摘要
本发明提供了一种入侵检测系统,用于分析日志数据以实现入侵检测,所述系统包括:构图模块,用于接收预设的时间窗口的日志数据并基于其构建窗口溯源图;行为编码模块,其包括打分器和KAS构造器,所述打分器用于为窗口溯源图中的进程进行打分以获取每个进程的基于偏离的异常分数;所述KAS构造器用于根据每个进程的基于偏离的异常分数按照预设的筛选规则选取多个候选进程,并提取每个候选进程对应的关键异常集;全局记忆模块,用于存储行为编码模块传输的所有候选进程及其对应的关键异常集;检测模块,用于根据预设的检测规则以固定的检测周期从全局记忆模块存储的所有候选进程中筛选异常进程;报警模块,用于输出异常行为图报警。
