(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211150447.8 (22)申请日 2022.09.21 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 许聪慧　杨勃　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 任晓婷 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/906(2019.01) (54)发明名称 一种入侵 检测方法、 装置、 设备及 介质 (57)摘要 本申请公开了一种入侵检测方法、 装置、 设 备及介质， 涉及计算机技术领域， 包括： 收集包括 不同类型的入侵威胁数据的溯源信息数据； 按照 预设分类规则对所述溯源信息数据进行分类处 理， 以得到分类后溯源信息， 并将所述分类后溯 源信息存储至预设数据库； 获取待检测溯源信 息， 并将所述待检测溯源信息与所述预设数据库 中的所述分类后溯源信息进行匹配； 若匹配成 功， 则判定所述待检测溯源信息发生入侵攻击事 件， 并输出包括可疑溯源关系的警报内容。 本申 请通过对获取到的溯源信息数据进一步分类处 理， 增强了不同类型的溯源信息数据的边界感， 提升了入侵检测时的效率和精准度。 权利要求书2页 说明书7页 附图3页 CN 115514558 A 2022.12.23 CN 115514558 A 1.一种入侵检测方法， 其特 征在于， 包括： 收集包括 不同类型的入侵威胁数据的溯源信息数据； 按照预设分类规则对所述溯源信息数据进行分类处理， 以得到分类后溯源信息， 并将 所述分类后 溯源信息存 储至预设数据库； 获取待检测溯源信 息， 并将所述待检测溯源信 息与所述预设数据库中的所述分类后溯 源信息进行匹配； 若匹配成功， 则判定所述待检测溯源信息发生入侵攻击事件， 并输出包括可疑溯源关 系的警报内容。 2.根据权利要求1所述的入侵检测方法， 其特征在于， 所述收集包括不同入侵威胁数据 的溯源信息数据， 包括： 收集包括 不同类型的入侵威胁数据的溯源图、 溯源路径、 系统日志数据。 3.根据权利要求2所述的入侵检测方法， 其特征在于， 所述系 统日志数据包括Windows 系统日志数据和L inux系统日志数据。 4.根据权利要求2所述的入侵检测方法， 其特征在于， 所述将所述分类后溯源信 息存储 至预设数据库的过程中， 还 包括： 将所述溯源图的所有边作为数据流， 以对所述溯源图进行流式处理以得到流式图， 并 将所述流式图存 储至预设数据库。 5.根据权利要求1所述的入侵检测方法， 其特征在于， 所述按照预设分类规则对所述溯 源信息数据进行分类处 理之前， 还 包括： 对所述溯源信 息数据进行数据压缩处理和数据剪枝处理， 以去除所述溯源信 息数据中 与入侵检测不相关的冗余数据。 6.根据权利要求1所述的入侵检测方法， 其特征在于， 所述按照预设分类规则对所述溯 源信息数据进行分类处 理， 以得到分类后 溯源信息， 包括： 利用子图模糊匹配方法对所述溯源信息数据进行分类处 理得到第一分类后数据； 利用节点标签缓存计算方法对所述第 一分类后数据进行分类处理， 以得到第 二分类后 数据； 利用预设异常检测模型对所述第二分类后数据进行分类处理， 以得到分类后溯源信 息。 7.根据权利要求1至6任一项所述的入侵检测方法， 其特征在于， 所述将所述待检测溯 源信息与所述预设数据库中的所述分类后 溯源信息进行匹配之后， 还 包括： 若匹配不成功， 则记录所述待检测溯源信息， 并利用所述待检测溯源信息更新所述预 设数据库。 8.一种入侵检测装置， 其特 征在于， 包括： 数据收集模块， 用于收集包括 不同类型的入侵威胁数据的溯源信息数据； 数据分类模块， 用于按照预设分类规则对所述溯源信息数据进行分类处理， 以得到分 类后溯源信息， 并将所述分类后 溯源信息存 储至预设数据库； 信息匹配模块， 用于获取待检测溯源信息， 并将所述待检测溯源信息与所述预设数据 库中的所述分类后 溯源信息进行匹配； 警报模块， 用于若 匹配成功， 则判定所述待检测溯源信 息发生入侵攻击事件， 并输出包权　利　要　求　书 1/2 页 2 CN 115514558 A 2括可疑溯源关系的警报内容。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于保存计算机程序； 处理器， 用于执行所述计算机程序， 以实现如权利要求1至7任一项所述的入侵检测方 法的步骤。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序； 其中， 所述计算机程 序被处理器执行时实现如权利要求1至7任一项所述的入侵检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115514558 A 3