(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211143193.7 (22)申请日 2022.09.20 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 刘旭　范如　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 任洁芳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于内网流量的入侵检测与防御方法、 装 置、 设备及 介质 (57)摘要 本申请公开了基于内网流量的入侵检测与 防御方法、 装置、 设备及介质， 涉及计算机技术领 域， 方法包括： 获取若干主机对应的若干流量报 文文件， 并对流量报文文件进行解析得到不同维 度的特征信息； 获取为主机设置的预设风险判断 规则和风险处置规则， 并在预设学习周期内调整 预设风险判断规则， 直至预设学习周期结束 得到 目标风险判断规则； 基于目标风险判断规则， 并 根据特征信息判断所述主机对应的目标风险等 级； 基于风险处置规则， 并根据目标风险等级确 定主机对应的目标处置方式， 然后基于目标处置 方式对所述主机进行处置。 本申请能降低入侵检 测和防御的设备入侵性并提高精确度。 权利要求书2页 说明书9页 附图4页 CN 115514556 A 2022.12.23 CN 115514556 A 1.一种基于内网流 量的入侵检测与防御方法， 其特 征在于， 包括： 获取若干主机对应的若干流量报文文件， 并对所述流量报文文件进行解析得到不同维 度的特征信息； 获取为所述主机设置的预设风险判断规则和风险处置规则， 并在预设学习周期内调整 所述预设风险判断规则， 直至所述预设学习周期结束得到目标风险判断规则； 基于所述目标风险判断规则， 并根据 所述特征信 息判断相应的所述主机对应的目标风 险等级； 基于所述风险处置规则， 并根据所述目标风险等级确定相应的所述主机对应的目标处 置方式， 然后基于所处目标处置方式对相应的所述主机进行处置 。 2.根据权利要求1所述的基于 内网流量的入侵检测与防御方法， 其特征在于， 所述在预 设学习周期内调整所述预设风险判断规则， 直至所述预设学习周期结束得到目标风险判断 规则， 包括： 基于所述预设风险判断规则， 并根据所述特 征信息判断所述主机的参 考风险等级； 基于目标信息构建参考告警信息； 所述目标信息包括表示所述主机的所述主机标识、 所述参考风险等级和将所述主机判断为所述参考风险等级的所述预设风险判断规则中的 参考规则； 获取客户端对所述告警信 息是否误报的判断结果， 根据 所述判断结果对所述参考规则 做出调整得到新的所述预设风险判断规则， 然后跳转至所述基于所述预设风险判断规则的 步骤， 直至所述预设学习周期结束得到目标风险判断规则。 3.根据权利要求2所述的基于 内网流量的入侵检测与防御方法， 其特征在于， 所述预设 风险判断规则包括若干所述参考规则； 所述参考规则为规定同一所述主机对应的不同维度 的所述特 征信息的一种特 征组合的目标情况满足预设条件时对应的风险。 4.根据权利要求3所述的基于 内网流量的入侵检测与防御方法， 其特征在于， 所述根据 所述判断结果对所述 参考规则做出调整得到新的所述预设风险判断规则， 包括： 确定所述判断结果中所述 误报的目标占比； 若所述目标占比与 预设占比不同， 则调 整所述参考规则对应的所述特征组合的所述预 设阈值， 以得到新的所述预设风险判断规则。 5.根据权利要求1所述的基于 内网流量的入侵检测与防御方法， 其特征在于， 所述特征 信息包括所述 流量报文文件对应的源MAC、 源IP、 报文类型、 报文大小和报文时间。 6.根据权利要求1所述的基于内网流 量的入侵检测与防御方法， 其特 征在于， 还 包括： 根据主机对应的目标资源的利用率调整进行所述获取若干主机对应的若干流量报文 文件的步骤的频次。 7.根据权利要求1至6任一项所述的基于内网流量的入侵检测与防御方法， 其特征在 于， 所述获取若干主机对应的若干流 量报文文件， 包括： 通过目标网络设备提供的第三方接口获取若干主机对应的若干流 量报文文件； 相应的， 所述根据所述目标风险等级确定相应的所述主机对应的目标处置方式， 然后 基于所处目标处置方式对相应的所述主机进行处置， 包括： 若所述目标风险等级为高危， 则所述目标处置方式为阻断处理， 在所述主机对应的所 述目标网络设备中执 行对所述主机的所述阻断处 理以在网络层面防止失陷情况扩散；权　利　要　求　书 1/2 页 2 CN 115514556 A 2若所述目标风险等级为低危或中危， 则所述目标处置方式为告警处理， 基于表示所述 主机的所述主机标识、 所述目标风险等级和将所述主机判断为所述目标风险等级的所述目 标风险判断规则中的目标规则构建目标告警信息， 并发送至所述 客户端。 8.一种基于内网流 量的入侵检测与防御装置， 其特 征在于， 包括： 特征信息获取模块， 用于获取若干主机对应的若干流量报文文件， 并对所述流量报文 文件进行解析 得到不同维度的特 征信息； 学习模块， 用于获取为所述主机设置的预设风险判断规则和风险处置规则， 并在预设 学习周期内调整 所述预设风险判断规则， 直至所述预设学习周期结束得到目标风险判断规 则 风险等级判断模块， 用于基于所述目标风险判断规则， 并根据所述特征信息判断相应 的所述主机对应的目标风险等级； 处置模块， 用于基于所述风险处置规则， 并根据所述目标风险等级确定相应的所述主 机对应的目标处置方式， 然后基于所处目标处置方式对相应的所述主机进行处置 。 9.一种电子设备， 其特征在于， 包括处理器和存储器； 其中， 所述处理器执行所述存储 器中保存的计算机程序时实现如权利要求1至7任一项所述的基于内网流量的入侵检测与 防御方法。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序； 其中， 所述计算机程 序被处理器执行时实现如权利要求1至7任一项所述的基于内网流量的入侵检测与防御方 法。权　利　要　求　书 2/2 页 3 CN 115514556 A 3