一种入侵检测方法、装置、系统及存储介质与流程

文档序号:36725466发布日期:2024-01-16 12:32阅读:来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术>一种入侵检测方法、装置、系统及存储介质与流程

技术特征:

1.一种入侵检测方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述告警日志中每条记录的老化时间为预设时长,所述老化时间为所述入侵检测功能模块生成所述告警日志的每条记录后所述每条记录的存储时长。

3.根据权利要求1所述的方法,其特征在于,若所述第一记录中还包括所述入侵检测功能模块从所述第一攻击报文中获取恶意域名的时间,则所述目标记录中还包括第一时间,所述第一时间是所述入侵检测功能模块从导致所述入侵检测功能模块生成所述目标记录的攻击报文中获取所述第一域名的时间,其中,所述第一时间早于第二时间,所述第二时间是从所述dns报文中获取所述第一域名的时间,且所述第一时间和所述第二时间的时间差小于或等于预设时长。

4.根据权利要求3所述的方法,其特征在于,如果所述第一记录中的恶意域名为第二域名,且所述第一记录在预设时长内未被命中,则当所述入侵检测功能模块获取到第二攻击报文,所述第二攻击报文携带所述第二域名,且所述第二攻击报文的目的地址与所述第一攻击报文的目的地址相同,所述方法还包括:

5.根据权利要求3或4所述的方法,其特征在于,所述导致所述入侵检测功能模块生成所述目标记录的攻击报文是第三攻击报文,在所述查询告警日志中是否存在包含所述第一域名的记录之前,所述方法还包括:

6.根据权利要求1-5中任一项所述的方法,其特征在于,所述方法应用于所述第一主机,所述入侵检测功能模块部署于所述第一主机中,所述告警日志中包括的至少一条记录是所述入侵检测功能模块针对目的地址是所述第一主机的网络地址的攻击报文生成的。

7.根据权利要求6所述的方法,其特征在于,所述获取dns报文携带的第一域名包括:

8.根据权利要求1-5中任一项所述的方法,其特征在于,所述方法应用于安全设备,所述入侵检测功能模块部署于所述安全设备中,所述安全设备部署于所述第一主机所在网络的边界。

9.根据权利要求8所述的方法,其特征在于,所述告警日志中的第一记录中还包括所述入侵检测功能模块从所述第一攻击报文中获取的目的地址,则所述目标记录中还包括所述第一主机的网络地址。

10.根据权利要求8或9所述的方法,其特征在于,所述获取dns报文携带的第一域名包括:

11.根据权利要求1-5中任一项所述的方法,其特征在于,所述方法应用于云端设备,所述云端设备部署于互联网中、且与安全设备和/或所述第一主机通信,所述安全设备部署于包括所述第一主机所在网络的边界。

12.根据权利要求11所述的方法,其特征在于,所述入侵检测功能模块部署于所述安全设备中,所述获取dns报文携带的第一域名包括:

13.根据权利要求1-12中任一项所述的方法,其特征在于,所述方法还包括:

14.一种入侵检测装置,其特征在于,包括:

15.根据权利要求14所述的装置,其特征在于,所述告警日志中每条记录的老化时间为预设时长,所述老化时间为所述入侵检测功能单元生成所述告警日志的每条记录后所述每条记录的存储时长。

16.根据权利要求14所述的装置,其特征在于,若所述第一记录中还包括所述入侵检测功能单元从所述第一攻击报文中获取恶意域名的时间,则所述目标记录中还包括第一时间,所述第一时间是所述入侵检测功能单元从导致所述入侵检测功能单元生成所述目标记录的攻击报文中获取所述第一域名的时间,其中,所述第一时间早于第二时间,所述第二时间是从所述dns报文中获取所述第一域名的时间,且所述第一时间和所述第二时间的时间差小于或等于预设时长。

17.根据权利要求16所述的装置,其特征在于,如果所述第一记录中的恶意域名为第二域名,且所述第一记录在预设时长内未被命中,则当所述入侵检测功能单元获取到第二攻击报文,所述第二攻击报文携带所述第二域名,且所述第二攻击报文的目的地址与所述第一攻击报文的目的地址相同,所述装置还包括:

18.根据权利要求16或17所述的装置,其特征在于,所述导致所述入侵检测功能单元生成所述目标记录的攻击报文是第三攻击报文,在所述查询告警日志中是否存在包含所述第一域名的记录之前,所述入侵检测功能单元还具体用于:

19.根据权利要求14-18中任一项所述的装置,其特征在于,所述装置应用于所述第一主机,所述入侵检测功能单元部署于所述第一主机中,所述告警日志中包括的至少一条记录是所述入侵检测功能单元针对目的地址是所述第一主机的网络地址的攻击报文生成的。

20.根据权利要求14-18中任一项所述的装置,其特征在于,所述装置应用于安全设备,所述入侵检测功能单元部署于所述安全设备中,所述安全设备部署于所述第一主机所在网络的边界。

21.根据权利要求20所述的装置,其特征在于,所述告警日志中的第一记录中还包括所述入侵检测功能单元从所述第一攻击报文中获取的目的地址,则所述目标记录中还包括所述第一主机的网络地址。

22.根据权利要求14-18中任一项所述的装置,其特征在于,所述装置应用于云端设备,所述云端设备部署于互联网中、且与安全设备和/或所述第一主机通信,所述安全设备部署于包括所述第一主机所在网络的边界。

23.根据权利要求22所述的装置,其特征在于,所述入侵检测功能单元部署于所述安全设备和/或所述第一主机中。

24.根据权利要求14-23中任一项所述的装置,其特征在于,所述装置还包括:

25.一种入侵检测装置,其特征在于,包括:存储器、网络接口和一个或多个处理器,所述一个或多个处理器通过所述网络接口接收或发送数据,所述一个或多个处理器被配置为读取存储在所述存储器中的程序指令,以执行如权利要求1-13中任一项所述的方法。

26.一种入侵检测系统,其特征在于,包括:入侵检测装置和多个主机;所述入侵检测装置用于执行如权利要求1-13中任一项所述的方法,以确定所述多个主机是否被成功入侵。

27.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括程序指令,当所述程序指令在计算机或处理器上运行时,使得所述计算机或所述处理器执行权利要求1-13中任一项所述的方法。


技术总结
本申请公开了一种入侵检测方法、装置、系统及存储介质,涉及网络技术领域。该方法包括:获取第一主机向外部网络发送的DNS报文所携带的第一域名;查询告警日志中是否存在包含第一域名的记录;如果告警日志中的目标记录包含第一域名,则确定第一主机被成功入侵。其中,导致入侵检测功能模块生成目标记录的攻击报文的目的地址是第一主机的地址。该方法能够高效准确的确定主机是否被成功入侵,且无需构建并维护单独的漏洞响应特征库。

技术研发人员:杨浩鹏
受保护的技术使用者:华为技术有限公司
技术研发日:
技术公布日:2024/1/15
完整全部详细技术资料下载
当前第2页1 2 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!

    使用协议| 关于我们| 联系X技术

    © 2008-2025 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2