记录的所述两个深度参数中最小的深度参数;从所述攻击规则库的剩余深度参数中随机获取并记录一个深度参数,删除记录的两个深度参数中最小的深度参数,直至所述攻击规则库中不存在剩余的深度参数,最终记录的最大的深度参数为所述最大深度参数。3.根据权利要求1所述的方法,其特征在于,若所述最大深度参数为所述攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,所述基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果,包括:获取所述数据包中字节数为所述最大深度参数的内容,并将该内容与所述攻击规则库中的所有攻击特征分别进行匹配,得到所述检测结果。4.根据权利要求1所述的方法,其特征在于,若所述最大深度参数为所述攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数,所述基于所述最大深度参数和所述攻击规则库中的攻击特征,对所述数据包进行检测,得到检测结果,包括:针对每种类型,获取所述数据包中字节数为该类型对应的最大深度参数的内容,并将该内容与该类型下的所有攻击特征分别进行匹配,得到所述检测结果。5.根据权利要求1所述的方法,其特征在于,所述攻击规则库还包括每个攻击特征用于攻击的协议类型,所述确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数,包括:获取所述数据包对应的目标协议类型;根据所述攻击规则库中用于攻击所...
【专利技术属性】
技术研发人员:张红学,刘联凯,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。