导航：首页> 其他类不包含的食品或食料；及其处理>结合数据流量检测及时序特征提取的入侵检测方法及设备

结合数据流量检测及时序特征提取的入侵检测方法及设备

文献发布时间：2023-06-19 10:11:51

技术领域

本申请涉及数据安全技术领域，尤其涉及结合数据流量检测及时序特征提取的入侵检测方法及设备。

背景技术

随着通信技术的发展，各行各业的运营、发展和管理均可以通过数字化和智能化的电子设备实现。在各类业务网络化之后，业务服务器的安全稳定运行是确保各类业务能够正常开展的关键。以网络服务为例，如果业务服务器被第三方恶意入侵，可能会导致业务服务器的长时间延迟，甚至导致业务服务器的崩溃，造成大量的数据丢失和泄露。然而，现有的业务服务器由于要对接多个业务终端，难以对每段数据逐一进行验证以实现入侵检测。

发明内容

本申请提供结合数据流量检测及时序特征提取的入侵检测方法及设备，以改善现有业务服务器难以对每段数据逐一进行验证以实现入侵检测的问题。

第一方面，提供一种结合数据流量检测及时序特征提取的入侵检测方法，应用于部署于业务服务器前端且与多个业务终端通信的入侵检测设备，所述方法包括：在当前时段内检测到存在业务终端向业务服务器上传的数据流信息时，拦截所述数据流信息；其中，每个业务终端在当前时段内的任意时段向所述业务服务器上传数据流信息；提取每组数据流信息在当前时段内的第一时序特征并从所述业务服务器中获取每组数据流信息对应的业务终端在上一时段内的历史数据流信息的第二时序特征；获取在当前时段内每组数据流信息的数据流量值；根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为。

可选地，所述方法还包括：在判断出所述数据流信息存在入侵行为时，采用预设的拦截机制对所述数据流信息进行拦截。

可选地，所述方法还包括：在判断出所述数据流信息不存在入侵行为时，将所述数据流信息传输至所述业务服务器并使所述业务服务器对所述数据流信息进行特征提取和关联存储。

可选地，在对当前时段内的业务终端向业务服务器上传的数据流信息进行检测之前，所述方法包括：向每个业务终端发送校验字符；获取每个业务终端基于所述校验字符返回的验证结果；其中，所述业务终端采用CRC校验算法对对所述校验字符进行教研得到所述验证结果；将验证结果与预设结果相一致的业务终端确定为存在有效通信的目标业务终端；根据所述目标业务终端的数量确定当前时段的时长值。

可选地，所述提取每组数据流信息在当前时段内的第一时序特征，包括：

获取每组数据流信息在当前时段内的每个数据报文帧的报文头信息，基于所述报文头信息建立报文统计列表；其中，所述报文统计列表为分段列表，每段列表对应一个报文头类别，每个报文头类别下分配有至少一个数据报文帧的报文头信息，该报文统计列表的各段具有由小到大的报文优先级排序；

读取每组数据流信息在当前时段内的每个数据报文帧的第一时间参数，从所述报文统计列表中确定出每个第一时间参数对应的报文头信息对应的报文头类别以及报文优先级；其中，所述第一时间参数用于表征所述入侵检测设备接收到每个数据报文帧的时刻；

根据所述第一时间参数对应的报文头类别以及报文优先级建立所述第一时间参数与所述报文统计列表之间的转换关系，根据该转换关系生成特征提取逻辑；

将所述每个第一时间参数对应的数据报文帧的报文头信息与所述报文统计列表中的除该第一时间参数对应的数据报文帧的报文头信息之外的其他数据报文帧的报文头信息进行逐一对比，得到用于表征报文头信息的连续性的目标系数；按照目标系数的大小顺序采用所述特征提取逻辑从每组数据流信息的数据报文帧中提取第一数据特征，并将所述第一数据特征与所述数据报文帧对应的第一时间参数进行整合得到每组数据流信息对应的第一时序特征。

可选地，所述从所述业务服务器中获取每组数据流信息对应的业务终端在上一时段内的历史数据流信息的第二时序特征，包括：

按照所述第一时序特征对应的第一数据特征和第一时间参数的特征整合方式，向所述业务服务器发送用于获取第二时序特征的请求指令；其中，所述请求指令中携带当前时段的时刻信息；

使所述业务服务器解析所述请求指令得到所述时刻信息以及所述特征整合方式；

使所述业务服务器提取所述时刻信息对应的上一时段内的历史数据流信息的第二数据特征并确定所述历史数据流信息的第二时间参数；

使所述业务服务器按照所述特征整合方式将所述第二数据特征和所述第二时间参数进行整合得到所述第二时序特征；

获取所述业务服务器基于所述请求指令反馈的第二时序特征。

可选地，所述获取在当前时段内每组数据流信息的数据流量值的步骤，包括：获取每组数据流信息在当前时段内的每个数据报文帧的报文数据信息；确定所述报文数据信息对应的数据编码串；统计所述数据编码串的字符位数；根据所述字符位数确定每组数据流信息的数据流量值序列。

可选地，所述根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为，包括：

构建所述第一时序特征对应的第一特征列表以及所述第二时序特征对应的第二特征列表；其中，所述第一特征列表和所述第二特征列表分别包括多个不同特征值的列表单元；

提取所述第一时序特征在所述第一特征列表的任一列表单元的第一列表位置，将所述第二特征列表中具有最小特征值的列表单元确定为目标列表单元；

根据所述第一时序特征对应的当前时段的时长值以及所述第二时序特征对应的上一时段的时长值将所述第一列表位置映射到所述目标列表单元，在所述目标列表单元中得到第二列表位置；根据所述第一列表位置和所述第二列表位置确定所述第一时序特征和所述第二时序特征之间的相关性比较路径；其中，所述相关性比较路径用于指示将所述第一特征列表中的列表单元与所述第二特征列表中的列表单元进行一一比对；

基于所述相关性比较路径将所述第一特征列表中的列表单元与所述第二特征列表中的列表单元进行一一比对得到多个比对结果；从所述多个比对结果中确定出比对结果为一致的目标比对结果的占比；在所述占比达到设定比例时，根据所述数据流信息对应的数据流量值序列确定所述数据流信息对应的流量变化轨迹；根据所述流量变化轨迹判断每组数据流信息是否存在入侵行为。

第二方面，提供一种入侵检测设备，包括：处理器，以及与处理器连接的内存和网络接口；所述网络接口与入侵检测设备中的存储器连接；所述处理器在运行时通过所述网络接口从所述存储器中调取计算机程序，并通过所述内存运行所述计算机程序，以执行上述的方法。

第三方面，提供一种应用于计算机的可读存储介质，所述可读存储介质烧录有计算机程序，所述计算机程序在入侵检测设备的内存中运行时实现上述的方法。

应用本申请实施例结合数据流量检测及时序特征提取的入侵检测方法及设备时，可以在业务服务器的前端部署入侵检测设备能够在当前时段内检测到存在业务终端向业务服务器上传的数据流信息时对数据流信息进行拦截，然后确定每组数据流信息的第一时序特征、第二时序特征和数据流量值。进而根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为。这样，能够基于数据流信息的时序特征和数据流量值对每组数据流信息进行入侵行为检测，从而确保上传至业务服务器的数据流信息的安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是入侵检测设备的一种硬件结构图。

图2是本申请根据一示例性实施例示出的一种入侵检测系统的通信架构示意图。

图3是本申请根据一示例性实施例示出的一种结合数据流量检测及时序特征提取的入侵检测方法的步骤流程图。

图4为结合数据流量检测及时序特征提取的入侵检测装置的一个实施例框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

为改善上述业务服务器难以对每段数据进行逐一验证以实现入侵检测的问题，本发明提供了一种应用于业务服务器前端的结合数据流量检测及时序特征提取的入侵检测方法及设备，能够在业务服务器接收到每段数据之前对每段数据进行入侵检测，并通过暂时关闭预设的拦截机制以实现对通过入侵检测的每段数据的放行，使得业务服务器接收到安全的数据，避免第三方恶意入侵。

为实现上述内容，请参阅图1，本发明首先提供了一种入侵检测设备100，包括处理器110，以及与处理器110连接的内存120和网络接口130。其中，网络接口130与入侵检测设备100中的存储器连接。在图1中，处理器110在运行时通过网络接口130从存储器140中调取计算机程序，并通过内存120运行计算机程序，以执行上述的入侵检测方法。

在上述基础上，还提供了一种应用于计算机的可读存储介质，可读存储介质烧录有计算机程序。计算机程序在入侵检测设备100的内存120中运行时实现上述的入侵检测方法。

在本实施例中，请结合参阅图2示出的入侵检测系统400，入侵检测设备100部署在业务服务器200的前端，用于对接多个业务终端300。当业务终端300向业务服务器200上传数据时，入侵检测设备100首先对这些数据进行入侵分析，在确定出这些数据不存在入侵行为时进行放行。这样，无需业务服务器200直接对这些数据进行入侵检测分析，极大地减小了业务服务器200直接处理待分析数据的几率，从而减少了业务服务器200被第三方入侵的几率。

在上述基础上，请结合参阅图3，为本发明实施例公开的一种结合数据流量检测及时序特征提取的入侵检测方法的流程图，该方法可以应用于图1和/或图2中的入侵检测设备100，具体可以通过以下步骤所描述的方法实现。

S1，在当前时段内检测到存在业务终端向业务服务器上传的数据流信息时，拦截所述数据流信息；其中，每个业务终端在当前时段内的任意时段向所述业务服务器上传数据流信息。

在S1中，入侵检测设备100作为保护业务服务器200避免被第三方恶意数据流入侵的节点，需要对上传至业务服务器200的每组数据流信息进行拦截并进行入侵分析。

在本实施例中，入侵检测设备100的内存资源可以划分为三部分。第一部分内存资源用于接收和发送数据流信息；第二部分内存资源用于开启并行的多个检测线程，检测线程用于对数据流信息进行入侵检测的分析；第三部分内存资源用于控制对没有通过入侵检测的数据流信息进行拦截的拦截机制。

通过对入侵检测设备100进行如上内存资源的分配，能够极大地提高内存资源分配效率，使得入侵检测设备100在当前时段内能够通过多个检测线程对多组数据流信息进行并行的入侵检测。这样，能够避免数据流信息在入侵检测设备100中停留的时间过长而影响到业务终端300与业务服务器200的数据交互的时效性。

S2，提取每组数据流信息在当前时段内的第一时序特征并从所述业务服务器中获取每组数据流信息对应的业务终端在上一时段内的历史数据流信息的第二时序特征；获取在当前时段内每组数据流信息的数据流量值。

在S2中，业务服务器200在接收到完成入侵检测的每组数据流信息之后，会对数据流信息进行时序特征提取，然后将数据流信息对应的时序特征和业务终端的标识信息进行关联存储，便于入侵检测设备100后续信息进行调取。

S3，根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为。

在本实施例中，首先对每组数据流信息的时序特征进行相关性比较得到比较结果，然后根据不同的比较结果对每组数据流信息对应的数据流量值在当前时段内的所有数据流量值中的分布进行解析，从而通过确定每组数据流信息的数据流量值是否偏离正常的流量变化轨迹来实现对数据流信息的入侵行为的检测。

这样，能够基于数据流信息的时序特征和数据流量值对每组数据流信息进行入侵行为检测，从而确保上传至业务服务器的数据流信息的安全性。

在应用上述S1-S3所描述的方法时，在业务服务器的前端部署入侵检测设备能够在当前时段内检测到存在业务终端向业务服务器上传的数据流信息时对数据流信息进行拦截，然后确定每组数据流信息的第一时序特征、第二时序特征和数据流量值。进而根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为。这样，能够基于数据流信息的时序特征和数据流量值对每组数据流信息进行入侵行为检测，从而确保上传至业务服务器的数据流信息的安全性。

进一步地，在S1-S3的基础上，所述方法还可以包括以下步骤S4所描述的内容。

S4，在判断出所述数据流信息存在入侵行为时，采用预设的拦截机制对所述数据流信息进行拦截。

在本实施例中，预设的拦截机制可以是信息销毁机制，拦截机制可以通过预先编写程序代码的方法得到。拦截机制的功能可以是：对存在入侵行为数据流信息进行销毁。这样，能够避免存在入侵行为得数据流信息流向服业务服务器200而造成数据安全隐患。

此外，在S1-S3的基础上，所述方法还可以包括以下步骤S5所描述的内容。

S5，在判断出所述数据流信息不存在入侵行为时，将所述数据流信息传输至所述业务服务器并使所述业务服务器对所述数据流信息进行特征提取和关联存储。

可以理解，在S5中，业务服务器200在接收到完成入侵检测的每组数据流信息之后，会对数据流信息进行时序特征提取，然后将数据流信息对应的时序特征和业务终端的标识信息进行关联存储，这样能够确保入侵检测设备100在后续进入侵检测时从业务服务器200中获取的时序特征的实时性。

进一步地，在上述S1-S5的基础上，在对当前时段内的业务终端向业务服务器上传的数据流信息进行检测之前，所述方法还可以包括以下步骤所描述的内容。

S61，向每个业务终端发送校验字符。

S62，获取每个业务终端基于所述校验字符返回的验证结果；其中，所述业务终端采用CRC校验算法对对所述校验字符进行教研得到所述验证结果。

S63，将验证结果与预设结果相一致的业务终端确定为存在有效通信的目标业务终端。

S64，根据所述目标业务终端的数量确定当前时段的时长值。

业务终端300采用循环冗余校验算法（CyclicRedundancyCheck，CRC）进行校验，能够将业务终端300发送数据流信息的时间连续性考虑在内，进而准确确定业务终端300与入侵检测设备100之间是否为有效通信。

进一步地，通过目标业务终端的数量来确定当前时段的时长值，能够将入侵检测设备100的处理负荷考虑在内，不仅能够避免当前时段过短而浪费入侵检测设备100的多个检测线程，还能够避免当前时段过长而导致入侵检测设备100无法及时地对当前时段内的所有数据流信息进行入侵检测的现象。这样，通过设置当前时段的时长值，能够确保入侵检测设备100的入侵检测效率最大化。

在一个具体的示例中，在S2中，提取每组数据流信息在当前时段内的第一时序特征的步骤，具体可以包括以下步骤所描述的内容。

S211，获取每组数据流信息在当前时段内的每个数据报文帧的报文头信息，基于所述报文头信息建立报文统计列表；其中，所述报文统计列表为分段列表，每段列表对应一个报文头类别，每个报文头类别下分配有至少一个数据报文帧的报文头信息，该报文统计列表的各段具有由小到大的报文优先级排序。

S212，读取每组数据流信息在当前时段内的每个数据报文帧的第一时间参数，从所述报文统计列表中确定出每个第一时间参数对应的报文头信息对应的报文头类别以及报文优先级；其中，所述第一时间参数用于表征所述入侵检测设备接收到每个数据报文帧的时刻；

S213，根据所述第一时间参数对应的报文头类别以及报文优先级建立所述第一时间参数与所述报文统计列表之间的转换关系，根据该转换关系生成特征提取逻辑。

S214，将所述每个第一时间参数对应的数据报文帧的报文头信息与所述报文统计列表中的除该第一时间参数对应的数据报文帧的报文头信息之外的其他数据报文帧的报文头信息进行逐一对比，得到用于表征报文头信息的连续性的目标系数；按照目标系数的大小顺序采用所述特征提取逻辑从每组数据流信息的数据报文帧中提取第一数据特征，并将所述第一数据特征与所述数据报文帧对应的第一时间参数进行整合得到每组数据流信息对应的第一时序特征。

在应用上述S211-S214所描述的内容时，能够对每组数据流信息在当前时段内的每个数据报文帧的报文头信息进行分析，并建立报文统计列表，然后结合报文统计列表对每个数据报文帧的第一时间参数进行分析，以确定出第一时间参数与报文统计列表之间的转换关系进而确定特征提取逻辑。最后，采用特征提取逻辑进行数据报文帧的第一数据特征提取并结合数据报文帧的第一时间参数确定每组数据流信息对应的时序特征。这样，能够将每组数据流信息的第一数据特征和第一时间参数进行整合，从而将每组数据流信息的时效性和实时性考虑在内，以便准确确定每组数据流信息在当前时段的第一时序特征。

在一个可替换的实施方式中，在S2中，从所述业务服务器中获取每组数据流信息对应的业务终端在上一时段内的历史数据流信息的第二时序特征的步骤，具体可以包括以下子步骤所描述的内容。

S221，按照所述第一时序特征对应的第一数据特征和第一时间参数的特征整合方式，向所述业务服务器发送用于获取第二时序特征的请求指令；其中，所述请求指令中携带当前时段的时刻信息。

S222，使所述业务服务器解析所述请求指令得到所述时刻信息以及所述特征整合方式。

S223，使所述业务服务器提取所述时刻信息对应的上一时段内的历史数据流信息的第二数据特征并确定所述历史数据流信息的第二时间参数。

S224，使所述业务服务器按照所述特征整合方式将所述第二数据特征和所述第二时间参数进行整合得到所述第二时序特征。

S225，获取所述业务服务器基于所述请求指令反馈的第二时序特征。

在应用上述S221-S224所描述的内容时，能够使业务服务器基于请求指令确定出与第一时序特征的特征整合方式相一致的第二时序特征，从而将业务服务器在存储历史数据流信息时的异构性考虑在内。如此，能够确保第一时序特征和第二时序特征后续的相关性比较的置信度。

进一步地，在S2中，获取在当前时段内每组数据流信息的数据流量值的步骤，具体包括：获取每组数据流信息在当前时段内的每个数据报文帧的报文数据信息，确定所述报文数据信息对应的数据编码串，统计所述数据编码串的字符位数，根据所述字符位数确定每组数据流信息的数据流量值序列。

在具体实施时，通过每组数据流信息的每个数据报文帧的报文数据信息的数据编码串的字符位数进行确定，结合每组数据流信息的数据报文帧的连续性，能够准确确定出每组数据流信息的数据流量值序列，能够为后续的入侵检测提供数据流量的变化依据。

在上述基础上，S3中所描述的，根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为的步骤，具体可以通过以下子步骤所描述的方法实现。

S31，构建所述第一时序特征对应的第一特征列表以及所述第二时序特征对应的第二特征列表；其中，所述第一特征列表和所述第二特征列表分别包括多个不同特征值的列表单元。

S32，提取所述第一时序特征在所述第一特征列表的任一列表单元的第一列表位置，将所述第二特征列表中具有最小特征值的列表单元确定为目标列表单元。

S33，根据所述第一时序特征对应的当前时段的时长值以及所述第二时序特征对应的上一时段的时长值将所述第一列表位置映射到所述目标列表单元，在所述目标列表单元中得到第二列表位置；根据所述第一列表位置和所述第二列表位置确定所述第一时序特征和所述第二时序特征之间的相关性比较路径；其中，所述相关性比较路径用于指示将所述第一特征列表中的列表单元与所述第二特征列表中的列表单元进行一一比对。

S34，基于所述相关性比较路径将所述第一特征列表中的列表单元与所述第二特征列表中的列表单元进行一一比对得到多个比对结果；从所述多个比对结果中确定出比对结果为一致的目标比对结果的占比；在所述占比达到设定比例时，根据所述数据流信息对应的数据流量值序列确定所述数据流信息对应的流量变化轨迹；根据所述流量变化轨迹判断每组数据流信息是否存在入侵行为。

在本实施例中，通过确定第一时序特征的第一特征列表与第二时序特征的第二特征列表之间的相关性比较路径，能够基于该相关性比较路径确定第一时序特征与第二时序特征之间的多个比对结果，并在目标比对结果的占比达到设定比例时给予每组数据流信息对应的流量变化轨迹来检测每组数据流信息的入侵行为。这样，能够基于数据流信息的时序特征和数据流量值对每组数据流信息进行入侵行为检测，从而确保上传至业务服务器的数据流信息的安全性。

在一种可替换的实施方式中，在S34中，根据所述流量变化轨迹判断每组数据流信息是否存在入侵行为，进一步包括以下步骤所描述的内容。

S341，按照当前时段内的目标业务终端的数量为所述流量变化轨迹设置多个轨迹节点并根据所述目标比对结果的数量确定所述流量变化轨迹的曲线斜率信息。

在本实施例中，曲线斜率信息用于表征流量变化轨迹的相邻两个轨迹节点之间的变化程度。曲线斜率信息可以通过数值进行表示，数值越大，表征相邻两个轨迹节点之间的变化程度越大。

S342，根据所述曲线斜率信息确定所述流量变化轨迹对应的离散节点类别和连续节点类别。

S343，根据所述流量变化轨迹在所述离散节点类别下的轨迹节点以及所述轨迹节点所对应的数据流量值确定所述流量变化轨迹在所述连续节点类别下的各轨迹节点与所述流量变化轨迹在所述离散节点类别下的各轨迹节点之间的第一距离。

S344，将所述流量变化轨迹在所述连续节点类别下的与在所述离散节点类别下的轨迹节点之间的第一距离最小的轨迹节点调整到所述离散节点类别下。

S345，在所述流量变化轨迹对应的连续节点类别下包含有多个轨迹节点的情况下，根据所述流量变化轨迹在所述离散节点类别下的轨迹节点以及所述轨迹节点所对应的数据流量值确定所述流量变化轨迹在所述连续节点类别下的各轨迹节点之间的第二距离，并根据各个轨迹节点之间的第二距离对所述连续节点类别下的各轨迹节点进行整合形成节点集。

S346，根据所述流量变化轨迹在所述离散节点类别下的轨迹节点以及所述轨迹节点所对应的数据流量值确定所述节点集的节点转移权重，并根据所述节点转移权重将所述节点集中的部分轨迹节点调整到所述离散节点类别下。

S347，判断所述离散节点类别下的轨迹节点的数量是否超过预设变化轨迹对应的目标轨迹节点的数量；若是，则确定所述流量变化轨迹为异常并确定所述数据流信息存在入侵行为，否则，确定所述流量变化轨迹为正常并确定所述数据流信息不存在入侵行为；其中，所述目标轨迹节点为所述预设变化轨迹中的离散的轨迹节点。

可以理解，基于上述S341-S347所描述的内容，能够对流量变化轨迹的轨迹节点进行分析，进而对流量变化轨迹对应的离散节点类别下的以及连续节点类别下的轨迹节点进行调整，进而通过位于离散节点类别下的轨迹节点的数量确定每组数据流信息是否存在入侵行为，这样，能够从数据流量值的层面实现对数据流信息的入侵行为检测，进而提高入侵行为检测的前瞻性。

在另一种可替换的实施方式中，S4中所描述的采用预设的拦截机制对所述数据流信息进行拦截，具体可以包括以下步骤所描述的内容。

S41，将所述数据流信息转入所述拦截机制。

S42，在通过所述拦截机制提取所述数据流信息对应的终端标识之后，将通过所述拦截机制将所述数据流信息进行销毁。

S43，根据所述终端标识为所述拦截机制设置有效检测时长，以使所述拦截机制在所述有效检测时长内检测到存在所述终端标识的数据流信息后将存在所述终端标识的数据流信息进行销毁。

可以理解，通过为拦截机制设置有效检测时长，能够通过拦截机制为入侵检测设备分担入侵检测的工作量，这样，在有效检测时长内接收到大量携带终端标识的数据流信息时，拦截机制能够直接将这些数据流信息进行删除，避免入侵检测设备再逐一对这些数据流信息进行检测。

在另一个可以替换的实施方式中，在S43的基础上，所述方法还可以包括以下内容。

S44，以设置有效检测时长的时刻为起始时刻开始计时，当计时时长达到所述有效检测市场时，将所述拦截机制进行初始化。

可以理解，初始化之后的拦截机制不会在检测到存在所述终端标识的数据流信息后将存在所述终端标识的数据流信息进行销毁。这样，能够避免对正常数据流信息的误销毁。

以上实施方式中的各种技术特征可以任意进行组合，只要特征之间的组合不存在冲突或矛盾，但是限于篇幅，未进行一一描述，因此上述实施方式中的各种技术特征的任意进行组合也属于本说明书公开的范围。

与本申请结合数据流量检测及时序特征提取的入侵检测方法的实施例相对应，请结合参阅图4，本申请还提供了结合数据流量检测及时序特征提取的入侵检测装置150的实施例。

A1.一种结合数据流量检测及时序特征提取的入侵检测装置，应用于部署于业务服务器前端且与多个业务终端通信的入侵检测设备，所述装置包括：

信息拦截模块151，用于在当前时段内检测到存在业务终端向业务服务器上传的数据流信息时，拦截所述数据流信息；其中，每个业务终端在当前时段内的任意时段向所述业务服务器上传数据流信息。

特征获取模块152，用于提取每组数据流信息在当前时段内的第一时序特征并从所述业务服务器中获取每组数据流信息对应的业务终端在上一时段内的历史数据流信息的第二时序特征；获取在当前时段内每组数据流信息的数据流量值。

入侵检测模块153，用于根据每组数据流信息的第一时序特征和第二时序特征对每组数据流信息对应的数据流量值进行入侵检测，判断每组数据流信息是否存在入侵行为。

A2.根据A1所述的入侵检测装置，所述入侵检测模块153，还用于：

在判断出所述数据流信息存在入侵行为时，采用预设的拦截机制对所述数据流信息进行拦截。

A3.根据A1所述的入侵检测装置，所述入侵检测模块153，还用于：

在判断出所述数据流信息不存在入侵行为时，将所述数据流信息传输至所述业务服务器并使所述业务服务器对所述数据流信息进行特征提取和关联存储。

A4.根据A2或A3所述的入侵检测装置，所述装置还包括时段确定模块154，用于：

在对当前时段内的业务终端向业务服务器上传的数据流信息进行检测之前，向每个业务终端发送校验字符；

获取每个业务终端基于所述校验字符返回的验证结果；其中，所述业务终端采用CRC校验算法对对所述校验字符进行教研得到所述验证结果；

将验证结果与预设结果相一致的业务终端确定为存在有效通信的目标业务终端；

根据所述目标业务终端的数量确定当前时段的时长值。

A5.根据A4所述的入侵检测装置，所述特征获取模块152，用于：

A6.根据A5所述的入侵检测装置，所述特征获取模块152，用于：

使所述业务服务器解析所述请求指令得到所述时刻信息以及所述特征整合方式；

使所述业务服务器提取所述时刻信息对应的上一时段内的历史数据流信息的第二数据特征并确定所述历史数据流信息的第二时间参数；

使所述业务服务器按照所述特征整合方式将所述第二数据特征和所述第二时间参数进行整合得到所述第二时序特征；

获取所述业务服务器基于所述请求指令反馈的第二时序特征。

A7.根据A5所述的入侵检测装置，所述特征获取模块152，用于：

获取每组数据流信息在当前时段内的每个数据报文帧的报文数据信息；

确定所述报文数据信息对应的数据编码串；

统计所述数据编码串的字符位数；

根据所述字符位数确定每组数据流信息的数据流量值序列。

A8.根据A7所述的入侵检测装置，所述入侵检测模块153，具体用于：

提取所述第一时序特征在所述第一特征列表的任一列表单元的第一列表位置，将所述第二特征列表中具有最小特征值的列表单元确定为目标列表单元；

A9.根据A8所述的入侵检测装置，所述入侵检测模块153，进一步用于：

按照当前时段内的目标业务终端的数量为所述流量变化轨迹设置多个轨迹节点并根据所述目标比对结果的数量确定所述流量变化轨迹的曲线斜率信息；

根据所述曲线斜率信息确定所述流量变化轨迹对应的离散节点类别和连续节点类别；

根据所述流量变化轨迹在所述离散节点类别下的轨迹节点以及所述轨迹节点所对应的数据流量值确定所述流量变化轨迹在所述连续节点类别下的各轨迹节点与所述流量变化轨迹在所述离散节点类别下的各轨迹节点之间的第一距离；

将所述流量变化轨迹在所述连续节点类别下的与在所述离散节点类别下的轨迹节点之间的第一距离最小的轨迹节点调整到所述离散节点类别下；

在所述流量变化轨迹对应的连续节点类别下包含有多个轨迹节点的情况下，根据所述流量变化轨迹在所述离散节点类别下的轨迹节点以及所述轨迹节点所对应的数据流量值确定所述流量变化轨迹在所述连续节点类别下的各轨迹节点之间的第二距离，并根据各个轨迹节点之间的第二距离对所述连续节点类别下的各轨迹节点进行整合形成节点集；

根据所述流量变化轨迹在所述离散节点类别下的轨迹节点以及所述轨迹节点所对应的数据流量值确定所述节点集的节点转移权重，并根据所述节点转移权重将所述节点集中的部分轨迹节点调整到所述离散节点类别下；

判断所述离散节点类别下的轨迹节点的数量是否超过预设变化轨迹对应的目标轨迹节点的数量；若是，则确定所述流量变化轨迹为异常并确定所述数据流信息存在入侵行为，否则，确定所述流量变化轨迹为正常并确定所述数据流信息不存在入侵行为；其中，所述目标轨迹节点为所述预设变化轨迹中的离散的轨迹节点。

A9.根据A2所述的入侵检测装置，所述入侵检测模块153，进一步用于：

将所述数据流信息转入所述拦截机制；

在通过所述拦截机制提取所述数据流信息对应的终端标识之后，将通过所述拦截机制将所述数据流信息进行销毁；

根据所述终端标识为所述拦截机制设置有效检测时长，以使所述拦截机制在所述有效检测时长内检测到存在所述终端标识的数据流信息后将存在所述终端标识的数据流信息进行销毁。

A10.根据A9所述的入侵检测装置，所述入侵检测模块153，还用于：

以设置有效检测时长的时刻为起始时刻开始计时，当计时时长达到所述有效检测市场时，将所述拦截机制进行初始化。

上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：吴媛媛;
专利申请人：吴媛媛;

上一篇：一种纵向夹持式蜂蜜打浆装置及其加工方法
下一篇：一种新型裤子版型设计制图方法