非法侵入检测装置及方法与流程

技术特征：
1.一种非法侵入检测装置，包括检测装置、文件服务器、第一终端、第二终端、邮件服务器、认证服务器，所述检测装置、文件服务器、第一终端、第二终端、邮件服务器、认证服务器经由组织内部的网络连接；攻击者服务器通过因特网、防火墙、代理服务器进行远程操作；其特征是：所述检测装置包括诱饵生成单元、日志收集分析单元；诱饵生成单元还包括诱饵制作登录单元、诱饵信息数据库、诱饵数据库；日志收集分析单元由日志收集单元、日志分析单元、日志数据库、行为模式数据库构成；在日志收集分析单元的行为模式数据库中，在攻击者通过目标型攻击侵入内部网络的情况下观察到的事件的行为模式被存储；在日志收集分析单元的日志数据库中，存储有从防火墙、代理服务器、邮件服务器、认证服务器、文件服务器、第一终端、第二终端各种设备收集的日志；在文件服务器中，将文件夹或文件作为电子数据保存在数据存储单元中；关于对文件服务器上记录的文件夹或文件的访问的日志，经由网络被收集到检测装置，通过日志收集分析单元的日志收集单元被存储到日志数据库。2.如权利要求1所述的非法侵入检测装置，其特征是：所述事件的行为模式包括“从同一终端进行多个不同用户的认证”、“特定用户账户对文件或文件夹的访问拒绝比平时多发生”、“从特定终端频繁访问可疑的网站”“利用终端的用户接收了附加有可疑文件的邮件”。3.如权利要求2所述的非法侵入检测装置，其特征是：所述日志包括日期、数据属性、终端名称、用户名、访问控制对象名称、访问控制结果、用户认证结果。4.如权利要求3所述的非法侵入检测装置，其特征是：所述数据属性包括文件访问或用户认证；所述访问控制对象名称包括文件夹路径或文件路径；所述访问控制结果包括许可或拒绝；所述用户认证结果包括许可、或者拒绝。5.如权利要求4所述的非法侵入检测装置，其特征是：由日志分析单元从日志数据库参照向检测装置收集的日志，并对检测非法侵入进行分析。6.一种利用如权利要求1
‑
5任一所述非法侵入检测装置进行非法侵入检测的方法；其特征是包括以下步骤：步骤1：创建诱饵；步骤2：日志收集；步骤3：通过日志分析进行侵入检测；所述步骤1创建诱饵的步骤包括：步骤101，诱饵生成单元通过诱饵制作登录单元参照诱饵信息数据库，取得当前设置在文件服务器上的诱饵信息；步骤102，诱饵制作登录单元在步骤101获得的诱饵在设置路径上有诱饵的情况下，进入“是”的分支，进行步骤103的处理；在没有诱饵的情况下，进入“否”的分支，进行步骤105的处理；步骤103，诱饵制作登录单元从文件服务器删除设置路径上已经设置的诱饵；步骤104，从诱饵信息数据库中删除从文件服务器删除的诱饵信息；步骤105，创建诱饵登录单元访问文件服务器，随机选择制作诱饵的任意文件夹；步骤106，诱饵制作登录单元参照诱饵数据库随机选择诱饵的文件夹或文件；步骤107，诱饵创建登录单元在步骤选择的文件夹中创建诱饵；最后，步骤108，诱饵创建登录单元将所创建的诱饵信息登记到诱饵信息数据库，并且
结束创建诱饵的操作。所述步骤2日志收集的步骤，包括：步骤201，日志收集单元判定是否从连接在监视网络上的各设备接收到日志；在接收到日志的情况下，进入步骤202；在没有接收到日志的情况下，等待接收日志；步骤202，日志收集单元将接收到的日志依次存储到日志数据库中；所述步骤3通过日志分析进行侵入检测的步骤，包括：步骤301，日志分析单元首先将诱饵的计数器x的值初始化为0；步骤302，日志分析单元从行为模式数据库读取一个行为模式；步骤303，日志分析单元在行为模式的读取成功的情况下，进入“是”的分支，进行步骤304的处理；步骤304，日志分析单元根据访问控制的日志确定访问了诱饵的用户及终端，并基于该信息检索日志数据库；步骤305，日志分析单元在检索了日志数据库的结果是发生了与在302中读入的行为模式一致的事件的情况下，进入“是”的分支；在没有检测到与行为模式一致的事件的情况下，返回到步骤302的处理；步骤306，对计数器x加1返回步骤302的处理；如上所述，重复从步骤302到步骤306的处理，在步骤303中行为模式的读取失败的情况下，判断为对于行为模式数据库20的全部项目的处理完成，进入“否”的分支进行步骤307的处理；步骤307，日志分析单元比较当时的计数器x的值和预先提供的阈值，在计数器x为阈值以上的情况下，进入“是”的分支，在步骤307中因为对诱饵的访问频率作为与行为模式的一致程度高，所以判断为发生目标型攻击，结束该过程。7.一种如权利要求6所述的非法侵入检测的方法；其特征是：所述步骤307中，在计数器x的值小于阈值的情况下，直接结束处理。8.一种如权利要求7所述的非法侵入检测的方法；其特征是：在计数器x的值小于阈值的情况下直接结束处理这种情况下，对发生的诱饵的访问被判断为是正规用户的操作错误或设定错误等无害的访问。

技术总结
一种非法侵入检测装置，包括检测装置、文件服务器、第一终端、第二终端、邮件服务器、认证服务器，所述检测装置、文件服务器、第一终端、第二终端、邮件服务器、认证服务器经由组织内部的网络连接；攻击者服务器通过因特网、防火墙、代理服务器进行远程操作；所述检测装置包括诱饵生成单元、日志收集分析单元。还公开一种非法侵入检测的方法。该装置和方法能够判断是否是由于设定错误或操作失误等人为因素而发生了非法侵入。而发生了非法侵入。而发生了非法侵入。


技术研发人员：张长河
受保护的技术使用者：北京卫达信息技术有限公司
技术研发日：2021.07.27
技术公布日：2021/10/28