[发明专利]检测向通信环境的入侵的系统和入侵检测方法

权利要求书

1.一种检测向通信环境的入侵的系统，在该通信环境中，多个通信设备通过通信网络以能够通信的方式连接，所述系统具备：

安全事件探测部，其对所述通信环境中的信息或通信进行监视，来探测该通信环境中的安全事件的发生；

通常工作流程执行部，在所述安全事件探测部探测到所述安全事件时，所述通常工作流程执行部在试验通信环境中模拟地执行通常工作流程，该通常工作流程被预先决定为在所述通信环境中由至少一个所述通信设备执行，所述试验通信环境被设置为所述通信环境的一部分或与该通信环境不同的通信环境；以及

通信监视部，在所述试验通信环境中执行着所述通常工作流程时，所述通信监视部对所述试验通信环境中的信息或通信进行监视，

其中，所述通常工作流程执行部当在所述试验通信环境中执行着所述通常工作流程时，在该试验通信环境中模拟地产生被预测为因向所述通信环境的所述入侵而在执行所述通常工作流程时产生的信息或者通信的预测异常，

其中，所述通常工作流程执行部当在所述试验通信环境中执行所述通常工作流程时，以所述安全事件探测部探测到的所述安全事件的内容为条件，来依次变更在所述试验通信环境中执行所述通常工作流程的速度。

2.根据权利要求1所述的系统，其特征在于，

还具备预先存储所述预测异常的存储部。

3.根据权利要求1或2所述的系统，其特征在于，

还具备试验通信环境设定部，在所述安全事件探测部探测到所述安全事件时，所述试验通信环境设定部设置将至少两个虚拟通信设备通过虚拟通信网络以能够通信的方式连接的虚拟通信环境来作为所述试验通信环境，所述至少两个虚拟通信设备是将至少两个所述通信设备虚拟化得到的，所述虚拟通信网络是将所述通信网络虚拟化得到的。

4.根据权利要求1或2所述的系统，其特征在于，

还具备通信切断部，在所述试验通信环境被设置为所述通信环境的一部分的情况下，所述通信切断部将该通信环境中的除所述试验通信环境以外的部分与所述试验通信环境之间的通信切断，在所述试验通信环境被设置为所述不同的通信环境的情况下，所述通信切断部将所述通信环境与所述试验通信环境之间的通信切断。

5.根据权利要求4所述的系统，其特征在于，

还具备风险判定部，该风险判定部对所述安全事件探测部探测到的所述安全事件进行分析，来判定该安全事件的风险的程度是否大，

在所述风险判定部判定为所述风险的程度大的情况下，所述通信切断部将除所述试验通信环境以外的所述部分与所述试验通信环境之间的通信切断，或者将所述通信环境与所述试验通信环境之间的通信切断。

6.根据权利要求1或2所述的系统，其特征在于，

所述通常工作流程执行部以比在所述通信环境中由至少一个所述通信设备执行所述通常工作流程时的速度高或低的速度执行所述通常工作流程。

7.根据权利要求1或2所述的系统，其特征在于，

在因向所述通信环境的所述入侵而所述通信监视部所监视的所述信息或所述通信发生了实际的异常之后，所述通常工作流程执行部继续执行所述通常工作流程。

8.根据权利要求7所述的系统，其特征在于，

还具备防病毒处理执行部，在因向所述通信环境的所述入侵而所述通信监视部所监视的所述信息或所述通信发生了所述实际的异常之后，所述防病毒处理执行部针对所述试验通信环境执行防病毒处理。

9.根据权利要求1所述的系统，其特征在于，

在所述安全事件探测部探测到所述安全事件之后，所述通常工作流程执行部继续执行与所述安全事件相关联的处理，另一方面，停止与所述安全事件无关联的处理。

10.一种检测向通信环境的入侵的方法，在该通信环境中，多个通信设备通过通信网络以能够通信的方式连接，所述方法包括以下步骤：

对所述通信环境中的信息或通信进行监视，来探测该通信环境中的安全事件的发生；

在探测到所述安全事件时，在试验通信环境中模拟地执行通常工作流程，该通常工作流程被预先决定为在所述通信环境中由至少一个所述通信设备执行，所述试验通信环境被设置为所述通信环境的一部分或与该通信环境不同的通信环境；以及

在所述试验通信环境中执行着所述通常工作流程时，对所述试验通信环境中的信息或通信进行监视，

其中，当在所述试验通信环境中执行着所述通常工作流程时，在该试验通信环境中模拟地产生被预测为因向所述通信环境的所述入侵而在执行所述通常工作流程时产生的信息或者通信的预测异常，

其中，当在所述试验通信环境中执行所述通常工作流程时，以探测到的所述安全事件的内容为条件，来依次变更在所述试验通信环境中执行所述通常工作流程的速度。