本发明专利技术提供一种结合用户行为画像和设备资源监测的入侵检测系统及方法,包括用户行为画像模块,用于判定用户的操作是否符合用户的历史行为特征;设备资源利用监测模块,用于判断系统资源是否存在异常的使用情况;以及系统安全检测模块,用于根据用户行为画像模块和/或设备资源利用监测模块给出的异常活动信息,判定系统内的工作是否正常,以及是否需要向系统管理员告警。本发明专利技术结合用户行为画像和设备资源监测的入侵检测系统是对入侵检测系统功能的进一步完善,减少发生错误的概率,保证系统的安全性。统的安全性。统的安全性。
【技术实现步骤摘要】
结合用户行为画像和设备资源监测的入侵检测系统及方法
[0001]本专利技术设计网络安全领域,涉及一种结合用户行为画像和设备资源监测的入侵检测系统及方法。
技术介绍
[0002]计算机结构趋于简便,易于携带,技术革新推动网络的快速发展,网络安全逐渐成为新兴学科,网络安全已深入生活各个层面,是集计算机科学,网络技术,通信技术,信息安全技术为一体,向网络大规模化,复杂程度高的发展转变,通过对网络的监测,查处,应用,降低网络入侵发生的机率,减少财产信息泄露的危险。目前,网络入侵的主要方式包括黑客入侵,系统后门入侵,使用计算机病毒入侵,拒绝服务攻击,内部泄密,逻辑炸弹,信息丢失及口令破解等多种方式,传统的网络防护是以防火墙技术为主体,其余网络技术加以运用,已不能满足日常生活的需求。
技术实现思路
[0003]本专利技术要解决的技术问题是提供一种结合用户行为画像和设备资源监测的入侵检测系统及方法。
[0004]为实现上述目的,本专利技术采用的一种技术方案是:一种结合用户行为画像和设备资源监测的入侵检测系统,包括:用户行为画像模块,用于对访问系统的用户相关信息进行采集、对用户的行为进行画像建模以及判定用户的行为操作是否正常;设备资源利用检测模块,用于对用户调用的服务资源信息进行采集、对系统设备资源的利用情况进行建模以及判定当前系统的资源使用情况是否正常。
[0005]进一步地,入侵检测系统还包括:系统安全检测模块,综合用户行为画像模块和设备资源利用检测模块的检测结果,用于综合判断当前系统的安全情况。
[0006]进一步地,所述的用户行为画像模块还包括:用户行为采集单元,用于采集用户行为日志信息,包括但不限于用户的登录IP、用户登录时长、用户内容浏览序列、用户实际操作序列等;用户行为建模单元,用于对送入用户行为建模单元的用户日志,提取常用行为特征,针对每个用户的行为进行统计画像,生成用户行为序列库;用户行为检测单元,利用模式匹配的方法和马氏距离的方法对用户行为的偏差性进行计算。
[0007]进一步地,所述的设备资源利用检测模块还包括:设备资源利用采集单元,用于收集服务器的资源利用信息,包括但不限于CPU资源、GPU资源、硬盘资源的调用情况和负载率等;设备资源利用检测单元,将资源利用信息送入设备资源利用监测系统,根据服务器历史资源的利用情况和使用序列与当前系统设备资源利用情况进行对比,以此判断当前系统中的资源是否被滥用或者恶意使用。
[0008]为实现上述目的,本专利技术采用的另一种技术方案是:一种结合用户行为画像和设备资源监测的入侵检测方法,所述方法包括:对用户的访问进行入侵安全检测;判定所述用户的行为是否符合分配至所述用户的角色及所述用户的历史行为画像;对用户访问的系统
资源利用情况进行分析;监控上述操作中系统的资源利用情况是否正常。
[0009]进一步地,入侵检测方法还包括以下步骤:当用户的行为不符合用户行为画像建模的历史行为习惯或者被调用的系统资源利用情况存在异常时进行告警。
[0010]与现有技术相比,本专利技术的有益效果在于:结合用户行为画像和设备资源监测的入侵检测系统是对入侵检测系统功能的进一步完善,减少发生错误的概率,保证系统的安全性。同时,用户行为画像模块通过进行用户画像建模,可以更好地识别出存在异常行为的用户;设备资源利用监测模块可以更加迅速的发现设备资源的异常使用,保证系统资源的安全性。
[0011]从而通过引入用户行为画像和设备资源利用监测的方法,实现了从用户到资源的入侵检测,能更加迅速地发现存在异常行为的用户和被异常使用的系统资源,从而保证系统用户和系统资源的安全性,解决了系统内部资源在面对攻击者伪装的正常用户和恶意调用系统资源时的安全问题
附图说明
[0012]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0013]图1是根据本公开实施例1所述的入侵检测系统的结构示意图;
[0014]图2是根据本公开实施例1所述的入侵检索系统的工作流程示意图。
具体实施方式
[0015]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。
[0016]实施例1
[0017]图1示出了根据本公开实施例1所述的入侵检测系统的结构示意图。
[0018]参考图1,本公开实施例1介绍了一种结合用户行为画像和设备资源监测的入侵检测系统,包括:用户行为画像模块101,用于对访问系统的用户相关信息进行采集、对用户的行为进行画像建模以及判定用户的行为操作是否正常;设备资源利用检测模块102,用于对用户调用的服务资源信息进行采集、对系统设备资源的利用情况进行建模以及判定当前系统的资源使用情况是否正常;系统安全检测模块103,综合用户行为画像模块101和设备资源利用检测模块102的结果,用于综合判断当前系统的安全情况。
[0019]需要说明的是,系统安全检测模块103用于根据用户行为画像模块101和设备资源利用检测模块102的异常活动,判定系统内的工作是否正常,具体表现如下:系统安全检测模块103获取来自于户行为画像模块101和设备资源利用检测模块102的结果,用于检测系统内的工作是否正常,提高安全性;同时对系统中存在的异常用户和系统资源的异常调用进行告警,其主要目的是检测和阻击非法用户篡夺角色或者滥用系统资源,导致危害系统资源信息的行为。
[0020]需要说明的是,用户行为画像模块101,用于对访问系统的用户相关信息进行采集、对用户的行为进行画像建模以及判定用户的行为操作是否正常。具体地说,当用户登录后,相关的信息都会被用户行为画像模块进行采集;根据用户的历史行为进行建模,生成用户画像;并判断当前用户的行为是否异常。用户行为画像模块101可以判断当前系统中存在异常行为模式的可疑用户,针对可疑用户不同的可疑程度,指导之后的系统安全检测模块 103对系统管理员提供不同程度的告警。
[0021]需要说明的是,设备资源利用检测模块102,用于对用户调用的服务资源信息进行采集、对系统设备资源的利用情况进行建模以及判定当前系统的资源使用情况是否正常。具体地说,当用户在调用系统内的服务时,一定会产生设备资源的使用,如果系统资源出现不正常的消耗时,则有很大概率情况是系统被入侵,攻击者进行了设备资源的恶意使用。设备资源利用检测模块102可以判断当前系统中资源的使用情况是否异常,针对设备资源的异常使用,指导之后的系统安全检测模块103对系统管理员告警。
[0022]进一步地,用户行为画像模块101还包括用户行为采集单元1011,用于对用户行为进行记录采集。
[0023]需要说明的是,从用户申请本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于,包括:用户行为画像模块(101),用于对访问系统的用户相关信息进行采集、对用户的行为进行画像建模以及判定用户的行为操作是否正常;设备资源利用检测模块(102),用于对用户调用的服务资源信息进行采集、对系统设备资源的利用情况进行建模以及判定当前系统的资源使用情况是否正常。2.根据权利要求1所述的一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于:还包括系统安全检测模块(103),综合用户行为画像模块(101)和设备资源利用检测模块(102)的结果,用于综合判断当前系统的安全情况。3.根据权利要求1所述的一种结合用户行为画像和设备资源监测的入侵检测系统,其特征在于,所述的用户行为画像模块(101)还包括:用户行为采集单元(1011),用于采集用户行为日志信息,包括但不限于用户的登录IP、用户登录时长、用户内容浏览序列、用户实际操作序列等;用户行为建模单元(1012),用于对送入用户行为建模单元的用户日志,提取常用行为特征,针对每个用户的行为进行统计画像,生成用户行为序列库;用户行为检测单元(1013),利用模式匹配的...
【专利技术属性】
技术研发人员:郑超,陆秋文,张智勇,孙彦斌,田志宏,
申请(专利权)人:中电积至海南信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。