[发明专利]多设备入侵的检测方法、装置、系统以及存储介质

说明书

本申请涉及一种多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质，其中，该多设备入侵的检测方法包括：从多个防护设备中获取防护信息，其中，多个防护设备中的每个防护设备之间相互隔离；将防护信息中相同属性的防护信息转换成相同格式的待检测数据；分析待检测数据，根据分析得到的结果确定多个防护设备的入侵情况。通过本申请，解决了相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题，增强了防护设备的入侵检测能力。

技术领域

本申请涉及计算机网络与信息安全技术领域，特别是涉及一种多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质。

背景技术

随着网络环境愈发复杂，网络攻击造成的信息泄露和资产破坏问题给国家、企业以及个人都带来了极大的损失，面对这一现象，网络入侵检测方法应云而生。网络入侵检测方法是一种能够发现网络入侵行为的一种方法。目前，市面上的网络入侵检测方案普遍基于单一层面的防护设备的检测，难以发现高级的可持续性的威胁行为，这将导致攻击者能够使用逃逸手段对被入侵者造成一定的破坏。

一方面，当前单一层面的防护设备难以应对日渐复杂的网络环境，只凭借主机防护设备或网络防护设备的分析结果，容易漏报威胁信息，导致入侵检测能力不够强大，这将使得高级的网络攻击极易完成对抗逃逸。

目前针对相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质，以至少解决相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题。

第一方面，本申请实施例提供了一种多设备入侵的检测方法，包括：

从多个防护设备中获取防护信息，其中，所述多个防护设备中的每个防护设备之间相互隔离；

将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据；

分析所述待检测数据，根据分析得到的结果确定所述多个防护设备的入侵情况。

在其中一些实施例中，采用至少一种策略分析所述待检测数据，得到对应于每个策略的决策结果，其中包括：

获取所述待检测数据中的进程参数、进程服务标识以及进程加载模块名；

判断所述进程参数、所述进程服务标识以及所述进程加载模块名中是否有其中任意一项命中第一策略，其中，所述第一策略用于识别所述待检测数据携带的动态行为信息；

在判断到所述进程参数、所述进程服务标识以及所述进程加载模块名中有其中任意一项命中所述第一策略的情况下，确定对应于所述第一策略的决策结果为非正常态。

在其中一些实施例中，采用至少一种策略分析所述待检测数据，得到对应于每个策略的决策结果，其中包括：

获取所述待检测数据中的操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、上传流量和下载流量；

判断所述操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中是否有其中任意一项命中第二策略，其中，所述第二策略用于识别所述待检测数据携带的异常行为信息；

在判断到所述获取操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中有其中任意一项命中所述第二策略的情况下，确定对应于所述第二策略的决策结果为非正常态。

在其中一些实施例中，采用至少一种策略分析所述待检测数据，得到对应于每个策略的决策结果，其中包括：