數(shù)據(jù)檢測方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)檢測領(lǐng)域，具體而言，涉及一種數(shù)據(jù)檢測方法和裝置。
【背景技術(shù)】
[0002]入侵檢測系統(tǒng)(intrus1n detect1n system,簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)控，在發(fā)現(xiàn)可疑網(wǎng)絡(luò)傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。根據(jù)數(shù)據(jù)來源不同，可分為基于主機(jī)的入侵檢測系統(tǒng)(HIDS)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)。
[0003]在進(jìn)行入侵檢測過程中，需要不斷收集各種各樣的數(shù)據(jù)，這些數(shù)據(jù)的數(shù)據(jù)量巨大。例如中等規(guī)模的IDC，隨著收集的數(shù)據(jù)不斷增多，每天產(chǎn)生的原始數(shù)據(jù)，就達(dá)到TB級別，甚至幾十TB，數(shù)據(jù)總記錄數(shù)能達(dá)到萬億的級別。大規(guī)模IDC集群的數(shù)據(jù)量則更多。
[0004]目前，通常采用數(shù)據(jù)庫技術(shù)進(jìn)行數(shù)據(jù)實(shí)時檢測，然而數(shù)據(jù)庫只能夠支持千萬條數(shù)據(jù)記錄的結(jié)構(gòu)化數(shù)據(jù)處理。還有采用分布式計算框架，如hadoop等,通過MapReduce作業(yè)并行計算以進(jìn)行入侵檢測，然而在數(shù)據(jù)量巨大的情況下，仍需要數(shù)個小時、甚至數(shù)天才能完成入侵檢測，對數(shù)據(jù)的檢測時間長，無法及時檢測出入侵行為。
[0005]針對現(xiàn)有技術(shù)中對數(shù)據(jù)的檢測時間長導(dǎo)致無法及時檢測出入侵行為的問題，目前尚未提出有效的解決方案。

【發(fā)明內(nèi)容】

[0006]本發(fā)明實(shí)施例的主要目的在于提供一種數(shù)據(jù)檢測方法和裝置，以解決對數(shù)據(jù)的檢測時間長導(dǎo)致無法及時檢測出入侵行為的問題。
[0007]為了實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明實(shí)施例的一個方面，提供了一種數(shù)據(jù)檢測方法。根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)檢測方法包括:獲取用于進(jìn)行入侵檢測的檢測數(shù)據(jù)；通過第一進(jìn)程將檢測數(shù)據(jù)緩存到內(nèi)存中；通過第二進(jìn)程從內(nèi)存中讀取緩存后的數(shù)據(jù)，其中，第二進(jìn)程為與第一進(jìn)程不同的進(jìn)程；以及對從內(nèi)存中讀取的數(shù)據(jù)進(jìn)行入侵檢測。
[0008]為了實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明實(shí)施例的另一方面，提供了一種數(shù)據(jù)檢測裝置。根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)檢測方法包括:獲取單元，用于獲取用于進(jìn)行入侵檢測的檢測數(shù)據(jù)；緩存單元，用于通過第一進(jìn)程將檢測數(shù)據(jù)緩存到內(nèi)存中；讀取單元，用于通過第二進(jìn)程從內(nèi)存中讀取緩存后的數(shù)據(jù)，其中，第二進(jìn)程為與第一進(jìn)程不同的進(jìn)程；以及檢測單元，用于對從內(nèi)存中讀取的數(shù)據(jù)進(jìn)行入侵檢測。
[0009]在本發(fā)明實(shí)施例中，獲取用于進(jìn)行入侵檢測的檢測數(shù)據(jù)，通過第一進(jìn)程將檢測數(shù)據(jù)緩存到內(nèi)存中，通過第二進(jìn)程從內(nèi)存中讀取緩存后的數(shù)據(jù)，對從內(nèi)存中讀取的數(shù)據(jù)進(jìn)行入侵檢測，解決了對數(shù)據(jù)的檢測時間長導(dǎo)致無法及時檢測出入侵行為的問題，達(dá)到了減少入侵檢測的時間以便于及時檢測出入侵行為的效果。
【附圖說明】
[0010]構(gòu)成本申請的一部分的附圖用來提供對本發(fā)明的進(jìn)一步理解，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
[0011]圖1是根據(jù)本發(fā)明實(shí)施例的一種計算機(jī)的結(jié)構(gòu)框圖；
[0012]圖2是根據(jù)本發(fā)明第一實(shí)施例的數(shù)據(jù)檢測方法的流程圖；
[0013]圖3是根據(jù)本發(fā)明第二實(shí)施例的數(shù)據(jù)檢測方法的流程圖；
[0014]圖4是根據(jù)本發(fā)明第三實(shí)施例的數(shù)據(jù)檢測方法的流程圖；
[0015]圖5是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)結(jié)構(gòu)的示意圖；
[0016]圖6是根據(jù)本發(fā)明實(shí)施例的分析作業(yè)計算的流程圖；
[0017]圖7是根據(jù)本發(fā)明第一實(shí)施例的數(shù)據(jù)檢測裝置的示意圖；
[0018]圖8是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)檢測裝置的硬件結(jié)構(gòu)示意圖；
[0019]圖9是根據(jù)本發(fā)明第二實(shí)施例的數(shù)據(jù)檢測裝置的示意圖；以及
[0020]圖10是根據(jù)本發(fā)明實(shí)施例的又一數(shù)據(jù)檢測裝置的框架結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0021]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0022]需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0023]根據(jù)本發(fā)明實(shí)施例，可以提供了一種可以用于實(shí)施本申請裝置實(shí)施例的方法實(shí)施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機(jī)可執(zhí)行指令的計算機(jī)系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0024]根據(jù)本發(fā)明實(shí)施例，提供了一種數(shù)據(jù)檢測方法，該方法可由計算機(jī)或者類似的運(yùn)算裝置執(zhí)行。圖1所示為一種計算機(jī)的結(jié)構(gòu)框圖。如圖1所示，計算機(jī)100包括一個或多個(圖中僅不出一個)處理器102、存儲器104、以及傳輸模塊106。本領(lǐng)域普通技術(shù)人員可以理解，圖1所示的結(jié)構(gòu)僅為示意，其并不對上述電子裝置的結(jié)構(gòu)造成限定。例如，計算機(jī)100還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。
[0025]存儲器104可用于存儲軟件程序以及模塊，如本發(fā)明實(shí)施例中的數(shù)據(jù)檢測方法和裝置對應(yīng)的程序指令/模塊，處理器102通過運(yùn)行存儲在存儲器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實(shí)現(xiàn)上述的數(shù)據(jù)檢測方法和裝置，例如對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行入侵檢測。存儲器104可包括高速隨機(jī)存儲器，還可包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實(shí)例中，存儲器104可進(jìn)一步包括相對于處理器102遠(yuǎn)程設(shè)置的存儲器，這些遠(yuǎn)程存儲器可以通過網(wǎng)絡(luò)連接至計算機(jī)100。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。
[0026]傳輸模塊106用于經(jīng)由一個網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括有線網(wǎng)絡(luò)及無線網(wǎng)絡(luò)。在一個實(shí)例中，傳輸模塊106包括一個網(wǎng)絡(luò)適配器(NetworkInterface Controller, NIC),其可通過網(wǎng)線與其他網(wǎng)絡(luò)設(shè)備與路由器相連從而可與互聯(lián)網(wǎng)進(jìn)行通訊。在一個實(shí)例中，傳輸模塊106可以是射頻(Rad1 Frequency, RF)模塊,其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊。
[0027]圖2是根據(jù)本發(fā)明第一實(shí)施例的數(shù)據(jù)檢測方法的流程圖。如圖所示，該數(shù)據(jù)檢測方法包括以下步驟:
[0028]步驟S202，獲取用于進(jìn)行入侵檢測的檢測數(shù)據(jù)。
[0029]檢測數(shù)據(jù)可以是通過傳輸模塊106傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，即來自網(wǎng)絡(luò)的信息流。具體地，傳輸模塊106連接至網(wǎng)絡(luò)，接收來自網(wǎng)絡(luò)的各種各樣的數(shù)據(jù)，入侵檢測系統(tǒng)在對網(wǎng)絡(luò)傳輸進(jìn)行及時監(jiān)控的過程中，需要實(shí)時收集網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。另外，檢測數(shù)據(jù)還可以是主機(jī)數(shù)據(jù),例如主機(jī)的審計日志等數(shù)據(jù)。本發(fā)明實(shí)施例中，獲取的檢測數(shù)據(jù)優(yōu)選為網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)，以便于將網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，檢測出入侵行為。獲取檢測數(shù)據(jù)，以便于對檢測數(shù)據(jù)進(jìn)行收集?？梢允菍?shí)時獲取檢測數(shù)據(jù)，以便對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時檢測。
[0030]步驟S204，通過第一進(jìn)程將檢測數(shù)據(jù)緩存到內(nèi)存中。
[0031]獲取到檢測數(shù)據(jù)之后，通過第一進(jìn)程將該檢測數(shù)據(jù)緩存到內(nèi)存中，該內(nèi)存可以是存儲器104。同時，由于內(nèi)存的讀寫速度比傳統(tǒng)的基于硬盤讀寫的數(shù)據(jù)庫要快，且能快上好幾個數(shù)量級，使得系統(tǒng)的分析計算效率波傳統(tǒng)的數(shù)據(jù)庫快幾個數(shù)量級，從而減少在數(shù)據(jù)讀寫上的耗時，提高數(shù)據(jù)入侵檢測的效率。第一進(jìn)程可以是守護(hù)進(jìn)程，由守護(hù)進(jìn)程對檢測數(shù)據(jù)進(jìn)行寫入，同時，守護(hù)進(jìn)程還