[发明专利]一种入侵检测的方法、装置、电子设备及存储介质

说明书

本发明实施例公开了一种入侵检测的方法、装置及存储介质，涉及网络安全技术领域，能够在系统锁屏状态下及时发现入侵行为。包括：记录系统锁屏前的进程、线程和/或网络连接情况，形成第一相关信息；若监测到锁屏操作，则实时记录锁屏后的进程、线程和/或网络连接情况，形成第二相关信息；将第一相关信息与第二相关信息进行比对，若不能完全匹配则判定存在新的进程、线程和/或网络连接；基于多元素联合分析所述新的进程、线程和/或网络连接是否为正常程序。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种入侵检测的方法、装置、电子设备及存储介质。

背景技术

随着信息化时代的飞速发展和计算机技术的快速进步，给人们的生活带来越来越多的便利。但计算机病毒对个人、社会乃至国家所带来的影响和危害也越来越大，计算机病毒入侵防范技术也需要更快的提升。

目前各信息安全厂商基本是基于流量、端点侧或者采用特征码进行匹配方式进行入侵检测，而上述技术手段在计算机正常使用中是可以防范的，但是在计算机锁屏时就很难及时发现入侵行为。

发明内容

有鉴于此，本发明实施例提供了一种入侵检测的方法、装置、电子设备及存储介质，能够在系统锁屏状态下及时发现入侵行为。

本发明实施例提供一种入侵检测的方法，包括：

记录系统锁屏前的进程、线程和/或网络连接情况，形成第一相关信息；

若监测到锁屏操作，则实时记录锁屏后的进程、线程和/或网络连接情况，形成第二相关信息；

将第一相关信息与第二相关信息进行比对，若不能完全匹配则判定存在新的进程、线程和/或网络连接；

基于多元素联合分析所述新的进程、线程和/或网络连接是否为正常程序。

进一步地，所述进程、线程和/或网络连接情况，包括：当前系统进程数据量、进程ID、加载的模块信息、服务启动信息、进程路径、文件名、大小、属性、网络连接相关的IP、端口号。

进一步地，所述基于多元素联合分析所述新的进程、线程和/或网络连接是否为正常程序，具体包括：

提取新的进程、线程和/或网络连接相关的多元素信息，包括：文件属性信息、关联信息和/或其他指定信息；

基于多元素信息中的一项或者两项以上信息联合判断新的进程、线程和/或网络连接是否为正常程序；

其中，所述文件属性信息包括但不限于：文件版本、文件大小、文件格式、创建时间、修改时间、时间戳、节表、进程ID、进程路径、网络连接相关的IP或者端口号；

所述关联信息包括但不限于：调用的关系、加载的关系或者执行的关系；

所述其他指定信息包括但不限于：白名单、黑名单。

上述方法实施例中，还包括：若是正常程序，则屏幕解锁后弹出监测期间相关数据信息；若不是正常程序，则屏幕解锁后弹出告警提示信息。

第二方面，本发明实施例提供一种入侵检测的装置，包括：

锁屏前记录模块，用于记录系统锁屏前的进程、线程和/或网络连接情况，形成第一相关信息；

锁屏后记录模块，用于若监测到锁屏操作，则实时记录锁屏后的进程、线程和/或网络连接情况，形成第二相关信息；

信息比对判定模块，用于将第一相关信息与第二相关信息进行比对，若不能完全匹配则判定存在新的进程、线程和/或网络连接；

多元素联合分析模块，用于基于多元素联合分析所述新的进程、线程和/或网络连接是否为正常程序。