[发明专利]入侵检测方法、检测规则生成方法、装置及系统

说明书

本申请公开了一种入侵检测方法及装置，同时公开了一种检测规则生成方法及装置，一种入侵检测系统，以及另一种入侵检测方法。所述入侵检测方法，包括：获取向外部网络发送的网络报文；若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的设备被特定类型文件入侵成功；其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。采用上述方法，可以确认特定类型文件已成功入侵内部网络、并确认发送所述网络报文的设备即为受害设备，从而便于网络安全运维人员针对受害设备进行快速、有效的处置，简化内部网络安全运维的复杂度，为提高内部网络的安全性提供保障。

技术领域

本申请涉及网络安全技术，具体涉及一种入侵检测方法及装置。本申请同时涉及一种检测规则生成方法及装置，一种入侵检测系统，以及另一种入侵检测方法。

背景技术

随着计算机和互联网技术的发展，企业网、校园网、社区网等具有特定边界的内部网络不仅实现了内部设备的互连与资源共享、而且还可以通过路由器等设备访问外部网络，例如：访问Internet网络提供的各种资源或服务。由于存在内部网络与外部网络之间的通信，为了保证安全性，内部网络通常都会采用网络安全检测类产品。

以企业网络为例，目前企业网络通常采用的安全检测类产品有：IDS(InstrusionDetection Systems—入侵检测系统)、病毒墙、NGFW(Next generation firewall—下一代防火墙)、以及APT检测(Advanced Persistent Threat—高级持续性威胁检测)等新型攻击检测类产品。这些网络安全检测类产品基本都针对单一维度的攻击进行检测，例如，对文件进行静态扫描检测以确定是否为恶意文件等，并在检测到恶意文件时产生攻击告警，供网络安全运营人员参考并进行相应的处置。

在实际应用过程中，上述安全检测技术通常都会产生大量的告警，网络安全运营人员需要从大量的告警中排除误报，找到真正的攻击，再找到攻击关联的受害设备进行处置。然而由于告警数量巨大，网络安全运营人员通常无法逐一联系告警对应的每台设备的使用者进行确认分析，因此通常无法知晓告警涉及的恶意文件是否入侵成功(即：在内部网络设备中被打开或执行)、以及具体的受害设备。在这种情况下，网络安全运营人员自然也就无法作出及时有效的处理，例如：隔离受害设备、采取相应的网络拦截措施等，从而导致目前的企业网络安全产品难以运维及难以产生真正价值。

发明内容

本申请实施例提供一种入侵检测方法和装置，以解决现有的安全检测技术无法确认特定类型文件入侵成功以及确认相应受害设备的问题。本申请实施例还提供一种检测规则生成方法和装置，一种入侵检测系统，以及另一种入侵检测方法和装置。

本申请提供一种入侵检测方法，包括：

获取向外部网络发送的网络报文；

若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的设备被特定类型文件入侵成功；

其中，所述网络报文检测规则集合中的规则，是根据特定类型外部网络地址信息预先生成的。

可选的，所述网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则。

可选的，若所述匹配成功的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的，所述确认发送所述网络报文的设备被特定类型文件入侵成功，包括：

确认发送所述网络报文的设备被具体的特定类型文件入侵成功，所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。

可选的，在确认发送所述网络报文的设备被特定类型文件入侵成功之后，包括：