(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211123257.7 (22)申请日 2022.09.15 (71)申请人 中债金科信息技 术有限公司 地址 101118 北京市通州区宋庄镇 壁富路 与徐尹路交叉口(汇天云端产业园8号 楼) (72)发明人 范皓　高浩浩　马奇辰　焦伟　 周博雅　王景丽　赵佳祥　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 赵春华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 入侵检测方法及装置、 存 储介质及电子设备 (57)摘要 本发明提供了一种入侵检测方法及装置、 存 储介质及电子设备， 该方法包括： 在需要对用户 的操作行为进行检测的情况下， 确定用户对应的 历史操作命令集合， 包括多个历史命令会话； 对 历史操作命令集合进行向量化处理， 获得命令向 量集合； 依据命令向量集合和最小协方差行列式 算法， 确定命令向量集合的均值和协方差估计 量； 确定待检测命令会话和目标命令向量； 依据 所述均值、 协方差估计量和目标命令向量， 确定 目标马氏距离； 判断目标马氏距离是否符合预设 异常条件， 若符合， 则将待检测命令会话对应的 操作行为视为入侵行为。 应用本发明的方法， 以 用户的历史行为基准进行入侵检测， 对于已知类 型或未知类型的伪装攻击均可进行识别， 可提高 检测的准确度。 权利要求书2页 说明书11页 附图3页 CN 115499207 A 2022.12.20 CN 115499207 A 1.一种入侵检测方法， 其特 征在于， 包括： 在需要对用户的操作行为进行检测的情况下， 确定所述用户对应的历史操作命令集 合； 所述历史操作命令集合包括多个历史命令会话， 每个所述历史命令会话包括多个命令 符； 对所述历史操作命令集合进行向量化处理， 获得所述历史操作命令集合对应的命令向 量集合； 所述命令向量 集合包括每 个所述历史命令会话对应的命令向量； 依据所述命令向量集合以及预设的最小协方差行列式算法， 确定所述命令向量集合对 应的均值和协方差估计量； 确定所述用户对应的待检测命令会话和所述待检测命令会话对应的目标命令向量； 依据所述均值、 所述协方差估计量以及所述目标命令向量， 确定所述待检测命令会话 对应的目标马氏距离， 所述目标马氏距离为所述目标命令向量与所述命令向量集合的整体 分布之间的马氏距离； 判断所述目标马氏距离是否符合预设的异常条件； 若所述目标马氏距离符合所述预设的异常条件， 则将所述待检测命令会话对应的操作 行为确定为入侵行为。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述历史操作命令集合进行向量化 处理， 获得所述历史操作命令集 合对应的命令向量 集合， 包括： 对于每个所述历史命令会话中的每个命令符， 通过预设的词嵌入模型对该命令符进行 向量化处理， 获得该命令符对应的向量， 并将该命令符对应的向量作为该历史命令会话对 应的命令符向量； 对于每个所述历史命令会话， 依据该历史命令会话对应的各个命令符向量， 确定该历 史命令会话对应的命令向量； 将各个所述历史命令会话对应的命令向量组成所述命令向量 集合。 3.根据权利要求2所述的方法， 其特征在于， 所述依据该历史命令会话对应的各个命令 符向量， 确定该历史命令会话对应的命令向量， 包括： 依据该历史命令会话对应的各个命令符向量， 构建该历史命令会话对应的第一向量； 基于预设的最大池化算法， 对所述第一向量进行池化处理， 获得所述第一向量对应的 第二向量， 并将所述第二向量作为该历史命令会话对应的命令向量。 4.根据权利要求1所述的方法， 其特征在于， 所述依据所述命令向量集合以及预设的最 小协方差行列式算法， 确定所述命令向量 集合对应的均值和协方差估计量， 包括： 依据所述预设的最小协方差行列式算法， 在所述命令向量集合中确定命令向量子集 合； 所述预设的最小协方差行列式算法为 最小协方差行列式快速估计算法； 依据所述预设的最小协方差行列式算法对应的均值计算策略， 计算所述命令向量子集 合对应的均值， 并将所述命令向量子集 合对应的均值作为该命令向量 集合对应的均值； 依据所述预设的最小协方差行列式算法对应的协方差计算策略， 计算所述命令向量子 集合对应的协方差估计量， 并将所述命令向量子集合对应的协方差估计量作为该命令向量 集合对应的协方差估计量。 5.根据权利要求1所述的方法， 其特征在于， 所述判断所述目标马氏距离是否符合预设 的异常条件， 包括：权　利　要　求　书 1/2 页 2 CN 115499207 A 2将所述目标马氏距离与预设阈值进行比较； 若所述目标马氏距离大于所述预设阈值， 则确定所述目标马氏距离符合所述预设的异 常条件； 若所述目标马氏距离小于或等于所述预设阈值， 则确定所述目标马氏距离不符合所述 预设的异常条件。 6.一种入侵检测装置， 其特 征在于， 包括： 第一确定单元， 用于在需要对用户的操作行为进行检测的情况下， 确定所述用户对应 的历史操作命令集合； 所述历史操作命令集合包括多个历史命令会话， 每个所述历史命令 会话包括多个命令符； 向量化单元， 用于对所述历史操作命令集合进行向量化处理， 获得所述历史操作命令 集合对应的命令向量集合； 所述命令向量集合包括每个所述历史命令会话对应的命令向 量； 第二确定单元， 用于依据所述命令向量集合以及预设的最小协方差行列式算法， 确定 所述命令向量 集合对应的均值和协方差估计量； 第三确定单元， 用于确定所述用户对应的待检测命令会话和所述待检测命令会话对应 的目标命令向量； 第四确定单元， 用于依据 所述均值、 所述协方差估计量以及所述目标命令向量， 确定所 述待检测命令会话对应的目标马氏距离， 所述目标马氏距离为所述目标命令向量与所述命 令向量集合的整体分布之间的马氏距离； 判断单元， 用于判断所述目标马氏距离是否符合预设的异常条件； 第五确定单元， 用于若所述目标马氏距离符合所述预设的异常条件， 则将所述待检测 命令会话对应的操作行为确定为入侵行为。 7.根据权利要求6所述的装置， 其特 征在于， 所述向量 化单元， 包括： 处理子单元， 用于对于每个所述历史命令会话中的每个命令符， 通过预设的词嵌入模 型对该命令符进行向量化处理， 获得该命令符对应的向量， 并将该命令符对应的向量作为 该历史命令会话对应的命令符向量； 确定子单元， 用于对于每个所述历史命令会话， 依据该历史命令会话对应的各个命令 符向量， 确定该历史命令会话对应的命令向量； 组合子单 元， 用于将各个所述历史命令会话对应的命令向量组成所述命令向量 集合。 8.根据权利要求7 所述的装置， 其特 征在于， 所述确定 子单元， 包括： 构建子单元， 用于依据该历史命令会话对应的各个命令符向量， 构建该历史命令会话 对应的第一向量； 池化子单元， 用于基于预设的最大池化算法， 对所述第 一向量进行池化处理， 获得所述 第一向量对应的第二向量， 并将所述第二向量作为该历史命令会话对应的命令向量。 9.一种存储介质， 其特征在于， 所述存储介质包括存储的指令， 其中， 在所述指令运行 时控制所述存 储介质所在的设备 执行如权利要求1～5任意 一项所述的入侵检测方法。 10.一种电子设备， 其特征在于， 包括存储器， 以及一个或者一个以上的指令， 其中一个 或者一个以上指令存储于存储器中， 且经配置以由一个 或者一个以上 处理器执行如权利要 求1～5任意 一项所述的入侵检测方法。权　利　要　求　书 2/2 页 3 CN 115499207 A 3