入侵检测方法、检测规则生成方法、装置及系统制造方法及图纸

本申请公开了一种入侵检测方法及装置，同时公开了一种检测规则生成方法及装置，一种入侵检测系统，以及另一种入侵检测方法。所述入侵检测方法，包括：获取向外部网络发送的网络报文；若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。采用上述方法，可以确认特定类型文件已成功入侵内部网络、并确认发送所述网络报文的设备即为受害设备，从而便于网络安全运维人员针对受害设备进行快速、有效的处置，简化内部网络安全运维的复杂度，为提高内部网络的安全性提供保障。

Intrusion detection method, detection rule generation method, device and system

The invention discloses a method and device for intrusion detection, a method and apparatus for generating detection rules and disclosure, an intrusion detection system, and another kind of intrusion detection method. The intrusion detection method, including: access to external network message sent by the network; if any of the rules of the network packets and network packet detection rules set to match the success, that sends the message network equipment is a particular type of file invasion success; the rules of the network packet detection rules set. According to a specific type of external network address information generated in advance. The method can confirm the specific types of files have successfully invaded the internal network, and transmits the message confirmation network equipment is damaged equipment, which is convenient for network security and maintenance personnel for the rapid and effective treatment for the damaged equipment, simplify the complexity of the internal network security operation, provide safeguard for improving the security of network.

【技术实现步骤摘要】
入侵检测方法、检测规则生成方法、装置及系统
本申请涉及网络安全技术，具体涉及一种入侵检测方法及装置。本申请同时涉及一种检测规则生成方法及装置，一种入侵检测系统，以及另一种入侵检测方法。
技术介绍
随着计算机和互联网技术的发展，企业网、校园网、社区网等具有特定边界的内部网络不仅实现了内部设备的互连与资源共享、而且还可以通过路由器等设备访问外部网络，例如：访问Internet网络提供的各种资源或服务。由于存在内部网络与外部网络之间的通信，为了保证安全性，内部网络通常都会采用网络安全检测类产品。以企业网络为例，目前企业网络通常采用的安全检测类产品有：IDS(InstrusionDetectionSystems—入侵检测系统)、病毒墙、NGFW(Nextgenerationfirewall—下一代防火墙)、以及APT检测(AdvancedPersistentThreat—高级持续性威胁检测)等新型攻击检测类产品。这些网络安全检测类产品基本都针对单一维度的攻击进行检测，例如，对文件进行静态扫描检测以确定是否为恶意文件等，并在检测到恶意文件时产生攻击告警，供网络安全运营人员参考并进行相应的处置。在实际应用过程中，上述安全检测技术通常都会产生大量的告警，网络安全运营人员需要从大量的告警中排除误报，找到真正的攻击，再找到攻击关联的受害设备进行处置。然而由于告警数量巨大，网络安全运营人员通常无法逐一联系告警对应的每台设备的使用者进行确认分析，因此通常无法知晓告警涉及的恶意文件是否入侵成功(即：在内部网络设备中被打开或执行)、以及具体的受害设备。在这种情况下，网络安全运营人员自然也就无法作出及时有效的处理，例如：隔离受害设备、采取相应的网络拦截措施等，从而导致目前的企业网络安全产品难以运维及难以产生真正价值。
技术实现思路
本申请实施例提供一种入侵检测方法和装置，以解决现有的安全检测技术无法确认特定类型文件入侵成功以及确认相应受害设备的问题。本申请实施例还提供一种检测规则生成方法和装置，一种入侵检测系统，以及另一种入侵检测方法和装置。本申请提供一种入侵检测方法，包括：获取向外部网络发送的网络报文；若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。可选的，所述网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则。可选的，若所述匹配成功的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的，所述确认发送所述网络报文的设备被特定类型文件入侵成功，包括：确认发送所述网络报文的设备被具体的特定类型文件入侵成功，所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。可选的，在确认发送所述网络报文的设备被特定类型文件入侵成功之后，包括：若通过获取并解析向外部网络发送的网络报文，检测到与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息，则执行下述操作：当所述新地址信息中存在与预设白名单库不符的地址信息时，根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则，并添加到所述网络报文检测规则集合中。可选的，所述网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则；当所述新地址信息中存在与预设白名单库不符的地址信息时，还包括：将所述与预设白名单库不符的地址信息添加到连接控制信息库中。可选的，当所述匹配成功的规则包含的特定类型外部网络地址信息为URL地址信息时，所述新地址信息包括：从所述URL地址重定向到的新URL地址信息。可选的，所述确认发送所述网络报文的设备被特定类型文件入侵成功，采用如下方式实现：输出至少包含发送所述网络报文的设备信息的受害确认告警信息。可选的，所述受害确认告警信息的内容还包含：使用所述设备的用户信息；所述用户信息包括：用户标识或者姓名。可选的，所述发送所述网络报文的设备被特定类型文件入侵成功，包括：特定类型文件在发送所述网络报文的设备中被打开或者执行。可选的，所述内部网络包括：企业网、社区网、或者校园网；所述外部网络包括：因特网。可选的，所述特定类型文件包括：恶意文件；所述特定类型外部网络地址信息包括：恶意外部网络地址信息。相应的，本申请还提供一种入侵检测装置，包括：向外发送报文获取单元，用于获取向外部网络发送的网络报文；入侵成功确认单元，用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时，确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。可选的，所述入侵成功确认单元采用的网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则。可选的，所述入侵成功确认单元，具体用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时，若所述匹配成功的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的，则确认发送所述网络报文的设备被具体的特定类型文件入侵成功，所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。可选的，所述装置还包括：关联地址检测单元，用于当所述入侵成功确认单元确认发送所述网络报文的设备被特定类型文件入侵成功之后，通过获取并解析向外部网络发送的网络报文，检测是否存在与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息；关联地址判断单元，用于当所述关联地址检测单元的输出为是时，判断所述新地址信息中是否存在与预设白名单库不符的地址信息；检测规则添加单元，用于当所述关联地址判断单元的输出为是时，根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则，并添加到所述网络报文检测规则集合中。可选的，所述装置还包括：关联地址添加单元，用于当所述关联地址判断单元的输出为是时，将所述与预设白名单库不符的地址信息添加到连接控制信息库中。可选的，所述入侵成功确认单元，具体用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时，输出至少包含发送所述网络报文的设备信息的受害确认告警信息。此外，本申请还提供一种检测规则生成方法，包括：获取发送给内部网络的文件；采用预设方式检测所述文件是否为特定类型文件；若是，从所述文件提取特定类型外部网络地址信息，并根据所述特定类型外部网络地址信息生成网络报文检测规则。可选的，所述获取发送给内部网络的文件，包括：获取由外部网络发送给内部网络的网络报文、并将获取的网络报文还原为文件；或者，通过内部网络中的应用服务器获取发送给内部网络的文件。可选的，所述通过内部网络中的应用服务器获取发送给内部网络的文件，包括：通过内部网络中的应用服务器获取由外部网络发送给内部网络的文件。可选的，所述采用预设方式检测所述文件是否为特定类型文件，包括：利用沙盒虚拟执行技术检测所述文件是否为特定类型文件。可选的，所述采用预设方式检测所述文件是否为特定类型文件，包括：利用静态检测技术判断所述文件是否本文档来自技高网...

【技术保护点】
一种入侵检测方法，其特征在于，包括：获取向外部网络发送的网络报文；若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。

【技术特征摘要】
1.一种入侵检测方法，其特征在于，包括：获取向外部网络发送的网络报文；若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。2.根据权利要求1所述的入侵检测方法，其特征在于，所述网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则。3.根据权利要求2所述的入侵检测方法，其特征在于，若所述匹配成功的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的，所述确认发送所述网络报文的设备被特定类型文件入侵成功，包括：确认发送所述网络报文的设备被具体的特定类型文件入侵成功，所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。4.根据权利要求1所述的入侵检测方法，其特征在于，在确认发送所述网络报文的设备被特定类型文件入侵成功之后，包括：若通过获取并解析向外部网络发送的网络报文，检测到与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息，则执行下述操作：当所述新地址信息中存在与预设白名单库不符的地址信息时，根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则，并添加到所述网络报文检测规则集合中。5.根据权利要求4所述的入侵检测方法，其特征在于，所述网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则；当所述新地址信息中存在与预设白名单库不符的地址信息时，还包括：将所述与预设白名单库不符的地址信息添加到连接控制信息库中。6.根据权利要求4所述的入侵检测方法，其特征在于，当所述匹配成功的规则包含的特定类型外部网络地址信息为URL地址信息时，所述新地址信息包括：从所述URL地址重定向到的新URL地址信息。7.根据权利要求1所述的入侵检测方法，其特征在于，所述确认发送所述网络报文的设备被特定类型文件入侵成功，采用如下方式实现：输出至少包含发送所述网络报文的设备信息的受害确认告警信息。8.根据权利要求7所述的入侵检测方法，其特征在于，所述受害确认告警信息的内容还包含：使用所述设备的用户信息；所述用户信息包括：用户标识或者姓名。9.根据权利要求1所述的入侵检测方法，其特征在于，所述发送所述网络报文的设备被特定类型文件入侵成功，包括：特定类型文件在发送所述网络报文的设备中被打开或者执行。10.根据权利要求1-9任一项所述的入侵检测方法，其特征在于，所述内部网络包括：企业网、社区网、或者校园网；所述外部网络包括：因特网。11.根据权利要求1-9任一项所述的入侵检测方法，其特征在于，所述特定类型文件包括：恶意文件；所述特定类型外部网络地址信息包括：恶意外部网络地址信息。12.一种入侵检测装置，其特征在于，包括：向外发送报文获取单元，用于获取向外部网络发送的网络报文；入侵成功确认单元，用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时，确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。13.一种检测规则生成方法，其特征在于，包括：获取发送给内部网络的文件；采用预设方式检测所述文件是否为特定类型文件；若是，从所述文件提取特...

【专利技术属性】
技术研发人员：姚文顶，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY