[发明专利]入侵检测的方法、装置和系统

说明书

技术领域

本发明涉及数据处理领域，具体而言，涉及一种入侵检测的方法、装置和系统。

背景技术

由于Web2.0技术的不断发展，以及云计算的服务能力不断的演化，越来越多的应用与业务都以B/S(Browser/Server，浏览器/服务器模式)的形式展现给客户。而黑客的入侵攻击手段也越来越偏向于以Web作为入侵的突破口进行攻击。传统的入侵检测系统更偏向于检测自身应用和匹配安全策略的模式来达到目的。

在当前在业界内通常使用的入侵分析的手段均为基于后端去检测，或者是通过数据驱动来分析入侵的轨迹，需要从大量的日志数据中提取并且分析可能潜在的入侵特征，属于“事后”行为。常规的入侵检测系统分为以下几种：

1.完整性分析，通过监测某个文件或者某个对象是否被更改，例如文件或者目录的属性，文件的MD5值等，如果监测到预设的文件或对象发生修改，则认为可能存在入侵者非法侵入对某个文件或对象进行修改，并启动报警。

2.匹配模式，通过收集的网络信息，如用户请求的URL(Uniform Resource Locator，统一资源定位符)和参数等，通过匹配安全策略的形式来检测是否存在攻击性行为，如果匹配到相似的安全策略，则触发报警机制，通知管理员存在疑似入侵的现象。

3.统计性分析，收集各种操作日志记录和行为记录，通过利用大数据计算的方法分析出可能存在攻击性行为的操作，通常攻击性行为大都表象为，请求数量大，速度快等。一些非正常业务的交互能够通过数学算法从大量的操作日志记录中分析出具有攻击性的操作记录。

因为目前的入侵检测系统大都通过检测自身应用、监视网络传输数据或者监视系统完整性来达到入侵检测的目的，而对入侵的溯源主要通过日志分析来定位入侵者的攻击路径和攻击者的IP地址。但这种分析形势过于被动，时效性差，不能在第一时间内主动发现攻击者的入侵行为和对入侵者进行实时的监控手段。

针对现有技术采用后端检测或日志数据分析等在后端进行入侵检测的分析手段，导致监控客户端发生的行为时效性差的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种入侵检测的方法、装置和系统，以至少解决现有技术采用后端检测或日志数据分析等在后端进行入侵检测的分析手段，导致监控客户端发生的行为时效性差的技术问题。

根据本发明实施例的一个方面，提供了一种入侵检测的方法，包括：获取前端客户端的交互行为；检测交互行为是否为攻击网络应用的攻击行为；在确定交互行为是攻击网络应用的攻击行为的情况下，触发前端客户端监控发生在本地的行为。

根据本发明实施例的另一方面，还提供了一种入侵检测的装置，包括：第一获取模块，用于获取前端客户端的交互行为；检测模块，用于检测交互行为是否为攻击网络应用的攻击行为；监控模块，用于在确定交互行为是攻击网络应用的攻击行为的情况下，触发前端客户端监控发生在本地的行为。

根据本发明实施例的另一方面，还提供了一种入侵检测的系统，包括：前端客户端，用于发送交互行为；中间设备，与前端客户端具有通信关系，用于检测交互行为是否为攻击网络应用的攻击行为，在确定交互行为是攻击网络应用的攻击行为的情况下，触发前端客户端监控发生在本地的行为。

根据本发明实施例的另一方面，还提供了一种入侵检测的方法，包括：前端客户端检测本地发生的交互行为是否为攻击网络应用的攻击行为；在确定交互行为是攻击网络应用的攻击行为的情况下，前端客户端监控发生在本地的行为。

由此可知，通过本发明提供的技术方案：获取前端客户端的交互行为；检测交互行为是否为攻击网络应用的攻击行为；在确定交互行为是攻击网络应用的攻击行为的情况下，触发前端客户端监控发生在本地的行为，由此本申请提出了一种利用前端技术来发现入侵行为手段的方案，在业界内通常使用的入侵分析手段都是基于后端去检测，或者是数据驱动来分析入侵的轨迹，通常需要从大量的日志数据中提取并且分析可能潜在的入侵特征，属于“事后”行为。而本申请通过对前端客户端的交互行为进行检测，一旦发行交互行为是入侵行为，就对该入侵行为进行监测的方法，实现了对前端客户端的交互行为进行实时监测的技术效果，也实现了对入侵行为进行跟踪监测的技术效果，充分利用前端具有的属性，能够在第一时间内发现入侵行为，并且能够精确的定位出攻击者，从而解决了现有技术采用后端检测或日志数据分析等在后端进行入侵检测的分析手段，导致监控客户端发生的行为时效性差的技术问题。

附图说明