【技术实现步骤摘要】
多设备入侵的检测方法、装置、系统以及存储介质
本申请涉及计算机网络与信息安全
,特别是涉及一种多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质。
技术介绍
随着网络环境愈发复杂,网络攻击造成的信息泄露和资产破坏问题给国家、企业以及个人都带来了极大的损失,面对这一现象,网络入侵检测方法应云而生。网络入侵检测方法是一种能够发现网络入侵行为的一种方法。目前,市面上的网络入侵检测方案普遍基于单一层面的防护设备的检测,难以发现高级的可持续性的威胁行为,这将导致攻击者能够使用逃逸手段对被入侵者造成一定的破坏。一方面,当前单一层面的防护设备难以应对日渐复杂的网络环境,只凭借主机防护设备或网络防护设备的分析结果,容易漏报威胁信息,导致入侵检测能力不够强大,这将使得高级的网络攻击极易完成对抗逃逸。目前针对相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种多设备入侵的检测方法、多设备入侵的检测装置...
【技术保护点】
1.一种多设备入侵的检测方法,其特征在于,包括:/n从多个防护设备中获取防护信息,其中,所述多个防护设备中的每个防护设备之间相互隔离;/n将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据;/n分析所述待检测数据,根据分析得到的结果确定所述多个防护设备的入侵情况。/n
【技术特征摘要】
1.一种多设备入侵的检测方法,其特征在于,包括:
从多个防护设备中获取防护信息,其中,所述多个防护设备中的每个防护设备之间相互隔离;
将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据;
分析所述待检测数据,根据分析得到的结果确定所述多个防护设备的入侵情况。
2.根据权利要求1所述的多设备入侵的检测方法,其特征在于,采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果,其中包括:
获取所述待检测数据中的进程参数、进程服务标识以及进程加载模块名;
判断所述进程参数、所述进程服务标识以及所述进程加载模块名中是否有其中任意一项命中第一策略,其中,所述第一策略用于识别所述待检测数据携带的动态行为信息;
在判断到所述进程参数、所述进程服务标识以及所述进程加载模块名中有其中任意一项命中所述第一策略的情况下,确定对应于所述第一策略的决策结果为非正常态。
3.根据权利要求1所述的多设备入侵的检测方法,其特征在于,采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果,其中包括:
获取所述待检测数据中的操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、上传流量和下载流量;
判断所述操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中是否有其中任意一项命中第二策略,其中,所述第二策略用于识别所述待检测数据携带的异常行为信息;
在判断到所述操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中有其中任意一项命中所述第二策略的情况下,确定对应于所述第二策略的决策结果为非正常态。
4.根据权利要求1所述的多设备入侵的检测方法,其特征在于,采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果,其中包括:
创建包括以下至少之一的机器学习模型:隐蔽DNS隧道通信模型、WebShell后门模型以及挖矿行为模型;
根据所述机器学习模型,分析所述待检测数据,得到对应的机器学习结果;
判断所述机器学习结果是否命中第三策略,其中,所述第三策略用于识别所述待检测数据携带的符合所述机器学...
【专利技术属性】
技术研发人员:陆嘉杰,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。