[发明专利]一种入侵检测方法、装置、设备及可读存储介质

说明书

本发明公开了一种入侵检测方法，包括：对高交互蜜罐中的文件进行监控，判断文件的文件信息是否发生变化；若文件信息发生变化，则确定文件为异常文件，并获取异常文件的异常文件特征码；将异常文件特征码和各个病毒特征码进行对比，判断异常文件是否为病毒文件；若异常文件为病毒文件，则获取病毒文件对应的病毒信息，并输出病毒信息；本发明解决了现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题；此外，本发明还提供了一种入侵检测装置、设备及计算机可读存储介质，同样具有上述有益效果。

技术领域

本发明涉及网络安全领域，特别涉及一种入侵检测方法、装置、设备及计算机可读存储介质。

背景技术

随着互联网技术的快速发展，越来越多的网络入侵工具和网络入侵技术被发明出来。为了防御和探测网络入侵攻击，需要部署高交互的蜜罐伪装成真实环境去收集入侵者的入侵数据。

蜜罐系统是一种对入侵者进行欺骗的系统。通过布置一些作为诱饵的主机、网络服务或者信息，诱使入侵者对它们实施入侵，从而可以对入侵行为进行捕获和分析，了解入侵者所使用的方法，推测入侵意图和动机。通过蜜罐系统，防御方能够清晰地了解自身所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。现有技术能够捕获已知攻击事件和自动预测未知攻击事件，并提取隐蔽的互联网恶意资源信息。但现有技术的检测目标过于单一，只能检测高交互蜜罐的基本信息、进程列表和网络连接数据，无法获取入侵者的入侵数据，进而无法全面地了解入侵者在进行入侵时的惯用方法。

因此，如何解决现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题，是本领域技术人员需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种入侵检测方法、装置、设备及计算机可读存储介质，解决了现有技术无法全面地了解入侵者在进行入侵时的惯用方法的问题。

为解决上述技术问题，本发明提供了一种入侵检测方法，包括：

对高交互蜜罐中的文件进行监控，判断所述文件的文件信息是否发生变化；

若所述文件信息发生变化，则确定所述文件为异常文件，并获取所述异常文件的异常文件特征码；

将所述异常文件特征码和各个病毒特征码进行对比，判断所述异常文件是否为病毒文件；

若所述异常文件为所述病毒文件，则获取所述病毒文件对应的病毒信息，并输出所述病毒信息。

可选的，所述对高交互蜜罐中的文件进行监控，包括：

获取蜜罐信息，利用所述蜜罐信息建立所述高交互蜜罐；其中，所述蜜罐信息包括IP地址、子网掩码、网关和操作系统类型；

利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控。

可选的，在利用所述蜜罐信息建立所述高交互蜜罐之后，在利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控之前，还包括：

获取所述高交互蜜罐的进程信息和网络连接信息，判断所述进程信息或所述网络连接信息是否发生变化；

若所述进程信息或所述网络连接信息发生变化，则输出发生变化的所述进程信息或所述网络连接信息，并执行利用与所述操作系统类型对应的监控程序对所述高交互蜜罐中的文件进行监控的步骤。

可选的，获取所述异常文件的异常文件特征码，包括：

利用弱哈希算法对所述异常文件进行分片处理，得到多个异常文件分片；

利用哈希算法计算各个所述异常文件分片的哈希值，并对所述哈希值进行压缩处理，得到与所述哈希值对应的压缩哈希值；