[发明专利]入侵检测方法、电子设备和计算机存储介质

说明书

本申请提供了一种入侵检测方法、电子设备和计算机存储介质，属于计算机信息安全技术领域。所述方法包括：获取待检测日志；通过预先训练的入侵检测模型，对待检测日志进行入侵检测；所述入侵检测模型是根据日志样本的整体特征和所述日志样本的个体特征得到的。本申请预先根据日志样本的整体特征和所述日志样本的个体特征训练入侵检测模型，再通过该入侵检测模型，对待检测日志进行入侵检测，可以有效降低黑客攻击检测的误报率及漏报率，使得黑客攻击入侵检测的更加精准。

技术领域

本申请涉及计算机信息安全技术领域，尤其涉及入侵检测方法、电子设备和计算机存储介质。

背景技术

黑客是未经授权伴有恶意企图利用特制的代码或技术的活动。攻击包括拒绝服务、病毒、缓冲区溢出、格式错误的请求、残缺的网络数据包或未经授权的程序执行。

因此，防护黑客恶意入侵攻击对于网站应用安全及内网安全十分重要。

黑客入侵检测方法主要分为两种：

1、基于主机的入侵检测系统方法是将检测系统安装在主机上来达到检测的目的。HIDS(Host-based Intrusion Detection System，基于主机型入侵检测系统)安装为一个守护程序或者是修改底层操作系统的内核或应用程序来获得检测授权。

2、异常检测模型。异常检测的目的是能够检测各种的恶意入侵，包括检测那些以前没有的检测特征。通过一段时间的学习“性能分析”期间的正常行为，它可以对其他一切不正常的配置文件报警。异常检测系统善于检测一些突然超过标准的峰值，如果异常检测系统知道你的网络通常一天只有10个Session会话请求，但是突然发生一千个会话请求，异常检测系统很可能会捕捉到可疑活动。

基于主机的入侵检测系统可具有监视主机嗅探网络流量的能力，这种方式擅长监控和报告应用层的直接交互，但是这种方法只能简单地跟踪未经授权的文件更改，占用的CPU资源过大使得像Web服务器或者是大型的数据库服务器无法容忍这种消耗。

异常检测系统的检测是以正常情况为基础来检测是否存在偏差，在静态环境中工作良好，如每天做同样事情的服务器上，或者在流量模式全天工作一致网络中，因此在动态系统和网络中，由于有着广泛的正常事件，当异常检测触发器在分析阶段时可能会产生误报。

发明内容

为解决上述问题，本申请实施例提出了一种入侵检测方法、电子设备和计算机存储介质。

第一方面，本申请实施例提供了入侵检测方法，所述方法包括：

获取待检测日志；

通过预先训练的入侵检测模型，对所述待检测日志进行入侵检测；

所述入侵检测模型是根据日志样本的整体特征和所述日志样本的个体特征得到的。

可选地，所述通过预先训练的入侵检测模型，对所述待检测日志进行入侵检测之前，还包括：

获取日志样本；

将同一用户的日志样本分为同一类；

获取所述日志样本的整体特征；

针对每类日志样本，获取其个体特征；

对所述整体特征和各类的个体特征进行训练，得到入侵检测模型。

可选地，所述整体特征包括：所有已知页面、最多来访用户数、平均来访用户数、访问量最大值和访问量平均值；

所述获取所述日志样本的整体特征，包括：

获取所述日志样本的所有已知页面；

按预设第一时间长度将所述日志样本进行第一分片，根据各第一分片中的日志样本，获取各第一分片的最多来访用户数和平均来访用户数；