[发明专利]一种网络入侵检测方法、装置、设备及可读存储介质

权利要求书

1.一种网络入侵检测方法，其特征在于，包括：

利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象；

将所述目标对象输入至沙箱，并在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作，获得响应数据；

对所述响应数据进行恶意行为匹配检测，获得恶意行为检测结果；

利用所述恶意行为检测结果确定所述目标对象的安全性。

2.根据权利要求1所述的网络入侵检测方法，其特征在于，在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作，获得响应数据，包括：

在所述人工操作模拟程序对所述目标对象执行打开操作的模拟过程中，实时监控响应所述目标对象打开操作的程序对应的进程创建、注册表动作及系统日志，以获得所述响应数据。

3.根据权利要求1所述的网络入侵检测方法，其特征在于，对所述响应数据进行恶意行为匹配检测，获得恶意行为检测结果，包括：

利用恶意程序/文件行为控制IoC库对所述响应数据进行恶意行为匹配检测，得到匹配值；

比对所述匹配值与判定阈值的对应关系，得到所述恶意行为检测结果。

4.根据权利要求1所述的网络入侵检测方法，其特征在于，利用所述恶意行为检测结果确定所述目标对象的安全性之后，还包括：

若所述恶意行为检测结果判定所述安全性为未知，且所述目标对象为可疑对象，则输出人工复检的提示信息。

5.根据权利要求1至4任一项所述的网络入侵检测方法，其特征在于，所述利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象，包括：

利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行安全检测；

利用安全检测结果，从所述网络流量中筛选出所述目标对象；其中，所述目标对象为程序或文件。

6.根据权利要求5所述的网络入侵检测方法，其特征在于，利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行安全检测，包括：

利用所述网络入侵检测系统或所述网络入侵防御系统对所述网络流量进行解析处理，并在指定协议对应的数据结构中存储解析数据；

利用所述指定协议对所述解析数据进行安全检测。

7.根据权利要求6所述的网络入侵检测方法，其特征在于，利用所述指定协议对所述解析数据进行安全检测之后，还包括：

利用所述安全检测结果以及所述解析数据，按照元数据结构存储所述网络流量对应的日志。

8.一种网络入侵检测装置，其特征在于，包括：

安全检测筛选模块，用于利用网络入侵检测系统或网络入侵防御系统从网络流量中筛选出安全性未知的目标对象；

人工操作模拟模块，用于将所述目标对象输入至沙箱，并在所述沙箱中调用人工操作模拟程序对所述目标对象进行模拟操作，获得响应数据；

恶意行为检测模块，用于对所述响应数据进行恶意行为匹配检测，获得恶意行为检测结果；

安全性判定模块，用于利用所述恶意行为检测结果确定所述目标对象的安全性。

9.一种网络入侵检测设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述网络入侵检测方法的步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络入侵检测方法的步骤。