[发明专利]入侵的检测方法和装置、存储介质、电子装置

说明书

本申请公开了一种入侵的检测方法和装置、存储介质、电子装置。其中，该方法包括：确定系统内核中的目标进程，目标进程为待确认是否为入侵系统内核所产生的异常进程；通过通信连接获取目标进程的事件数据，通信连接为与系统内核之间进行通信的连接，事件数据为目标进程的关联事件产生的数据；根据事件数据的数据特征确定目标进程是否为异常进程。本申请解决了相关技术中入侵检测的效率较低的技术问题。

技术领域

本申请涉及互联网领域，具体而言，涉及一种入侵的检测方法和装置、存储介质、电子装置。

背景技术

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)，其中，入侵攻击是最常见的网络攻击之一。

入侵检测系统(IntrusionDetectionSystem，简称“IDS”)是一种应对网络攻击的检测系统，可以对网络传输进行即时监控，在发现可疑网络传输时发出警报或者采取主动反应措施的网络安全设备。IDS是安全防护体系的重要一环，也是安全纵深防御体系中的最后一环。当攻击者攻击到内部网络，获得了服务器的权限，通过账户操作、提权操作、网络配置、文件操作，往往会给主机所有者造成严重的损害，包括服务中断或彻底破坏、数据泄露或丢失、持续执行与业务无关的操作(例如发送DDOS攻击数据包、挖矿等)，有时还会使服务器持续留有后门。Linux系统的HIDS一直是安全领域最为基础也最为难以解决的问题，主要原因包括版本众多、稳定性差、性能损耗严重等。

目前的入侵检测方案主要是基于主流的开源项目(例如OSSEC)进行客制化开发，开发方案的结构复杂、资源消耗大、性能损耗严重、效率低，难以实现在用户态难对高级威胁进行检测。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种入侵的检测方法和装置、存储介质、电子装置，以至少解决相关技术中入侵检测的效率较低的技术问题。

根据本申请实施例的一个方面，提供了一种入侵的检测方法，包括：确定系统内核中的目标进程，其中，目标进程为待确认是否为入侵系统内核所产生的异常进程；通过通信连接获取目标进程的事件数据，其中，通信连接为与系统内核之间进行通信的连接，事件数据为目标进程的关联事件产生的数据；根据事件数据的数据特征确定目标进程是否为异常进程。

根据本申请实施例的另一方面，还提供了一种入侵的检测装置，包括：确定单元，用于确定系统内核中的目标进程，其中，目标进程为待确认是否为入侵系统内核所产生的异常进程；获取单元，用于通过通信连接获取目标进程的事件数据，其中，通信连接为与系统内核之间进行通信的连接，事件数据为目标进程的关联事件产生的数据；检测单元，用于根据事件数据的数据特征确定目标进程是否为异常进程。

根据本申请实施例的另一方面，还提供了一种存储介质，该存储介质包括存储的程序，程序运行时执行上述的方法。

根据本申请实施例的另一方面，还提供了一种电子装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器通过计算机程序执行上述的方法。

在本申请实施例中，确定系统内核中待确认是否为入侵系统内核所产生的异常进程的目标进程；通过通信连接获取目标进程的事件数据，进而根据事件数据的数据特征确定目标进程是否为异常进程，换言之，采用本申请的技术方案可以直接通过用户态与核心态之间的通信连接监测是否存在异常进程，而不用对开源项目进行客制化开发，避免开发方案带来的时间消耗和资源消耗，可以解决相关技术中入侵检测的效率较低的技术问题，进而达到提高检测效率的技术效果。

附图说明