(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211064568.0 (22)申请日 2022.08.31 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 李二超　杨彬　黄文蕾　强星宇　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 马冬生　任默闻 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络入侵 检测方法及装置 (57)摘要 本申请提供了一种网络入侵检测方法及装 置。 所述方法包括： 在预定时间内开启自学习过 程， 并基于接收到的用于自学习的一个或多个第 一数据包生成用于支持可信通信行为的白名单 集合； 在检测过程中对接收到的第二数据包进行 解析， 并将解析后获得的信息与预定义的黑名单 攻击特征库进行匹配以进行黑名单检测； 以及将 解析后获得的信息与预先加载的所述白名单集 合进行匹配以进行白名单检测。 由此， 通过黑名 单和白名单结合的检测， 既可以发挥 通过黑名单 检测常见漏洞的优势， 又可以通过白名单解决黑 名单检测的一些弊端； 此外， 通过自学习生成白 名单集合， 可以较全面的覆 盖正常通信行为的场 景， 有效解决人工定义通信行为基线不完整的问 题。 权利要求书2页 说明书10页 附图5页 CN 115442128 A 2022.12.06 CN 115442128 A 1.一种网络入侵检测方法， 其特 征在于， 所述方法包括： 在预定时间内开启自学习过程， 并基于所述预定时间内接收到的用于自学习的一个或 多个第一数据包生成用于支持可信通信行为的白名单集 合； 在检测过程中对接收到的第 二数据包进行解析， 并将解析后获得的信 息与预定义的黑 名单攻击特 征库进行匹配以进行黑名单检测； 以及 将解析后获得的信息与预 先加载的所述白名单集 合进行匹配以进行白名单检测。 2.如权利要求1所述的方法， 其特征在于， 所述生成用于支持可信通信行为的白名单集 合， 包括： 对所述第一数据包进行网络层解析， 识别出 所述第一数据包的源地址和目的地址； 对所述第一数据包进行传输层解析， 识别出 所述第一数据包的源端口和目的端口； 对所述第一数据包进行应用层解析， 识别出所述第 一数据包的应用层协议以及协议方 法； 根据所述源地址、 所述目的地址、 所述源端口、 所述目的端口、 所述应用层协议、 所述协 议方法生成所述第一数据包的可信行为值， 并将所述第一数据包的可信行为值加入所述白 名单集合中。 3.如权利要求2所述的方法， 其特征在于， 根据所述源地址、 所述目的地址、 所述源端 口、 所述目的端口、 所述应用层协议、 所述协议方法生成所述第一数据包的可信行为值， 包 括： 使用哈希函数对所述源地址、 所述目的地址、 所述源端口、 所述目的端口、 所述应用层 协议、 所述协议方法按位进行异或操作， 以生成所述第一数据包的可信行为 值。 4.如权利要求1所述的方法， 其特征在于， 所述在检测过程中对接收到的第 二数据包进 行解析， 并将解析后获得的信息与预定义的黑名单攻击特征库进行匹配 以进行黑名单检 测， 包括： 对所述第二数据包进行网络层解析， 识别出所述第 二数据包的包括源地址和目的地址 的网络层字段， 并将所述网络层字段与黑名单网络层攻击特 征库进行匹配； 对所述第二数据包进行传输层解析， 识别出所述第 二数据包的包括源端口和目的端口 的传输层字段， 并将所述传输层字段与黑名单传输层攻击特 征库进行匹配； 对所述第二数据包进行应用层解析， 识别出所述第 二数据包的包括应用层协议以及协 议方法的应用层字段， 并将所述应用层字段与黑名单应用层攻击特 征库进行匹配。 5.如权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 在所述网络层字段与黑名单网络层攻击特征库匹配的情况下， 或者在所述传输层字段 与黑名单传输层攻击特征库匹配的情况下， 或者所述应用层字段与黑名单应用层攻击特征 库匹配的情况 下， 生成事 件告警通知。 6.如权利要求4所述的方法， 其特征在于， 将解析后获得的信 息与预先加载的所述白名 单集合进行匹配以进行白名单检测， 包括： 将所述第二数据包的所述源地址、 所述目的地址、 所述源端口、 所述目的端口、 所述应 用层协议、 所述协议方法与所述白名单集 合进行匹配； 如果匹配成功则确定所述第 二数据包属于正常通信行为， 如果匹配不成功则确定所述 第二数据属于异常入侵行为并生成事 件告警通知。权　利　要　求　书 1/2 页 2 CN 115442128 A 27.如权利要求6所述的方法， 其特征在于， 将所述第二数据包的所述源地址、 所述目的 地址、 所述源端口、 所述目的端口、 所述应用层协议、 所述协议方法与所述白名单集合进行 匹配， 包括： 使用哈希函数对所述源地址、 所述目的地址、 所述源端口、 所述目的端口、 所述应用层 协议、 所述协议方法按位进行异或操作， 以生成所述第二数据包的可信行为 值； 以及 将所述第二数据包的可信行为 值与所述白名单集 合中的元 素进行匹配。 8.一种网络入侵检测装置， 其特 征在于， 所述装置包括： 自学习单元， 其在预定时间内开启自学习过程， 并基于所述预定时间内接收到的用于 自学习的一个或多个第一数据包生成用于支持可信通信行为的白名单集 合； 黑名单检测单元， 其在检测过程中对接收到的第二数据包进行解析， 并将解析后获得 的信息与预定义的黑名单攻击特 征库进行匹配以进行黑名单检测； 以及 白名单检测单元， 其将解析后获得的信 息与预先加载的所述白名单集合进行匹配以进 行白名单检测。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7任一项所述 的网络入侵检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1至7任一项所述的网络入侵检测方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 115442128 A 3