(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111418475.9 (22)申请日 2021.11.25 (71)申请人 网络通信与安全紫金山实验室 地址 211100 江苏省南京市江宁区秣周东 路9号 (72)发明人 陈苗苗　祁学豪　陈刚　 (74)专利代理 机构 南京睿之博知识产权代理有 限公司 32 296 代理人 杨雷 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种网络入侵检测方法、 装置、 设备和存储 介质 (57)摘要 本发明公开了一种网络入侵检测方法、 装 置、 设备和存储介质， 将网络数据的特征输入至 第一误用检测模型， 得到正常数据或攻击数据； 将攻击数据的特征输入至第一异常检测模型， 得 到聚类类别， 计算与其所属的聚类类别的类中心 之间的第一类距离； 响应于第一类距离不大于预 先确定的该聚类类别的第一类距离阈值， 将所述 攻击数据作为确定性攻击数据， 输入至第二误用 检测模型， 得到具体攻击类型； 响应于第一类距 离大于预先确定的该聚类类别的第一类距离阈 值， 将攻击数据作为待确定攻击数据， 保存到待 确定攻击 数据集中， 判断待确定攻击数据类型是 否已出现过。 本发明准确检测网络数据具体类 型， 还能检测新攻击是否已出现过， 极大提高了 网络安全性和及时性。 权利要求书3页 说明书9页 附图2页 CN 114070641 A 2022.02.18 CN 114070641 A 1.一种网络入侵检测方法， 其特 征在于， 包括 步骤： 获取网络数据并提取特征， 将网络数据的特征输入至预先构建的第一误用检测模型 中， 得到网络数据是正常数据或攻击数据； 若是正常数据， 则结束本方法； 否则， 将所述攻击数据的特征输入至预先构建的第一异常检测模型， 得到该攻击数据 所属的聚类 类别， 计算该攻击数据与其所属的聚类 类别的类中心之间的第一类距离； 响应于所述第 一类距离不大于预先确定的该聚类类别的第 一类距离 阈值， 将所述攻击 数据作为确定性攻击数据， 将确定性攻击数据的特征输入至预先构建的第二误用检测模 型， 得到具体攻击类型； 响应于所述第 一类距离大于预先确定的该聚类类别的第 一类距离阈值， 将所述攻击数 据作为待确定攻击数据， 将待确定攻击数据的特征保存到待确定攻击数据集中， 根据所述 待确定攻击数据集判断待确定攻击数据类型 是否为已出现过的攻击类型。 2.根据权利要求1所述的一种网络入侵检测方法， 其特征在于， 根据所述待确定攻击数 据集判断待确定攻击数据类型 是否为已出现过的攻击类型， 包括： 将待确定攻击数据集中数据量与预设的数据量阈值比较， 若不大于所述数据量阈值， 则检测结果为： 待确定攻击数据类型未出现过； 其中， 当数据量等于数据量阈值时， 根据待 确定攻击数据集构建第二异常检测模型； 若大于所述数据量阈值， 将待确定攻击数据的特征输入至第二异常检测模型中， 得到 该待确定攻击数据所属的聚类类别， 计算该待确定攻击数据与其所属的聚类类别的类中心 之间的第二类距离； 判断所述第二类距离是否大于预先确定的该聚类类别的第二类距离阈 值， 若不大于， 则检测结果为： 待确定攻击数据类型已出现过； 若大于， 则检测结果为： 待确 定攻击数据类型 未出现过。 3.根据权利要求2所述的一种网络入侵检测方法， 其特征在于， 根据待确定攻击数据集 构建第二异常检测模型， 方法包括： 通过聚类算法对待确定攻击数据集中的数据进行聚类得到聚类类别和聚类中心， 从而 构建第二异常检测模型。 4.根据权利要求3所述的一种网络入侵检测方法， 其特征在于， 所述第 二类距离阈值获 取方法， 包括： 计算待确定攻击数据集中的各待确定攻击数据与其所属聚类中心的距离， 进而得到各 聚类类别中所有 待确定攻击数据与其所属聚类中心的距离均值和方差； 根据各聚类 类别的距离均值和方差计算各个聚类的第二类距离阈值。 5.根据权利要求1所述的一种网络入侵检测方法， 其特征在于， 所述第 一误用检测模型 的构建方法包括： 将收集的网络数据提取 特征作为样本数据， 并打上样本标签： 正常或攻击； 根据样本数据采用分类算法生成训练后的第一 误用检测模型。 6.根据权利要求1所述的一种网络入侵检测方法， 其特征在于， 所述第 一异常检测模型 的构建方法， 包括： 对收集的网络数据中的攻击样本数据提取 特征； 通过聚类算法构建第一异常检测模型； 对攻击样本数据进行聚类得到聚类 类别和聚类中心。权　利　要　求　书 1/3 页 2 CN 114070641 A 27.根据权利要求6所述的一种网络入侵检测方法， 其特征在于， 所述第 一类距离阈值获 取方法， 包括： 计算各攻击样本数据与其所属聚类中心的距离， 进而得到各聚类类别中所有攻击样本 数据与其所属聚类中心的距离均值和方差； 根据各聚类 类别的距离均值和方差计算各个 类的第一类距离阈值。 8.根据权利要求7所述的一种网络入侵检测方法， 其特征在于， 所述第 二误用检测模型 的构建方法， 包括： 计算各个攻击样本数据与其对应聚类中心的距离， 将不超过对应的第 一类距离阈值的 攻击样本数据特 征保存至确定性 攻击数据集中， 否则保存至待确定攻击数据集中； 将确定性 攻击数据集中的数据作为样本数据， 并为 其打上攻击类型 标签； 采用分类算法生成训练后的第二 误用检测模型。 9.一种网络入侵检测装置， 其特 征在于， 包括： 第一误用检测模块， 用于获取网络数据并提取特征， 将网络数据的特征输入至预先构 建的第一误用检测模 型中， 得到网络数据是正常数据或攻击数据； 若 是正常数据， 则结束本 方法； 第一异常检测模块， 用于将所述攻击数据的特征输入至预先构建的第一异常检测模 型， 得到该攻击数据所属的聚类类别， 计算该攻击数据与其所属的聚类类别的类中心之间 的第一类距离； 第二误用检测模块， 用于响应于所述第 一类距离不大于预先确定的该聚类类别的第 一 类距离阈值， 将所述攻击数据作为确定性攻击数据， 将确定性攻击数据的特征输入至预先 构建的第二 误用检测模型， 得到具体攻击类型； 第二异常检测模块， 用于响应于所述第 一类距离大于预先确定的该聚类类别的第 一类 距离阈值， 将所述攻击数据作为待确定攻击数据， 将待确定攻击数据的特征保存到待确定 攻击数据集中， 根据所述待确定攻击数据集判断待确定攻击数据类型是否为已出现过的攻 击类型。 10.根据权利要求9所述的一种网络入侵检测装置， 其特征在于， 根据所述待确定攻击 数据集判断待确定攻击数据类型 是否为已出现过的攻击类型， 包括： 将待确定攻击数据集中数据量与预设的数据量阈值比较， 若不大于所述数据量阈值， 则检测结果为： 待确定攻击数据类型未出现过； 其中， 当数据量等于数据量阈值时， 根据待 确定攻击数据集构建第二异常检测模型； 若大于所述数据量阈值， 将待确定攻击数据的特征输入至第二异常检测模型中， 得到 该待确定攻击数据所属的聚类类别， 计算该待确定攻击数据与其所属的聚类类别的类中心 之间的第二类距离； 判断所述第二类距离是否大于预先确定的该聚类类别的第二类距离阈 值， 若不大于， 则检测结果为： 待确定攻击数据类型已出现过； 若大于， 则检测结果为： 待确 定攻击数据类型 未出现过。 11.一种网络入侵检测设备， 其特征在于， 包括存储器、 处理器及存储在存储器上并可 在处理器上运行的计算机程序， 所述处理器执行所述程序时实现如权利要求 1～8中任意一 项所述网络入侵检测方法。 12.一种计算机可读存储介质， 其特征在于， 存储有计算机可执行指令， 所述计算机可权　利　要　求　书 2/3 页 3 CN 114070641 A 3