[发明专利]多设备入侵的检测方法、装置、系统以及存储介质

权利要求书

1.一种多设备入侵的检测方法，其特征在于，包括：

从多个防护设备中获取防护信息，其中，所述多个防护设备中的每个防护设备之间相互隔离；

将所述防护信息中相同属性的防护信息转换成相同格式的待检测数据；

分析所述待检测数据，根据分析得到的结果确定所述多个防护设备的入侵情况；

其中，分析所述待检测数据，根据分析得到的结果确定所述多个防护设备的入侵情况包括：采用以下至少两种策略分析所述待检测数据，得到对应于每个策略的决策结果，在有多个所述决策结果表现为非正常态的情况下，确定所述多个防护设备存在危险行为，其中，

采用第一策略分析所述待检测数据包括：

获取所述待检测数据中的进程参数、进程服务标识以及进程加载模块名；

判断所述进程参数、所述进程服务标识以及所述进程加载模块名中是否有其中任意一项命中第一策略，其中，所述第一策略用于识别所述待检测数据携带的动态行为信息；

在判断到所述进程参数、所述进程服务标识以及所述进程加载模块名中有其中任意一项命中所述第一策略的情况下，确定对应于所述第一策略的决策结果为非正常态；

其中，所述第一策略包括三个规则，规则A1用于判断所述进程参数中是否携带有IP或域名，规则A2用于依据所述进程服务标识判断相应进程是否为高仿系统服务和/或第三方服务，规则A3用于判断所述进程加载模块是否为高仿系统文件模块和/或第三方签名模块，若有其中任一规则判断为是，即为命中所述第一策略；

采用第二策略分析所述待检测数据包括：

获取所述待检测数据中的操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、上传流量和下载流量；

判断所述操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中是否有其中任意一项命中第二策略，其中，所述第二策略用于识别所述待检测数据携带的异常行为信息；

在判断到所述操作系统用户登录所述防护设备的时间、所述防护设备的关机时间和所述防护设备的开机时间、所述上传流量和下载流量中有其中任意一项命中所述第二策略的情况下，确定对应于所述第二策略的决策结果为非正常态；

其中，所述第二策略包括三个规则，规则B1用于判断所述操作系统用户登录所述防护设备的时间是否表现为异常，规则B2用于判断所述防护设备的关机时间和开机时间是否表现为异常，规则B3用于判断所述上传流量和下载流量是否超过预设阈值，若有其中任一规则判断为是，即为命中所述第二策略；

采用第三策略分析所述待检测数据包括：

创建包括以下至少之一的机器学习模型：隐蔽DNS隧道通信模型、WebShell后门模型以及挖矿行为模型；

根据所述机器学习模型，分析所述待检测数据，得到对应的机器学习结果；

判断所述机器学习结果是否命中第三策略，其中，所述第三策略用于识别所述待检测数据携带的符合所述机器学习模型的特征的信息；

在判断到所述机器学习结果命中所述第三策略的情况下，确定对应于所述第三策略的决策结果为非正常态；

其中，所述第三策略包括三个规则，规则C1用于采用隐蔽DNS隧道通信模型分析所述待检测数据，判断是否存在隐蔽DNS隧道通信行为，规则C2用于采用WebShell后门模型分析所述待检测数据，判断是否存在WebShell后门行为，规则C3用于采用挖矿行为模型分析所述待检测数据，判断是否存在挖矿行为，若有其中任一规则判断为是，即为命中所述第三策略。

2.根据权利要求1所述的多设备入侵的检测方法，其特征在于，分析所述待检测数据，根据分析得到的结果确定所述多个防护设备的入侵情况包括：

采用至少一种策略分析所述待检测数据，得到对应于每个策略的决策结果；

在所述决策结果中有多个决策结果表现为非正常态的情况下，确定所述多个防护设备存在危险行为。

3.根据权利要求1所述的多设备入侵的检测方法，其特征在于，在分析所述待检测数据，根据分析得到的结果确定所述多个防护设备的入侵情况之后，所述方法还包括：

根据表现为非正常态的决策结果，从对应的待检测数据中获取入侵威胁指标数据，其中，所述入侵威胁指标数据包括以下至少之一：IP、域名、HASH值；

将所述入侵威胁指标数据发送至所述多个防护设备。