[发明专利]网络入侵检测方法、装置、系统和存储介质有效
| 申请号: | 202010389531.X | 申请日: | 2020-05-08 |
| 公开(公告)号: | CN111600863B | 公开(公告)日: | 2022-09-13 |
| 发明(设计)人: | 王东海;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 杭州华进联浙知识产权代理有限公司 33250 | 代理人: | 贺才杰 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 网络 入侵 检测 方法 装置 系统 存储 介质 | ||
1.一种网络入侵检测方法,其特征在于,包括:
解析请求包和响应包的协议数据单元,得到所述协议数据单元的参数,其中,所述响应包为相同会话中响应于所述请求包的数据包;
判断所述协议数据单元的参数是否符合第一预设规则,所述第一预设规则包括多个子规则,各子规则包括正常模式下请求包和响应包中协议数据单元的参数,所述正常模式为源IP、目的IP、目的端口、协议类型和指令构造的五元组;
在判断到所述协议数据单元的参数未符合所述第一预设规则的情况下,发出用于表示存在网络入侵的第一告警消息;
其中,解析请求包和响应包的协议数据单元,得到所述协议数据单元的参数包括:采集数据包,根据所述数据包的协议数据单元的参数,判断所述数据包的类型是否为数据消息类型,在判断到所述数据包的类型不为所述数据消息类型的情况下,从所述数据包中筛选出所述请求包和所述响应包;
其中,判断所述协议数据单元的参数是否符合第一预设规则包括:解析所述请求包和所述响应包的五元组,得到所述五元组的参数,判断所述五元组的参数是否符合第二预设规则,所述第二预设规则可以分别针对所述请求包和所述数据包建立相应的子规则,各子规则包括所述正常模式下五元组的参数,在判断到所述五元组的参数符合所述第二预设规则的情况下,判断所述协议数据单元的参数是否符合所述第一预设规则。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在判断到所述五元组的参数未符合所述第二预设规则的情况下,发出用于表示存在网络入侵的第二告警消息。
3.根据权利要求1所述的方法,其特征在于,解析请求包和响应包的协议数据单元,得到所述协议数据单元的参数包括:
采集数据包;
解析所述数据包的协议数据单元的参数;
根据所述数据包的协议数据单元的参数,从所述数据包中筛选出所述请求包和所述响应包。
4.根据权利要求1所述的方法,其特征在于,根据所述数据包的协议数据单元的参数,从所述数据包中筛选出所述请求包和所述响应包包括:
从所述数据包中提取第一数据包和第二数据包,并根据所述第一数据包和所述第二数据包的协议数据单元的参数,判断所述第一数据包和所述第二数据包是否为相同会话中对应的请求包和响应包;
在判断到所述第一数据包和所述第二数据包为相同会话中对应的请求包和响应包的情况下,将所述第一数据包和所述第二数据包作为所述请求包和所述响应包。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在判断到所述数据包的类型为所述数据消息类型的情况下,解析所述数据消息类型的数据包的预设字段的参数;
判断所述数据消息类型的数据包的预设字段的参数是否符合第三预设规则,所述第三预设规则包括多个子规则,各子规则包括所述正常模式下数据消息类型的数据包的预设字段的参数;
在判断到所述数据消息类型的数据包的预设字段的参数未符合所述第三预设规则的情况下,发出用于表示存在网络入侵的第三告警消息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010389531.X/1.html,转载请声明来源钻瓜专利网。
