本申請公開了一種入侵檢測方法、裝置、設備及介質，涉及計算機技術領域，包括：收集包括不同類型的入侵威脅數據的溯源信息數據；按照預設分類規則對所述溯源信息數據進行分類處理，以得到分類后溯源信息，并將所述分類后溯源信息存儲至預設數據庫；獲取待檢測溯源信息，并將所述待檢測溯源信息與所述預設數據庫中的所述分類后溯源信息進行匹配；若匹配成功，則判定所述待檢測溯源信息發生入侵攻擊事件，并輸出包括可疑溯源關系的警報內容。本申請通過對獲取到的溯源信息數據進一步分類處理，增強了不同類型的溯源信息數據的邊界感，提升了入侵檢測時的效率和精準度。

技術領域

本發明涉及計算機技術領域，特別涉及一種入侵檢測方法、裝置、設備及介質。

背景技術

隨著計算機網絡技術的飛速發展，社會經濟、科學和文化等各個領域都離不開網絡通信，利用計算機網絡實施犯罪的事件已絕不少見。目前常見的安全技術包括防火墻、身份認證、蜜罐誘騙、訪問控制和加密等。雖然這些技術在一定程度上可以減少攻擊事件的發生，但是，人為的不安全操作同樣會導致入侵的發生，例如系統文件配置錯誤，弱口令等。因此，實際情況中但很難能完全杜絕黑客的攻擊行為。因此，入侵檢測技術就成了系統保護的第二層屏障。

現代信息系統中存在的眾多漏洞一直是攻擊者進行攻擊的關鍵突破點，但漏洞檢測方法中對模糊測試覆蓋率不足，漏洞發現后的補洞過程也極為耗時，此外，基于系統溯源圖的入侵檢測系統中，不同種類的溯源信息以及溯源圖的邊界感模糊，溯源響應較慢，同時需要較為復雜的算法，且檢測準確度不能再上一個臺階。現有的方案是將提取到的不同種類的溯源信息統一放入存儲模塊中，雖然這樣的獲取方式和儲存效率高，但仍存在入侵檢測的精準度較低的問題。

綜上，如何提高入侵檢測的效率和精準度是目前有待解決的問題。

發明內容

有鑒于此，本發明的目的在于提供一種入侵檢測方法、裝置、設備及介質，能夠提高入侵檢測的效率和精準度。其具體方案如下：

第一方面，本申請公開了一種入侵檢測方法，包括：

收集包括不同類型的入侵威脅數據的溯源信息數據；

按照預設分類規則對所述溯源信息數據進行分類處理，以得到分類后溯源信息，并將所述分類后溯源信息存儲至預設數據庫；

獲取待檢測溯源信息，并將所述待檢測溯源信息與所述預設數據庫中的所述分類后溯源信息進行匹配；

若匹配成功，則判定所述待檢測溯源信息發生入侵攻擊事件，并輸出包括可疑溯源關系的警報內容。

可選的，所述收集包括不同入侵威脅數據的溯源信息數據，包括：

收集包括不同類型的入侵威脅數據的溯源圖、溯源路徑、系統日志數據。

可選的，所述系統日志數據包括Windows系統日志數據和Linux系統日志數據。

可選的，所述將所述分類后溯源信息存儲至預設數據庫的過程中，還包括：

將所述溯源圖的所有邊作為數據流，以對所述溯源圖進行流式處理以得到流式圖，并將所述流式圖存儲至預設數據庫。

可選的，所述按照預設分類規則對所述溯源信息數據進行分類處理之前，還包括：

對所述溯源信息數據進行數據壓縮處理和數據剪枝處理，以去除所述溯源信息數據中與入侵檢測不相關的冗余數據。

可選的，所述按照預設分類規則對所述溯源信息數據進行分類處理，以得到分類后溯源信息，包括：

利用子圖模糊匹配方法對所述溯源信息數據進行分類處理得到第一分類后數據；

利用節點標簽緩存計算方法對所述第一分類后數據進行分類處理，以得到第二分類后數據；