多设备入侵的检测方法、装置、系统以及存储介质
技术领域
本申请涉及计算机网络与信息安全技术领域,特别是涉及一种多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质。
背景技术
随着网络环境愈发复杂,网络攻击造成的信息泄露和资产破坏问题给国家、企业以及个人都带来了极大的损失,面对这一现象,网络入侵检测方法应云而生。网络入侵检测方法是一种能够发现网络入侵行为的一种方法。目前,市面上的网络入侵检测方案普遍基于单一层面的防护设备的检测,难以发现高级的可持续性的威胁行为,这将导致攻击者能够使用逃逸手段对被入侵者造成一定的破坏。
一方面,当前单一层面的防护设备难以应对日渐复杂的网络环境,只凭借主机防护设备或网络防护设备的分析结果,容易漏报威胁信息,导致入侵检测能力不够强大,这将使得高级的网络攻击极易完成对抗逃逸。
目前针对相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质,以至少解决相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题。
第一方面,本申请实施例提供了一种多设备入侵的检测方法,包括:
从多个防护设备中获取防护信息,其中,所述多个防护设备中的每个防护设备之间相互隔离;
将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据;
分析所述待检测数据,根据分析得到的结果确定所述多个防护设备的入侵情况。
在其中一些实施例中,采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果,其中包括:
获取所述待检测数据中的进程参数、进程服务标识以及进程加载模块名;
判断所述进程参数、所述进程服务标识以及所述进程加载模块名中是否有其中任意一项命中第一策略,其中,所述第一策略用于识别所述待检测数据携带的动态行为信息;
在判断到所述进程参数、所述进程服务标识以及所述进程加载模块名中有其中任意一项命中所述第一策略的情况下,确定对应于所述第一策略的决策结果为非正常态。
在其中一些实施例中,采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果,其中包括:
获取所述待检测数据中的操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、上传流量和下载流量;
判断所述操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中是否有其中任意一项命中第二策略,其中,所述第二策略用于识别所述待检测数据携带的异常行为信息;
在判断到所述获取操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中有其中任意一项命中所述第二策略的情况下,确定对应于所述第二策略的决策结果为非正常态。
在其中一些实施例中,采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果,其中包括:
创建包括以下至少之一的机器学习模型:隐蔽DNS隧道通信模型、WebShell后门模型以及挖矿行为模型;
根据所述机器学习模型,分析所述待检测数据,得到对应的机器学习结果;
判断所述机器学习结果是否命中第三策略,其中,所述第三策略用于识别所述待检测数据携带的符合所述机器学习模型的特征的信息;
在判断到所述机器学习结果命中所述第三策略的情况下,确定对应于所述第三策略的决策结果为非正常态。
在其中一些实施例中,分析所述待检测数据,根据分析得到的结果确定所述多个防护设备的入侵情况包括:
采用至少一种策略分析所述待检测数据,得到对应于每个策略的决策结果;
在所述决策结果中有多个决策结果表现为非正常态的情况下,确定所述多个防护设备存在危险行为。
在其中一些实施例中,在分析所述待检测数据,根据分析得到的结果确定所述多个防护设备的入侵情况之后,所述方法还包括:
根据表现为非正常态的决策结果,从对应的待检测数据中获取入侵威胁指标数据,其中,所述入侵威胁指标数据包括以下至少之一:IP、域名、HASH值;
将所述入侵威胁指标数据发送至所述多个防护设备。
在其中一些实施例中,将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据包括:
在所述防护信息存在重复项的情况下,删除所述重复项;和/或,
在所述待检测数据存在缺失项的情况下,弥补所述缺失项。
第二方面,本申请实施例提供了一种多设备入侵检的测装置,包括:
获取模块,用于从多个防护设备中获取防护信息,其中,所述多个防护设备中的每个防护设备之间相互隔离;
转换模块,用于将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据;
确定模块,用于分析所述待检测数据,根据分析得到的结果确定所述多个防护设备的入侵情况。
第三方面,本申请实施例提供了一种多设备入侵的检测系统,包括:多个防护设备、协同分析设备,所述多个防护设备中的每个防护设备之间相互隔离,所述多个防护设备中的每个防护设备分别和所述协同分析设备耦合;所述多个防护设备用于生成防护信息,所述协同分析设备用于从所述多个防护设备中获取所述防护信息,并根据所述防护信息,执行如上述第一方面所述的多设备入侵的检测方法。
第四方面,本申请实施例提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行如上述第一方面所述的多设备入侵的检测方法。
相比于相关技术,本申请实施例提供的多设备入侵的检测方法、多设备入侵的检测装置、多设备入侵的检测系统以及计算机可读存储介质,通过从多个防护设备中获取防护信息,其中,多个防护设备中的每个防护设备之间相互隔离;将防护信息中相同属性的防护信息转换成相同格式的待检测数据;分析待检测数据,根据分析得到的结果确定多个防护设备的入侵情况,解决了相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题,增强了防护设备的入侵检测能力。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的多设备入侵的检测方法的流程图;
图2是根据本申请实施例的多设备入侵的检测系统的结构框图;
图3是根据本申请优选实施例的多设备入侵的检测系统的工作原理示意图;
图4是根据本申请优选实施例的协同分析设备的硬件结构框图;
图5是根据本申请实施例的多设备入侵的检测装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所做出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种多设备入侵的检测方法。图1是根据本申请实施例的多设备入侵的检测方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,从多个防护设备中获取防护信息,其中,多个防护设备中的每个防护设备之间相互隔离。
本实施例从多个防护设备中获取防护信息,其中,多个防护设备包括多个不同类型的防护设备,比如主机防护设备和网络防护设备,这些不同类型的防护设备可以生成不同类型的防护信息,能够丰富防护信息的种类,有利于完善入侵检测的维度。
考虑到安全问题,通常这些防护设备之间设置成相互隔离的状态。隔离包括防护设备之间的物理隔离和消息隔离,其中,采用物理隔离是为了避免在某台防护设备遭受入侵的情况下影响与之关联的其他防护设备;消息隔离是指不同类型的防护设备之间通常处于消息隔离状态,不同类型的防护设备之间的消息格式存在差异。
步骤S102,将防护信息中相同属性的防护信息转换成相同格式的待检测数据。
由于通常防护设备之间设置成相互隔离的状态,造成不同类型的防护设备之间的防护信息难以互通的情况,导致在分析不同类型的防护设备之间的防护信息的过程中,无法直接进行联合分析。为解决该问题,本实施例对从多个防护设备中获取的防护信息进行格式化处理,将不同类型的防护设备中相同属性的防护信息的格式转换成相同格式,得到具有标准信息格式的待检测数据,从而实现不同类型的防护设备之间的防护信息达到互通的效果。
步骤S103,分析待检测数据,根据分析得到的结果确定多个防护设备的入侵情况。
相比于相关技术中基于单一层面的防护设备的入侵检测方法,本实施例的待检测数据联合了不同类型的防护设备的防护信息,增加了分析维度,实现了协同分析机制,使得入侵检测结果变得更加完善。
通过上述步骤,解决了相关技术中存在的单一层面的防护设备的入侵检测能力弱的问题,增强了防护设备的入侵检测能力。
在步骤S102中,可以采用包括以下至少之一的方法将防护信息中相同属性的防护信息转换成相同格式的待检测数据:
在防护信息存在重复项的情况下,先删除重复项,得到删除后的防护信息,再将该防护信息中相同属性的防护信息转换成相同格式的待检测数据,从而提升分析数据的效率。
在待检测数据存在缺失项的情况下,先弥补缺失项,得到弥补后的防护信息,再将该防护信息中相同属性的防护信息转换成相同格式的待检测数据,从而进一步完善待分析的数据。比如,针对进程加载模块,可通过前后文进程列表推断进程的加载模块,从而补全。
以主机防护设备和网络设备为例,其中,从主机防护设备中获取的防护信息包括以下至少之一:进程信息、文件信息、系统日志以及用户行为信息;从网络防护设备中获取的防护信息包括以下至少之一:网络流量信息、用户行为信息。得到相应的待检测数据包括以下至少之一:进程参数、进程服务标识、进程加载模块名、操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量、DNS(DomainName System,域名系统协议)访问信息、IP(Internet Protocol,网际互连协议)、域名、HASH(散列)值。
在步骤S103中,可以采用至少一种策略分析待检测数据,得到对应于每个策略的决策结果,以下将给出基于不同策略的分析方法。
(1)采用第一策略分析待检测数据,得到对应于每个策略的决策结果包括:
获取待检测数据中的进程参数、进程服务标识以及进程加载模块名;判断进程参数、进程服务标识以及进程加载模块名中是否有其中任意一项命中第一策略,其中,第一策略用于识别待检测数据携带的动态行为信息;在判断到进程参数、进程服务标识以及进程加载模块名中有其中任意一项命中第一策略的情况下,确定对应于第一策略的决策结果为非正常态。
第一策略包括至少一个规则,在进程参数、进程服务标识以及进程加载模块名中有其中任意一项命中相对应的规则的情况下,即为命中第一策略。以下将结合动态行为分析技术,介绍采用第一策略分析待检测数据的实施方式。
规则A1:从待检测数据中获取带参数的进程列表,判断进程参数中是否携带有IP或域名,在判断到进程参数中携带有IP或域名的情况下,则将预设标识flag置为1,否则将flag1置为0。其中,IP指形如192.168.0.1的地址,域名指形如www.baidu.com的网站名称。进程参数中若携带有IP或域名,则说明进程中存在网络通讯行为。
规则A2:从待检测数据中获取相应的进程服务标识,判断进程是否为高仿系统服务和/或第三方服务,在判断到进程为高仿系统服务和/或第三方服务的情况下,则将flag1置为1,否则将flag1置为0。其中,如果进程为高仿系统服务和/或第三方服务,说明该进程是异常进程,具有恶意行为。
规则A3:从待检测数据中获取相应的进程加载模块名,判断进程加载模块是否为高仿系统文件模块和/或第三方签名模块,在判断到进程加载模块为高仿系统文件模块和/或第三方签名模块的情况下,则将flag1置为1,否则将flag1置为0。其中,如果进程为高仿系统文件模块和/或第三方签名模块,说明该进程是异常进程,具有恶意行为。
上述规则中,若有对应于某个规则的flag1置为1,即为命中第一策略,代表防护设备中存在异常动态行为。
(2)采用第二策略分析待检测数据,得到对应于每个策略的决策结果包括:
获取待检测数据中的操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量;判断操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量中是否有其中任意一项命中第二策略,其中,第二策略用于识别待检测数据携带的异常行为信息;在判断到操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量中有其中任意一项命中第二策略的情况下,确定对应于第二策略的决策结果为非正常态。
第二策略包括至少一个规则,在操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量中有其中任意一项命中相对应的规则的情况下,即为命中第二策略。以下将结合异常行为分析技术,介绍采用第二策略分析待检测数据的实施方式。
规则B1:从待检测数据中获取操作系统用户登录防护设备的时间,判断操作系统用户登录防护设备的时间是否表现为异常,在判断到操作系统用户登录防护设备的时间表现为异常的情况下,则将预设标识flag2置为1,否则将flag2置为0。
规则B2:从待检测数据中获取防护设备的关机时间和防护设备的开机时间,判断防护设备的关机时间和防护设备的开机时间是否表现为异常,在判断到防护设备的关机时间和防护设备的开机时间表现为异常的情况下,则将flag2置为1,否则将flag2置为0。
规则B3:从待检测数据中获取上传流量和下载流量,判断上传流量和下载流量是否超过预设阈值,在判断到上传流量和下载流量超过预设阈值的情况下,则将flag2置为1,否则将flag2置为0。
上述规则中,若有对应于某个规则的flag2置为1,即为命中第二策略,代表防护设备中存在异常行为。
(3)采用第三策略分析待检测数据,得到对应于每个策略的决策结果包括:
创建包括以下至少之一的机器学习模型:隐蔽DNS隧道通信模型、WebShell(代码执行环境)后门模型以及挖矿行为模型;根据机器学习模型,分析待检测数据,得到对应的机器学习结果;判断机器学习结果是否命中第三策略,其中,第三策略用于识别待检测数据携带的符合机器学习模型的特征的信息;在判断到机器学习结果命中第三策略的情况下,确定对应于第三策略的决策结果为非正常态。
第三策略包括至少一个规则,机器学习结果包括对应于隐蔽DNS隧道通信模型、WebShell后门模型以及挖矿行为模型中任意一种模型的特征信息,这些特征信息中有其中任意一项命中相对应的规则的情况下,即为命中第三策略。以下将结合机器学习析技术,介绍采用第三策略分析待检测数据的实施方式。
规则C1:采用隐蔽DNS隧道通信模型分析待检测数据,判断是否存在隐蔽DNS隧道通信行为,在判断到存在隐蔽DNS隧道通信行为的情况下,则将预设标识flag3置为1,否则将flag2置为0。
规则C2:采用WebShell后门模型分析待检测数据,判断是否存在WebShell后门行为,在判断到存在WebShell后门行为的情况下,则将flag3置为1,否则将flag2置为0。
规则C3:采用挖矿行为模型分析待检测数据,判断是否存在挖矿行为,在判断到存在挖矿行为的情况下,则将flag3置为1,否则将flag2置为0。
上述规则中,若有对应于某个规则的flag3置为1,即为命中第三策略,代表防护设备中存在异常行为。
在一些实施例中,可以根据实际情况配置策略,包括但不限于:采用至少一种策略分析待检测数据;每种策略采用至少一个规则分析待检测数据。
在步骤S103中,可以采用至少一种策略分析待检测数据,得到对应于每个策略的决策结果;在决策结果中有多个决策结果表现为非正常态的情况下,确定多个防护设备存在危险行为。
在其中一些实施例中,在分析待检测数据,根据分析得到的结果确定多个防护设备的入侵情况之后,还包括:根据表现为非正常态的决策结果,从对应的待检测数据中获取IOC(Indicators of Compromise,入侵威胁指标)数据,其中,入侵威胁指标数据包括以下至少之一:IP、域名、HASH值;将IOC数据发送至多个防护设备。如此设置,可以实现不同类型的防护设备之间实时联动、通信联合的效果,从而进一步提升防护设备的入侵检测能力。
本申请实施例提供了一种多设备入侵的检测系统。图2是根据本申请实施例的多设备入侵的检测系统的结构框图,如图2所示,该多设备入侵的检测系统包括:多个防护设备21、协同分析设备22,多个防护设备21中的每个防护设备21之间相互隔离,多个防护设备21中的每个防护设备21分别和协同分析设备22耦合;多个防护设备21用于生成防护信息,协同分析设备22用于从多个防护设备中获取防护信息,并根据防护信息,执行如上述实施例所描述的多设备入侵的检测方法。
在其中一些实施例中,协同分析设备中设置有用于判断威胁情报信息的装置。
在其中一些实施例中,协同分析设备中设置有用于存储威胁情报信息的数据库。
以下将通过优选实施例对多设备入侵的检测方法进行介绍。图3是根据本申请优选实施例的多设备入侵的检测系统的工作原理示意图,如图3所示,该多设备入侵的检测系统的工作原理包括如下步骤:
步骤(1):威胁研判中心从主机防护设备和网络防护设备中收集进程信息、网络流量信息、文件信息、系统日志以及用户行为信息。其中,威胁研判中心为用于判断威胁情报信息的装置。
步骤(2):将获取的防护信息输入至威胁研判中心,威胁研判中心对防护信息的输入格式进行清洗,输出成标准信息格式的待检测数据。
步骤(3):威胁研判中心采用动态行为分析技术、异常行为分析技术以及机器学习技术对待检测数据进行协同决策,得到协同决策结果,其中,协同决策结果包括防护设备的入侵情况和威胁情报信息。
步骤(4):威胁研判中心将协同决策结果发送至知识库。其中,知识库为用于存储威胁情报信息的数据库。
步骤(5):知识库将协同决策结果发送至主机防护设备和网络防护设备。
需要说明的是,上述步骤可以在诸如一组计算机可执行指令的计算机系统中执行。
本实施例的多设备入侵的检测系统,实现了协同分析机制,提升了防护设备的入侵检测能力;将知识库中的威胁情报信息和主机防护设备和网络防护设备之间实时联动,通过网络达成通信联合,进一步提升了防护设备的入侵检测能力。
本实施例提供的协同分析设备可以执行上述实施例中的任意一种多设备入侵的检测方法,协同分析设备包括但不限于终端、计算机或者类似的运算装置。图4是根据本申请优选实施例的协同分析设备的硬件结构框图,如图4所示,协同分析设备可以包括一个或多个(图4中仅示出一个)处理器402(处理器402可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器404,可选地,上述终端还可以包括用于通信功能的传输设备406以及输入输出设备408。本领域普通技术人员可以理解,图4所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,协同分析设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。
存储器404可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的设备入侵的检测方法对应的计算机程序,处理器402通过运行存储在存储器404内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器404可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器404可进一步包括相对于处理器402远程设置的存储器,这些远程存储器可以通过网络连接至协同分析设备。上述网路的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备406用于经由一个网络接收或者发送数据。上述的网络具体实例可包括协同分析设备的通信供应商提供的无线网络。在一个实例中,传输设备406包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备406可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例还提供了一种多设备入侵的检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本申请实施例的多设备入侵的检测装置的结构框图,如图5所示,该装置包括:获取模块51、转换模块52以及确定模块53;其中,获取模块51,用于从多个防护设备中获取防护信息,其中,多个防护设备中的每个防护设备之间相互隔离;转换模块52,耦合至获取模块51,用于将防护信息中相同属性的防护信息转换成相同格式的待检测数据;确定模块53,耦合至转换模块52,用于分析待检测数据,根据分析得到的结果确定多个防护设备的入侵情况。
在其中一些实施例中,确定模块53包括:第一获取单元,用于获取待检测数据中的进程参数、进程服务标识以及进程加载模块名;第一判断单元,用于判断进程参数、进程服务标识以及进程加载模块名中是否有其中任意一项命中第一策略,其中,第一策略用于识别待检测数据携带的动态行为信息;第一确定模块,用于在判断到进程参数、进程服务标识以及进程加载模块名中有其中任意一项命中第一策略的情况下,确定对应于第一策略的决策结果为非正常态。
在其中一些实施例中,确定模块53包括:第二获取单元,用于获取待检测数据中的操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量;第二判断单元,用于判断操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量中是否有其中任意一项命中第二策略,第二策略用于识别待检测数据携带的异常行为信息;第二确定模块,用于在判断到操作系统用户登录防护设备的时间、防护设备的关机时间和防护设备的开机时间、上传流量和下载流量中有其中任意一项命中第二策略的情况下,确定对应于第二策略的决策结果为非正常态。
在其中一些实施例中,确定模块53包括:创建单元,用于创建包括以下至少之一的机器学习模型:隐蔽DNS隧道通信模型、WebShell后门模型以及挖矿行为模型;第一分析单元,用于根据机器学习模型,分析待检测数据,得到对应的机器学习结果;第三判断单元,用于判断机器学习结果是否命中第三策略,其中,第三策略用于识别待检测数据携带的符合机器学习模型的特征的信息;第三确定模块,用于在判断到机器学习结果命中第三策略的情况下,确定对应于第三策略的决策结果为非正常态。
在其中一些实施例中,确定模块53包括:第二分析单元,用于采用至少一种策略分析待检测数据,得到对应于每个策略的决策结果;确定子模块在决策结果中有多个决策结果表现为非正常态的情况下,确定多个防护设备存在危险行为。
在其中一些实施例中,装置还包括:第三获取单元,用于根据表现为非正常态的决策结果,从对应的待检测数据中获取入侵威胁指标数据,其中,入侵威胁指标数据包括以下至少之一:IP、域名、HASH值;发送单元,用于将入侵威胁指标数据发送至多个防护设备。
在其中一些实施例中,转换模块52包括:删除单元,用于在防护信息存在重复项的情况下,删除重复项;和/或,弥补单元,用于在待检测数据存在缺失项的情况下,弥补缺失项。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合上述实施例中的多设备入侵的检测方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种多设备入侵的检测方法。
本领域的技术人员应该明白,以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
