[发明专利]检测方法、系统以及计算机可读存储介质

权利要求书

1.一种检测方法，其特征在于，包括：

获取当前系统日志；

使用通过系统日志进行关联分析得到的检测规则对所述当前系统日志进行检测，在所述当前系统日志满足所述检测规则的情况下，判定系统被入侵。

2.根据权利要求1所述的检测方法，其特征在于，所述系统日志包括以下一种或多种：

网站日志、数据库日志、上传木马日志、获取管理员权限日志。

3.根据权利要求2所述的检测方法，其特征在于，

通过系统日志进行关联分析得到的检测规则的具体步骤如下：

获取至少一组系统被入侵的所述系统日志，确定所述系统日志中任一日志进行组合得到的组合日志；

根据所述组合日志确定所述检测规则。

4.根据权利要求3所述的检测方法，其特征在于，所述根据所述组合日志确定所述检测规则的步骤，具体包括:

确定所述组合日志对应的关联规则，并根据所述关联规则确定对应的置信度；

在所述置信度大于或等于预设的置信度阈值的情况下，将所述置信度所对应的关联规则设定为所述检测规则。

5.根据权利要求4所述的检测方法，其特征在于，所述获取至少一组系统被入侵的所述系统日志，确定所述系统日志中任一日志进行组合得到的组合日志的步骤，具体包括：

确定所述系统日志中任一日志及其组合以得到日志集合；

在所述日志集合中筛选出所述组合日志。

6.根据权利要求5所述的检测方法，其特征在于，在所述确定所述系统日志中任一日志进行组合得到的组合日志的步骤之后，在所述根据所述组合日志确定所述检测规则之前，还包括：

确定所述系统日志中任一日志进行组合得到的所述组合日志的支持度；

以所述支持度大于或等于预设的支持度阈值作为筛选条件，筛选得到所述组合日志。

7.根据权利要求3至6中任一项所述的检测方法，其特征在于，还包括：使用预存储的系统日志对所述检测规则进行测试。

8.一种检测系统，其特征在于，包括：

获取单元，用于获取当前系统日志；

判定单元，用于通过系统日志进行关联分析得到的检测规则对所述当前系统日志进行检测，在所述当前系统日志满足所述检测规则的情况下，判定系统被入侵。

9.根据权利要求8所述的检测系统，其特征在于，还包括：

建立单元，用于获取至少一组系统被入侵的所述系统日志，确定所述系统日志中任一日志进行组合得到的组合日志；以及

根据所述组合日志确定所述检测规则。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述方法的步骤。