(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107040544A(43)申请公布日2017.08.11(21)申请号201710338242.5(22)申请日2017.05.15(71)申请人上海斐讯数据通信技术有限公司地址201616上海市松江区思贤路3666号(72)发明人管建智(74)专利代理机构上海硕力知识产权代理事务所31251代理人郭桂峰(51)Int.Cl.H04L29/06(2006.01)权利要求书3页说明书12页附图7页(54)发明名称一种基于流量的入侵检测方法、装置及系统(57)摘要本发明提供了一种基于流量的入侵检测方法、装置及系统，其方法包括：S100抓取网络数据包，解析得到所述网络数据包对应的标识信息；S200判断所述标识信息是否是待测标识信息；若是，执行步骤S300；S300截取所述网络数据包得到分片数据包，生成所述待测标识信息的上行流量使用记录；S400根据所述上行流量使用记录，判断是否有入侵现象。本发明能够避免盲目抓取，造成时间的浪费。监测上行流量使用情况，能够进行判断网络监控系统是否存在入侵现象，检测和防御网络监控系统中潜在的危险，增强了网络的安全性，提升用户的信息安全、人身安全以及财产安全。CN107040544ACN107040544A权利要求书1/3页1.一种基于流量的入侵检测方法，其特征在于，包括步骤：S100抓取网络数据包，解析得到所述网络数据包对应的标识信息；S200判断所述标识信息是否是待测标识信息；若是，执行步骤S300；S300截取所述网络数据包得到分片数据包，生成所述待测标识信息的上行流量使用记录；S400根据所述上行流量使用记录，判断是否有入侵现象。2.根据权利要求1所述的一种基于流量的入侵检测方法，其特征在于，所述步骤S400包括步骤：S410根据所述上行流量使用记录，生成所述待测标识信息的上行流量使用情况表，所述上行流量使用情况表包括上行流量使用值和上行流量使用时间；S420判断当前上行流量使用值是否大于实时上行流量使用值；所述实时上行流量使用值为所述待测标识信息上传所述网络数据包的流量值；若是，执行步骤S430；否则，执行步骤S440；S430判定所述当前上行流量使用值对应的上行流量使用时间段存在入侵现象；S440判定所述当前上行流量使用值对应的上行流量使用时间段不存在入侵现象。3.根据权利要求1所述的一种基于流量的入侵检测方法，其特征在于，所述步骤S400还包括步骤：S450统计预设标识白名单中各个预设标识信息的下行流量使用值，得到下行流量使用总额；所述下行流量使用值为各个预设标识信息获取所述待测标识信息上传网络数据包的流量值；所述预设标识白名单包括预设用户设备的预设标识信息；S460根据所述上行流量使用记录，统计所述待测标识信息对应的上行流量使用值，得到所述待测标识信息的上行流量使用总额；S470判断所述上行流量使用总额是否大于所述下行流量使用总额；若是，执行步骤S480；否则，执行步骤S490；S480判定存在入侵现象；S490判定不存在入侵现象。4.根据权利要求1-4任一项所述的一种基于流量的入侵检测方法，其特征在于，所述步骤S300包括步骤：S310周期性截取所述网络数据包得到所述分片数据包；所述分片数据包包括数据包大小、截取时间、待测标识信息；S320根据所述待测标识信息分类储存所述分片数据包；S330统计所有分片数据包中与所述待测标识信息对应的数据包大小，得到所述待测标识信息的上行流量使用值；S340统计所有分片数据包中与所述待测标识信息对应的截取时间，得到所述待测标识信息的上行流量使用时间；S350根据所述上行流量使用值、所述上行流量使用时间生成所述待测标识信息的上行流量使用记录。5.根据权利要求4所述的一种基于流量的入侵检测方法，其特征在于，所述步骤S400之后包括步骤：2CN107040544A权利要求书2/3页S500获取入侵现象时间段对应的入侵标识信息；所述入侵标识信息为在预设标识白名单外的设备标识信息；S600将所述入侵标识信息加入黑名单，拒绝所述入侵标识信息对应的入侵设备访问并报警。6.一种基于流量的入侵检测装置，其特征在于，应用权利要求1-5任一项所述的基于流量的入侵检测方法，包括：处理模块，抓取网络数据包，解析得到所述网络数据包对应的标识信息；判断模块，与所述处理模块通信连接；判断所述处理模块得到的所述标识信息是否是待测标识信息；控制模块，分别与所述处理模块和所述判断模块通信连接；当所述判断模块判断所述标识信息是待测标识信息时，截取所述处理模块抓取的所述网络数据包得到分片数据包，生成所述待测标识信息的上行流量使用记录；检测模块，与所述控制模块通信连接；根据所述控制模块得到的所述上行流量使用记录，判断是