[发明专利]网络入侵检测方法和装置

权利要求书

1.一种网络入侵检测方法，其特征在于，包括：

获取待检测的数据包，所述待检测的数据包包括设备标识；

基于所述设备标识，获取预存的设备参考信息，所述设备参考信息包括所述设备标识、预设参考周期和参考动态标识；

基于数据包组，确定待检测动态标识，所述数据包组包括所述待检测的数据包，且所述数据包组中的每个数据包均包括所述设备标识，所述基于数据包组，确定待检测动态标识，包括：提取所述数据包组的待检测负载向量和待检测响应时间向量，所述待检测负载向量用于表征所述数据包组的方向和负载长度，所述待检测响应时间向量用于表征设备响应时间以及服务器处理时间；基于所述待检测负载向量和所述待检测响应时间向量，确定待检测设备向量；基于所述待检测设备向量，确定所述待检测动态标识；所述基于所述待检测设备向量，确定所述待检测动态标识，包括：基于所述待检测设备向量，确定待检测响应时间统计特征，所述待检测响应时间统计特征用于表征预存的设备响应时间以及服务器处理时间；基于所述待检测设备向量和所述待检测响应时间统计特征，确定所述待检测动态标识；

基于所述待检测动态标识和所述参考动态标识，确定所述待检测的数据包是否与所述设备标识对应的设备同源，所述基于所述待检测动态标识和所述参考动态标识，确定所述待检测的数据包是否与所述设备标识对应的设备同源，包括：确定所述待检测动态标识和所述参考动态标识的待检测距离；获取预设参考距离；当所述待检测距离小于所述预设参考距离时，所述待检测的数据包和所述设备标识对应的设备同源。

2.根据权利要求1所述的网络入侵检测方法，其特征在于，所述预存的设备参考信息的确定方法包括：

获取参考数据包，所述参考数据包包括所述设备标识；

提取所述参考数据包的参考负载向量和参考响应时间向量；

基于所述参考负载向量和所述参考响应时间向量，确定参考设备向量；

基于所述参考设备向量，确定所述设备参考信息。

3.根据权利要求2所述的网络入侵检测方法，其特征在于，所述基于所述参考设备向量，确定所述设备参考信息，包括：

以同源程度特征的最大值为目标，确定预设参考周期；

基于所述预设参考周期，确定所述参考动态标识。

4.根据权利要求3所述的网络入侵检测方法，其特征在于，所述以同源程度特征的最大值为目标，确定预设参考周期，包括：

获取备选参考周期；

遍历所有的备选参考周期，将所述同源程度特征的最大值对应的所述备选参考周期作为预设参考周期。

5.一种网络入侵检测装置，其特征在于，包括：

第一学习单元，用于获取待检测的数据包，所述待检测的数据包包括设备标识；

第二学习单元，用于基于所述设备标识，获取预存的设备参考信息，所述设备参考信息包括所述设备标识、预设参考周期、参考动态标识；

第一检测单元，用于基于数据包组，确定待检测动态标识，所述数据包组包括所述待检测的数据包，且所述数据包组中的每个数据包包括所述设备标识，所述基于数据包组，确定待检测动态标识，包括：提取所述数据包组的待检测负载向量和待检测响应时间向量，所述待检测负载向量用于表征所述数据包组的方向和负载长度，所述待检测响应时间向量用于表征设备响应时间以及服务器处理时间；基于所述待检测负载向量和所述待检测响应时间向量，确定待检测设备向量；基于所述待检测设备向量，确定所述待检测动态标识；所述基于所述待检测设备向量，确定所述待检测动态标识，包括：基于所述待检测设备向量，确定待检测响应时间统计特征，所述待检测响应时间统计特征用于表征预存的设备响应时间以及服务器处理时间；基于所述待检测设备向量和所述待检测响应时间统计特征，确定所述待检测动态标识；

第二检测单元，用于基于所述待检测动态标识和所述参考动态标识，确定所述待检测的数据包是否与所述设备标识对应的设备同源，所述基于所述待检测动态标识和所述参考动态标识，确定所述待检测的数据包是否与所述设备标识对应的设备同源，包括：确定所述待检测动态标识和所述参考动态标识的待检测距离；获取预设参考距离；当所述待检测距离小于所述预设参考距离时，所述待检测的数据包和所述设备标识对应的设备同源。