[发明专利]入侵检测方法、装置、系统、设备及存储介质在审
| 申请号: | 201910034524.5 | 申请日: | 2018-12-31 |
| 公开(公告)号: | CN109639726A | 公开(公告)日: | 2019-04-16 |
| 发明(设计)人: | 王震;吴昀灿 | 申请(专利权)人: | 微梦创科网络科技(中国)有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京卓岚智财知识产权代理事务所(特殊普通合伙) 11624 | 代理人: | 郭智 |
| 地址: | 100193 北京市海淀区东北旺西路中关村*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 入侵检测 系统调用信息 存储介质 可执行文件 模块监测 系统调用 配置的 消耗 监控 审计 监测 检测 | ||
1.一种入侵检测方法,其特征在于,所述方法包括:
通过配置的用于监控各种系统调用的审计audit模块监测系统调用信息;
根据预先接收的检测规则,对监测到的系统调用信息进行入侵检测。
2.如权利要求1所述的方法,其特征在于,所述通过配置的用于监控各种系统调用的审计audit模块监测系统调用信息之前,包括:
配置所述audit模块的监控信息;所述监控信息用于指示所述audit模块监控的系统调用。
3.如权利要求1或2所述的方法,其特征在于,所述根据预先接收的检测规则,对监测到的系统调用信息进行入侵检测,包括:
根据预设的格式,将所述监测到的系统调用信息处理成格式化的系统调用信息;
将所述格式化的系统调用信息与所述检测规则进行匹配;
根据匹配结果进行入侵检测。
4.如权利要求3所述的方法,其特征在于,所述将所述监测到的系统调用信息处理成格式化的系统调用信息之前,包括:
从所述audit模块的监控日志中获取所述监测到的系统调用信息。
5.如权利要求3所述的方法,其特征在于,所述检测规则包括规则标识、描述信息、规则类型、严重等级和规则表达式中一种或多种;
所述将监测到的系统调用信息与预先接收的检测规则进行匹配;根据匹配结果进行入侵检测,包括:
将所述格式化的系统调用信息与所述规则表达式进行匹配;
在匹配时,确定所述格式化的系统调用信息对应的所述规则类型;
在所述格式化的系统调用信息对应所述规则类型为黑名单时,向预设的服务端发送告警信息;所述告警信息包括匹配的规则标识、描述信息、严重等级中的一种或多种;所述描述信息用于描述系统调用信息对应的事件信息。
6.一种入侵检测装置,其特征在于,所述装置包括:
监测模块,用于通过配置的用于监控各种系统调用的审计audit模块监测系统调用信息;
分析引擎模块,用于接收所述检测模块监测到的系统调用信息,并根据预先接收的检测规则,对监测到的系统调用信息进行入侵检测。
7.如权利要求6所述的装置,其特征在于,所述监测模块,具体用于根据预设的格式,将所述监测到的系统调用信息处理成格式化的系统调用信息;
所述分析引擎模块在进行匹配时,用于将所述格式化的系统调用信息与所述检测规则进行匹配,根据匹配结果进行入侵检测。
8.如权利要求7所述的装置,其特征在于,所述检测规则包括规则标识、描述信息、规则类型、严重等级和规则表达式中一种或多种;
所述分析引擎模块,具体用于将所述格式化的系统调用信息与所述规则表达式进行匹配;在匹配时,确定所述格式化的系统调用信息对应的所述规则类型;在所述格式化的系统调用信息对应所述规则类型为黑名单时,向预设的服务端发送告警信息;所述告警信息包括匹配的规则标识、描述信息、严重等级中的一种或多种;所述描述信息用于描述系统调用信息对应的调用事件信息。
9.一种入侵检测系统,所述系统包括主机和服务端设备;所述主机包括如权利要求1-8中任意一项所述的入侵检测装置;所述服务端设备用于向所述主机发送检测规则。
10.一种主机设备,其特征在于,所述设备包括存储器和处理器,所述存储器存储有入侵检测程序,所述处理器执行所述程序,以实现如权利要求1-8中任意一项所述方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有入侵检测程序,所述程序可被至少一个处理器执行,以实现如权利要求1-8中任意一项所述方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于微梦创科网络科技(中国)有限公司,未经微梦创科网络科技(中国)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910034524.5/1.html,转载请声明来源钻瓜专利网。
