[发明专利]检测非法侵入网络的方法

权利要求书

1.一种检测非法侵入网络的方法；其特征是包括以下步骤：

步骤1：创建诱饵；步骤2：日志收集；步骤3：通过日志分析进行侵入检测；

所述步骤1创建诱饵的步骤包括：

步骤101，诱饵生成单元通过诱饵制作登录单元参照诱饵信息数据库，取得当前设置在文件服务器上的诱饵信息；

步骤102，诱饵制作登录单元在步骤101获得的诱饵在设置路径上有诱饵的情况下，进入“是”的分支，进行步骤103的处理；在没有诱饵的情况下，进入“否”的分支，进行步骤105的处理；

步骤103，诱饵制作登录单元从文件服务器删除设置路径上已经设置的诱饵；

步骤104，从诱饵信息数据库中删除从文件服务器删除的诱饵信息；

步骤105，创建诱饵登录单元访问文件服务器，随机选择制作诱饵的任意文件夹；

步骤106，诱饵制作登录单元参照诱饵数据库随机选择诱饵的文件夹或文件；

步骤107，诱饵创建登录单元在步骤选择的文件夹中创建诱饵；

最后，步骤108，诱饵创建登录单元将所创建的诱饵信息登记到诱饵信息数据库，并且结束创建诱饵的操作。

所述步骤2日志收集的步骤，包括：

步骤201，日志收集单元判定是否从连接在监视网络上的各设备接收到日志；在接收到日志的情况下，进入步骤202；在没有接收到日志的情况下，等待接收日志；

步骤202，日志收集单元将接收到的日志依次存储到日志数据库中；

所述步骤3通过日志分析进行侵入检测的步骤，包括：

步骤301，日志分析单元首先将诱饵的计数器X的值初始化为0；

步骤302，日志分析单元从行为模式数据库读取一个行为模式；

步骤303，日志分析单元在行为模式的读取成功的情况下，进入“是”的分支，进行步骤304的处理；

步骤304，日志分析单元根据访问控制的日志确定访问了诱饵的用户及终端，并基于该信息检索日志数据库；

步骤305，日志分析单元在检索了日志数据库的结果是发生了与在302中读入的行为模式一致的事件的情况下，进入“是”的分支；在没有检测到与行为模式一致的事件的情况下，返回到步骤302的处理；

步骤306，日志分析单元参照在诱饵数据库中赋予诱饵的权重，对计数器X加上权重，返回步骤302的处理；

如上所述，重复从步骤302到步骤306的处理，在步骤303中行为模式的读取失败的情况下，判断为对于行为模式数据库20的全部项目的处理完成，进入“否”的分支进行步骤307的处理；

步骤307，日志分析单元比较当时的计数器X的值和预先提供的阈值，在计数器X为阈值以上的情况下，进入“是”的分支；

步骤308，作为对行为模式的一致度，权重的累计值即计数器X值高，因此判断为目标型攻击发生，结束处理；

如上所述，通过利用赋予诱饵文件的权重来判断目标型攻击的发生，可以更适当地判断对重要信息发生了目标型攻击。

2.如权利要求1所述的检测非法侵入网络的方法；其特征是：权重除了赋予诱饵文件的情况以外，还按行为模式数据库中存储的行为模式赋予权重。

3.如权利要求2所述的检测非法侵入网络的方法；其特征是：在步骤305中，在没有检测到与行为模式一致的事件的情况下，也返回到步骤302的处理。

4.如权利要求1所述的检测非法侵入网络的方法；其特征是：利用对可疑Web站点的访问数作为计数器X值，此时，将可疑的Web站点的列表作为黑名单预先存储，在特定终端的访问控制的日志中包含的访问目的地中包含规定数量以上可疑的Web站点时作为对行为模式的一致度，由于访问可疑网站的次数高，所以判断为发生目标型攻击。

5.如权利要求1所述的检测非法侵入网络的方法；其特征是：利用用户接收的邮件中包含可疑邮件的频度，判定是否是可疑邮件；日志分析单元预先存储这些可以邮件的特定的关键字的列表，在检测与行为模式一致的事件的处理中，参照特定的关键字的列表，诱饵包含在用户的接收邮件的文字信息中的特定的关键字，将诱饵出的特定关键字数与计数器X相加，判断目标型攻击发生。

6.如权利要求5所述的检测非法侵入网络的方法；其特征是：在用户接收的邮件的主题、正文、附件名的文字信息中包含“重要信息”、“重要通知”这样的特定关键字的情况下，判定该邮件为可疑邮件。