(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111623254.5 (22)申请日 2021.12.28 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 李岳昆　金华敏　汪来富　刘东鑫　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　李建忠 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络入侵 检测方法、 系统、 设备及存 储介质 (57)摘要 本发明提供了网络入侵检测方法、 系统、 设 备及存储介质， 其中， 方法包括： 在检测到网络事 件的情况下， 将网络事件的网络数据包中的文本 字符串所包含字符依次转换成比特矩阵， 将比特 矩阵依序输入自动机， 迭代地在自动机中计算表 征状态的比特向量与比特矩 阵之间的布尔矩 阵 乘法并响应于布尔矩 阵乘法计算结果执行状态 跳转， 其中自动机是根据特征规则正则表达式的 规则字符串进行特征向量编码得到的， 其中特征 规则正则表达式的规则字符串表征自动机的状 态及状态 转移函数， 在自动机输出规则匹配结果 的情况下， 响应于规则匹配结果， 对网络事件执 行相应的网络入侵防护决策。 本发 明能够快速 响 应网络入侵检测， 获得更好的预处理时间、 匹配 速度和内存占用间的权衡， 更适用于动态网络场 景。 权利要求书2页 说明书11页 附图9页 CN 114301671 A 2022.04.08 CN 114301671 A 1.一种网络入侵检测方法， 其特 征在于， 包括： 在检测到网络事件的情况下， 将所述网络事件的网络数据包中的文本字符串所包含字 符依次转换成比特矩阵； 将所述比特矩阵依序输入自动机， 迭代地在所述自动机中计算表征状态的比特向量与 所述比特矩阵之间的布尔矩阵乘法 并响应于所述布尔矩阵乘法计算结果执行状态跳转， 其 中所述自动机是根据特征规则正则表达式的规则字符串进 行特征向量编码得到的， 其中所 述特征规则正则表达式的规则字符串表征 所述自动机的状态及状态转移函数； 在所述自动机输出规则匹配结果的情况下， 响应于所述规则匹配结果， 对所述网络事 件执行相应的网络入侵防护决策。 2.根据权利要求1所述的网络入侵检测方法， 其特征在于， 将所述网络事件的网络数据 包中的文本 字符串所包 含字符依次转换成比特矩阵， 包括： 从所述网络数据包中提取目标文本片段， 将所述目标文本片段的文本字符串所包含字 符依次转换成比特矩阵； 将所述比特矩阵依序输入自动机， 包括： 将所述目标文本片段转换 得到的比特矩阵均依次输入所述自动机 。 3.根据权利要求2所述的网络入侵检测方法， 其特征在于， 在从所述网络数据包中提取 目标文本片段之前， 所述网络入侵检测方法还 包括： 将所述网络事件的网络数据包分割成多个文本片段， 从所述网络数据包的每个文本片 段的文本字符串中提取子文本字符串， 并将所述子文本字符串所包含字符依次转换成子比 特矩阵； 将所述子比特矩阵依次输入子自动机， 迭代地在所述子自动机中计算表征状态的子特 征向量与所述子比特矩阵之间的布尔矩阵乘法并响应于所述布尔矩阵乘法计算结果执行 状态跳转， 其中， 所述子 自动机是对所述特征规则正则表达式的规则字符串所包含子规则 字符串进行特征向量编码得到的； 在所述子自动机输出子文本字符串 匹配结果的情况下， 响应于所述子文本字符串 匹配 结果获得匹配的子文本字符串， 并从所述多个文本片段的文本字符串中选取所述匹配的子 文本字符串所属的目标文本片段。 4.根据权利要求3所述的网络入侵检测方法， 其特征在于， 在响应于所述子文本字符串 匹配结果 获得多个匹配的子文本字符串的情况下， 在将所述目标文本片段转换得到的比特 矩阵均依次输入所述自动机之前， 所述网络入侵检测方法还 包括： 利用每个匹配的子文本字符串得到所对应的子规则 字符串， 并得到所述子规则 字符串 所属的目标 特征规则正则表达式； 将所述目标文本片段转换 得到的比特矩阵均依次输入所述自动机， 包括： 在获取到使用所述目标特征规则正则表达式构建得到的目标自动机的情况下， 将所述 目标文本片段转换 得到的比特矩阵均依次输入所述目标自动机 。 5.根据权利要求4所述的网络入侵检测方法， 其特征在于， 在获取到使用所述目标特征 规则正则表达式构建得到的目标自动机的情况下， 将所述目标文本片段转换得到的比特矩 阵均依次输入所述目标自动机之前， 所述网络入侵检测方法还 包括： 利用所述目标特征规则正则表达式的规则字符串进行特征向量编码得到所述目标自权　利　要　求　书 1/2 页 2 CN 114301671 A 2动机。 6.根据权利要求4所述的网络入侵检测方法， 其特征在于， 所述利用每个匹配的子文本 字符串得到所对应的子规则字符串， 并得到所述子规则字符串所属的目标特征规则正则表 达式， 包括： 利用多个匹配的子文本 字符串构建第一字符串数组； 从多个第二字符串数组中选取属于所述第 一字符串数组 的子集的目标字符串数组， 其 中每个所述第二字符串数组是利用每个特征规则正则表达式中的多个子规则字符串构建 得到的； 根据所述目标字符串数组所对应的特征规则标识， 在多个特征规则正则表达式中查找 所述目标 特征规则正则表达式。 7.根据权利要求1所述的网络入侵检测方法， 其特征在于， 所述网络入侵防护决策为放 行、 拦截或告警。 8.一种网络入侵检测系统， 其特 征在于， 包括： 比特矩阵转换模块， 在检测到网络事件的情况下， 将所述网络事件的网络数据包中的 文本字符串所包 含字符依次转换成比特矩阵； 正则匹配模块， 将所述比特矩阵依序输入自动机， 迭代地在所述自动机中计算表征状 态的比特向量与所述比特矩阵之间的布尔矩阵乘法并响应于所述布尔矩阵乘法计算结果 执行状态跳转， 其中所述自动机是根据特征规则正则表达式的规则字符串进 行特征向量编 码得到的， 其中所述特征规则正则表达式的规则字符串表征所述自动机的状态及状态转移 函数； 决策执行模块， 在所述自动机输出规则匹配结果的情况下， 响应于所述规则匹配结果， 对所述网络事 件执行相应的网络入侵防护决策。 9.一种网络入侵检测设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1至7任意一项所述 网络入侵检测方法的步骤。 10.一种计算机可读存储介质， 用于存储程序， 其特征在于， 所述程序被处理器执行时 实现权利要求1至7任意 一项所述网络入侵检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114301671 A 3