[发明专利]入侵检测方法及装置

说明书

本发明公开了一种入侵检测方法及装置，涉及安全技术领域，能够解决无法实现Linux操作系统入侵检测的问题。本发明的方法主要包括：获取关于shell命令的历史操作记录；通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析，或者通过对所述历史操作记录反映的执行行为进行异常分析，确定所述IP地址是否为入侵者。本发明主要适用于对Linux系统中登陆bash入侵检测的场景中。

技术领域

本发明涉及安全技术领域，特别是涉及一种入侵检测方法及装置。

背景技术

Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统，其以性能稳定、运行高效而被各大企业广泛使用。shell是Linux操作系统的用户界面，提供了用户与内核进行交互操作的接口。shell包括bash、korn shell、C shell、Z shell等多种版本，但不论是哪一种shell，它最主要的功能都是解译使用者在命令列提示符号下输入的指令。在一个企业中，使用Linux操作系统的员工、管理员等都可以通过登陆注册的账号输入shell命令让系统执行各种操作。但是，黑客可以通过盗取账号来执行一些攻击性命令，给企业造成损失。因此，入侵检测是目前面临的一大难题。

发明内容

有鉴于此，本发明提供的入侵检测方法及装置，其目的在于如何实现Linux操作系统的入侵检测功能。

本发明的目的是采用以下技术方案来实现的：

第一方面，本发明提供了一种入侵检测方法，所述方法包括：

获取关于shell命令的历史操作记录；

通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析，或者通过对所述历史操作记录反映的执行行为进行异常分析，确定所述IP地址是否为入侵者。

可选的，通过对所述历史操作记录中执行shell命令的IP地址的来源进行异常分析，确定所述IP地址是否为入侵者包括：

将所述执行shell命令的IP地址与正常来源的IP地址进行匹配；

若所述执行shell命令的IP地址与所述正常来源的IP地址均不相同，则确定所述执行shell命令的IP地址是入侵者。

可选的，所述正常来源的IP地址包括：本地局域网普通用户的IP地址、堡垒机的IP地址、管理员的IP地址。

可选的，通过对所述历史操作记录反映的执行行为进行异常分析，确定所述IP地址是否为入侵者包括：

从所述历史操作记录中获取与所述IP地址相对应的、执行shell命令的用户名和执行的命令内容；

判断所述命令内容是否与所述用户名的执行权限相匹配；

若所述命令内容与所述用户名的执行权限不匹配，则确定所述IP地址为入侵者。

可选的，所述方法还包括：

若所述命令内容与所述用户名的执行权限匹配，则判断所述命令内容是否与所述用户名的历史正常行为特征相匹配，所述历史正常行为特征是在所述命令内容之前执行的命令内容所表征的行为特征；

若所述命令内容与所述历史正常行为特征不匹配，则确定所述IP地址为入侵者。

可选的，获取关于shell命令的历史操作记录包括：

获取远程日志服务器接收到的用户设备发送的所述历史操作记录，所述用户设备通过执行修改后的历史命令文件中的bash源代码得到所述历史操作记录。

第二方面，本发明提供了一种入侵检测装置，所述装置包括：

获取单元，用于获取关于shell命令的历史操作记录；