摘要
本申请涉及互联网安全技术领域,特别涉及一种面向服务器应用程序的入侵检测和取证分析方法及装置。包括:获取日志中用户与多个目标服务器应用程序之间的连接划分信息,基于连接划分信息构建多个连接溯源图;利用预设的机器学习模型,对多个连接溯源图进行异常检测,确定异常事件,预设的机器学习模型由缓存日志数据生成的连接溯源图数据集训练得到;将异常事件作为潜在的攻击因素进行展示,并基于异常事件生成包含攻击细节和完整攻击过程的攻击摘要。由此,通过利用服务器应用程序面向连接的特性,以连接为检测单元来识别攻击,解决现有技术大规模日志数据处理较为困难,检测正确率不足导致告警疲劳,以及攻击调查困难等问题,从而提升检测性能。
