本申請是關于結合數據流量檢測及時序特征提取的入侵檢測方法及設備時，可以在業務服務器的前端部署入侵檢測設備能夠在當前時段內檢測到存在業務終端向業務服務器上傳的數據流信息時對數據流信息進行攔截，然后確定每組數據流信息的第一時序特征、第二時序特征和數據流量值。進而根據每組數據流信息的第一時序特征和第二時序特征對每組數據流信息對應的數據流量值進行入侵檢測，判斷每組數據流信息是否存在入侵行為。這樣，能夠基于數據流信息的時序特征和數據流量值對每組數據流信息進行入侵行為檢測，從而確保上傳至業務服務器的數據流信息的安全性。

技術領域

本申請涉及數據安全技術領域，尤其涉及結合數據流量檢測及時序特征提取的入侵檢測方法及設備。

背景技術

隨著通信技術的發展，各行各業的運營、發展和管理均可以通過數字化和智能化的電子設備實現。在各類業務網絡化之后，業務服務器的安全穩定運行是確保各類業務能夠正常開展的關鍵。以網絡服務為例，如果業務服務器被第三方惡意入侵，可能會導致業務服務器的長時間延遲，甚至導致業務服務器的崩潰，造成大量的數據丟失和泄露。然而，現有的業務服務器由于要對接多個業務終端，難以對每段數據逐一進行驗證以實現入侵檢測。

發明內容

本申請提供結合數據流量檢測及時序特征提取的入侵檢測方法及設備，以改善現有業務服務器難以對每段數據逐一進行驗證以實現入侵檢測的問題。

第一方面，提供一種結合數據流量檢測及時序特征提取的入侵檢測方法，應用于部署于業務服務器前端且與多個業務終端通信的入侵檢測設備，所述方法包括：在當前時段內檢測到存在業務終端向業務服務器上傳的數據流信息時，攔截所述數據流信息；其中，每個業務終端在當前時段內的任意時段向所述業務服務器上傳數據流信息；提取每組數據流信息在當前時段內的第一時序特征并從所述業務服務器中獲取每組數據流信息對應的業務終端在上一時段內的歷史數據流信息的第二時序特征；獲取在當前時段內每組數據流信息的數據流量值；根據每組數據流信息的第一時序特征和第二時序特征對每組數據流信息對應的數據流量值進行入侵檢測，判斷每組數據流信息是否存在入侵行為。

可選地，所述方法還包括：在判斷出所述數據流信息存在入侵行為時，采用預設的攔截機制對所述數據流信息進行攔截。

可選地，所述方法還包括：在判斷出所述數據流信息不存在入侵行為時，將所述數據流信息傳輸至所述業務服務器并使所述業務服務器對所述數據流信息進行特征提取和關聯存儲。

可選地，在對當前時段內的業務終端向業務服務器上傳的數據流信息進行檢測之前，所述方法包括：向每個業務終端發送校驗字符；獲取每個業務終端基于所述校驗字符返回的驗證結果；其中，所述業務終端采用CRC校驗算法對對所述校驗字符進行教研得到所述驗證結果；將驗證結果與預設結果相一致的業務終端確定為存在有效通信的目標業務終端；根據所述目標業務終端的數量確定當前時段的時長值。

可選地，所述提取每組數據流信息在當前時段內的第一時序特征，包括：

獲取每組數據流信息在當前時段內的每個數據報文幀的報文頭信息，基于所述報文頭信息建立報文統計列表；其中，所述報文統計列表為分段列表，每段列表對應一個報文頭類別，每個報文頭類別下分配有至少一個數據報文幀的報文頭信息，該報文統計列表的各段具有由小到大的報文優先級排序；

讀取每組數據流信息在當前時段內的每個數據報文幀的第一時間參數，從所述報文統計列表中確定出每個第一時間參數對應的報文頭信息對應的報文頭類別以及報文優先級；其中，所述第一時間參數用于表征所述入侵檢測設備接收到每個數據報文幀的時刻；

根據所述第一時間參數對應的報文頭類別以及報文優先級建立所述第一時間參數與所述報文統計列表之間的轉換關系，根據該轉換關系生成特征提取邏輯；