[发明专利]一种入侵检测方法及装置

权利要求书

1.一种入侵检测方法，其特征在于，所述方法包括：

获取用户当前输入目标账户的口令信息的当前行为信息；所述当前行为信息为所述用户在当前输入所述目标账户的口令信息的过程中，针对所述目标账户的口令信息中每一字符的操作行为的行为信息；所述操作行为的内容包括字符输入、字符删除；

根据所述当前行为信息，获取所述当前行为信息所表征的多个输入行为参数的当前参数值，并将所述多个输入行为参数的当前参数值组成当前行为向量；

将所述当前行为向量输入预设的入侵检测模型，得到所述当前行为信息所表征的输入行为的检测结果，所述检测结果为所述当前行为信息所表征的输入行为是入侵行为，或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。

2.根据权利要求1所述的方法，其特征在于，所述当前行为信息包括以下内容中的一种或多种：每一字符对应的操作行为的序号、每一字符对应的操作行为的时间戳、每一字符对应的操作行为的内容、每一字符对应的操作行为的类型、口令信息的验证结果；

所述多个输入行为参数包括以下内容中的一种或多种：从所述目标账户的口令信息中第一个字符的输入开始至所述目标账户的口令信息验证结束所消耗的总时长、所有类型的操作行为的平均时间间隔、每种类型的操作行为的平均时间间隔、每一种类型的操作行为的最大时间间隔与该种类型的操作行为的最小时间间隔的比值、每种操作内容的操作行为的操作次数、重新输入所述目标账户的口令信息的次数。

3.根据权利要求1所述的方法，其特征在于，所述入侵检测模型通过以下方式训练获得：

获取预设训练集，所述预设训练集包括带标签的历史行为信息，所述历史行为信息是用户历史输入所述目标账户的口令信息的行为信息，所述标签用于指示所述历史行为信息所表征的输入行为是入侵行为或正常行为；

根据所述历史行为信息，获取所述历史行为信息所表征的多个输入行为参数的历史参数值，并将所述多个输入行为参数的历史参数值组成历史行为向量；

将所述历史行为向量输入预设的入侵检测结构，得到所述历史行为信息所表征的输入行为的预测检测结果；

基于所述预测检测结果和所述历史行为信息的标签，确定入侵检测的损失值；

当基于所述损失值确定所述入侵检测结构收敛时，完成训练，得到入侵检测模型。

4.根据权利要求1-3任一所述的方法，其特征在于，所述入侵检测模型包括常规入侵检测模型和特殊入侵检测模型；所述常规入侵检测模型是根据第一预设训练集训练得到的模型，所述第一预设训练集包括带标签的常规历史行为信息；所述特殊入侵检测模型是根据第二预设训练集训练得到的模型，所述第二预设训练集包括带标签的特殊历史行为信息；所述特殊历史行为信息为所述历史行为信息中符合预设特殊条件的行为信息，所述常规历史行为信息为所述历史行为信息中除所述特殊历史行为信息外的行为信息；

所述将所述当前行为向量输入预设的入侵检测模型，得到所述当前行为信息所表征的输入行为的检测结果的步骤，包括：

将所述当前行为向量输入所述常规入侵检测模型，得到所述当前行为信息所表征的输入行为的第一检测结果；

若所述第一检测结果为所述当前行为信息所表征的输入行为是入侵行为，则判断所述当前行为信息是否为符合所述预设特殊条件的行为信息；

若为符合所述预设特殊条件的行为信息，则将所述当前行为向量输入所述特殊入侵检测模型，得到所述当前行为信息所表征的输入行为的第二检测结果。