(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211063627.2 (22)申请日 2022.08.31 (71)申请人 武汉思普崚技术有限公司 地址 430073 湖北省武汉市东湖新 技术开 发区光谷大道308号光谷动力节能环 保科技企业孵化器(加速器)一期11栋 3层01室 (72)发明人 刘杰　 (74)专利代理 机构 北京众达德权知识产权代理 有限公司 1 1570 专利代理师 王春艳 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 网络入侵 检测方法及相关 设备 (57)摘要 本申请实施例提供一种网络入侵检测方法 及相关设备， 主要目的在于解决当前基于明文传 输的入侵检测方式， 对编码混淆类型的欺诈手段 无法准确检测出， 只能针对一些少量一到二次的 URL编码或Base64编码进行解析， 导致一部分特 殊编码或多次编码方式的攻击无法被检测到， 攻 击者可以达到攻击后逃逸检测的问题。 其中， 上 述方法包括： 对目标报文信息进行常规检测； 对 检测后的所述目标报文信息进行URL规范性检 测； 对进行URL规范性检测后的所述目标报文信 息进行解码操作； 对所述进行解码操作后的目标 报文信息与预设规则库进行根据预设规则的匹 配。 权利要求书2页 说明书12页 附图2页 CN 115426181 A 2022.12.02 CN 115426181 A 1.一种网络入侵检测方法， 其特 征在于， 包括： 对目标报文信息进行常规检测； 对所述常规检测后的所述目标报文信息进行URL 规范性检测； 对进行URL 规范性检测后的所述目标报文信息进行解码 操作； 对所述进行解码 操作后的目标报文信息与预设规则库进行根据预设规则的匹配。 2.根据权利要求1所述的方法， 其特征在于， 所述对进行URL规范性检测后的所述目标 报文信息进行解码 操作， 包括： 若所述目标报文信息符合所述URL 规范性检测， 则进行多层编码解码； 若所述目标报文信息不符合所述URL 规范性检测， 则进行 特殊编码解码。 3.根据权利要求2所述的方法， 其特征在于， 所述目标报文信息符合所述URL规范性检 测， 则进行多层编码解码， 包括： 判断是否存在URL编码信息， 若存在所述URL编码信息， 则进行对应标记， 传送至解码区 进行解码 操作， 其中， 所述URL编码信息根据所述目标报文信息是否含有 “％”确定； 判断是否存在Base64编码信息， 若存在所述Base64编码信息， 则 进行对应标记， 传送至 解码区进行解码操作， 其中， 所述Base64编码信息根据所述目标报文信息是否含有字符串 是数字和字母、 “+”、“/”且以“＝”符号为后缀确定； 判断是否存在Unicode编码信息， 若存在 所述Unicode编码信息， 则进行对应标记， 传送 至解码区进行解码操作， 其中， 所述Unicode编码信息根据所述报文是否含有字符串以 “&# 119”与“&#数字”且以“；”为后缀组合确定； 判断是否存在MD5加密编码信息， 若存在所述MD5加密编码信息， 则进行对应标记， 传送 至解码区进 行解码操作， 其中， 所述MD 5加密编码信息根据所述报文 是否含有定长为32位的 16进制字符串确定 。 4.根据权利要求3所述的方法， 其特 征在于， 还 包括： 对所述进行对应标记后的信息进行与其对应的分类解码； 基于所述分类解码进行二次编码信息检测； 根据所述二 次编码信 息检测再次进行对应标记， 直至所述目标报文信 息不与任何所述 标记进行对应。 5.根据权利要求2所述的方法， 其特征在于， 所述目标报文信息不符合所述URL规范性 检测， 则进行 特殊编码解码， 包括： 根据抓取样本数据比对分析； 通过编码解码后比对， 获取 所述目标报文信息编码规 律； 根据所述目标报文信息编码规律进行解密转义获取真实报文信息内容或ASCII码信 息， 再次进行解码。 6.根据权利要求1所述的方法， 其特 征在于， 还 包括： 若根据所述常规检测对所述目标报文信息进行检测后的结果为未经过编码混淆的攻 击报文， 则直接对所述目标报文 进行阻断操作， 生成警告信息； 若根据所述常规检测对所述目标报文信息进行检测后的结果为经过混淆后的编码攻 击报文， 则对所述目标报文 进行多次所述混合 解码和/或所述 转义后再解码 操作； 根据所述操作后获取的报文信 息与所述预设规则特征库进行匹配， 若与所述规则库内权　利　要　求　书 1/2 页 2 CN 115426181 A 2的预设规则特 征匹配， 则进行阻断操作； 若与所述 规则库内的预设规则特 征不匹配， 则进行放行操作。 7.根据权利要求1所述的方法， 其特 征在于， 所述常规检测是基于明文传输的入侵检测， 所述入侵检测基于将所述目标报文信 息内 容参照入侵检测系统的规则库进行字符串匹配实现的， 所述预设规则库是根据所述已有的入侵检测系统获取的， 所述URL规范性检测为基于将所述入侵检测未检测到的目标报文信息进行URL编码规 范和合法性检验。 8.一种网络入侵检测的管理装置， 其特 征在于， 包括： 读取单元， 用于读取 所述目标报文信息； 解析单元， 用于对所述已读取的目标报文信息通过判定编码类型后进行解码； 检测单元， 用于所述目标报文检测URL规范性， 检测经过解析单元解码后的所述目标报 文信息是否与预设规则库内的预设规则匹配从而决定进行阻断或者 放行操作； 匹配单元， 用于对所述进行解码操作后的目标报文信 息与预设规则库进行根据 预设规 则的匹配。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质包括存储的程序， 其中， 在所述程序被处理器执行时实现如权利要求1至权利要求7中任一项所述的网络入侵 检测的方法。 10.一种电子设备， 其特征在于， 所述电子设备包括至少一个处理器、 以及与所述处理 器连接的至少一个存储器； 其中， 所述处理器用于调用所述存储器中的程序指 令， 执行如权 利要求1至 权利要求7中任一项所述的网络入侵检测的方法。权　利　要　求　书 2/2 页 3 CN 115426181 A 3