一种主机入侵检测方法、装置、设备及存储介质与流程

1.本技术涉及信息安全技术领域，特别涉及一种主机入侵检测方法、装置、设备及存储介质。

背景技术：

2.为确保计算机网络的信息安全，则需要对计算机网络进行安全防护，其对计算机网络的入侵数据来源，主要分为两类：一方面为自于主机的数据，另一方面为来自于网络的数据，其中，可以利用防火墙、交换机和入侵防护传感器等实现对网路的入侵检测和防护，且目前网络型入侵检测相对成熟和规范，有统一的规则。
3.现有技术中，主机入侵检测和防护的方法按照检测方法可分为以下四种检测方法，即：1)基于特征的检测，将观察到的事态与已知的威胁特征相比较来识别事件，主要用于检测已知威胁；2)基于异常的检测，将观察到的事态与已确定的正常活动进行比较，以识别与正常活动的偏差，此方法主要检测未知的威胁；3)基于状态协议的检测，将观察到的事态与预先设定的配置文件进行比较，以识别与配置文件的偏差，此方法与基于异常的检测区别在于，利用供应商提供的通用配置文件检测其他方法无法检测的攻击；4)基于人工智能等数学模型的检测，预先构建攻击检测模型，通过训练检测模型，实现对入侵事件的检测。
4.目前本领域技术人员常用利用上述四种方法的组合进行主机入侵检测，但基于上述四种检测方法的组合进行主机入侵检测，则存在并发任务cpu资源占用高、检测配置繁多且不统一、可解释性较差、入侵特征难以充分利用和不同架构系统检测模型难以迁移等问题。
5.因此，需要一种改进的主机入侵检测技术方案，以解决上述现有技术存在的问题。

技术实现要素：

6.为了解决现有技术的问题，本技术实施例提供了一种主机入侵检测方法、装置、设备及存储介质的技术方案，其技术方案如下所述：
7.一方面，提供了一种主机入侵检测方法，所述方法包括：
8.获取待检测数据，所述待检测数据包括业务类别信息；
9.基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息；
10.基于所述目标检测项信息对应的检测项对所述待检测数据进行检测，得到检测信息。
11.进一步地，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：
12.对所述待检测数据进行解析处理，得到所述待检测数据对应的业务类别信息和检测内容信息；
13.根据所述业务类别信息和所述检测内容信息，得到所述待检测数据对应的目标格
式数据。
14.进一步地，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：
15.根据所述目标格式数据，确定所述待检测数据对应的检测优先级信息；
16.根据所述检测优先级信息，得到所述目标格式数据在检测数据队列中的排序信息；
17.根据所述排序信息，将所述目标格式数据插入所述检测数据队列。
18.进一步地，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：
19.将所述目标格式数据发送至检测数据队列中；
20.基于所述目标格式数据对应的检测优先级信息，得到所述目标格式数据在检测数据队列对应的检测排列信息。
21.进一步地，还包括：
22.获取多个所述检测项信息；
23.基于多个所述检测项信息，确定与所述业务类别信息对应的检测项链表信息；
24.基于所述检测项链表信息对所述待检测数据进行相应的检测处理。
25.进一步地，所述业务类别信息包括第一业务类别信息和第二业务类别信息；所述基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息，包括：
26.基于所述第一业务类别信息，确定所述待检测数据对应的第一检测项信息；
27.基于所述第二业务类别信息，确定所述待检测数据对应的第二检测项信息；
28.基于所述第一检测项信息和所述第二检测项信息，确定所述目标检测项信息。
29.进一步地，所述第一业务类别信息至少包括主机检测数据、日志审计检测数据、恶意文件检测数据、漏洞检测数据和恶意行为关联分析检测数据中的任一种。
30.另一方面，提供了一种主机入侵检测装置，所述装置包括：
31.数据获取模块：用于获取待检测数据，所述待检测数据包括业务类别信息；
32.目标检测项信息确定模块：用于基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息；
33.检测模块：用于基于所述目标检测项信息对应的检测项对所述待检测数据进行检测，得到检测信息。
34.另一方面提供了一种主机入侵检测设备，所述主机入侵检测设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述的主机入侵检测方法。
35.另一方面提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述的主机入侵检测方法。
36.本技术提供的一种主机入侵检测方法、装置、设备及存储介质，具有如下技术效果：
37.本技术实施例通过获取包括业务类别信息的待检测数据，以便根据待检测数据对
应的业务类别信息，确定待检测数据对应的目标检测项信息，并基于目标检测项信息对应的检测项对待检测数据进行检测，得到检测信息，利用本技术提供的技术方案可以实现充分利用待检测数据对应的业务类别信息，快速进行主机入侵检测，进而明显提高了检测精度与检测效率。
附图说明
38.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1为本技术实施例提供的一种主机入侵检测方法的流程示意图；
40.图2为本技术实施例提供的目标检测项信息确定方法的流程示意图；
41.图3为本技术实施例提供的检测项链表信息确定方法的流程示意图；
42.图4为本技术实施例提供的主机检测配置文件对应的检测项链表信息的结构示意图；
43.图5为本技术实施例提供的日志审计检测配置文件对应的检测项链表信息的结构示意图；
44.图6为本技术实施例提供的恶意文件检测配置文件对应的检测项链表信息的结构示意图；
45.图7为本技术实施例提供的漏洞检测配置文件对应的检测项链表信息的结构示意图；
46.图8为本技术实施例提供的恶意行为关联分析检测配置文件对应的检测项链表信息的结构示意图；
47.图9为本技术实施例提供的目标格式数据确定方法的流程示意图；
48.图10为本技术实施例提供的检测数据队列确定方法的流程示意图；
49.图11为本技术实施例提供的另一种检测数据队列确定方法的流程示意图；
50.图12为本技术实施例提供的一种主机入侵检测装置的结构示意图；
51.图13为本技术实施例提供的另一种主机入侵检测装置的结构示意图；
52.图14为本技术实施例提供的一种服务器的结构示意图。
具体实施方式
53.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
54.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
55.请参阅图1，其所示为本技术实施例提供的一种主机入侵检测方法的流程示意图，下面结合图1对本技术的技术方案进行详细描述。需要说明的是，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一执行顺序，该方法具体包括以下步骤：
56.s101：获取待检测数据，待检测数据包括业务类别信息。
57.在本技术实施例中，待检测数据可以包括系统异常数据、可疑进程数据、恶意文件数据等，业务类别信息用于指示待检测数据的业务类别，以便根据待检测数据的业务类别，确定待检测数据对应的检测项类型，进而实现对待检测数据的主机入侵检测，具体的，业务类别信息可以包括第一业务类别信息和第二业务类别信息，其中，第二业务类别信息为第一业务类别信息对应的子业务类别信息，示例性的，第一业务类别信息可以包括漏洞检测数据，则第二业务类别信息可以为linux系统应用漏洞检测数据、安卓应用漏洞检测数据或硬件漏洞检测数据等，进而充分利用待检测数据自身携带的特征信息，实现对主机型入侵的精准检测，从而解决了现有技术中入侵特征无法合理利用的问题。
58.s102：基于业务类别信息，确定待检测数据对应的目标检测项信息。
59.s103：基于目标检测项信息对应的检测项对待检测数据进行检测，得到检测信息。
60.在本技术实施例中，目标检测项信息为与业务类别信息相匹配的检测项信息，检测项为检测项信息对应的检测配置项，通过目标检测项信息按照业务类别信息对待检测数据进行逐步匹配检测，进而得到主机入侵检测对应的检测结果，以便进行相应的告警以及防御等操作，避免由于无法或者延迟确定主机入侵的类型，造成不可逆的损失，进而可以实现充分利用待检测数据对应的业务类别信息，快速进行主机入侵检测，从而显著提高检测精度与检测效率。
61.在另一具体实施中，步骤s103之后还包括，根据检测信息，确定对待检测数据进行检测的检测结果，具体的，若检测结果为待检测数据均与目标检测项信息对应的检测项相匹配，则生成对应的告警信息以及与告警信息对应的操作指令，示例性的，针对检测结果做出的处理方式可以包括告警上报、结束进程、隔离文件、丢弃文件或记录日志等。
62.在一个可选的实施方式中，如图2所示，其为本技术实施例提供的目标检测项信息确定方法的流程示意图，业务类别信息包括第一业务类别信息和第二业务类别信息，其中，第一业务类别信息至少包括主机检测数据、日志审计检测数据、恶意文件检测数据和漏洞检测数据中的任一种，则步骤s102可以包括：
63.s1021：基于第一业务类别信息，确定待检测数据对应的第一检测项信息。
64.s1022：基于第二业务类别信息，确定待检测数据对应的第二检测项信息。
65.s1023：基于第一检测项信息和第二检测项信息，确定目标检测项信息。
66.在本技术实施例中，第一检测项信息为与第一业务类别信息对应的检测项信息，用于检测包括第一业务类别的待检测数据，示例性的，第一业务类别信息可以包括但不限于主机检测数据、日志审计检测数据、恶意文件检测数据、漏洞检测数据和恶意行为关联分析检测数据，则第一检测项信息可以包括但不限于主机检测配置文件、日志审计检测配置文件、恶意文件检测配置文件、漏洞检测配置文件和恶意行为关联分析检测配置文件，进而以便针对包括第一业务类别信息的待检测数据的主机入侵检测；第二检测项信息为与第二
业务类别信息对应的检测项信息，用于检测包括第二业务类别的待检测数据，示例性的，第二业务类别信息可以包括但不限于开放端口检测数据、可疑进程检测数据、数据完整性检测数据、系统资源占用检测数据、linux系统应用漏洞数据、安卓应用漏洞数据和硬件漏洞数据，则第二检测项信息可以包括但不限于开放端口检测配置文件、可疑进程检测配置文件、数据完整性检测配置文件、系统资源占用检测配置文件、linux系统应用漏洞检测配置文件、安卓应用漏洞检测配置文件和硬件漏洞检测配置文件，进而以便针对包括第二业务类别信息的待检测数据的主机入侵检测。
67.在实际的应用中，第二检测项信息为第一检测项信息对应的子检测项信息，因此，在确定待检测数据对应的第一检测项信息的情况下，只需确定第一检测项信息对应的子检测项信息即可，便可以实现对主机入侵的检测，进而提高了检测的效率。
68.在一个可选的实施方式中，如图3所示，其为本技术实施例提供的检测项链表信息确定方法的流程示意图，则所述方法还包括：
69.s301：获取多个检测项信息。
70.s302：基于多个检测项信息，确定与业务类别信息对应的检测项链表信息。
71.s303：基于检测项链表信息对待检测数据进行相应的检测处理。
72.在本技术实施例中，检测项链表信息表征依据业务类别信息对应的检测项进行分类的检测项链表，通过检测项链表信息对待检测数据进行检测，可提高对待检测数据的检测效率，且易于对检测项链表信息进行扩展，从而可实现全面且精准的检测机制。
73.在一具体实施例中，如图4-图8所示，其中，图4为本技术实施例提供的主机检测配置文件对应的检测项链表信息的结构示意图，图5为本技术实施例提供的日志审计检测配置文件对应的检测项链表信息的结构示意图，图6为本技术实施例提供的恶意文件检测配置文件对应的检测项链表信息的结构示意图，图7为本技术实施例提供的漏洞检测配置文件对应的检测项链表信息的结构示意图，图8为本技术实施例提供的恶意行为关联分析检测配置文件对应的检测项链表信息的结构示意图，从图4-图8可以看出，检测项链表信息包括第一检测项信息、第二检测项信息和第二检测项信息对应的检测配置体，检测配置体用于检测待检测数据的业务类别信息对应的检测内容信息，检测配置体里可以存在多个检测内容信息，以便充分利用待检测数据的特征信息，快速确定待检测数据对应的主机入侵类型，进而生成相应的防护措施，提高对待检测数据的检测效率。
74.需要说明的是，第二检测项信息对应的检测配置体可以按照对应的标识编号进行升序或降序排列，以提升检测的遍历效率。
75.在一具体的实施例中，可疑进程检测配置文件可以包括处理方式、用户组名、用户名、业务类别信息、检测方向和检测配置体，示例性的，可疑进程检测配置文件为alert host any1 2-》any2 any3(msg："检测到未知可疑进程"；content:"error unknown proc"；sid:1200013；)，其中，alert表示处理结果为告警上报；host表示第一业务类别信息为主机检测数据；any1表示检测所有用户组；2表示第二业务类别信息为可疑进程检测数据；-》表示检测新增待检测数据；any2表示检测所有用户组里所有用户；any3表示第二业务类别信息对应的检测项，(msg："检测到未知可疑进程"；content:"error unknown proc"；sid:1200013；)表示待检测数据中如果存在"error unknown proc"字符串，则上报"检测到未知可疑进程"的告警信息；sid用于配置文件索引，便于单独更新。
76.在一可选的实施例中，接收云服务端发送的与检测项信息对应的检测项更新信息，并基于检测项更新信息，对检测项链表进行更新处理。
77.在一个可选的实施方式中，如图9所示，其为本技术实施例提供的目标格式数据确定方法的流程示意图，在步骤s102之前所述方法还可以包括：
78.s801：对待检测数据进行解析处理，得到待检测数据对应的业务类别信息和检测内容信息。
79.s802：根据业务类别信息和检测内容信息，得到待检测数据对应的目标格式数据。
80.在本技术实施例中，目标格式数据用于存放业务类别信息和检测内容信息，以便根据目标格式数据中的业务类别信息和检测内容信息对待检测数据进行主机入侵检测。具体的，本实施例在对待检测数据进行检测前，对待检测数据进行解析处理，以便解析出待检测数据中的业务类别信息和检测内容信息，并根据检测数据与预设数据格式之间的映射关系，将业务类别信息和检测内容信息填充至预设数据格式中的对应区域，得到待检测数据对应的目标格式数据，进而可直接根据目标格式数据中的业务类别信息和检测内容信息与检测项信息进行匹配，可大幅度提高检测效率。
81.示例性的，业务类别信息包括第一业务类别信息和第二业务类别信息，检测内容信息可以包括用户组名、检测方向、用户名、检测项类别、检测优先级信息和检测内容，具体的，目标格式数据以及各数据对应的字节数如表1所示：
82.表1
[0083][0084]
需要说明的是，表1中的可变字节数小于65535。
[0085]
在另一个可选的实施方式中，如图10所示，其为本技术实施例提供的检测数据队列确定方法的流程示意图，在步骤s102之前所述方法还可以包括：
[0086]
s901：根据目标格式数据，确定待检测数据对应的检测优先级信息。
[0087]
s902：根据检测优先级信息，得到目标格式数据在检测数据队列中的排序信息。
[0088]
s903：根据排序信息，将目标格式数据插入检测数据队列。
[0089]
在本技术实施例中，检测数据队列用于缓存目标格式数据，并将目标格式数据按照检测优先级信息对应的检测优先级顺序进行排列，以实现数据采集和数据检测异步的主机入侵检测，进而便于优化系统资源的占用率。
[0090]
具体的，根据检测优先级信息，确定目标格式数据在检测数据队列中的排序信息，进而根据排序信息将目标格式数据插入检测数据队列，实现在将目标格式数据上传至检测数据队列时，直接按照检测优先级信息对应的检测优先级顺序缓存目标格式数据，以便按照检测数据队列中的先后顺序进行检测，从而提高检测效率。
[0091]
在另一个可选的实施方式中，如图11所示，其为本技术实施例提供的另一种检测数据队列确定方法的流程示意图，在步骤s102之前所述方法还可以包括：
[0092]
s1001：将目标格式数据发送至检测数据队列中。
[0093]
s1002：基于目标格式数据对应的检测优先级信息，得到目标格式数据在检测数据队列对应的检测排列信息。
[0094]
在本技术实施例中，可将需要检测的目标格式数据发送至检测数据队列，基于目标格式数据对应的检测优先级信息，对缓存在检测数据队列中的目标格式数据进行统一排序，以确定目标格式数据在检测数据队列对应的检测排列信息，以便按照检测数据队列中的检测排列信息对应的检测排列顺序进行检测，以实现数据采集和数据检测异步的主机入侵检测，进而便于优化系统资源的占用率。
[0095]
在一具体实施例中，在将目标格式数据发送至检测数据队列之前，需对目标格式数据进行封装处理，得到封装后的目标格式数据，并将封装后的目标格式数据传输至检测数据队列，避免数据在发送过程中丢失，确保数据的完整性。
[0096]
由本技术实施例的上述技术方案可见，具有如下技术效果：
[0097]
本技术实施例通过获取包括业务类别信息的待检测数据，以便根据待检测数据对应的业务类别信息，确定待检测数据对应的目标检测项信息，并基于目标检测项信息对应的检测项对待检测数据进行检测，得到检测信息，利用本技术提供的技术方案可以实现充分利用待检测数据对应的业务类别信息，快速进行主机入侵检测，进而明显提高了检测精度与检测效率。
[0098]
本技术实施例中还提供了一种主机入侵检测装置，如图12所示，其为本技术实施例提供的一种主机入侵检测装置的结构示意图，该装置具体包括：
[0099]
数据获取模块10：用于获取待检测数据，待检测数据包括业务类别信息。
[0100]
目标检测项信息确定模块20：用于基于业务类别信息，确定待检测数据对应的目标检测项信息。
[0101]
检测模块30：用于基于目标检测项信息对应的检测项对待检测数据进行检测，得到检测信息。
[0102]
优选的，所述装置还包括：
[0103]
解析模块101：用于对待检测数据进行解析处理，得到待检测数据对应的业务类别信息和检测内容信息。
[0104]
目标格式数据确定模块102：用于根据业务类别信息和检测内容信息，得到待检测数据对应的目标格式数据。
[0105]
优选的，所述装置还包括：
[0106]
检测优先级信息确定模块201：用于根据目标格式数据，确定待检测数据对应的检测优先级信息。
[0107]
排序信息确定模块202：用于根据检测优先级信息，得到目标格式数据在检测数据队列中的排序信息。
[0108]
检测数据队列确定模块203：用于根据排序信息，将目标格式数据插入检测数据队列。
[0109]
优选的，所述装置还包括：
[0110]
发送模块304：用于将目标格式数据发送至检测数据队列中。
[0111]
检测排列信息确定模块305：用于基于目标格式数据对应的检测优先级信息，得到
目标格式数据在检测数据队列对应的检测排列信息。
[0112]
优选的，如图13所示，其为本技术实施例提供的另一种主机入侵检测装置的结构示意图，所述装置还包括：
[0113]
检测项信息获取模块401：用于获取多个检测项信息。
[0114]
检测项链表信息确定模块402：用于基于多个检测项信息，确定与业务类别信息对应的检测项链表信息。
[0115]
检测处理模块403：用于基于检测项链表信息对待检测数据进行相应的检测处理。
[0116]
优选的，业务类别基于业务类别信息，确定待检测数据对应的目标检测项信息信息包括第一业务类别信息和第二业务类别信息，则目标检测项信息确定模块20可以包括：
[0117]
第一检测项信息确定子模块201：用于基于第一业务类别信息，确定待检测数据对应的第一检测项信息。
[0118]
第二检测项信息确定子模块202：用于基于第二业务类别信息，确定待检测数据对应的第二检测项信息。
[0119]
目标检测项信息确定子模块203：用于基于第一检测项信息和第二检测项信息，确定目标检测项信息。
[0120]
优选的，第一业务类别信息至少包括主机检测数据、日志审计检测数据、恶意文件检测数据、漏洞检测数据和恶意行为关联分析检测数据中的任一种。
[0121]
关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
[0122]
本技术实施例提供了一种主机入侵检测设备，该主机入侵检测设备包括处理器和存储器，该存储器中存储有至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现如上述方法实施例所提供的主机入侵检测方法。
[0123]
存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、功能所需的应用程序等；存储数据区可存储根据所述设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器还可以包括存储器控制器，以提供处理器对存储器的访问。
[0124]
所述主机入侵检测设备可以为嵌入式终端，例如车辆主机、路侧终端和网络设备，也可以是服务器，本技术实施例还提供了一种服务器的结构示意图，请参阅图14，该服务器1400用于实施上述实施例中提供的数据处理方法。该服务器1400可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器1410(例如，一个或一个以上处理器)和存储1430，一个或一个以上存储应用程序1423或数据1422的存储介质1420(例如一个或一个以上海量存储设备)。其中，存储器1430和存储介质1420可以是短暂存储或持久存储。存储在存储介质1420的程序可以包括一个或一个以上模块，每个模块可以包括对服务器中的一系列指令操作。更进一步地，处理器1410可以设置为与存储介质1420通信，在服务器1300上执行存储介质1420中的一系列指令操作。服务器1400还可以包括一个或一个以上电源1460，一个或一个以上有线或无线网络接口1450，一个或一个以上输入输出接口1440，和/
或，一个或一个以上操作系统1421，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm，android、linux、qnx等等。
[0125]
本技术的实施例还提供了一种计算机可读存储介质所述存储介质可设置于服务器之中以保存用于实现方法实施例中一种主机入侵检测方法相关的至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述方法实施例提供的主机入侵检测方法。
[0126]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统和服务器实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0127]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。

技术特征：

1.一种主机入侵检测方法，其特征在于，所述方法包括：获取待检测数据，所述待检测数据包括业务类别信息；基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息；基于所述目标检测项信息对应的检测项对所述待检测数据进行检测，得到检测信息。2.根据权利要求1所述的方法，其特征在于，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：对所述待检测数据进行解析处理，得到所述待检测数据对应的业务类别信息和检测内容信息；根据所述业务类别信息和所述检测内容信息，得到所述待检测数据对应的目标格式数据。3.根据权利要求2所述的方法，其特征在于，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：根据所述目标格式数据，确定所述待检测数据对应的检测优先级信息；根据所述检测优先级信息，得到所述目标格式数据在检测数据队列中的排序信息；根据所述排序信息，将所述目标格式数据插入所述检测数据队列。4.根据权利要求2所述的方法，其特征在于，在基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息的步骤之前，还包括：将所述目标格式数据发送至检测数据队列中；基于所述目标格式数据对应的检测优先级信息，得到所述目标格式数据在检测数据队列对应的检测排列信息。5.根据权利要求1所述的方法，其特征在于，还包括：获取多个所述检测项信息；基于多个所述检测项信息，确定与所述业务类别信息对应的检测项链表信息；基于所述检测项链表信息对所述待检测数据进行相应的检测处理。6.根据权利要求1所述的方法，其特征在于，所述业务类别信息包括第一业务类别信息和第二业务类别信息；所述基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息，包括：基于所述第一业务类别信息，确定所述待检测数据对应的第一检测项信息；基于所述第二业务类别信息，确定所述待检测数据对应的第二检测项信息；基于所述第一检测项信息和所述第二检测项信息，确定所述目标检测项信息。7.根据权利要求6所述的方法，其特征在于，所述第一业务类别信息至少包括主机检测数据、日志审计检测数据、恶意文件检测数据、漏洞检测数据和恶意行为关联分析检测数据中的任一种。8.一种主机入侵检测装置，其特征在于，所述装置包括：数据获取模块：用于获取待检测数据，所述待检测数据包括业务类别信息；目标检测项信息确定模块：用于基于所述业务类别信息，确定所述待检测数据对应的目标检测项信息；检测模块：用于基于所述目标检测项信息对应的检测项对所述待检测数据进行检测，得到检测信息。
9.一种主机入侵检测设备，其特征在于，所述主机入侵检测设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1～7中任一项所述的主机入侵检测方法。10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令或者至少一段程序，所述至少一条指令或者所述至少一段程序由处理器加载并执行以实现如权利要求1～7任一项所述的主机入侵检测方法。

技术总结

本申请公开一种主机入侵检测方法、装置、设备及存储介质，其中该方法包括：获取待检测数据，待检测数据包括业务类别信息；基于业务类别信息，确定待检测数据对应的目标检测项信息；基于目标检测项信息对应的检测项对待检测数据进行检测，得到检测信息，利用本申请提供的技术方案可以实现充分利用待检测数据对应的业务类别信息，快速进行主机入侵检测，进而明显提高了检测精度与检测效率。明显提高了检测精度与检测效率。明显提高了检测精度与检测效率。