一種入侵行為檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機技術(shù)領(lǐng)域,特別涉及一種入侵行為檢測方法及裝置。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)為資源的共享與信息的交流提供了高效而便捷的全新方式,但同時它也會被計算機信息系統(tǒng)資源的入侵者所利用,使得網(wǎng)絡(luò)中的信息資源面臨著嚴(yán)重的安全威脅。為了保證網(wǎng)絡(luò)信息系統(tǒng)的安全,可以采用入侵檢測方式實現(xiàn)對攻擊行為的檢測,并進行進一步的防御。
[0003]現(xiàn)有的入侵檢測方式可以包括:獲取一個時間段內(nèi)的日志,其中,日志中記錄中計算機系統(tǒng)在該時間段內(nèi)的操作信息;用戶可以手工根據(jù)日志中所記錄的每一條操作信息進行分析,以確定日志中是否包括惡意入侵行為的操作信息,從而確定計算機系統(tǒng)是否遭到惡意行為的入侵。
[0004]然而,日志中所包括操作信息的數(shù)據(jù)量較大,若利用手工對每一條操作信息進行分析,檢測效率較低。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明提供一種入侵行為檢測方法及裝置,以解決現(xiàn)有技術(shù)中的檢測效率較低的問題。
[0006]本發(fā)明提供了一種入侵行為檢測方法,包括:
[0007]獲取設(shè)定時間段內(nèi)文本格式的日志,其中,所述日志中記錄有當(dāng)前系統(tǒng)在設(shè)定時間段內(nèi)的操作信息;
[0008]將文本格式的所述日志轉(zhuǎn)化為像素格式的圖像;
[0009]獲取待檢測入侵行為的實際檢測特征;
[0010]根據(jù)獲取的所述實際檢測特征,對像素格式的所述圖像進行檢測,在檢測到所述圖像中包括所述實際檢測特征時,確定當(dāng)前系統(tǒng)遭到入侵。
[0011 ] 優(yōu)選地,所述將文本格式的所述日志轉(zhuǎn)化為像素格式的圖像,包括:
[0012]利用掃描、打印、拍照、截圖和另存為中的一種操作,將文本格式的所述日志轉(zhuǎn)化為像素格式的圖像。
[0013]優(yōu)選地,所述獲取待檢測入侵行為的實際檢測特征,包括:
[0014]將多個不包括入侵行為的正常日志所轉(zhuǎn)換成像素格式的圖像作為多個負(fù)樣本;以及根據(jù)多個包括入侵行為的異常日志所轉(zhuǎn)換成的像素格式的圖像創(chuàng)建多個正樣本;
[0015]確定待檢測入侵行為的初始檢測特征,并根據(jù)確定的初始檢測特征對多個負(fù)樣本和多個正樣本進行迭代訓(xùn)練,并在每一次訓(xùn)練結(jié)束后,根據(jù)每一次的訓(xùn)練結(jié)果對初始檢測特征進行修改,并利用修改后的初始檢測特征繼續(xù)對多個負(fù)樣本和多個正陽進行迭代訓(xùn)練,直到修改后的初始檢測特征對多個負(fù)樣本和多個正樣本的檢測達到檢測閾值,將該達到檢測閾值的初始檢測特征作為實際檢測特征。
[0016]優(yōu)選地,
[0017]在所述對像素格式的所述圖像進行檢測之前,進一步包括:將所述圖像劃分為多個矩形子區(qū)域;
[0018]所述對像素格式的所述圖像進行檢測,包括:對每一個矩形子區(qū)域進行檢測。
[0019]優(yōu)選地,在所述對像素格式的所述圖像進行檢測之后,進一步包括:
[0020]根據(jù)設(shè)定的更新時間段,獲取更新后的入侵行為,并根據(jù)更新后的入侵行為執(zhí)行所述獲取待檢測入侵行為的實際檢測特征。
[0021]本發(fā)明還提供了一種入侵行為檢測裝置,包括:
[0022]第一獲取單元,用于獲取設(shè)定時間段內(nèi)文本格式的日志,其中,所述日志中記錄有當(dāng)前系統(tǒng)在設(shè)定時間段內(nèi)的操作信息;
[0023]轉(zhuǎn)化單元,用于將文本格式的所述日志轉(zhuǎn)化為像素格式的圖像;
[0024]第二獲取單元,用于獲取待檢測入侵行為的實際檢測特征;
[0025]檢測單元,用于根據(jù)獲取的所述實際檢測特征,對像素格式的所述圖像進行檢測,在檢測到所述圖像中包括所述實際檢測特征時,確定當(dāng)前系統(tǒng)遭到入侵。
[0026]優(yōu)選地,所述轉(zhuǎn)化單元,用于利用掃描、打印、拍照、截圖和另存為中的一種操作,將文本格式的所述日志轉(zhuǎn)化為像素格式的圖像。
[0027]優(yōu)選地,所述第二獲取單元,用于將多個不包括入侵行為的正常日志所轉(zhuǎn)換成像素格式的圖像作為多個負(fù)樣本;以及根據(jù)多個包括入侵行為的異常日志所轉(zhuǎn)換成的像素格式的圖像創(chuàng)建多個正樣本;確定待檢測入侵行為的初始檢測特征,并根據(jù)確定的初始檢測特征對多個負(fù)樣本和多個正樣本進行迭代訓(xùn)練,并在每一次訓(xùn)練結(jié)束后,根據(jù)每一次的訓(xùn)練結(jié)果對初始檢測特征進行修改,并利用修改后的初始檢測特征繼續(xù)對多個負(fù)樣本和多個正陽進行迭代訓(xùn)練,直到修改后的初始檢測特征對多個負(fù)樣本和多個正樣本的檢測達到檢測閾值,將該達到檢測閾值的初始檢測特征作為實際檢測特征。
[0028]優(yōu)選地,
[0029]進一步包括:劃分單元,用于將所述圖像劃分為多個矩形子區(qū)域;
[0030]所述檢測單元,用于對每一個矩形子區(qū)域進行檢測。
[0031]優(yōu)選地,進一步包括:
[0032]第三獲取單元,用于根據(jù)設(shè)定的更新時間段,獲取更新后的入侵行為,并將更新后的入侵行為發(fā)送給所述第二獲取單元。
[0033]本發(fā)明實施例提供了一種入侵行為檢測方法及裝置,將文本格式的日志轉(zhuǎn)換為像素格式的圖像,由于日志中包括有當(dāng)前系統(tǒng)在一段時間段內(nèi)的操作信息,如果當(dāng)前系統(tǒng)遭到入侵,那么在操作信息中會記錄有該入侵信息,且將日志轉(zhuǎn)換為圖像之后,日志中所包括的每一個字都是以像素的形式進行展示,因此,通過利用獲取的待檢測入侵行為的實際檢測特征自動對該圖像進行檢測,從而檢測出日志中的該入侵行為,提高了檢測效率。
【附圖說明】
[0034]圖1是本發(fā)明實施例提供的方法流程圖;
[0035]圖2是本發(fā)明另一實施例提供的方法流程圖;
[0036]圖3是本發(fā)明實施例提供的像素格式的圖像示意圖;
[0037]圖4是本發(fā)明實施例提供的正樣本示意圖;
[0038]圖5是本發(fā)明另一實施例提供的正樣本示意圖;
[0039]圖6是本發(fā)明實施例提供的裝置所在設(shè)備的硬件架構(gòu)圖;
[0040]圖7是本發(fā)明實施例提供的裝置結(jié)構(gòu)示意圖;
[0041]圖8是本發(fā)明另一實施例提供的裝置結(jié)構(gòu)示意圖。
【具體實施方式】
[0042]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述。顯然,所描述的實施例僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0043]如圖1所示,本發(fā)明實施例提供了一種入侵行為檢測方法,該方法可以包括以下步驟:
[0044]步驟101:獲取設(shè)定時間段內(nèi)文本格式的日志,其中,日志中記錄有當(dāng)前系統(tǒng)在設(shè)定時間段內(nèi)的操作信息。
[0045]步驟102:將文本格式的日志轉(zhuǎn)化為像素格式的圖像。
[0046]步驟103:獲取待檢測入侵行為的實際檢測特征。
[0047]步驟104:根據(jù)獲取的實際檢測特征,對像素格式的圖像進行檢測,在檢測到圖像中包括實際檢測特征時,確定當(dāng)前系統(tǒng)遭到入侵。
[0048]根據(jù)上述方案,將文本格式的日志轉(zhuǎn)換為像素格式的圖像,由于日志中包括有當(dāng)前系統(tǒng)在一段時間段內(nèi)的操作信息,如果當(dāng)前系統(tǒng)遭到入侵,那么在操作信息中會記錄有該入侵信息,且將日志轉(zhuǎn)換為圖像之后,日志中所包括的每一個字都是以像素的形式進行展示,因此,通過利用獲取的待檢測入侵行為的實際檢測特征自動對該圖像進行檢測,從而檢測出日志中的該入侵行為,提高了檢測效率。
[0049]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖及具體實施例對本發(fā)明作進一步地詳細(xì)描述。
[0050]如圖2所示,本發(fā)明實施例提供了一種入侵行為檢測方法,該方法可以包括以下步驟:
[0051]步驟201:獲取設(shè)定時間段內(nèi)文本格式的日志。
[0052]在本實施例中,日志以文本格式記錄有當(dāng)前系統(tǒng)在一段時間段內(nèi)的操作信息,該操作信息一般包括:事件級別、來源、時間等信息,因此,可以利用日志來檢測在一段時間段內(nèi)是否有入侵行為,以及該入侵行為的來源,入侵時間等。其中,日志可以包括系統(tǒng)日志、應(yīng)用程序日志和安全日志。
[0053]其中,可以設(shè)定一個時間段,例如,I天、I周,在設(shè)定的該時間段到達時,可以獲取該時間段內(nèi)的日志,以利用獲取的