[发明专利]入侵检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种入侵检测方法、装置、电子设备及存储介质，其中，入侵检测方法包括：通过调用设定插件，确定第一信息集；将确定出的第一信息集上报第二电子设备；其中，所述设定插件用于通过调用内核所提供的接口，确定用于第二电子设备进行入侵检测的信息。

技术领域

本申请涉及网络安全领域，尤其涉及一种入侵检测方法、装置、电子设备及存储介质。

背景技术

入侵检测技术，是通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。相关技术通常将网络流量作为信息源来检测入侵行为，导致入侵检测的漏报率高。

发明内容

有鉴于此，本申请实施例提供一种入侵检测方法、装置、电子设备及存储介质，以至少解决相关技术入侵检测的漏报率高的问题。

本申请实施例的技术方案是这样实现的：

本申请实施例提供了一种入侵检测方法，应用于第一电子设备，所述方法包括：

通过调用设定插件，确定第一信息集；

将确定出的第一信息集上报第二电子设备；其中，

所述设定插件用于通过调用内核所提供的接口，确定用于第二电子设备进行入侵检测的信息。

其中，上述方案中，所述通过调用设定插件，确定第一信息集，包括：

通过调用所述设定插件，确定至少一个第一信息，并根据所述至少一个第一信息确定所述第一信息集；所述第一信息表征通过调用内核所提供的接口确定出的事件信息。

上述方案中，所述根据所述至少一个第一信息确定所述第一信息集，包括以下至少之一：

在第一信息用于描述进程事件的情况下，在文件系统确定第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的进程事件对应的进程信息；

在第一信息用于描述网络链接事件的情况下，根据所述第一信息确定对应的第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的网络链接事件对应的流量信息；

在第一信息用于描述文件变动事件的情况下，将所述第一信息写入所述第一信息集。

上述方案中，所述将确定出的第一信息集上报第二电子设备，包括：

基于至少一种设定方式处理确定出的第一信息集；

将处理后的第一信息集上报所述第二电子设备；其中，

所述设定方式包括归并、过滤和/或压缩第一信息集中的信息。

本申请实施例还提供了一种入侵检测方法，应用于第二电子设备，所述方法包括：

对第一信息集进行特征提取，得到第一特征集；所述第一信息集中的信息通过调用内核所提供的接口确定；

将所述第一特征集与入侵规则库进行匹配，得到匹配结果；

在所述匹配结果表征所述第一特征集在所述入侵规则库中匹配有设定特征的情况下，输出告警信息。

其中，上述方案中，所述将所述第一特征集与入侵规则库进行匹配，包括：

基于所述入侵规则库中存储的至少一个攻击链中每个攻击链上的每个节点的特征，对所述第一特征集进行匹配，得到所述匹配结果；

在所述匹配结果表征至少存在一个所述攻击链上的至少两个节点的特征与所述第一特征集中的特征相匹配的情况下，输出告警信息。

上述方案中，在所述对第一信息集进行特征提取之前，所述方法还包括：