[发明专利]一种入侵检测方法及装置

说明书

本申请实施例提供了一种入侵检测方法及装置。方法包括：获取用户当前输入目标账户的口令信息的当前行为信息；根据当前行为信息，获取当前行为信息表征的多个输入行为参数的当前参数值，并将多个输入行为参数的当前参数值组成当前行为向量；将当前行为向量输入预设的入侵检测模型，得到当前行为信息所表征的输入行为的检测结果，检测结果为当前行为信息所表征的输入行为是入侵行为，或检测结果为当前行为信息所表征的输入行为是正常行为。应用本申请实施例提供的技术方案，能够解决现有事后行为审计分析，不能达到有效保护核心资产的问题，提高信息系统的安全防御性能。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种入侵检测方法及装置。

背景技术

现有的信息系统一般为口令账户系统，口令账户系统可为不同等级身份的用户提供不同的访问控制权限。口令账户系统通过用户输入的账号口令信息，对用户进行身份验证，基于验证结果实现用户对设备、软件、数据、系统的访问控制。但是，账号口令信息很容易被窃取。一但账号口令信息被非法用户窃取，非法用户即可获得该用户的全部操作权限，造成用户隐私、重要数据等核心资产的泄露。

为避免泄露用户隐私、重要数据等核心资产，目前提出了一种入侵检测方法，实现方法通常为：获取用户登录信息系统后的一些操作行为，审计分析这些操作行为，再通过审核结果判断账号口令信息是否泄露，即判断是否发生了入侵行为。

但上述入侵检测方法获取的是用户登录信息系统后的操作行为，此时，非法用户已经通过非法窃取的口令进入了信息系统，实际损害已经发生了。因此上述入侵检测方法是在侵入事件发生后的事后行为审计分析，并不能达到有效保护用户隐私、重要数据等核心资产的目的。

发明内容

本申请实施例的目的在于提供一种入侵检测方法及装置，以解决现有事后行为审计分析，不能达到有效保护核心资产的问题，提高信息系统的安全防御性能。具体技术方案如下：

第一方面，本申请实施例提供了一种入侵检测方法，所述方法包括：

获取用户当前输入目标账户的口令信息的当前行为信息；

根据所述当前行为信息，获取所述当前行为信息所表征的多个输入行为参数的当前参数值，并将所述多个输入行为参数的当前参数值组成当前行为向量；

将所述当前行为向量输入预设的入侵检测模型，得到所述当前行为信息所表征的输入行为的检测结果，所述检测结果为所述当前行为信息所表征的输入行为是入侵行为，或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。

第二方面，本申请实施例提供了一种入侵检测装置，所述装置包括：

第一获取单元，用于获取用户当前输入目标账户的口令信息的当前行为信息；

第二获取单元，用于根据所述当前行为信息，获取所述当前行为信息所表征的多个输入行为参数的当前参数值，并将所述多个输入行为参数的当前参数值组成当前行为向量；

检测单元，用于将所述当前行为向量输入预设的入侵检测模型，得到所述当前行为信息所表征的输入行为的检测结果，所述检测结果为所述当前行为信息所表征的输入行为是入侵行为，或所述检测结果为所述当前行为信息所表征的输入行为是正常行为。

第三方面，本申请实施例提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述第一方面提供的入侵检测方法步骤。

第四方面，本申请实施例提供了一种机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述第一方面提供的入侵检测方法步骤。