技术特征:
1.一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于,包括:用户行为画像模块(101),用于对访问系统的用户相关信息进行采集、对用户的行为进行画像建模以及判定用户的行为操作是否正常;设备资源利用检测模块(102),用于对用户调用的服务资源信息进行采集、对系统设备资源的利用情况进行建模以及判定当前系统的资源使用情况是否正常。2.根据权利要求1所述的一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于:还包括系统安全检测模块(103),综合用户行为画像模块(101)和设备资源利用检测模块(102)的结果,用于综合判断当前系统的安全情况。3.根据权利要求1所述的一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于,所述的用户行为画像模块(101)还包括:用户行为采集单元(1011),用于采集用户行为日志信息,包括但不限于用户的登录ip、用户登录时长、用户内容浏览序列、用户实际操作序列等;用户行为建模单元(1012),用于对送入用户行为建模单元的用户日志,提取常用行为特征,针对每个用户的行为进行统计画像,生成用户行为序列库;用户行为检测单元(1013),利用模式匹配的方法和马氏距离的方法对用户行为的偏差性进行计算。4.根据权利要求1所述的一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于,所述的设备资源利用检测模块(102)还包括:设备资源利用采集单元(1021),用于收集设备的资源利用信息,包括但不限于cpu资源、gpu资源、硬盘资源的调用情况和负载率等;设备资源利用检测单元(1022),将资源利用信息送入设备资源利用监测系统,根据服务器历史资源的利用情况和使用序列与当前系统设备资源利用情况进行对比,以此判断当前系统中的资源是否被滥用或者恶意使用。5.一种结合用户行为画像和设备资源监测的入侵检测方法,其特征在于,用于如权利要求1所述的系统,所述方法包括:对用户的访问进行入侵安全检测;判定所述用户的行为是否符合分配至所述用户的角色的及所述用户的历史行为画像;对用户访问的系统资源利用情况进行分析;监控上述操作中系统的资源利用情况是否正常。6.根据权利要求5所述的结合用户行为画像和设备资源监测的入侵检测方法,其特征在于,还包括以下步骤:当用户的行为不符合用户行为画像建模的历史行为习惯或者被调用的系统资源利用情况存在异常时进行告警。
技术总结
本发明提供一种结合用户行为画像和设备资源监测的入侵检测系统及方法,包括用户行为画像模块,用于判定用户的操作是否符合用户的历史行为特征;设备资源利用监测模块,用于判断系统资源是否存在异常的使用情况;以及系统安全检测模块,用于根据用户行为画像模块和/或设备资源利用监测模块给出的异常活动信息,判定系统内的工作是否正常,以及是否需要向系统管理员告警。本发明结合用户行为画像和设备资源监测的入侵检测系统是对入侵检测系统功能的进一步完善,减少发生错误的概率,保证系统的安全性。统的安全性。统的安全性。
技术研发人员:郑超 陆秋文 张智勇 孙彦斌 田志宏
受保护的技术使用者:中电积至(海南)信息技术有限公司
技术研发日:2021.08.10
技术公布日:2022/4/15