[发明专利]入侵检测方法、装置、系统、设备及存储介质

说明书

本发明公开了一种入侵检测方法、装置、系统、设备及存储介质，所述方法包括：通过配置的用于监控各种系统调用的审计audit模块监测系统调用信息；根据预先接收的检测规则，对监测到的系统调用信息进行入侵检测。本发明有效提高了入侵检测性能，并且不需要修改可执行文件，有效降低cpu的消耗。

技术领域

本发明涉及计算机安全技术领域，特别是涉及入侵检测方法、装置、系统、设备及存储介质。

背景技术

互联网上对外提供服务的服务器(主机)，无论是web(World Wide Web，全球广域网)服务器还是数据库服务器，都存储着所有人的重要资产数据信息。而这些暴露供外部访问接口的服务器经常成为攻击者入侵的目标。因此有必要对主机的安全情况进行监控，检测入侵行为，及时发现并处理，加固主机安全。

目前，现有入侵检测技术中会修改服务器上的一些二进制文件，或者修改一些模块的加载顺序，如修改/bin/bash，在函数入口注入自己的代码，从而监控所有在终端上执行的命令。还有一些检测技术会定期扫描关键目录的敏感文件，通过对比扫描差异来发现问题，比如扫描/bin目录下的关键二进制文件、/etc目录下的关键配置文件，一旦被篡改就报警。

但是，修改二进制文件的方式，会影响到其它正常使用者，如果测试不够充分、考虑点不够全面，出现隐藏的bug(漏洞)就会最终影响到服务器上正常的业务运行。定期扫描关键目录的方式，在扫描频次低的情况下，两次扫描期间这段真空期容易被绕过，即在这段时间内修改文件，在下一次轮询扫描之前复原，这种变动是无法检测到的；如果扫描频率高，那么肯定会增加CPU(中央处理器，Central Processing Unit)消耗，影响性能。基于此，如何提高现有入侵检测性能，本领域未给出有效的解决方案。

发明内容

为了克服上述缺陷，本发明要解决的技术问题是提供一种入侵检测方法、装置、系统、设备及存储介质，用以至少提高入侵检测的性能。

为解决上述技术问题，本发明实施例中的入侵检测方法，包括：

通过配置的用于监控各种系统调用的审计audit模块监测系统调用信息；

根据预先接收的检测规则，对监测到的系统调用信息进行入侵检测。

可选地，所述通过配置的用于监控各种系统调用的审计audit模块监测系统调用信息之前，包括：

配置所述audit模块的监控信息；所述监控信息用于指示所述audit模块监控的系统调用。

可选地，所述根据预先接收的检测规则，对监测到的系统调用信息进行入侵检测，包括：

根据预设的格式，将所述监测到的系统调用信息处理成格式化的系统调用信息；

将所述格式化的系统调用信息与所述检测规则进行匹配；

根据匹配结果进行入侵检测。

可选地，所述将所述监测到的系统调用信息处理成格式化的系统调用信息之前，包括：

从所述audit模块的监控日志中获取所述监测到的系统调用信息。

可选地，所述检测规则包括规则标识、描述信息、规则类型、严重等级和规则表达式中一种或多种；

所述将监测到的系统调用信息与预先接收的检测规则进行匹配；根据匹配结果进行入侵检测，包括：

将所述格式化的系统调用信息与所述规则表达式进行匹配；

在匹配时，确定所述格式化的系统调用信息对应的所示规则类型；