[发明专利]入侵检测的方法、装置和系统

权利要求书

1.一种入侵检测的方法，其特征在于，包括：

获取前端客户端的交互行为；

检测所述交互行为是否为攻击网络应用的攻击行为；

在确定所述交互行为是攻击网络应用的攻击行为的情况下，触发所述前端客户端监控发生在本地的行为。

2.根据权利要求1所述的方法，其特征在于，通过部署在前端应用层的入侵检测系统检测所述前端客户端的交互行为，其中，在触发所述前端客户端监控发生在本地的行为之前，所述方法还包括：所述入侵检测系统透传所述攻击行为至所述前端客户端。

3.根据权利要求2所述的方法，其特征在于，通过部署在前端应用层的入侵检测系统检测所述前端客户端的交互行为，包括：

读取预先配置的安全策略信息，所述安全策略信息包括：用于确定所述交互行为是否具备攻击性的信息；

根据所述安全策略信息判断所述交互行为对应的请求内容是否具有攻击性；

在所述交互行为对应的请求内容具有攻击性的情况下，确定所述交互行为为所述攻击行为；

在所述交互行为对应的请求内容不具有攻击性的情况下，确定所述交互行为为安全行为，并根据所述请求内容得到返回给所述前端客户端的响应信息。

4.根据权利要求1所述的方法，其特征在于，在触发所述前端客户端监控发生在本地的行为之前，所述方法还包括：

获取所述攻击行为所对应的入侵等级；

根据所述攻击行为所对应的入侵等级选择与所述入侵等级相匹配的行为监控模块；

将与所述入侵等级相匹配的行为监控模块加载至所述前端客户端，其中，所述行为监控模块用于监控并记录所述前端客户端发生的行为。

5.根据权利要求4所述的方法，其特征在于，获取所述攻击行为所对应的入侵等级， 包括：

获取所述攻击行为所对应的流量数据；

分析所述攻击行为所对应的流量数据，得到至少如下任意一个或多个参数：所述网络应用的重要程度、发起所述攻击行为的次数和漏洞危险程度；

根据所述网络应用的重要程度、发起所述攻击行为的次数和漏洞危险程度以及对应的权重值，计算得到所述攻击行为所对应的入侵值；

将所述入侵值与至少一个入侵阈值进行比较，确定所述攻击行为所对应的入侵等级，其中，所述入侵等级包括：低级入侵等级、中级入侵等级和高级入侵等级。

6.根据权利要求5所述的方法，其特征在于，根据所述攻击行为所对应的入侵等级选择与所述入侵等级相匹配的行为监控模块，包括：

根据所述攻击行为所对应的入侵等级在行为分析监测服务器中查询得到对应的行为监控模块；其中，

当所述入侵等级为所述低级入侵等级的情况下，所述行为监控模块为空；

当所述入侵等级为所述中级入侵等级的情况下，所述行为监控模块包括:数据收集模块；

当所述入侵等级为所述高级入侵等级的情况下，所述行为监控模块包括：所述数据收集模块和/或全流量检测模块。

7.根据权利要求6所述的方法，其特征在于，在所述行为监控模块为空的情况下，确定所述前端客户端为安全用户。

8.根据权利要求6所述的方法，其特征在于，所述数据收集模块至少包括：输入信息监控模块和/或前端基础信息监控模块，其中，所述输入信息监控模块用于监控并记录如下任意一种或多种输入输出设备的操作信息：键盘、鼠标和触摸板，所述前端基础信息监控模块用于监控并记录所述前端客户端的如下任意一个或多个信息：所述前端客户端的IP地址、MAC地址、登录用户信息和序列号。

9.根据权利要求6所述的方法，其特征在于，所述全流量检测模块用于探测所述前端客户端所在的网络环境中的如下一个或多个参数信息：所述前端客户端的内网IP地址、路由器地址、网关地址和DNS服务器地址。

10.根据权利要求1至9中任意一项所述的方法，其特征在于，在触发所述前端客户 端监控发生在本地的行为之后，所述方法还包括：

获取监控所述前端客户端本地发生的行为而得到的监控数据；

通过大数据引擎将所述监控数据进行数据结构化处理和/或可视化处理，得到所述前端客户端的攻击分析结果。