[发明专利]基于数据流量检测及时序特征提取的入侵检测方法及设备

权利要求书

1.一种基于数据流量检测及时序特征提取的入侵检测方法，其特征在于，应用于部署于业务服务器前端且与多个业务终端通信的入侵检测设备，所述方法包括：

在当前时段内检测到存在业务终端向业务服务器上传的数据流信息时，拦截所述数据流信息；其中，每个业务终端在当前时段内的任意时段向所述业务服务器上传数据流信息；

提取每组数据流信息在当前时段内的第一时序特征并从所述业务服务器中获取每组数据流信息对应的业务终端在上一时段内的历史数据流信息的第二时序特征；获取在当前时段内每组数据流信息的数据流量值；

根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为；

其中，在对当前时段内的业务终端向业务服务器上传的数据流信息进行检测之前，所述方法包括：向每个业务终端发送校验字符；获取每个业务终端基于所述校验字符返回的验证结果；其中，所述业务终端采用CRC校验算法对对所述校验字符进行教研得到所述验证结果；将验证结果与预设结果相一致的业务终端确定为存在有效通信的目标业务终端；根据所述目标业务终端的数量确定当前时段的时长值；

其中，所述提取每组数据流信息在当前时段内的第一时序特征，包括：获取每组数据流信息在当前时段内的每个数据报文帧的报文头信息，基于所述报文头信息建立报文统计列表；其中，所述报文统计列表为分段列表，每段列表对应一个报文头类别，每个报文头类别下分配有至少一个数据报文帧的报文头信息，该报文统计列表的各段具有由小到大的报文优先级排序；读取每组数据流信息在当前时段内的每个数据报文帧的第一时间参数，从所述报文统计列表中确定出每个第一时间参数对应的报文头信息对应的报文头类别以及报文优先级；其中，所述第一时间参数用于表征所述入侵检测设备接收到每个数据报文帧的时刻；根据所述第一时间参数对应的报文头类别以及报文优先级建立所述第一时间参数与所述报文统计列表之间的转换关系，根据该转换关系生成特征提取逻辑；将所述每个第一时间参数对应的数据报文帧的报文头信息与所述报文统计列表中的除该第一时间参数对应的数据报文帧的报文头信息之外的其他数据报文帧的报文头信息进行逐一对比，得到用于表征报文头信息的连续性的目标系数；按照目标系数的大小顺序采用所述特征提取逻辑从每组数据流信息的数据报文帧中提取第一数据特征，并将所述第一数据特征与所述数据报文帧对应的第一时间参数进行整合得到每组数据流信息对应的第一时序特征；

其中，所述获取在当前时段内每组数据流信息的数据流量值的步骤，包括：获取每组数据流信息在当前时段内的每个数据报文帧的报文数据信息；确定所述报文数据信息对应的数据编码串；统计所述数据编码串的字符位数；根据所述字符位数确定每组数据流信息的数据流量值序列；

其中，所述根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为，包括：构建所述第一时序特征对应的第一特征列表以及所述第二时序特征对应的第二特征列表；其中，所述第一特征列表和所述第二特征列表分别包括多个不同特征值的列表单元；提取所述第一时序特征在所述第一特征列表的任一列表单元的第一列表位置，将所述第二特征列表中具有最小特征值的列表单元确定为目标列表单元；根据所述第一时序特征对应的当前时段的时长值以及所述第二时序特征对应的上一时段的时长值将所述第一列表位置映射到所述目标列表单元，在所述目标列表单元中得到第二列表位置；根据所述第一列表位置和所述第二列表位置确定所述第一时序特征和所述第二时序特征之间的相关性比较路径；其中，所述相关性比较路径用于指示将所述第一特征列表中的列表单元与所述第二特征列表中的列表单元进行一一比对；基于所述相关性比较路径将所述第一特征列表中的列表单元与所述第二特征列表中的列表单元进行一一比对得到多个比对结果；从所述多个比对结果中确定出比对结果为一致的目标比对结果的占比；在所述占比达到设定比例时，根据所述数据流信息对应的数据流量值序列确定所述数据流信息对应的流量变化轨迹；根据所述流量变化轨迹判断每组数据流信息是否存在入侵行为。

2.根据权利要求1所述的入侵检测方法，其特征在于，所述方法还包括：

在判断出所述数据流信息存在入侵行为时，采用预设的拦截机制对所述数据流信息进行拦截。