专利一种主机入侵检测方法、装置、设备及存储介质

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211062358.8 (22)申请日 2022.08.31 (71)申请人中汽创智科技有限公司地址 211100 江苏省南京市江宁区秣陵街道胜利路8 8号 (72)发明人胡红星　王文轩　鞠世超　张强强　闫矿城　陈臣　凌锦雯　张学林　曲洪达　宋千里　林群芳　 (74)专利代理机构广州三环专利商标代理有限公司 44202 专利代理师郑华洁 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称一种主机入侵检测方法、装置、设备及存储介质 (57)摘要本申请公开一种主机入侵检测方法、装置、设备及存储介质，其中该方法包括：获取待检测数据，待检测数据包括业务类别信息；基于业务类别信息，确定待检测数据对应的目标检测项信息；基于目标检测项信息对应的检测项对待检测数据进行检测，得到检测信息，利用本申请提供的技术方案可以实现充分利用待检测数据对应的业务类别信息，快速进行主机入侵检测，进而明显提高了检测精度与检测效率。权利要求书2页说明书9页附图6页 CN 115484081 A 2022.12.16 CN 115484081 A 1.一种主机入侵检测方法，其特征在于，所述方法包括：获取待检测数据，所述待检测数据包括业务类别信息；基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息；基于所述目标检测项信息对应的检测项对所述待检测数据进行检测，得到检测信息。 2.根据权利要求1所述的方法，其特征在于，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：对所述待检测数据进行解析处理，得到所述待检测数据对应的业务类别信息和检测内容信息；根据所述业务类别信息和所述检测内容信息，得到所述待检测数据对应的目标格式数据。 3.根据权利要求2所述的方法，其特征在于，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：根据所述目标格式数据，确定所述待检测数据对应的检测优先级信息；根据所述检测优先级信息，得到所述目标格式数据在检测数据队列中的排序信息；根据所述排序信息，将所述目标格式数据插入所述检测数据队列。 4.根据权利要求2所述的方法，其特征在于，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：将所述目标格式数据发送至检测数据队列中；基于所述目标格式数据对应的检测优先级信息，得到所述目标格式数据在检测数据队列对应的检测排列信息。 5.根据权利要求1所述的方法，其特征在于，还包括：获取多个所述检测项信息；基于多个所述检测项信息，确定与所述业务类别信息对应的检测项链表信息；基于所述检测项链表信息对所述待检测数据进行相应的检测处理。 6.根据权利要求1所述的方法，其特征在于，所述业务类别信息包括第一业务类别信息和第二业务类别信息；所述基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息，包括：基于所述第一业务类别信息，确定所述待检测数据对应的第一检测项信息；基于所述第二业务类别信息，确定所述待检测数据对应的第二检测项信息；基于所述第一检测项信息和所述第二检测项信息，确定所述目标检测项信息。 7.根据权利要求6所述的方法，其特征在于，所述第一业务类别信息至少包括主机检测数据、日志审计检测数据、恶意文件检测数据、漏洞检测数据和恶意行为关联分析检测数据中的任一种。 8.一种主机入侵检测装置，其特征在于，所述装置包括：数据获取模块：用于获取待检测数据，所述待检测数据包括业务类别信息；目标检测项信息确定模块：用于基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息；检测模块：用于基于所述目标检测项信息对应的检测项对所述待检测数据进行检测，得到检测信息。权　利　要　求　书 1/2 页 2 CN 115484081 A 29.一种主机入侵检测设备，其特征在于，所述主机入侵检测设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求 1～7 中任一项所述的主机入侵检测方法。 10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令或者至少一段程序，所述至少一条指令或者所述至少一段程序由处理器加载并执行以实现如权利要求1～7任一项所述的主机入侵检测方法。权　利　要　求　书 2/2 页 3 CN 115484081 A 3

专利 一种主机入侵检测方法、装置、设备及存储介质

专利一种主机入侵检测方法、装置、设备及存储介质