(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113904863A(43)申请公布日2022.01.07(21)申请号202111241314.7(22)申请日2021.10.25(71)申请人杭州安恒信息技术股份有限公司地址310000浙江省杭州市滨江区西兴街道联慧街188号(72)发明人施杨范渊刘博(74)专利代理机构北京集佳知识产权代理有限公司11227代理人姚莹丽(51)Int.Cl.H04L9/40(2022.01)H04L67/02(2022.01)权利要求书2页说明书10页附图3页(54)发明名称一种网络入侵检测方法、装置、设备及可读存储介质(57)摘要本发明公开了一种网络入侵检测方法，包括：对接收到的目标数据包进行解析，得到目标数据包的预设五元组信息和各预设数据包属性信息；其中，预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型；根据各预设数据包属性信息创建目标数据包对应的通用数据包位掩码；从入侵检测规则库中筛选与预设五元组信息匹配的入侵检测规则集合；获取入侵检测规则集合中各入侵检测规则分别对应的规则位掩码；将通用数据包位掩码与各规则位掩码进行对比，得到网络入侵检测结果。本发明较大地降低了对检测引擎性能的消耗，提升了网络入侵检测效率，提升了系统安全性。本发明还公开了一种网络入侵检测装置、设备及存储介质，具有相应技术效果。CN113904863ACN113904863A权利要求书1/2页1.一种网络入侵检测方法，其特征在于，包括：对接收到的目标数据包进行解析，得到所述目标数据包的预设五元组信息和各预设数据包属性信息；其中，所述预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型；根据各所述预设数据包属性信息创建所述目标数据包对应的通用数据包位掩码；从入侵检测规则库中筛选与所述预设五元组信息匹配的入侵检测规则集合；获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码；将所述通用数据包位掩码与各所述规则位掩码进行对比，得到网络入侵检测结果。2.根据权利要求1所述的网络入侵检测方法，其特征在于，将所述通用数据包位掩码与所述规则位掩码进行对比，包括：判断所述协议类型是否为HTTP类型；若是，则获取所述目标数据包的HTTP头域特征，并根据所述HTTP头域特征创建所述目标数据包对应的HTTP位掩码；结合所述通用数据包位掩码和所述HTTP位掩码确定所述目标数据包对应的目标数据包位掩码；将所述目标数据包位掩码与各所述规则位掩码进行对比。3.根据权利要求1或2所述的网络入侵检测方法，其特征在于，获取所述入侵检测规则集合中各入侵检测规则分别对应的规则位掩码，包括：从各所述预设数据包属性信息中选取标志数据包属性；从所述入侵检测规则集合中筛选命中所述标志数据包属性的各入侵检测规则；获取命中所述标志数据包属性的各所述入侵检测规则分别对应的规则位掩码。4.根据权利要求1所述的网络入侵检测方法，其特征在于，将所述通用数据包位掩码与各所述规则位掩码进行对比，得到网络入侵检测结果，包括：判断各所述规则位掩码中是否存在与所述通用数据包位掩码匹配的规则位掩码；若是，则将与所述通用数据包位掩码匹配的规则位掩码对应的入侵检测规则确定为目标入侵检测规则；将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵。5.根据权利要求4所述的网络入侵检测方法，其特征在于，在将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵之后，还包括：判断是否存在所述目标网络入侵对应的目标防护策略；若是，则调用所述目标防护策略进行网络入侵防护操作。6.根据权利要求5所述的网络入侵检测方法，其特征在于，当确定不存在所述目标网络入侵对应的目标防护策略时，还包括：调取预设通用防护策略；利用所述预设通用防护策略进行网络入侵防护操作。7.根据权利要求4所述的网络入侵检测方法，其特征在于，将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵，包括：获取所述目标入侵检测规则中各参考数据包属性值；2CN113904863A权利要求书2/2页获取各所述预设数据包属性信息分别对应的目标数据包属性值；判断各所述目标数据包属性值是否与各所述参考数据包属性值的一致率是否高于预设值；若是，则将所述目标入侵检测规则对应的网络入侵确定为所述目标数据包所属的目标网络入侵。8.一种网络入侵检测装置，其特征在于，包括：数据包解析模块，用于对接收到的目标数据包进行解析，得到所述目标数据包的预设五元组信息和各预设数据包属性信息；其中，所述预设五元组信息包括源IP、目的IP、源端口、目的端口以及协议类型；通用位掩码创建模块，用于根据各所述预设数据包属性信息创建所述目标数据包对应的通用数据包位掩码