(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111545953.2 (22)申请日 2021.12.16 (71)申请人 北京中科网威信息技 术有限公司 地址 100094 北京市海淀区中关村软件园 （二期） 中兴通大厦B座2层 (72)发明人 江海　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 代理人 吴刚 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络传输协议入侵 检测方法及系统 (57)摘要 本发明提供一种网络传输协议入侵检测方 法及系统， 方法包括： 判断待检测通信数据是否 是基于第一网络传输协议传输的； 若是， 则在所 述待检测通信数据中携带的附件正确解码的情 况下， 基于预设入侵检测流程， 对所述待检测通 信数据进行网络传输协议入侵检测； 若否， 则基 于所述预设入侵检测流程， 对所述待检测通信数 据进行网络传输协议入侵检测。 所述系统执行所 述方法。 本发 明通过在对通信数据进行网络传输 协议入侵检测前进行筛选， 减少进入入侵检测流 程的数据流， 从而降低了运算量， 提升了对通信 数据的网络传输协议入侵 检测的检测效率。 权利要求书2页 说明书13页 附图3页 CN 114338106 A 2022.04.12 CN 114338106 A 1.一种网络传输协议入侵检测方法， 其特 征在于， 包括： 判断待检测通信数据是否是基于第一网络传输协议传输的； 若是， 则在所述待检测通信数据中携带的附件正确解码的情况下， 基于预设入侵检测 流程， 对所述待检测通信数据进行网络传输协议入侵检测； 若否， 则基于所述预设入侵检测流程， 对所述待检测通信数据进行网络传输协议入侵 检测。 2.根据权利要求1所述的网络传输协议入侵检测方法， 其特征在于， 所述在所述待检测 通信数据中携带 的附件正确 解码的情况下， 基于预设入侵检测流程， 对所述待检测 通信数 据进行网络传输协议入侵检测， 包括： 判断存储解码后的附件的内存块是否为空； 若否， 则确定所述附件正确解码， 并基于所述预设入侵检测流程， 对所述待检测通信数 据进行网络传输协议入侵检测； 若是， 则判断所述待检测通信数据的大小是否大于所述第 一网络传输协议的命令行最 大长度； 若小于所述命令行最大长度， 则对所述待检测通信数据进行网络传输协议入侵检测； 若大于所述命令行最大长度， 则对所述 解码后的附件进行网络传输协议入侵检测。 3.根据权利要求1所述的网络传输协议入侵检测方法， 其特征在于， 所述在所述待检测 通信数据中携带 的附件正确 解码的情况下， 基于预设入侵检测流程， 对所述待检测 通信数 据进行网络传输协议入侵检测之前， 还 包括： 判断所述待检测通信数据中是否携带有所述附件； 若否， 则基于所述预设入侵检测流程， 对所述待检测通信数据进行网络传输协议入侵 检测。 4.根据权利要求1所述的网络传输协议入侵检测方法， 其特征在于， 所述基于预设入侵 检测流程， 对所述待检测通信数据进行网络传输协议入侵检测， 包括： 基于多模匹配模块， 对所述待检测通信数据进行筛选， 以确定所述待检测通信数据中 最可能潜在命中的目标规则； 根据所述目标规则， 对所述待检测通信数据进行网络传输协议入侵检测。 5.根据权利要求1所述的网络传输协议入侵检测方法， 其特征在于， 所述第 一网络传输 协议至少包括如下任一种： 简单邮件传输协议SMTP、 交 互式邮件访问协议 IMAP以及邮局协议POP。 6.根据权利要求1 ‑5任一项所述的网络传输协议入侵检测方法， 其特征在于， 在所述判 断待检测通信数据是否是基于第一网络传输协议传输的之前， 还 包括： 根据协议筛选模块， 分别对待检测通信数据负载中的规则以及预处理后的待检测通信 数据负载的规则进行筛 选， 以确定符合目标网络传输协议的第一 规则； 根据会话筛 选模块对所述第一 规则进行筛 选， 以确定符合目标端口信息的第二 规则； 根据第一 通信数据和第二 通信数据， 确定所述待检测通信数据； 其中， 所述预处理后的待检测通信数据是根据预设应用层协议预处理器处理对所述待 检测通信数据进行 预处理后确定的； 所述第一 通信数据是根据负载有所述第二 规则的待检测通信数据确定的；权　利　要　求　书 1/2 页 2 CN 114338106 A 2所述第二 通信数据是根据负载有所述第二 规则的预处 理后的待检测通信数据确定的。 7.一种网络传输协议入侵检测系统， 其特征在于， 包括： 数据判断模块、 第一检测模块 以及第二检测模块； 所述数据判断模块， 用于判断待检测通信数据是否是基于第一网络传输协议传输的； 所述第一检测模块， 用于若是， 则在所述待检测通信数据中携带的附件正确解码的情 况下， 基于预设入侵检测流 程， 对所述待检测通信数据进行网络传输协议入侵检测； 所述第二检测模块， 用于若否， 则 基于所述预设入侵检测流程， 对所述待检测通信数据 进行网络传输协议入侵检测。 8.一种电子设备， 包括处理器和存储有计算机程序的存储器， 其特征在于， 所述处理器 执行所述计算机程序时实现权利要求1至 6任一项所述网络传输协议入侵检测方法的步骤。 9.一种处理器可读存储介质， 其特征在于， 所述处理器可读存储介质存储有计算机程 序， 所述计算机程序用于使 所述处理器执行权利要求 1至6任一项 所述网络传输协 议入侵检 测方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至 6任一项所述网络传输协议入侵检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114338106 A 3