本申請公開了一種入侵檢測方法及裝置，同時公開了一種檢測規則生成方法及裝置，一種入侵檢測系統，以及另一種入侵檢測方法。所述入侵檢測方法，包括：獲取向外部網絡發送的網絡報文；若所述網絡報文與網絡報文檢測規則集合中的任一規則匹配成功，則確認發送所述網絡報文的設備被特定類型文件入侵成功；其中，所述網絡報文檢測規則集合中的規則，是根據特定類型外部網絡地址信息預先生成的。采用上述方法，可以確認特定類型文件已成功入侵內部網絡、并確認發送所述網絡報文的設備即為受害設備，從而便于網絡安全運維人員針對受害設備進行快速、有效的處置，簡化內部網絡安全運維的復雜度，為提高內部網絡的安全性提供保障。

技術領域

本申請涉及網絡安全技術，具體涉及一種入侵檢測方法及裝置。本申請同時涉及一種檢測規則生成方法及裝置，一種入侵檢測系統，以及另一種入侵檢測方法。

背景技術

隨著計算機和互聯網技術的發展，企業網、校園網、社區網等具有特定邊界的內部網絡不僅實現了內部設備的互連與資源共享、而且還可以通過路由器等設備訪問外部網絡，例如：訪問Internet網絡提供的各種資源或服務。由于存在內部網絡與外部網絡之間的通信，為了保證安全性，內部網絡通常都會采用網絡安全檢測類產品。

以企業網絡為例，目前企業網絡通常采用的安全檢測類產品有：IDS(InstrusionDetection Systems—入侵檢測系統)、病毒墻、NGFW(Next generation firewall—下一代防火墻)、以及APT檢測(Advanced Persistent Threat—高級持續性威脅檢測)等新型攻擊檢測類產品。這些網絡安全檢測類產品基本都針對單一維度的攻擊進行檢測，例如，對文件進行靜態掃描檢測以確定是否為惡意文件等，并在檢測到惡意文件時產生攻擊告警，供網絡安全運營人員參考并進行相應的處置。

在實際應用過程中，上述安全檢測技術通常都會產生大量的告警，網絡安全運營人員需要從大量的告警中排除誤報，找到真正的攻擊，再找到攻擊關聯的受害設備進行處置。然而由于告警數量巨大，網絡安全運營人員通常無法逐一聯系告警對應的每臺設備的使用者進行確認分析，因此通常無法知曉告警涉及的惡意文件是否入侵成功(即：在內部網絡設備中被打開或執行)、以及具體的受害設備。在這種情況下，網絡安全運營人員自然也就無法作出及時有效的處理，例如：隔離受害設備、采取相應的網絡攔截措施等，從而導致目前的企業網絡安全產品難以運維及難以產生真正價值。

發明內容

本申請實施例提供一種入侵檢測方法和裝置，以解決現有的安全檢測技術無法確認特定類型文件入侵成功以及確認相應受害設備的問題。本申請實施例還提供一種檢測規則生成方法和裝置，一種入侵檢測系統，以及另一種入侵檢測方法和裝置。

本申請提供一種入侵檢測方法，包括：

獲取向外部網絡發送的網絡報文；

若所述網絡報文與網絡報文檢測規則集合中的任一規則匹配成功，則確認發送所述網絡報文的設備被特定類型文件入侵成功；

其中，所述網絡報文檢測規則集合中的規則，是根據特定類型外部網絡地址信息預先生成的。

可選的，所述網絡報文檢測規則集合中的規則包括：根據從發送給內部網絡的特定類型文件提取的特定類型外部網絡地址信息生成的規則。

可選的，若所述匹配成功的規則，是根據從發送給內部網絡的特定類型文件提取的特定類型外部網絡地址信息生成的，所述確認發送所述網絡報文的設備被特定類型文件入侵成功，包括：

確認發送所述網絡報文的設備被具體的特定類型文件入侵成功，所述具體的特定類型文件為用于生成所述匹配成功的規則的特定類型文件。

可選的，在確認發送所述網絡報文的設備被特定類型文件入侵成功之后，包括：