(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111410585.0 (22)申请日 2021.11.25 (71)申请人 江苏开博科技有限公司 地址 210042 江苏省南京市玄武区玄武大 道108号聚惠园2号楼 2004室 (72)发明人 陈玉东　何卓群　邵大培　 (74)专利代理 机构 南京苏创专利代理事务所 (普通合伙) 32273 代理人 吴太平 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/22(2022.01) (54)发明名称 基于实时网络流量进行监测分析的IDS系统 和检测方法 (57)摘要 本发明涉及一种基于实时网络流量进行监 测分析的IDS系统和检测方法， 属于网络安全技 术领域。 该监测系统包括交互模块、 数据处理模 块、 入侵检测模块和可视化模块。 检测方法包括 如下步骤： 交互系统获取高级威胁检测感知与响 应平台用户终端资产数据流的初始数据， 给数据 处理模块接收， 进行预处理后打包成预处理数据 块， 再进行异常检测 并输出结果。 流量异常判定 模块判断是否存在入侵数据， 若存在， 则入侵检 测模块将预处理数据块发送至交互模块进行预 警和响应； 若无， 则将数据返回至数据处理模块； 当深度包检测结果和深度流检测结果任意一项 出现异常或二者均出现异常时， 判定采集的物联 网数据流出现异常。 可视化模块将最后结果用图 表示出来。 权利要求书2页 说明书6页 附图4页 CN 114374530 A 2022.04.19 CN 114374530 A 1.一种基于实时网络流量进行监测分析的IDS系统， 其特征在于： 包括交互模块、 数据 处理模块、 入侵检测模块和可视化模块， 所述数据处理模块和入侵检测模块数据连接， 入侵 检测模块和可视化模块数据连接， 所述交互模块和数据 处理模块、 入侵检测模块和可视化 模块分别数据连接 。 2.根据权利要求1所述的基于实时网络流量进行监测分析的IDS系统， 其特征在于： 所 述交互模块包括用户登录模块、 接口模块、 资产以及资产状态识别模块、 网络流量协议识别 模块和设备状态检测模块， 所述用户登录模块， 用于用户注 册、 登录； 所述接口模块， 用于连接 外接的终端设备； 所述资产以及资产状态 识别模块， 用于识别用户资产信息， 获取资产状态信息； 所述网络流 量协议识别模块， 用于识别数据流的协议类别； 所述物联网协议识别模块， 用于识别数据流的协议类别； 所述设备状态检测模块， 监测设备运行状态。 3.根据权利要求2所述的基于实时网络流量进行监测分析的IDS系统， 其特征在于： 所 述数据处 理模块包括平台响应模块和日志管理模块， 所述平台响应模块接收交 互平台的响应， 处 理响应数据， 返回入侵检测模块； 所述日志管理模块， 管理系统所有日志。 4.根据权利要求3所述的基于实时网络流量进行监测分析的IDS系统， 其特征在于： 所 述入侵检测模块包括数据包/流特征提取模块、 数据包异常检测规则库、 数据流过滤器和流 量异常判定模块， 所述数据包/流特征提取模块， 用于提取数据流量中深度包的特征和数据流量中深度 流的特征； 所述数据包异常检测规则库， 用于存储网络数据流量异常规则数据， 并将提取的深度 包特征与存储的物联网数据流 量异常规则数据进行规范检测， 输出深度包检测结果； 所述数据流过滤器， 用于将提取的深度流特征与设定的过滤条件进行比对， 检测深度 流是否异常， 并输出深度流检测结果； 所述流量异常判定模块， 用于根据深度包检测结果和深度流检测结果判定数据流量是 否异常。 5.根据权利要求4所述的基于实时网络流量进行监测分析的IDS系统， 其特征在于： 交 互模块负责接收威胁感知平台用户终端的资产信息和设备平台信息， 威胁感知平台用户通 过交互模块接收系统的处理信息； 同时交互模块将资产信息和设备平台信息发送至数据处 理模块； 交 互模块也将技术人员所做的技 术升级上传至所述物联网平台用户终端。 6.一种使用权利要求5所述的基于实时网络流量进行监测分析的IDS系统 的检测方法， 其特征在于： 包括如下步骤： 步骤1： 交 互系统获取威胁感知平台用户终端资产镜像网络的初始数据； 步骤2： 数据处理模块接收步骤1得到的初始数据， 进行预处理后打包成预处理数据块， 权利要求3中的平台响应模块将所述预处 理数据块发送至入侵检测模块中； 步骤3： 将步骤2所得的预处理数据块的数据包传至权利要求5所述的数据包异常检测 规则库进行异常检测， 输出深度包检测结果；权　利　要　求　书 1/2 页 2 CN 114374530 A 2步骤4： 将步骤2中预处理数据块的数据流在权利要求5所述的数据流分类器进行异常 检测， 得到深度流检测结果； 步骤5： 流量异常判定模块判断深度包检测结果和深度流检测结果中是否存在入侵数 据， 若存在 入侵数据， 则入侵检测模块将预 处理数据块 发送至交互模块进 行预警和响应； 若 无入侵数据， 将数据返回至数据 处理模块； 当深度包检测结果和深度流检测结果任意一项 出现异常或二 者均出现异常时， 判定采集的物联网数据流出现异常； 步骤6： 将步骤1 ‑5的系统入侵检测行为以数据图的形式展示出来。 7.根据权利要求6所述的基于实时网络流量进行监测分析的IDS系统的检测方法， 其特 征在于： 所述 步骤1具体步骤为： 步骤1.1： 获取资产状态信息和设备运行状态信息， 生成状态数据包； 步骤1.2： 设备威胁情 报分析， 生成数据包； 步骤1.3： 从运行在网络环境下的设备中获取数据流量包， 并将流量包镜像到威胁感知 设备上； 步骤1.4： 对数据流 量进行会话 流重组， 得到数据流初始数据。 8.根据权利要求7所述的基于实时网络流量进行监测分析的IDS系统的检测方法， 其特 征在于： 所述 步骤2具体步骤为： 步骤2.1： 提取初始数据的数据流特征信息， 包括： 初始数据的端口信息、 报头内容信息 和单包协议语义信息； 步骤2.2： 将提取的初始数据的数据流特征信息与存储在网络流量协议识别模块的网 络流量协议数据资源进行匹配， 确定获取的镜像网络数据流的协议类型； 步骤2.3： 根据协议类型进行 数据预处 理， 将数据传回入侵检测模块。 9.根据权利要求8所述的基于实时网络流量进行监测分析的IDS系统的检测方法， 其特 征在于： 所述 步骤3具体步骤为： 步骤3.1： 提取数据包的数据流量中深度包的特征， 包括： 数据包的大小、 类型、 长度、 载 荷中包含的可疑信息和数据包头； 步骤3.2： 将提取的深度包的特征与数据流过滤器中设定的各项过滤条件行比对， 进行 规范检测， 检测深度包的各项 特征是否异常， 当深度包中任意一项 特征出现异常时， 则判定 该深度包出现异常， 输出深度包检测结果。 10.根据权利要求9所述的基于实时网络流量进行监测分析的IDS系统的检测方法， 其 特征在于： 所述 步骤4具体步骤为： 步骤4.1： 提取数据流量中深度流的特征， 包括： 大小链向量、 获取的数据流中包的总个 数、 数据流中数据包的总大小、 时间链向量、 数据流的持续时间、 方向链向量、 同方向数据流 深度中包的均方差、 同方向数据流深度中时间的均方差、 同方向数据流深度中包的总和； 步骤4.2： 将提取的数据流量中深度流的各项特征与数据流过滤器中存储的网络数据 流量异常规则数据进行比对， 检测各项特征是否异常， 当深度流中任意一项特征出现异常 时， 则判定该深度流出现异常， 输出深度流检测结果。权　利　要　求　书 2/2 页 3 CN 114374530 A 3