入侵检测方法、装置、电子设备及存储介质

技术领域

本申请涉及网络安全领域，尤其涉及一种入侵检测方法、装置、电子设备及存储介质。

背景技术

入侵检测技术，是通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。相关技术通常将网络流量作为信息源来检测入侵行为，导致入侵检测的漏报率高。

发明内容

有鉴于此，本申请实施例提供一种入侵检测方法、装置、电子设备及存储介质，以至少解决相关技术入侵检测的漏报率高的问题。

本申请实施例的技术方案是这样实现的：

本申请实施例提供了一种入侵检测方法，应用于第一电子设备，所述方法包括：

通过调用设定插件，确定第一信息集；

将确定出的第一信息集上报第二电子设备；其中，

所述设定插件用于通过调用内核所提供的接口，确定用于第二电子设备进行入侵检测的信息。

其中，上述方案中，所述通过调用设定插件，确定第一信息集，包括：

通过调用所述设定插件，确定至少一个第一信息，并根据所述至少一个第一信息确定所述第一信息集；所述第一信息表征通过调用内核所提供的接口确定出的事件信息。

上述方案中，所述根据所述至少一个第一信息确定所述第一信息集，包括以下至少之一：

在第一信息用于描述进程事件的情况下，在文件系统确定第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的进程事件对应的进程信息；

在第一信息用于描述网络链接事件的情况下，根据所述第一信息确定对应的第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的网络链接事件对应的流量信息；

在第一信息用于描述文件变动事件的情况下，将所述第一信息写入所述第一信息集。

上述方案中，所述将确定出的第一信息集上报第二电子设备，包括：

基于至少一种设定方式处理确定出的第一信息集；

将处理后的第一信息集上报所述第二电子设备；其中，

所述设定方式包括归并、过滤和/或压缩第一信息集中的信息。

本申请实施例还提供了一种入侵检测方法，应用于第二电子设备，所述方法包括：

对第一信息集进行特征提取，得到第一特征集；所述第一信息集中的信息通过调用内核所提供的接口确定；

将所述第一特征集与入侵规则库进行匹配，得到匹配结果；

在所述匹配结果表征所述第一特征集在所述入侵规则库中匹配有设定特征的情况下，输出告警信息。

其中，上述方案中，所述将所述第一特征集与入侵规则库进行匹配，包括：

基于所述入侵规则库中存储的至少一个攻击链中每个攻击链上的每个节点的特征，对所述第一特征集进行匹配，得到所述匹配结果；

在所述匹配结果表征至少存在一个所述攻击链上的至少两个节点的特征与所述第一特征集中的特征相匹配的情况下，输出告警信息。

上述方案中，在所述对第一信息集进行特征提取之前，所述方法还包括：

接收至少两个第一电子设备中的每个第一电子设备上报的第一信息集。

本申请实施例还提供了一种入侵检测装置，包括：

第一处理单元，用于通过调用设定插件，确定第一信息集；

上报单元，用于将确定出的第一信息集上报第二电子设备；其中，

所述设定插件用于通过调用内核所提供的接口，确定用于第二电子设备进行入侵检测的信息。

本申请实施例还提供了一种入侵检测装置，包括：

第二处理单元，用于对第一信息集进行特征提取，得到第一特征集；所述第一信息集中的信息通过调用内核所提供的接口确定；

匹配单元，用于将所述第一特征集与入侵规则库进行匹配，得到匹配结果；

告警单元，用于在所述匹配结果表征所述第一特征集在所述入侵规则库中匹配有设定特征的情况下，输出告警信息。

本申请实施例还提供了一种电子设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，

其中，所述处理器用于运行所述计算机程序时，执行上述第一电子设备侧的任一入侵检测方法，和/或执行上述第二电子设备侧的任一入侵检测方法的步骤。

本申请实施例还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述第一电子设备侧的任一入侵检测方法的步骤，或者，实现上述第二电子设备侧的任一入侵检测方法的步骤。

本申请实施例的入侵检测方法、装置、电子设备及存储介质，第一电子设备通过调用设定插件确定第一信息集，将确定出的第一信息集上报第二电子设备，这里的设定插件用于通过调用内核所提供的接口，得到用于第二电子设备进行入侵检测的信息，第一信息集中的信息用于第二电子设备进行入侵检测。第二电子设备对第一信息集进行特征提取得到第一特征集，将第一特征集与入侵规则库进行匹配，得到匹配结果，在匹配结果表征第一特征集在入侵规则库中匹配有设定特征的情况下，输出告警信息。相较于基于系统日志进行入侵检测的入侵检测方式，本申请实施例提供了入侵检测的信息源的获取方法，通过调用内核所提供的接口从内核中确定出进行入侵检测的信息，换句话说，基于系统内核对网络访问的处理数据进行入侵检测，内核获取的信息不易伪造，是真实产生的，保证了检测数据的真实性，从而避免入侵检测被攻击者伪装绕过，降低入侵检测的漏报率、误报率，能够更加精确地检测入侵行为。

附图说明

图1为本申请实施例提供的一种入侵检测方法的流程示意图；

图2为本申请实施例提供的另一种入侵检测方法的流程示意图；

图3为本申请应用实施例提供的一种入侵检测系统的架构示意图；

图4为本申请应用实施例提供的一种入侵检测系统的界面示意图；

图5为本申请实施例提供的一种入侵检测装置的结构示意图；

图6为本申请实施例提供的另一种入侵检测装置的结构示意图；

图7为本申请实施例提供的电子设备的结构示意图。

具体实施方式

入侵检测技术，是通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。

根据入侵检测依赖的信息来源，可以分为基于主机的入侵检测系统和基于网络流量的入侵检测系统。基于主机的入侵检测系统通过检查主机的日志文件来判定是否有入侵行为发生；基于网络流量的入侵检测系统通过检测网络流量来检测入侵行为。另一方面，就入侵检测技术的特点，还可以分为误用检测和异常检测，误用检测通过建立攻击的模型库，基于模型库来匹配信息源，若匹配成功则表示存在入侵行为。

上述入侵方式的缺点，基于主机的入侵检测系统是基于系统日志进行分析和检测，检测方式较为单一，而且容易被攻击者伪装绕过。基于网络流量的入侵检测系统，由于需要处理海量数据，因来不及处理、分析捕获的数据包而产生丢包现象，造成基于网络流量的入侵检测系统的漏报率上升；另外，网络流量的加密和易伪装导致基于网络流量的入侵检测系统的误报率较高。因而，相关技术将网络流量作为信息源来检测入侵行为，存在入侵检测的漏报率高的问题。

基于此，本申请实施例的入侵检测方法、装置、电子设备及存储介质，第一电子设备通过调用设定插件确定第一信息集，将确定出的第一信息集上报第二电子设备，这里的设定插件用于通过调用内核所提供的接口，得到用于第二电子设备进行入侵检测的信息，第一信息集中的信息用于第二电子设备进行入侵检测。第二电子设备对第一信息集进行特征提取得到第一特征集，将第一特征集与入侵规则库进行匹配，得到匹配结果，在匹配结果表征第一特征集在入侵规则库中匹配有设定特征的情况下，输出告警信息。相较于基于系统日志进行入侵检测的入侵检测方式，本申请实施例提供了入侵检测的信息源的获取方法，通过调用内核所提供的接口从内核中确定出进行入侵检测的信息，换句话说，基于系统内核对网络访问的处理数据进行入侵检测，内核获取的信息不易伪造，是真实产生的，保证了检测数据的真实性，从而避免入侵检测被攻击者伪装绕过，降低入侵检测的漏报率、误报率，能够更加精确地检测入侵行为。

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供的入侵检测方法的流程示意图，应用于第一电子设备，其中，第一电子设备包括但不限于终端、服务器，终端包括手机、平板等电子设备。如图1所示，入侵检测方法包括：

步骤101：通过调用设定插件，确定第一信息集。

其中，所述设定插件用于通过调用内核所提供的接口，确定用于第二电子设备进行入侵检测的信息。

通过调用设定插件，调用内核提供的至少一个接口，基于调用的至少一个接口得到内核代码中至少一条用于进行入侵检测的信息，并将得到的至少一条信息确定为第一信息集。这里，调用的至少一个接口可以通过在网络协议部分的系统内核代码中嵌入检测代码实现，检测代码用于实现Netlink Connector内核检测技术、柏克莱封包过滤器(BPF，Berkeley Packet Filter)事件过滤机制、Ftrace内核检测技术和/或Fanotify内核检测机制，通过调用对应的接口，可以得到对应的检测结果，并基于检测结果进一步判断是否存在入侵行为。

此外，作为一种实现方式，在网络协议部分的系统内核代码中嵌入的检测代码还可以用于在得到上述检测结果的基础之上，进一步用于基于检测结果判断是否存在入侵行为，这样，通过调用至少一个接口，可以得到接口返回的是否存在入侵行为的检测结果。

其中，在一实施例中，所述通过调用设定插件，确定第一信息集，包括：

通过调用所述设定插件，确定至少一个第一信息，并根据所述至少一个第一信息确定所述第一信息集；所述第一信息表征通过调用内核所提供的接口确定出的事件信息。

设定插件通过调用内核提供的至少一个接口，确定至少一个表征事件信息的第一信息，并根据确定出的至少一个第一信息确定第一信息集。这里，第一信息集中的信息用于进行入侵检测。具体地，设定插件可以通过调用Netlink Connector内核检测技术的接口和/或BPF事件过滤机制的接口获取描述进程事件的第一信息，可以通过调用Ftrace内核检测技术的接口获取描述网络链接事件的第一信息，还可以通过调用Fanotify内核检测机制的接口获取描述文件变动事件的第一信息。

通过内核提供的接口，确定表征对应类型的事件的第一信息，再根据确定出的第一信息确入侵检测的信息源，这样，基于系统内核对网络访问的处理数据进行入侵检测，内核获取的信息不易伪造，是真实产生的，保证了检测数据的真实性，从而避免入侵检测被攻击者伪装绕过，能够更加精确地检出入侵事件。

在一实施例中，所述根据所述至少一个第一信息确定所述第一信息集，包括以下至少之一：

在第一信息用于描述进程事件的情况下，在文件系统确定第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的进程事件对应的进程信息；

在第一信息用于描述网络链接事件的情况下，根据所述第一信息确定对应的第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的网络链接事件对应的流量信息；

在第一信息用于描述文件变动事件的情况下，将所述第一信息写入所述第一信息集。

第一电子设备基于确定出的至少一个第一信息所描述的事件，确定第一信息集。在第一信息用于描述进程创建事件、进程销毁事件等进程事件的情况下，在文件系统获取与第一信息描述的进程事件对应的第二信息，第二信息表征第一信息描述的进程事件对应的进程信息，将第一信息和确定出的第二信息写入第一信息集；在第一信息用于描述网络连接事件、网络断开事件等网络链接事件的情况下，通过流量抓取技术如Pcap确定与第一信息描述的网络链接事件对应的第二信息，第二信息表征第一信息描述的网络链接事件对应的流量信息，将第一信息和确定出的第二信息写入第一信息集；在第一信息用于描述文件变动事件的情况下，将第一信息写入第一信息集。这里，文件系统可以是proc文件系统。第一信息集中还可以包括主机信息、系统日志信息、业务日志信息、命令历史信息、端口开放信息等信息。

通过多种内核检测方法，基于内核代码确定出的第一信息所描述的事件类型，确定对应的第二信息，将第一信息和确定出的第二信息作为进行入侵检测的信息源，这样，基于系统内核对网络访问的多维度的处理数据来进行入侵检测，可以根据全面的事件类型的事件信息和事件对应的信息进行入侵检测，保证了检测数据的全面性和真实性，可以避免被攻击者伪装绕过，从而全面地、精确地检出入侵事件。

步骤102：将确定出的第一信息集上报第二电子设备。

将调用设定插件确定出的第一信息集上报第二电子设备。

这里，第一电子设备在将第一信息集上报第二电子设备之前，可以将第一信息集中消耗性能较大的数据进行缓存处理，例如进程事件对应的二进制文件的MD5信息摘要算法(MD5 Message-Digest Algorithm)哈希值。硬件在读取数据时，会先从缓存汇总查询数据，如果查询到缓存中存在需要读取的数据，从缓存中获取数据；如果查询不到缓存中存在需要读取的数据，从内存中获取数据，再上报第二电子设备。由于从缓存中获取的数据比从内存中获取快的多，数据缓存可以帮助硬件更快地运行。这样，能够提高数据获取效率，降低第一电子设备在入侵检测时的性能消耗，降低对用户业务的影响。

在一实施例中，所述将确定出的第一信息集上报第二电子设备，包括：

基于至少一种设定方式处理确定出的第一信息集；

将处理后的第一信息集上报所述第二电子设备；其中，

所述设定方式包括归并、过滤和/或压缩第一信息集中的信息。

基于归并、过滤和/或压缩中的至少一种方式处理确定出的第一信息集中的信息，将处理后的第一信息集上报第二电子设备。这里，降噪处理可以将无关信息过滤排除，归并处理可以基于设定规则将需要多次上报的信息归并为一次上报，压缩处理可以根据常见压缩算法实现。

例如，在对网络链接事件对应的流量信息的处理方式中，降噪处理可以是从第一信息集中排除过滤用户的业务流量；归并处理可以是根据五元组的方式判断是否为相同连接的流量信息，在设定时间间隔内只上报一次相同连接的流量信息；压缩处理可以根据常见压缩算法实现。

进行入侵检测的电子设备需要处理海量数据，存在因对数据包处理不及时而产生的丢包现象，导致入侵检测的漏报率高。在本申请实施例中，第一电子设备在上报前处理信息源，压缩了用于进行入侵检测的数据包，这样，在第二电子设备可以基于更小的数据包进行入侵检测，改善丢包现象，从而降低入侵检测的漏报率。

本申请实施例提供了一种入侵检测方法，应用于第二电子设备，其中，第二电子设备包括服务器。如图2所示，所述方法包括：

步骤201：对第一信息集进行特征提取，得到第一特征集。

其中，所述第一信息集中的信息通过调用内核所提供的接口确定。

第二电子设备基于设定规则对至少一个第一信息集进行特征提取，得到第一特征集。这里，第一信息集表征通过调用内核所提供的接口确定的至少一个信息的集合。第二电子设备可以和第一电子设备是不同的电子设备，也可以是同一电子设备，也就是说，第二电子设备可以利用第二电子设备自身确定出的第一信息集。对于第二电子设备，用于进行特征提取的至少一个第一信息集，包括由第二电子设备自身确定出的第一信息集和/或接收第一电子设备确定并上报的第一信息集。

设定规则可以根据入侵行为的规律设定。例如，同一IP地址发起网络连接的次数大于设定阈值，属于网络扫描的入侵攻击行为；某一用户创建了一个进程，进程的cmdline为：find/-perm-2-type f 2>/dev/null，属于提权行为。

其中，在一实施例中，在所述对第一信息集进行特征提取之前，所述方法还包括：

接收至少两个第一电子设备中的每个第一电子设备上报的第一信息集。

这里，第二电子设备可以接收至少两个第一电子设备中的每个第一电子设备上报的第一信息集，并对接收到的所有第一信息集进行特征提取，得到第一特征集。

这样，通过关联至少两个第一电子设备上报的第一信息集为信息源，可以检测出分布式攻击等更多种类的入侵类型，从而更全面、精确地检出入侵事件。

步骤202：将所述第一特征集与入侵规则库进行匹配，得到匹配结果。

这里，入侵规则库可以是ATT&CK(Adversarial Tactics，Techniques and CommonKnowledge)库，ATT&CK是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、高级长期威胁(APT，advanced persistent threat)情报分析、威胁狩猎及攻击模拟等领域。

例如，根据获取到的进程信息匹配恶意命令、反弹shell，根据获取到的网络链接事件信息对应的流量信息匹配扫描事件、识别恶意域名访问。

步骤203：在所述匹配结果表征所述第一特征集在所述入侵规则库中匹配有设定特征的情况下，输出告警信息。

这里，告警信息用于提示用户检测到入侵行为。

在一实施例中，所述将所述第一特征集与入侵规则库进行匹配，包括：

基于所述入侵规则库中存储的至少一个攻击链中每个攻击链上的每个节点的特征，对所述第一特征集进行匹配，得到所述匹配结果；

在所述匹配结果表征至少存在一个所述攻击链上的至少两个节点的特征与所述第一特征集中的特征相匹配的情况下，输出告警信息。

基于入侵规则库中存储的至少一个攻击链中每个攻击链上的每个节点的特征，对第一特征集进行匹配。在匹配结果表征至少存在一个攻击链满足这个攻击链的至少两个节点的特征与第一特征集中的特征相匹配的情况下，输出告警信息。

这里，攻击链包括初始访问、执行、持久化、提权、防御绕过、凭据访问、发现、横向移动、收集、命令和控制、数据渗漏、影响等节点，反映了攻击行为的对应阶段。基于入侵规则库提供的每条攻击链的每个节点的特征，对第一特征集进行匹配。在存在一条攻击链的至少两个节点的特征与信息源对应的第一特征集中的特征相匹配的情况下，可以判断已经发生了攻击行为对应的至少两个阶段的攻击，基于判断出的已经发生的至少两个阶段的攻击输出告警信息，提示用户检测到入侵行为。这样，相较于基于单一节点的特征得到的入侵行为的检测结果，基于攻击链的至少两个节点的特征得到的是否存在入侵行为的检测结果的可信度更高。例如，在检测到暴力破解后，又检测到执行了恶意指令，那么基于这些行为判断是否存在入侵行为的检测结果的可信度更高。

这里，也可以在攻击链的一个节点的特征与第一特征集中的特征相匹配的情况下，判断已经发生了攻击，输出告警信息，提示用户检测到入侵行为。

下面结合应用实施例对本申请再作进一步的详细描述。

结合图3所示出的一种入侵检测系统的架构示意图，入侵检测系统的架构，包括：

1)终端设备(第一电子设备)：安装运行有客户端，用于提供入侵检测的信息源，并基于设定方式对信息源进行处理。

2)服务器(第二电子设备)：接收终端设备通过客户端上报的信息源，结合攻击链各节点的特征进行特征匹配、关联分析，识别入侵事件。同时也是web控制台的运行载体。

3)Web控制台：为用户提供可视化操作页面，查看、处置入侵风险，配置检测规则策略等。

对应的入侵检测方法，包括以下步骤：

第一步，终端设备通过内核检测机制以及事件过滤机制采集信息，采集的信息包括：

1)进程创建事件、进程销毁事件等进程事件和进程事件对应的进程信息：通过Netlink Connector内核检测技术和BPF事件过滤机制捕获事件信息，然后读取proc文件系统获取对应的进程信息。

这里，Netlink Connector是指一种用户态与内核态的通信方式。本质上是一种netlink，netlink协议号为NETLINK_CONNECTOR，与一般的netlink相比，提供了更便于使用的接口。BPF事件过滤机制是一种在不修改内核代码的情况下，修改内核处理策略的方法。

2)网络连接事件、网络断开事件等网络链接事件和网络链接事件对应的流量信息：通过Ftrace内核检测技术获取网络链接事件信息，并通过流量抓取技术如Pcap获取对应的流量信息。

这里，Ftrace即function tracer，是一种帮助开发人员了解Linux内核运行行为，以便于进行故障调试和性能分析的内核机制。

3)文件变动事件信息：通过Fanotify内核检测机制，获取文件变动事件信息。

这里，Fanotify即fscking all notifiction and file access system，是一种对文件系统变化时产生通知的机制，是替代inotify的下一代文件系统通知机制，fanotify的优势包括可以对指定目录下的所有文件的某些变化进行通知，而inotify只能对指定目录下的两级目录内的文件系统变化进行通知。

4)其它可用于进行入侵检测的信息，如主机信息、进程信息、系统日志信息、命令历史信息、端口开放信息等信息。这里，可以通过pcap获取流量数据、核心交换机镜像网络流量数据，通过syslog获取系统日志信息，读取历史文件获取命令历史信息。

第二步，终端设备对采集到的信息进行归并处理、降噪处理和/或压缩处理(归并、降噪、压缩)，对于一些消耗性能较大的数据进行缓存处理，如进程事件对应的二进制文件的MD5信息摘要算法哈希值。然后，终端设备将处理后的数据上报给服务器。

例如，在对网络链接事件对应的流量信息的处理方式中，降噪处理可以是从第一信息集中排除过滤用户的业务流量；归并处理可以是根据五元组的方式判断是否为相同连接的流量信息，在设定时间间隔内只上报一次相同连接的流量信息；压缩处理可以根据常见压缩算法实现。

第三步，服务器对上报的数据，结合攻击链各节点对应的攻击行为，进行特征提取、关联分析，识别入侵事件。

例如，根据捕获到的进程创建信息匹配恶意命令、反弹shell，根据获取到的网络链接事件信息对应的流量信息匹配扫描事件、识别恶意域名访问。这里，反弹shell指的是控制端监听某一TCP/UDP端口，被控端发起请求到该TCP/UDP端口，并将命令行的输入输出转到控制端。反弹shell与telnet，ssh等标准shell对应，本质上是网络概念的客户端与服务端的角色反转。

基于入侵规则库中存储的至少一个攻击链中每个攻击链上的每个节点的特征，对第一特征集进行匹配，从而识别入侵事件。攻击链的至少两个节点的特征与第一特征集中的特征相匹配的情况下，可以判断已经发生了攻击行为对应的阶段的攻击，基于判断出的已经发生的攻击输出告警信息，提示用户检测到入侵行为。

这里，关联分析包括阶段关联的分析，基于攻击链上的每个节点的特征，对攻击行为的至少两个阶段进行关联性分析，从而识别入侵事件。当存在一条攻击链的至少两个节点的特征与信息源对应的第一特征集中的特征相匹配，可以判断已经发生了攻击行为对应的至少两个阶段。这样，相较于基于单一节点的特征得到的是否存在入侵行为的检测结果，基于攻击链的至少两个节点的特征得到的是否存在入侵行为的检测结果的可信度更高。

本申请应用实施例针对相关技术中存在的检测手段易被绕过、检测方式单一、检测攻击类型单一、误报率高、漏报率高等问题，提供了一种入侵检测系统及对应的入侵检测方法，通过调用内核所提供的接口从内核中确定出进行入侵检测的信息，换句话说，基于系统内核对网络访问的处理数据进行入侵检测，且处理数据是真实产生的，保证了检测数据的全面性和真实性，从而避免入侵检测被攻击者伪装绕过，降低入侵检测的漏报率、误报率，全面地检测入侵行为。

如图4所示出的入侵检测系统的界面示意图，本申请应用实施例所提供的入侵检测系统支持的入侵检测功能包括威胁入口、信息发现、权限提升、持久化、命令与控制、防御绕过、影响破坏。这些功能的实现是基于采集的信息和攻击链各节点对应的攻击行为的各阶段的对应关系确定的，攻击链包括初始访问、执行、持久化、提权、防御绕过、凭据访问、发现、横向移动、收集、命令与控制、数据渗漏、影响等节点，对应攻击行为的各个阶段。

这里，攻击链的节点与采集的信息的对应关系可以是：初始访问对应网络链接事件，持久化对应文件变动事件，提权对应进程事件，防御绕过对应进程事件、文件变动事件和网络链接事件，横向移动对应进程事件和网络链接事件，命令与控制对应进程事件。这样，通过分析这些采集到的信息，能够全面、有效的检出攻击事件。

对于网络接口来说，攻击者通常利用网络扫描工具获取目标主机的系统信息，如：主机类型，开设服务，开放端口等。然后针对相应的操作系统版本和服务程序版本，查找相应的漏洞工具，进行相应攻击。或者通过分布式DOS攻击工具，阻止系统对外提供正常服务。而所有这些攻击方法都会经过系统内核的网络协议部分进行解包处理，将外部网络的信息包传递给上层应用程序或守护进程，导致程序的非正常服务。所以，在本申请应用实施例提供的入侵检测系统，通过在终端设备的网络协议部分的系统的内核代码中嵌入针对入侵方法特征码的检测代码，通过调用内核所提供的接口从内核中确定出进行入侵检测的信息，上报服务器，由服务器结合ATT&CK提供的攻击链的各节点对应的攻击行为阶段的特征进行关联分析，解决了相关技术中入侵检测系统因为流量大、易被绕过、检测阶段单一导致的漏报、误报率高等问题，从而避免入侵检测被攻击者伪装绕过，实现降低入侵检测的漏报率、误报率的效果，全面地检测入侵行为。

为实现本申请实施例的方法，本申请实施例还提供了一种入侵检测装置，如图5所示，该装置包括：

第一处理单元501，用于通过调用设定插件，确定第一信息集；

上报单元502，用于将确定出的第一信息集上报第二电子设备；其中，

所述设定插件用于通过调用内核所提供的接口，确定用于第二电子设备进行入侵检测的信息。

在一个实施例中，所述第一处理单元501，用于：

通过调用所述设定插件，确定至少一个第一信息，并根据所述至少一个第一信息确定所述第一信息集；所述第一信息表征通过调用内核所提供的接口确定出的事件信息。

在一个实施例中，所述根据所述至少一个第一信息确定所述第一信息集，包括以下至少之一：

在第一信息用于描述进程事件的情况下，在文件系统确定第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的进程事件对应的进程信息；

在第一信息用于描述网络链接事件的情况下，根据所述第一信息确定对应的第二信息，并将所述第一信息和确定出的第二信息写入所述第一信息集；确定出的第二信息表征所述第一信息描述的网络链接事件对应的流量信息；

在第一信息用于描述文件变动事件的情况下，将所述第一信息写入所述第一信息集。

在一个实施例中，所述上报单元502，用于：

基于至少一种设定方式处理确定出的第一信息集；

将处理后的第一信息集上报所述第二电子设备；其中，

所述设定方式包括归并、过滤和/或压缩第一信息集中的信息。

实际应用时，所述第一处理单元501可由基于入侵检测装置中的处理器实现，所述上报单元502可由基于入侵检测装置中的处理器结合通信接口实现。

需要说明的是：上述实施例提供的入侵检测装置在进行入侵检测时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的入侵检测装置与入侵检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

为实现本申请实施例的方法，本申请实施例还提供了一种入侵检测装置，如图6所示，该装置包括：

第二处理单元601，用于对第一信息集进行特征提取，得到第一特征集；所述第一信息集中的信息通过调用内核所提供的接口确定；

匹配单元602，用于将所述第一特征集与入侵规则库进行匹配，得到匹配结果；

告警单元603，用于在所述匹配结果表征所述第一特征集在所述入侵规则库中匹配有设定特征的情况下，输出告警信息。

在一个实施例中，所述匹配单元602，用于：

基于所述入侵规则库中存储的至少一个攻击链中每个攻击链上的每个节点的特征，对所述第一特征集进行匹配，得到所述匹配结果；

在所述匹配结果表征至少存在一个所述攻击链上的至少两个节点的特征与所述第一特征集中的特征相匹配的情况下，输出告警信息。

在一个实施例中，所述装置还包括：

接收单元，用于接收至少两个第一电子设备中的每个第一电子设备上报的第一信息集。

实际应用时，所述第二处理单元601、匹配单元602、告警单元603可由基于入侵检测装置中的处理器实现，所述接收单元可由基于入侵检测装置中的通信接口实现。

需要说明的是：上述实施例提供的入侵检测装置在进行入侵检测时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的入侵检测装置与入侵检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的硬件实现，且为了实现本申请实施例的入侵检测方法，本申请实施例还提供了一种电子设备，如图7所示，该电子设备700包括：

通信接口710，能够与其它设备比如网络设备等进行信息交互；

处理器720，与所述通信接口710连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述第一电子设备侧和/或第二电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器730上。

当然，实际应用时，电子设备700中的各个组件通过总线系统740耦合在一起。可理解，总线系统740用于实现这些组件之间的连接通信。总线系统740除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图7中将各种总线都标为总线系统740。

本申请实施例中的存储器730用于存储各种类型的数据以支持电子设备700的操作。这些数据的示例包括：用于在电子设备700上操作的任何计算机程序。

可以理解，存储器730可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器730旨在包括但不限于这些和任意其它适合类型的存储器。

上述本申请实施例揭示的方法可以应用于处理器720中，或者由处理器720实现。处理器720可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器720中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器720可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器720可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器730，处理器720读取存储器730中的程序，结合其硬件完成前述方法的步骤。

可选地，所述处理器720执行所述程序时实现本申请实施例的各个方法中由第一电子设备和/或第二电子设备实现的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本申请实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器730，上述计算机程序可分别由电子设备的处理器720执行，以完成前述入侵检测方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，本申请实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。除非另有说明和限定，术语“连接”应做广义理解，例如，可以是电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

另外，在本申请实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本申请的实施例可以除了在这里图示或描述的那些以外的顺序实施。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

在具体实施方式中所描述的各个实施例中的各个具体技术特征，在不矛盾的情况下，可以进行各种组合，例如通过不同的具体技术特征的组合可以形成不同的实施方式，为了避免不必要的重复，本申请中各个具体技术特征的各种可能的组合方式不再另行说明。