[發明專利]入侵檢測方法、裝置及服務器有效
| 申請號: | 201610286753.2 | 申請日: | 2016-05-03 |
| 公開(公告)號: | CN107341396B | 公開(公告)日: | 2020-08-04 |
| 發明(設計)人: | 季凡 | 申請(專利權)人: | 阿里巴巴集團控股有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 北京博思佳知識產權代理有限公司 11415 | 代理人: | 陳蕾 |
| 地址: | 英屬開曼群島大開*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 入侵 檢測 方法 裝置 服務器 | ||
1.一種入侵檢測方法,其特征在于,所述方法包括:
確定被監控計算設備執行的操作是否與預設操作相同;
當所述被監控計算設備執行的操作與所述預設操作相同時,確定所述被監控計算設備執行的操作為攻擊者的入侵操作,其中,所述攻擊者為發起入侵攻擊的計算設備;
基于所述攻擊者的第一IP地址,確定所述入侵操作的攻擊路徑;
其中,所述基于所述攻擊者的第一IP地址,確定所述入侵操作的攻擊路徑,包括:
從第一數據庫中提取所述攻擊者的第一IP地址已訪問的多個URL;
將所述多個URL與第二數據庫中記錄的攻擊載荷進行比對;
根據比對結果判斷確定所述入侵操作的攻擊路徑。
2.根據權利要求1所述的方法,其特征在于,所述方法還包括:
確定預設列表中是否存在與所述第一IP地址相同的IP地址,所述預設列表用于記錄攻擊者的IP地址;
當所述預設列表中不存在與所述第一IP地址相同的IP地址時,將所述第一IP地址存儲在所述預設列表中。
3.根據權利要求2所述的方法,其特征在于,所述方法還包括:
確定所述預設列表中記錄的多個IP地址已訪問的多個URL;
基于第二數據庫記錄的攻擊載荷,從所述多個URL中確定出有效攻擊的IP地址。
4.根據權利要求3所述的方法,其特征在于,所述方法還包括:
確定所述有效攻擊的IP地址在設定時間段內的網絡流量;
基于所述網絡流量,確定所述有效攻擊的IP地址對應的攻擊路徑。
5.根據權利要求1所述的方法,其特征在于,所述確定被監控計算設備執行的操作是否與預設操作相同,包括:
實時監控被監控計算設備執行的SQL語句;
比較所述被監控計算設備執行的所述SQL語句是否與預設的讀寫文件操作或者延時查詢操作相同。
6.根據權利要求1所述的方法,其特征在于,所述確定被監控計算設備執行的操作是否與預設操作相同,包括:
實時監控被監控計算設備上創建可執行文件的操作;
比較所述被監控計算設備上創建可執行文件的操作是否與預設的創建可執行文件的操作相同。
7.根據權利要求1-6任一所述的方法,其特征在于,所述方法還包括:
在確定所述被監控計算設備執行的操作為攻擊者的入侵操作時,控制所述被監控計算設備與所述第一IP地址對應的計算設備斷開連接。
8.一種入侵檢測裝置,其特征在于,所述裝置包括:
第一確定模塊,用于確定被監控計算設備執行的操作是否與預設操作相同;
第二確定模塊,用于當所述第一確定模塊確定所述被監控計算設備執行的操作與所述預設操作相同時,確定所述被監控計算設備執行的操作為攻擊者的入侵操作,其中,所述攻擊者為發起入侵攻擊的計算設備;
第三確定模塊,用于基于所述攻擊者的第一IP地址,確定所述第二確定模塊確定的所述入侵操作的攻擊路徑;
其中,所述第三確定模塊包括:
提取單元,用于從第一數據庫中提取所述攻擊者的第一IP地址已訪問的多個URL;
比對單元,用于將所述提取單元提取到的所述多個URL與第二數據庫中記錄的攻擊載荷進行比對;
第一確定單元,用于根據所述比對單元得到的比對結果判斷確定所述入侵操作的攻擊路徑。
9.根據權利要求8所述的裝置,其特征在于,所述裝置還包括:
第四確定模塊,用于確定預設列表中是否存在與所述第一IP地址相同的IP地址,所述預設列表用于記錄攻擊者的IP地址;
存儲模塊,用于當所述第四確定模塊確定所述預設列表中不存在與所述第一IP地址相同的IP地址時,將所述第一IP地址存儲在所述預設列表中。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于阿里巴巴集團控股有限公司,未經阿里巴巴集團控股有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610286753.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種攔截爬蟲的方法
- 下一篇:基于動態時間閾值的大數據平臺會話識別方法
