技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域，具體而言，涉及一種入侵檢測的方法、裝置和系統(tǒng)。

背景技術(shù)

由于Web2.0技術(shù)的不斷發(fā)展，以及云計(jì)算的服務(wù)能力不斷的演化，越來越多的應(yīng)用與業(yè)務(wù)都以B/S(Browser/Server，瀏覽器/服務(wù)器模式)的形式展現(xiàn)給客戶。而黑客的入侵攻擊手段也越來越偏向于以Web作為入侵的突破口進(jìn)行攻擊。傳統(tǒng)的入侵檢測系統(tǒng)更偏向于檢測自身應(yīng)用和匹配安全策略的模式來達(dá)到目的。

在當(dāng)前在業(yè)界內(nèi)通常使用的入侵分析的手段均為基于后端去檢測，或者是通過數(shù)據(jù)驅(qū)動(dòng)來分析入侵的軌跡，需要從大量的日志數(shù)據(jù)中提取并且分析可能潛在的入侵特征，屬于“事后”行為。常規(guī)的入侵檢測系統(tǒng)分為以下幾種：

1.完整性分析，通過監(jiān)測某個(gè)文件或者某個(gè)對(duì)象是否被更改，例如文件或者目錄的屬性，文件的MD5值等，如果監(jiān)測到預(yù)設(shè)的文件或?qū)ο蟀l(fā)生修改，則認(rèn)為可能存在入侵者非法侵入對(duì)某個(gè)文件或?qū)ο筮M(jìn)行修改，并啟動(dòng)報(bào)警。

2.匹配模式，通過收集的網(wǎng)絡(luò)信息，如用戶請(qǐng)求的URL(Uniform Resource Locator，統(tǒng)一資源定位符)和參數(shù)等，通過匹配安全策略的形式來檢測是否存在攻擊性行為，如果匹配到相似的安全策略，則觸發(fā)報(bào)警機(jī)制，通知管理員存在疑似入侵的現(xiàn)象。

3.統(tǒng)計(jì)性分析，收集各種操作日志記錄和行為記錄，通過利用大數(shù)據(jù)計(jì)算的方法分析出可能存在攻擊性行為的操作，通常攻擊性行為大都表象為，請(qǐng)求數(shù)量大，速度快等。一些非正常業(yè)務(wù)的交互能夠通過數(shù)學(xué)算法從大量的操作日志記錄中分析出具有攻擊性的操作記錄。

因?yàn)槟壳暗娜肭謾z測系統(tǒng)大都通過檢測自身應(yīng)用、監(jiān)視網(wǎng)絡(luò)傳輸數(shù)據(jù)或者監(jiān)視系統(tǒng)完整性來達(dá)到入侵檢測的目的，而對(duì)入侵的溯源主要通過日志分析來定位入侵者的攻擊路徑和攻擊者的IP地址。但這種分析形勢(shì)過于被動(dòng)，時(shí)效性差，不能在第一時(shí)間內(nèi)主動(dòng)發(fā)現(xiàn)攻擊者的入侵行為和對(duì)入侵者進(jìn)行實(shí)時(shí)的監(jiān)控手段。

針對(duì)現(xiàn)有技術(shù)采用后端檢測或日志數(shù)據(jù)分析等在后端進(jìn)行入侵檢測的分析手段，導(dǎo)致監(jiān)控客戶端發(fā)生的行為時(shí)效性差的問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種入侵檢測的方法、裝置和系統(tǒng)，以至少解決現(xiàn)有技術(shù)采用后端檢測或日志數(shù)據(jù)分析等在后端進(jìn)行入侵檢測的分析手段，導(dǎo)致監(jiān)控客戶端發(fā)生的行為時(shí)效性差的技術(shù)問題。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種入侵檢測的方法，包括：獲取前端客戶端的交互行為；檢測交互行為是否為攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為；在確定交互行為是攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為的情況下，觸發(fā)前端客戶端監(jiān)控發(fā)生在本地的行為。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種入侵檢測的裝置，包括：第一獲取模塊，用于獲取前端客戶端的交互行為；檢測模塊，用于檢測交互行為是否為攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為；監(jiān)控模塊，用于在確定交互行為是攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為的情況下，觸發(fā)前端客戶端監(jiān)控發(fā)生在本地的行為。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種入侵檢測的系統(tǒng)，包括：前端客戶端，用于發(fā)送交互行為；中間設(shè)備，與前端客戶端具有通信關(guān)系，用于檢測交互行為是否為攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為，在確定交互行為是攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為的情況下，觸發(fā)前端客戶端監(jiān)控發(fā)生在本地的行為。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種入侵檢測的方法，包括：前端客戶端檢測本地發(fā)生的交互行為是否為攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為；在確定交互行為是攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為的情況下，前端客戶端監(jiān)控發(fā)生在本地的行為。

由此可知，通過本發(fā)明提供的技術(shù)方案：獲取前端客戶端的交互行為；檢測交互行為是否為攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為；在確定交互行為是攻擊網(wǎng)絡(luò)應(yīng)用的攻擊行為的情況下，觸發(fā)前端客戶端監(jiān)控發(fā)生在本地的行為，由此本申請(qǐng)?zhí)岢隽艘环N利用前端技術(shù)來發(fā)現(xiàn)入侵行為手段的方案，在業(yè)界內(nèi)通常使用的入侵分析手段都是基于后端去檢測，或者是數(shù)據(jù)驅(qū)動(dòng)來分析入侵的軌跡，通常需要從大量的日志數(shù)據(jù)中提取并且分析可能潛在的入侵特征，屬于“事后”行為。而本申請(qǐng)通過對(duì)前端客戶端的交互行為進(jìn)行檢測，一旦發(fā)行交互行為是入侵行為，就對(duì)該入侵行為進(jìn)行監(jiān)測的方法，實(shí)現(xiàn)了對(duì)前端客戶端的交互行為進(jìn)行實(shí)時(shí)監(jiān)測的技術(shù)效果，也實(shí)現(xiàn)了對(duì)入侵行為進(jìn)行跟蹤監(jiān)測的技術(shù)效果，充分利用前端具有的屬性，能夠在第一時(shí)間內(nèi)發(fā)現(xiàn)入侵行為，并且能夠精確的定位出攻擊者，從而解決了現(xiàn)有技術(shù)采用后端檢測或日志數(shù)據(jù)分析等在后端進(jìn)行入侵檢測的分析手段，導(dǎo)致監(jiān)控客戶端發(fā)生的行為時(shí)效性差的技術(shù)問題。

附圖說明