[发明专利]入侵检测方法和装置

说明书

本说明书实施例提供了一种入侵检测方法和装置。该方法包括：接收各个数据源的数据探针上报的各种数据；根据预先设定的入侵检测策略，对各种数据进行入侵检测，以确定告警信息；利用接收到的所述各种数据以及确定出的告警信息形成资产图谱；根据所述资产图谱，得到入侵行为链路；对入侵行为链路进行告警。本说明书实施例能够更为有效的进行告警。

技术领域

本说明书一个或多个实施例涉及网络安全技术，尤其涉及入侵检测方法和装置。

背景技术

随着互联网的快速发展，新一代的网络攻击可能会涉及到移动设备、云上设备等多种渠道，攻击技术变得更加隐蔽、复杂。于此同时，随着在家办公在越来越多公司的普及，企业的传统安全边界变得越来越模糊，企业不得不面对越来越多的风险敞口。

传统的安全解决方案主要依托于企业中的各个安全产品构建防护策略，并通过统一的安全运营平台进行告警运营和响应处置。这种安全运营方式目前存在以下问题：由于每个安全产品采集数据集的局限性，导致告警缺乏有效的上下文，安全运营人员需要深入每个告警去分析告警的真实原因，在海量数据中苦苦挣扎。而因为告警缺乏更多维度数据的关联，实际上产生的大部分告警可能都是误报，导致真正的攻击可能被忽视或丢失。另外由于各个安全产品的告警缺乏有效的关联，导致一次攻击可能会产生大量的告警，安全运营人员陷入告警调查的汪洋大海，很难了解到攻击的全貌。可见，目前无法面对海量数据进行有效的告警。

发明内容

本说明书一个或多个实施例描述了入侵检测方法和装置，能够面对海量数据进行有效的告警。

根据第一方面，提供了一种入侵检测方法，其中，该方法包括：

接收各个数据源的数据探针上报的各种数据；

根据预先设定的入侵检测策略，对各种数据进行入侵检测，以确定告警信息；

利用接收到的所述各种数据以及确定出的告警信息形成资产图谱；

根据所述资产图谱，得到入侵行为链路；

对入侵行为链路进行告警。

其中，所述各种数据包括：针对每一个发起方发起的业务请求，从发起方发起该业务请求到该发起方接收到业务响应的完整流转链路上涉及的各种数据及各种数据之间的流转关系；其中，完整流转链路上涉及的各种数据包括设备、账号、进程、文件、接口以及地址中的至少一种；

所述利用接收到的所述各种数据以及确定出的告警信息形成资产图谱，包括：

将所述完整流转链路上涉及的设备、账号、进程、文件、接口以及地址中的至少一种数据作为所述资产图谱中的一个节点；

根据所述各种数据之间的流转关系生成所述资产图谱中各个节点之间连接的边；

将确定出的告警信息补充到所述资产图谱中的对应的节点及边；

所述根据所述资产图谱得到入侵行为链路，包括：将资产图谱中节点及边的告警信息按照边关系进行扩散；利用扩散路径上的告警信息得到入侵行为链路。

其中，在所述接收各个数据源的数据探针上报的各种数据之后，并在所述对各种数据进行入侵检测之前，进一步包括：

针对每一个数据探针，确定该数据探针对应的安全场景；

将该数据探针上报的数据的格式转换为预先定义的该安全场景的系统标准数据格式；其中，所述系统标准数据格式包括字段名称、字段类型、字段取值格式、字段是否必填中的至少一个。

其中，该方法进一步包括：预先设置检测中间层，该检测中间层对接至少一个大数据处理系统；

所述对各种数据进行入侵检测，包括：