CN113542286B - 一种计算机网络安全入侵智能检测系统 - Google Patents

Abstract

本申请实施例提供一种计算机网络安全入侵智能检测系统，通过接收模块接收超文本传输协议数据；然后再利用获取模块获取所述超文本传输协议数据对应的多个副本文件；识别模块识别每个所述副本文件中的字段值；处理模块从多个所述字段值中确定出目标值；第一入侵检测模块根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。从而从多个维度对超文本传输协议数据进行入侵检测，而非对超文本传输协议数据进行固定字段进行直接识别，以提高入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

Description

一种计算机网络安全入侵智能检测系统

技术领域

本申请涉及计算机技术领域，具体而言，涉及一种计算机网络安全入侵智能检测系统。

背景技术

在当今网络时代，网络与人们的生活息息相关，如打车、购物、餐饮、娱乐等生活的方方面面都可以在网络。因此，如何保证网络中各用户的数据安全在当今时代显得尤其重要。

具体地，在目前的技术中，为了保证网络中各用户的数据安全，要么是基于密钥的方式，要么是通过防火墙的方式来防止恶意入侵，以避免数据丢失。然而，病毒的入侵往往是无法直接识别的，容易导致病毒入侵检测出现漏洞，从而使得用户的数据丢失。

因此，如何解决上述问题是目前亟需解决的问题。

发明内容

本申请提供一种计算机网络安全入侵智能检测系统，旨在改善上述问题。

第一方面，本申请提供的一种计算机网络安全入侵智能检测系统，所述系统包括：

接收模块，用于接收超文本传输协议数据；

获取模块，用于获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；

识别模块，用于识别每个所述副本文件中的字段值；

处理模块，用于从多个所述字段值中确定出目标值；

第一入侵检测模块，用于根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。

在上述实现过程中，通过接收模块接收超文本传输协议数据；然后再利用获取模块获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；识别模块识别每个所述副本文件中的字段值；处理模块从多个所述字段值中确定出目标值；第一入侵检测模块根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。从而从多个维度对超文本传输协议数据进行入侵检测，而非对超文本传输协议数据进行固定字段进行直接识别，以提高入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

可选地，所述从多个所述字段值中确定出目标值，包括：

分别从每个所述副本文件中的字段值中抽取一随机值；

将多个所述随机值进行组合，以生成多个目标值。

在上述实现过程中，通过分别从每个所述副本文件中的字段值中抽取一随机值；将多个所述随机值进行组合，以生成多个目标值，以便于对多个目标值进行入侵检测，而非是对一个特定的目标值进行检测，进而使得检测范围更大，进一步提高了入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

可选地，所述从多个所述字段值中确定出目标值，包括：

确定每个所述字段值对应的智能合约以及秘钥；

基于所述智能合约以及所述秘钥从区块链对应的区块上获取每个所述字段值对应的目标字；

基于所述目标字生成所述目标值。

在上述实现过程中，通过获取每个所述字段值对应的智能合约以及秘钥；基于所述智能合约以及所述秘钥从区块链对应的区块上获取每个所述字段值对应的目标字；基于所述目标字生成所述目标值。从而利用从区块链的区块上去获取多个目标字，进而使得所获得的目标字安全可靠，另外再通过将多个目标字组合成多个目标值，以便于对多个目标值进行入侵检测，而非是对一个特定的目标值进行检测，进而使得检测范围更大，进一步提高了入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

可选地，所述目标值为一字符串，所述根据所述目标值查询攻击数据库中是否存在对应的攻击事件，包括：

将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中出现连续的所述字符串时，表示所述目标值存在对应的攻击事件。

在上述实现过程中，通过将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中出现连续的所述字符串时，表示所述目标值存在对应的攻击事件，从而通过大范围的进行筛选，以避免漏掉，然后再进行最后的筛选，以避免错误判断，进而在提高入侵检测效率的同时降低错误检测的概率，进而提高了用户的数据安全的概率以及使得正常的请求数据可以正常访问。

可选地，所述目标值为一字符串，所述根据所述目标值查询攻击数据库中是否存在对应的攻击事件，包括：

将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中的所述字符串中的相邻两个字符以预设间隔存在时，表示所述目标值存在对应的攻击事件。

在上述实现过程中，通过将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中的所述字符串中的相邻两个字符以预设间隔存在时，表示所述目标值存在对应的攻击事件，从而通过大范围的进行筛选，以避免漏掉，然后再筛选出满足预设间隔的初选攻击事件，以避免错误判断，进而在提高入侵检测效率的同时降低错误检测的概率，进而提高了用户的数据安全的概率以及使得正常的请求数据可以正常访问。

可选地，所述系统还包括：

任务统计模块，用于在响应所述超文本传输协议数据之前，获取所述超文本传输协议数据的实时任务数据，所述任务数据包括CPU占用率以及内存占用率；

第二入侵检测模块，用于确定所述CPU占用率是否小于预设CPU占用率阈值以及所述内存占用率是否大于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件；或者，

用于确定所述CPU占用率是否大于预设CPU占用率阈值以及所述内存占用率是否小于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件。

在上述实现过程中，通过任务统计模块在响应所述超文本传输协议数据之前，获取所述超文本传输协议数据的实时任务数据，所述任务数据包括CPU占用率以及内存占用率；然后再通过第二入侵检测模块确定所述CPU占用率是否小于预设CPU占用率阈值以及所述内存占用率是否大于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件；或者，通过第二入侵检测模块确定所述CPU占用率是否大于预设CPU占用率阈值以及所述内存占用率是否小于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件。从而利用任务数据来进一步判断超文本传输协议数据是否为疑是入侵事件，进一步降低了漏掉入侵检测的概率，降低了入侵的风险，提高了入侵检测效率。

可选地，所述系统还包括：

入侵验证模块，所述入侵验证模块部署在虚拟环境中，所述入侵验证模块用于在所述虚拟环境中按照预设次数执行所述疑是入侵事件；记录每次执行所述疑是入侵事件的执行结果，生成执行报告；

将所述执行报告从所述虚拟环境中输出至监控后台，以便于所述监控后台根据所述执行报告确认所述疑是入侵事件是否为入侵事件；其中，当所述监控后台确认所述疑是入侵事件为非入侵事件时，返回一消除信息至所述入侵验证模块；

所述入侵验证模块，用于将所述疑是入侵事件标记为非入侵事件，并输出至实际运行环境中进行响应。

在上述实现过程中，通过设置入侵验证模块，并将所述入侵验证模块部署在虚拟环境中，所述入侵验证模块在所述虚拟环境中按照预设次数执行所述疑是入侵事件；记录每次执行所述疑是入侵事件的执行结果，生成执行报告；将所述执行报告从所述虚拟环境中输出至监控后台，以便于所述监控后台根据所述执行报告确认所述疑是入侵事件是否为入侵事件；其中，当所述监控后台确认所述疑是入侵事件为非入侵事件时，返回一消除信息至所述入侵验证模块；所述入侵验证模块再将所述疑是入侵事件标记为非入侵事件，并输出至实际运行环境中进行响应。从而可以进一步在虚拟环境中去验证该疑是入侵事件是否为真入侵事件，并且在疑是入侵事件被认定为假入侵事件时，该超文本传输协议数据可以在真环境中进行响应，以提高入侵检测的效率的同时提高响应效率。

第二方面，本申请提供的一种计算机网络安全入侵智能检测方法，所述方法包括：

接收超文本传输协议数据；

获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；

识别每个所述副本文件中的字段值；

从多个所述字段值中确定出目标值；

根据所述目标值查询攻击数据库中是否存在对应的攻击事件；

若存在，将所述超文本传输协议数据标记为入侵事件；

若不存在，响应所述超文本传输协议数据。

在上述实现过程中，通过接收超文本传输协议数据；然后再获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；识别每个所述副本文件中的字段值；从多个所述字段值中确定出目标值；根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。从而从多个维度对超文本传输协议数据进行入侵检测，而非对超文本传输协议数据进行固定字段进行直接识别，以提高入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

第三方面，本申请提供的一种电子装置，包括：

存储器，用于存储可执行指令；

处理器，用于执行所述存储器中存储的可执行指令时，实现如第二方面所述的计算机网络安全入侵智能检测方法。

第四方面，本申请提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理设备运行时执行如第二方面所述的计算机网络安全入侵智能检测方法的步骤。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的方法所适用的一种通信系统的架构示意图；

图2为本申请实施例提供的一种计算机网络安全入侵智能检测方法的流程图；

图3为本申请实施例提供的一种计算机网络安全入侵智能检测系统的功能模块示意图；

图4为本申请实施例提供的一种电子装置的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wirelessfidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6thgeneration，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例中，有时候下标如W1可能会笔误为非下标的形式如W1，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图1中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图1为本申请实施例提供的方法所适用的一种通信系统的架构示意图。

如图1所示，该通信系统包括网络设备和终端设备。

其中，上述网络设备为位于上述通信系统的网络侧，且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。该网络设备包括但不限于：无线保真(wirelessfidelity，WiFi)系统中的接入点(access point，AP)，如家庭网关、路由器、服务器、交换机、网桥等，演进型节点B(evolved Node B，eNB)、无线网络控制器(radio networkcontroller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或homeNode B，HNB)、基带单元(baseband unit，BBU)，无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者transmission point，TP)等，还可以为5G，如，新空口(new radio，NR)系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)、具有基站功能的路边单元(road sideunit，RSU)等。

上述终端设备为接入上述通信系统，且具有无线收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为用户装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmentedreality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端。

需要说明的是，本申请实施例提供的方法，可以适用于图1所示的设备，具体实现可以参考下述方法实施例，此处不再赘述。

应当指出的是，本申请实施例中的方案还可以应用于其他通信系统中，相应的名称也可以用其他通信系统中的对应功能的名称进行替代。

应理解，图1仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网络设备，和/或，其他终端设备，图1中未予以画出。

下面将结合图2对本申请实施例提供的方法进行具体阐述。

示例性地，图2为本申请实施例提供的一种计算机网络安全入侵智能检测方法的流程图，该方法具体包括如下步骤：

步骤S201，接收超文本传输协议数据。

步骤S202，获取所述超文本传输协议数据对应的多个副本文件。

其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件。

其中，该副本文件为预先存储在数据库中的。

应理解，无论是病毒字段还是非病毒字段都有对应的副本文件。

步骤S203，识别每个所述副本文件中的字段值。

作为一种实现方式，可以基于语义识别来读取每个所述副本文件中的字段值。

当然，在实际使用中，还可以通过其他方式识别每个所述副本文件中的字段值。

可选地，该字段值可以是整个副本文件中所有的字段，也可以是部分字段，例如，该副本文件中的某一行或某几行。又或者是该副本文件中的某一列等。在此，不作具体限定。

步骤S204，从多个所述字段值中确定出目标值。

其中，目标值的数量为多个。

作为一种实施方式，步骤S204，包括：分别从每个所述副本文件中的字段值中抽取一随机值；将多个所述随机值进行组合，以生成多个目标值。

可以理解的是，在该实施方式中，通过分别从每个所述副本文件中的字段值中抽取一随机值；将多个所述随机值进行组合，以生成多个目标值，以便于对多个目标值进行入侵检测，而非是对一个特定的目标值进行检测，进而使得检测范围更大，进一步提高了入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

作为另一种实施方式，步骤S204，包括：确定每个所述字段值对应的智能合约以及秘钥；基于所述智能合约以及所述秘钥从区块链对应的区块上获取每个所述字段值对应的目标字；基于所述目标字生成所述目标值。

其中，每个所述字段值对应的智能合约以及秘钥预先存储在数据库中。

当然，在实际使用中，也可以通过实时获取的方式从服务器或本地存储上进行获取。在此，不作具体限定。

可以理解的是，在该实施方式中，通过获取每个所述字段值对应的智能合约以及秘钥；基于所述智能合约以及所述秘钥从区块链对应的区块上获取每个所述字段值对应的目标字；基于所述目标字生成所述目标值。从而利用从区块链的区块上去获取多个目标字，进而使得所获得的目标字安全可靠，另外再通过将多个目标字组合成多个目标值，以便于对多个目标值进行入侵检测，而非是对一个特定的目标值进行检测，进而使得检测范围更大，进一步提高了入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

步骤S205，根据所述目标值查询攻击数据库中是否存在对应的攻击事件。

其中，攻击数据库内存储有多个已被发现的病毒入侵，即多个攻击事件。

作为一种实施方式，所述目标值为一字符串，步骤S205，包括：将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中出现连续的所述字符串时，表示所述目标值存在对应的攻击事件。

可以理解的是，在该实施方式中，通过将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中出现连续的所述字符串时，表示所述目标值存在对应的攻击事件，从而通过大范围的进行筛选，以避免漏掉，然后再进行最后的筛选，以避免错误判断，进而在提高入侵检测效率的同时降低错误检测的概率，进而提高了用户的数据安全的概率以及使得正常的请求数据可以正常访问。

作为另一种实施方式，所述目标值为一字符串，步骤S205，包括：将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中的所述字符串中的相邻两个字符以预设间隔存在时，表示所述目标值存在对应的攻击事件。

可以理解的是，在该实施方式中，通过将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中的所述字符串中的相邻两个字符以预设间隔存在时，表示所述目标值存在对应的攻击事件，从而通过大范围的进行筛选，以避免漏掉，然后再筛选出满足预设间隔的初选攻击事件，以避免错误判断，进而在提高入侵检测效率的同时降低错误检测的概率，进而提高了用户的数据安全的概率以及使得正常的请求数据可以正常访问。

步骤S206，若存在，将所述超文本传输协议数据标记为入侵事件。

步骤S207，若不存在，响应所述超文本传输协议数据。

在一可能的实施例中，在步骤S207之前，所述方法还包括：获取所述超文本传输协议数据的实时任务数据，所述任务数据包括CPU占用率以及内存占用率；确定所述CPU占用率是否小于预设CPU占用率阈值以及所述内存占用率是否大于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件；或者，确定所述CPU占用率是否大于预设CPU占用率阈值以及所述内存占用率是否小于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件。

可以理解的是，在该实施方式中，通过在响应所述超文本传输协议数据之前，获取所述超文本传输协议数据的实时任务数据，所述任务数据包括CPU占用率以及内存占用率；然后再确定所述CPU占用率是否小于预设CPU占用率阈值以及所述内存占用率是否大于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件；或者，通过确定所述CPU占用率是否大于预设CPU占用率阈值以及所述内存占用率是否小于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件。从而利用任务数据来进一步判断超文本传输协议数据是否为疑是入侵事件，进一步降低了漏掉入侵检测的概率，降低了入侵的风险，提高了入侵检测效率。

在一可能的实施例中，计算机网络安全入侵智能检测系统还包括入侵验证模块，所述入侵验证模块部署在虚拟环境中，所述方法还包括：所述入侵验证模块在所述虚拟环境中按照预设次数执行所述疑是入侵事件；记录每次执行所述疑是入侵事件的执行结果，生成执行报告；将所述执行报告从所述虚拟环境中输出至监控后台，以便于所述监控后台根据所述执行报告确认所述疑是入侵事件是否为入侵事件；其中，当所述监控后台确认所述疑是入侵事件为非入侵事件时，返回一消除信息至所述入侵验证模块；所述入侵验证模块再将所述疑是入侵事件标记为非入侵事件，并输出至实际运行环境中进行响应。

可以理解的是，在该实施方式中，通过将所述入侵验证模块部署在虚拟环境中，所述入侵验证模块在所述虚拟环境中按照预设次数执行所述疑是入侵事件；记录每次执行所述疑是入侵事件的执行结果，生成执行报告；将所述执行报告从所述虚拟环境中输出至监控后台，以便于所述监控后台根据所述执行报告确认所述疑是入侵事件是否为入侵事件；其中，当所述监控后台确认所述疑是入侵事件为非入侵事件时，返回一消除信息至所述入侵验证模块；所述入侵验证模块再将所述疑是入侵事件标记为非入侵事件，并输出至实际运行环境中进行响应。从而可以进一步在虚拟环境中去验证该疑是入侵事件是否为真入侵事件，并且在疑是入侵事件被认定为假入侵事件时，该超文本传输协议数据可以在真环境中进行响应，以提高入侵检测的效率的同时提高响应效率。

在上述实现过程中，本实施例提供的一种计算机网络安全入侵智能检测方法，通过接收超文本传输协议数据；然后再获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；识别每个所述副本文件中的字段值；从多个所述字段值中确定出目标值；根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。从而从多个维度对超文本传输协议数据进行入侵检测，而非对超文本传输协议数据进行固定字段进行直接识别，以提高入侵检测效率，降低入侵漏洞，提高了用户的数据安全的概率。

示例性地，图3为本申请实施例提供的一种计算机网络安全入侵智能检测系统，该系统400包括：接收模块410、获取模块420、识别模块430、处理模块440、第一入侵检测模块450。

其中：

接收模块410，用于接收超文本传输协议数据；

获取模块420，用于获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；

识别模块430，用于识别每个所述副本文件中的字段值；

处理模块440，用于从多个所述字段值中确定出目标值；

第一入侵检测模块450，用于根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。

在一可能的实施例中，处理模块440，还用于：分别从每个所述副本文件中的字段值中抽取一随机值；将多个所述随机值进行组合，以生成多个目标值。

在一可能的实施例中，处理模块440，还用于：确定每个所述字段值对应的智能合约以及秘钥；基于所述智能合约以及所述秘钥从区块链对应的区块上获取每个所述字段值对应的目标字；基于所述目标字生成所述目标值。

在一可能的实施例中，所述目标值为一字符串，第一入侵检测模块450，还用于：将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中出现连续的所述字符串时，表示所述目标值存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。

在一可能的实施例中，所述目标值为一字符串，第一入侵检测模块450，还用于：将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中的所述字符串中的相邻两个字符以预设间隔存在时，表示所述目标值存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。

在一可能的实施例中，所述系统还400包括：

任务统计模块，用于在响应所述超文本传输协议数据之前，获取所述超文本传输协议数据的实时任务数据，所述任务数据包括CPU占用率以及内存占用率；

第二入侵检测模块，用于确定所述CPU占用率是否小于预设CPU占用率阈值以及所述内存占用率是否大于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件；或者，

用于确定所述CPU占用率是否大于预设CPU占用率阈值以及所述内存占用率是否小于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件。

在一可能的实施例中，所述系统400还包括：

入侵验证模块，所述入侵验证模块部署在虚拟环境中，所述入侵验证模块用于在所述虚拟环境中按照预设次数执行所述疑是入侵事件；记录每次执行所述疑是入侵事件的执行结果，生成执行报告；

将所述执行报告从所述虚拟环境中输出至监控后台，以便于所述监控后台根据所述执行报告确认所述疑是入侵事件是否为入侵事件；其中，当所述监控后台确认所述疑是入侵事件为非入侵事件时，返回一消除信息至所述入侵验证模块；

所述入侵验证模块，用于将所述疑是入侵事件标记为非入侵事件，并输出至实际运行环境中进行响应。

此外，计算机网络安全入侵智能检测系统400的技术效果可以参考上述方法实施例所述的方法的技术效果，此处不再赘述。

示例性地，图4为本申请实施例提供的电子装置的结构示意图。该电子装置可以是网络设备，也可以是设置于网络设备的芯片(系统)或其他部件或组件。如图4所示，装置500可以包括处理器501。可选地，装置500还可以包括存储器502和/或收发器503。其中，处理器501与存储器502和收发器503耦合，如可以通过通信总线连接。

下面结合图3对装置500的各个构成部件进行具体的介绍：

其中，处理器501是装置500的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器501是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signalprocessor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

可选地，处理器501可以通过运行或执行存储在存储器502内的软件程序，以及调用存储在存储器502内的数据，执行电子装置500的各种功能。

在具体的实现中，作为一种实施例，处理器501可以包括一个或多个CPU，例如图4中所示出的CPU2和CPU1。

在具体实现中，作为一种实施例，装置500也可以包括多个处理器。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器502用于存储执行本申请方案的软件程序，并由处理器501来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器502可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器502可以和处理器501集成在一起，也可以独立存在，并通过装置500的接口电路(图4中未示出)与处理器501耦合，本申请实施例对此不作具体限定。

收发器503，用于与其他装置之间的通信。

可选地，收发器503可以包括接收器和发送器(图4中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器503可以和处理器501集成在一起，也可以独立存在，并通过装置500的接口电路(图4中未示出)与处理器501耦合，本申请实施例对此不作具体限定。

需要说明的是，图4中示出的装置500的结构并不构成对该装置的限定，实际的装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，装置500的技术效果可以参考上述方法实施例所述的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processingunit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random accessmemory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

Claims (9)

1.一种计算机网络安全入侵智能检测系统，其特征在于，所述系统包括：

接收模块，用于接收超文本传输协议数据；

获取模块，用于获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；

识别模块，用于识别每个所述副本文件中的字段值；

处理模块，用于从多个所述字段值中确定出目标值，其中，所述处理模块具体用于：分别从每个所述副本文件中的字段值中抽取一随机值；将多个所述随机值进行组合，以生成多个目标值；

第一入侵检测模块，用于根据所述目标值查询攻击数据库中是否存在对应的攻击事件；若存在，将所述超文本传输协议数据标记为入侵事件；若不存在，响应所述超文本传输协议数据。

2.根据权利要求1所述的系统，其特征在于，所述从多个所述字段值中确定出目标值，包括：

确定每个所述字段值对应的智能合约以及秘钥；

基于所述智能合约以及所述秘钥从区块链对应的区块上获取每个所述字段值对应的目标字；

基于所述目标字生成所述目标值。

3.根据权利要求1所述的系统，其特征在于，所述目标值为一字符串，所述根据所述目标值查询攻击数据库中是否存在对应的攻击事件，包括：

将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中出现连续的所述字符串时，表示所述目标值存在对应的攻击事件。

4.根据权利要求1所述的系统，其特征在于，所述目标值为一字符串，所述根据所述目标值查询攻击数据库中是否存在对应的攻击事件，包括：

将所述字符串输入攻击数据库，所述攻击数据库输出包括所述字符串的所有初选攻击事件；其中，当所述初选攻击事件中的所述字符串中的相邻两个字符以预设间隔存在时，表示所述目标值存在对应的攻击事件。

5.根据权利要求1所述的系统，其特征在于，所述系统还包括：

任务统计模块，用于在响应所述超文本传输协议数据之前，获取所述超文本传输协议数据的实时任务数据，所述任务数据包括CPU占用率以及内存占用率；

第二入侵检测模块，用于确定所述CPU占用率是否小于预设CPU占用率阈值以及所述内存占用率是否大于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件；或者，

用于确定所述CPU占用率是否大于预设CPU占用率阈值以及所述内存占用率是否小于预设内存占用率阈值；若是，将所述超文本传输协议数据标记为疑是入侵事件。

6.根据权利要求5所述的系统，其特征在于，所述系统还包括：

入侵验证模块，所述入侵验证模块部署在虚拟环境中，所述入侵验证模块用于在所述虚拟环境中按照预设次数执行所述疑是入侵事件；记录每次执行所述疑是入侵事件的执行结果，生成执行报告；

将所述执行报告从所述虚拟环境中输出至监控后台，以便于所述监控后台根据所述执行报告确认所述疑是入侵事件是否为入侵事件；其中，当所述监控后台确认所述疑是入侵事件为非入侵事件时，返回一消除信息至所述入侵验证模块；

所述入侵验证模块，用于将所述疑是入侵事件标记为非入侵事件，并输出至实际运行环境中进行响应。

7.一种计算机网络安全入侵智能检测方法，其特征在于，所述方法包括：

接收超文本传输协议数据；

获取所述超文本传输协议数据对应的多个副本文件，其中，所述超文本传输协议数据包括多个字段，每个字段对应一个副本文件；

识别每个所述副本文件中的字段值；

从多个所述字段值中确定出目标值，其中，所述从多个所述字段值中确定出目标值，包括：分别从每个所述副本文件中的字段值中抽取一随机值；将多个所述随机值进行组合，以生成多个目标值；

根据所述目标值查询攻击数据库中是否存在对应的攻击事件；

若存在，将所述超文本传输协议数据标记为入侵事件；

若不存在，响应所述超文本传输协议数据。

8.一种电子装置，其特征在于，包括：

存储器，用于存储可执行指令；

处理器，用于执行所述存储器中存储的可执行指令时，实现如权利要求7所述的计算机网络安全入侵智能检测方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理设备运行时执行如权利要求7所述的计算机网络安全入侵智能检测方法的步骤。