用于入侵檢測的數(shù)據(jù)檢測方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及入侵檢測領(lǐng)域，具體而言，涉及一種用于入侵檢測的數(shù)據(jù)檢測方法和
目.ο
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)被廣泛的應(yīng)用到各個領(lǐng)域，這樣互聯(lián)網(wǎng)的安全隱患也就逐漸顯露出來，例如web類業(yè)務(wù)，尤其是web框架、公共網(wǎng)關(guān)接口(Common GatewayInterface,簡稱為CGI)的漏洞引起的命令執(zhí)行、命令注入攻擊,給web類業(yè)務(wù)帶來極大的安全隱患。
[0003]目前，對于入侵行為的檢測通常是基于規(guī)則匹配(黑名單)的方式，該方式會收集一些可疑的、黑客滲透的常用命令加入黑名單中，將待檢測數(shù)據(jù)與黑名單進行匹配，確定其是否為入侵行為。然而，對于待檢測數(shù)據(jù)中的一些異常數(shù)據(jù)，通過黑名單難以有效識別該異常數(shù)據(jù)是否為入侵行為的數(shù)據(jù)。例如，通過收集的一些可疑的、黑客滲透的常用命令，web管理員也會在對web運營維護的時候使用這些命令。這樣黑名單的檢測方式就會在對入侵行為的漏報與誤報之間難以平衡。黑名單增多，覆蓋管理員操作，會導(dǎo)致誤報；黑名單減少，缺乏某些危險命令，會導(dǎo)致漏報。
[0004]另外、由于命令執(zhí)行、注入的方式各種各樣，通過編碼、混淆等方式很容易繞過基于黑名單的檢測方式。由于無法準確檢測出通過編碼、混淆等方式產(chǎn)生的異常數(shù)據(jù)，因此無法對這些異常數(shù)據(jù)作進一步的入侵檢測，導(dǎo)致無法準確檢測出入侵行為。
[0005]針對現(xiàn)有技術(shù)中無法準確檢測異常數(shù)據(jù)的問題，目前尚未提出有效的解決方案。

【發(fā)明內(nèi)容】

[0006]本發(fā)明實施例提供了一種用于入侵檢測的數(shù)據(jù)檢測方法和裝置，以解決現(xiàn)有技術(shù)中無法準確檢測異常數(shù)據(jù)的問題。
[0007]根據(jù)本發(fā)明實施例的一個方面，提供了一種用于入侵檢測的數(shù)據(jù)檢測方法，包括:獲取待檢測數(shù)據(jù)，所述待檢測數(shù)據(jù)為被檢測的數(shù)據(jù)；將所述待檢測數(shù)據(jù)與正常模型進行比較，得到比較結(jié)果，其中，所述正常模型為預(yù)先建立的正常行為對應(yīng)的數(shù)據(jù)模型；以及根據(jù)所述比較結(jié)果確定所述待檢測數(shù)據(jù)是否為異常數(shù)據(jù)。
[0008]根據(jù)本發(fā)明實施例的另一方面，還提供了一種用于入侵檢測的數(shù)據(jù)檢測裝置，包括:獲取單元，用于獲取待檢測數(shù)據(jù)，所述待檢測數(shù)據(jù)為被檢測的數(shù)據(jù)；比較單元，用于將所述待檢測數(shù)據(jù)與正常模型進行比較，得到比較結(jié)果，其中，所述正常模型為預(yù)先建立的正常行為對應(yīng)的數(shù)據(jù)模型；以及第一確定單元，用于根據(jù)所述比較結(jié)果確定所述待檢測數(shù)據(jù)是否為異常數(shù)據(jù)。
[0009]在本發(fā)明實施例中，通過獲取待檢測數(shù)據(jù)，將待檢測數(shù)據(jù)與正常模型進行比較，根據(jù)比較結(jié)果確定待檢測數(shù)據(jù)是否為異常數(shù)據(jù)，通過采用正常模型來匹配待檢測數(shù)據(jù)，由于計算機或者服務(wù)器的正常業(yè)務(wù)運維、訪問命令，通常具有固定性和規(guī)律性，也即有固定的數(shù)據(jù)模型，準確地檢測出異常數(shù)據(jù)，用于進行入侵檢測，找出入侵行為，解決了無法準確檢測異常數(shù)據(jù)的問題，達到了提高異常數(shù)據(jù)檢測的準確性的效果。
【附圖說明】
[0010]此處所說明的附圖用來提供對本發(fā)明的進一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
[0011]圖1是根據(jù)本發(fā)明實施例的一種計算機的結(jié)構(gòu)框圖；
[0012]圖2是根據(jù)本發(fā)明實施例的數(shù)據(jù)檢測方法的流程圖；
[0013]圖3是根據(jù)本發(fā)明實施例一種可選的數(shù)據(jù)檢測方法的流程圖；
[0014]圖4是根據(jù)本發(fā)明實施例另一種可選的數(shù)據(jù)檢測方法的流程圖；
[0015]圖5是根據(jù)本發(fā)明實施例的數(shù)據(jù)檢測裝置的示意圖；
[0016]圖6是根據(jù)本發(fā)明實施例一種可選的數(shù)據(jù)檢測裝置的示意圖；以及
[0017]圖7是根據(jù)本發(fā)明實施例另一種可選的數(shù)據(jù)檢測裝置的示意圖。
【具體實施方式】
[0018]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應(yīng)當(dāng)屬于本發(fā)明保護的范圍。
[0019]需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0020]實施例1
[0021]根據(jù)本發(fā)明實施例，提供了一種用于入侵檢測的數(shù)據(jù)檢測方法，該方法可由計算機或者類似的運算裝置執(zhí)行。圖1所示為一種計算機的結(jié)構(gòu)框圖。如圖1所示，計算機100包括一個或多個(圖中僅示出一個)處理器102、存儲器104、以及傳輸模塊106。本領(lǐng)域普通技術(shù)人員可以理解，圖1所示的結(jié)構(gòu)僅為示意，其并不對上述電子裝置的結(jié)構(gòu)造成限定。例如，計算機100還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。
[0022]存儲器104可用于存儲軟件程序以及模塊，如本發(fā)明實施例中的用于入侵檢測的數(shù)據(jù)檢測方法和裝置對應(yīng)的程序指令/模塊，處理器102通過運行存儲在存儲器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實現(xiàn)上述的用于入侵檢測的數(shù)據(jù)檢測方法和裝置，例如對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行入侵檢測。存儲器104可包括高速隨機存儲器，還可包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中，存儲器104可進一步包括相對于處理器102遠程設(shè)置的存儲器，這些遠程存儲器可以通過網(wǎng)絡(luò)連接至計算機100。上述網(wǎng)絡(luò)的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。
[0023]傳輸模塊106用于經(jīng)由一個網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實例可包括有線網(wǎng)絡(luò)及無線網(wǎng)絡(luò)。在一個實例中，傳輸模塊106包括一個網(wǎng)絡(luò)適配器(NetworkInterface Controller,NIC),其可通過網(wǎng)線與其他網(wǎng)絡(luò)設(shè)備與路由器相連從而可與互聯(lián)網(wǎng)進行通訊。在一個實例中，傳輸模塊106可以是射頻(Rad1 Frequency, RF)模塊,其用于通過無線方式與互聯(lián)網(wǎng)進行通訊。
[0024]如圖2所示，該用于入侵檢測的數(shù)據(jù)檢測方法包括:
[0025]步驟S202，獲取待檢測數(shù)據(jù)，待檢測數(shù)據(jù)為被檢測的數(shù)據(jù)。
[0026]待檢測數(shù)據(jù)可以是通過傳輸模塊106傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，即來自網(wǎng)絡(luò)的信息流。具體地，傳輸模塊106連接至網(wǎng)絡(luò)，接收來自網(wǎng)絡(luò)的各種各樣的數(shù)據(jù)，入侵檢測系統(tǒng)在對網(wǎng)絡(luò)傳輸進行及時監(jiān)控的過程中，需要實時收集網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。具體地，本發(fā)明實施例的待檢測數(shù)據(jù)可以是web服務(wù)器執(zhí)行的命令。獲取待檢測數(shù)據(jù)，以便于對待檢測數(shù)據(jù)進行收集?？梢允菍崟r獲取待檢測數(shù)據(jù)，以便對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行實時檢測。
[0027]步驟S204，將待檢測數(shù)據(jù)與正常模型進行比較，得到比較結(jié)果。其中，正常模型為預(yù)先建立的正常行為對應(yīng)的數(shù)據(jù)模型。
[0028]由于計算機或者服務(wù)器的正常業(yè)務(wù)運維、訪問命令，通常具有固定性和規(guī)律性，也即有固定的數(shù)據(jù)模型。利用正常的業(yè)務(wù)行為對應(yīng)的數(shù)據(jù)(如命令等)建立正常模型，用于對待檢測數(shù)據(jù)進行檢測。惡意訪問、數(shù)據(jù)竊取、篡改等命令會異常于正常模型。該正常模型相當(dāng)于白名單，當(dāng)待檢測數(shù)據(jù)與該正常模型完全一樣時，表明該待檢測數(shù)據(jù)不是異常數(shù)據(jù)，否則，則為疑似異常數(shù)據(jù)。
[0029]本發(fā)明實施例，可以根據(jù)不同的來源ip，預(yù)先建立不同的正常模型，從而對于可以針對單個ip來對待檢測數(shù)據(jù)進行檢測，提高監(jiān)測的準確性。建立的正常模型的數(shù)據(jù)維度可以包括來源ip、命令、目錄、參數(shù)、執(zhí)行時間等。
[0030]進一步地，可以根據(jù)比較結(jié)果來修正正常模型，從而實現(xiàn)對正常模型的訓(xùn)練，使其具備學(xué)習(xí)能力，不斷提高監(jiān)測效果。當(dāng)然，對于正常模型中的超時數(shù)據(jù)，可以進行刪除修正，從而減少正常模型的冗余數(shù)據(jù)，提高監(jiān)測效率。
[0031]在獲取到待檢測數(shù)據(jù)之后，將待檢測數(shù)據(jù)與正常模型進行比較，以便于根據(jù)比較結(jié)果對待檢測數(shù)據(jù)進行異常檢測。
[0032]步驟S206，根據(jù)比較結(jié)果確定待檢測數(shù)據(jù)是否為異常數(shù)據(jù)。
[0033]在得到比較結(jié)果之后，可以根據(jù)比較結(jié)果確定檢測數(shù)據(jù)是否為異常數(shù)據(jù)。例如，當(dāng)待檢測數(shù)據(jù)與正常模型完全相同，則認為待檢測數(shù)據(jù)不是異常數(shù)據(jù)，反之，則為異常數(shù)據(jù)。當(dāng)然，也可以采用相似度來判斷。由于大部分情況下，待檢測數(shù)據(jù)與正常模型之間都會存在差異，可以通過計算待檢測數(shù)據(jù)與正常模型之間的相似度，利用相似度來確定待檢測數(shù)據(jù)與正常模型之間的差異，可以設(shè)置為:相似度的值越大，待檢測數(shù)據(jù)與正常模型之間的差異越大；反之，則差異則越小。當(dāng)然也可以設(shè)置為