(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211081145.X (22)申请日 2022.09.06 (65)同一申请的已公布的文献号 申请公布号 CN 115150206 A (43)申请公布日 2022.10.04 (73)专利权人 广东广泰信息科技有限公司 地址 510725 广东省广州市黄埔区广新路 680号616室 (72)发明人 陈鹏　 (74)专利代理 机构 广东南北知识产权代理事务 所(普通合伙) 44918 专利代理师 李思坪 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01)(56)对比文件 CN 109981533 A,2019.07.0 5 CN 106156055 A,2016.1 1.23 CN 109413 044 A,2019.0 3.01 US 201624878 8 A1,2016.08.25 审查员 陈秀英 (54)发明名称 一种信息安全用的入侵检测安全预警系统 及其方法 (57)摘要 本发明涉及数字信息的传输领域， 具体涉及 一种信息安全用的入侵检测安全预警系统及其 方法， 包括： 采集购物网站一日内的访问数据信 息； 利用各IP地址在一日内的访问数据频率的方 差、 访问数据浏览时长的熵值， 得到各IP地址的 访问异常程度值， 进而获取疑似异常的IP地址； 对疑似异常的IP地址的访问异常程度值进行聚 类； 利用每个聚类簇中各IP地址的访问数据的数 量、 各IP地址的访问数据的访问时间， 获取每个 聚类簇中具有访问同步性的IP地址； 对每个聚类 簇中具有访问同步性的IP地址进行预 警并拉黑。 上述系统和方法可对购物网站的异常入侵进行 检测并预警， 可提高检测准确度。 权利要求书3页 说明书8页 附图1页 CN 115150206 B 2022.11.04 CN 115150206 B 1.一种信息安全用的入侵检测安全预警系统， 其特征在于， 包括采集模块、 计算模块、 预警模块： 采集模块： 用于采集购物网站一日内的所有访 问数据信息， 所述访 问数据信息包括访 问数据及 访问数据的访问时间、 浏览时长、 IP地址； 计算模块： 用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间 隔、 每个IP地址在一日内的所有访问数据的数量， 计算得到每个IP地址在一日内的访问数 据频率的方差； 利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、 每个IP地址在一日内 的所有访问数据的数量， 计算得到每 个IP地址在一日内的访问数据浏览时长的熵值； 利用每个IP地址在一日内的访问数据 频率的方差、 每个IP地址在一日内的访问数据浏 览时长的熵值， 计算得到每 个IP地址在一日内的访问异常程度值； 根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址； 对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类， 得到所有聚类簇； 利用每个聚类簇中各IP地址的访问数据的数量、 各IP地址的访问数据的访问时间， 获 取每个聚类簇中具有访问同步 性的IP地址； 预警模块： 用于对每 个聚类簇中具有访问同步 性的IP地址进行 预警并拉黑。 2.根据权利要求1所述的一种信 息安全用的入侵检测安全预警系统， 其特征在于， 所述 计算模块中每 个IP地址在一日内的访问数据频率的方差是按照如下 方式得到： 统计每个IP地址在一日内的所有访问数据； 将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序， 得到 每个IP地址的访问数据 序列； 利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、 每个IP地址在一日内的 所有访问数据的数量， 计算得到每 个IP地址在一日内的访问数据频率的方差 。 3.根据权利要求1所述的一种信 息安全用的入侵检测安全预警系统， 其特征在于， 所述 计算模块中每 个IP地址在一日内的访问数据浏览时长的熵值是按照如下 方式得到： 统计每个IP地址在一日内的各访问数据的浏览时长； 计算每个IP地址在一日内的各访问数据的浏览时长出现的概 率； 利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、 每个IP地址在一日内 的所有访问数据的数量， 计算得到每 个IP地址在一日内的访问数据浏览时长的熵值。 4.根据权利要求1所述的一种信 息安全用的入侵检测安全预警系统， 其特征在于， 所述 计算模块中每 个IP地址在一日内的访问异常程度值的表达式如下： 式中， 表示第 个IP地址在一日内的访 问异常程度值， 表示第 个IP地址在 一日内的访问数据频率的方差， 表示第 个IP地址在一日内的访问数据浏览时长的熵 值， 表示自然常数。权　利　要　求　书 1/3 页 2 CN 115150206 B 25.根据权利要求1所述的一种信 息安全用的入侵检测安全预警系统， 其特征在于， 所述 计算模块中疑似异常的IP地址是按照如下 方式获取： 设置异常程度值阈值， 对每个IP地址在一日内的访问异常程度值进行判断： 当IP地址 在一日内的访问异常程度值大于异常程度值阈值时， 则该IP地址为疑似异常的IP地址； 当 IP地址在一日内的访问异常程度值小于等于异常程度值阈值时， 则该IP地址为正常的IP地 址。 6.根据权利要求1所述的一种信 息安全用的入侵检测安全预警系统， 其特征在于， 所述 计算模块中每 个聚类簇中具有访问同步 性的IP地址是按照如下 方式获取： 对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类， 得到所有聚类簇； 对每个聚类簇进行如下操作： 选取聚类簇中的任意两个疑似异常的IP地址作为第一 IP地址和第二 IP地址； 将第一IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序， 得到 第一IP地址的访问数据 序列； 按照得到第一 IP地址的访问数据 序列的方法得到第二 IP地址的访问数据 序列； 对第一IP地址的访问数据序列和第二IP地址的访问数据序列进行判断： 当第一IP地址 的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量不相 同时， 则说明第一IP地址和第二IP地址的访问行为不具有同步性； 当第一IP地址的访问数 据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量相同时， 则进 行 如下操作： 将第一IP地址的访问数据序列中第一个访问数据的访 问时间和第二IP地址的访问数 据序列中第一个访问数据的访问时间进 行作差， 得到第一IP地址的访问数据序列中第一个 访问数据和第二 IP地址的访问数据 序列中第一个访问数据的访问时间差值； 按照得到第一IP地址的访 问数据序列中第一个访 问数据和第二IP地址的访 问数据序 列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问 数据与其在第二 IP地址的访问数据 序列中对应的访问数据的访问时间差值； 设置访问时间差值阈值， 对第一IP地址的访问数据序列中每个访问数据与其在第二IP 地址的访问数据序列中对应的访问数据的访问时间差值进行判断： 当第一IP地址的访问数 据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间 差值的绝对值均小于访问时间差值阈值时， 则说明第一IP地址和第二IP地址的访问行为具 有同步性， 反之则说明第一 IP地址和第二 IP地址的访问行为 不具有同步 性； 按照对第一IP地址和第二IP地址的访问行为是否具有同步性进行判断的方法对第一 IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进 行判断， 获取聚类簇中与第一 IP地址的访问行为具有同步 性的所有IP地址； 按照获取聚类簇中与第一IP地址的访 问行为具有 同步性的所有IP地址的方法获取聚 类簇中与其 他每个IP地址的访问行为具有同步 性的所有IP地址 。 7.一种信息安全用的入侵检测安全预警方法， 其特 征在于， 包括： 采集购物网站一日内的所有访 问数据信息， 所述访 问数据信息包括访 问数据、 访 问数 据的访问时间、 浏览时长、 IP地址； 利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、 每个IP地址在权　利　要　求　书 2/3 页 3 CN 115150206 B 3