(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211109579.6 (22)申请日 2022.09.13 (71)申请人 杭州迪普科技股份有限公司 地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6楼 (72)发明人 叶倩　 (74)专利代理 机构 北京金讯知识产权代理事务 所(特殊普通 合伙) 11554 专利代理师 黄剑飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络入侵 检测方法、 装置与电子设备 (57)摘要 本公开提供一种网络入侵检测方法、 装置与 电子设备。 网络入侵检测方法包括： 响应目标网 络会话的会话请求， 接收与所述目标网络会话对 应的网络 数据报文， 并提取所述网络数据报文的 预设信息； 将所述预设信息顺次与交换芯片存储 的白名单信息、 处理器模块存储的第一黑名单信 息进行匹配， 以得到匹配结果； 根据所述匹配结 果， 判断是否通过所述交换芯片直接转发所述目 标网络会话请求对应的全部网络数据报文， 或 者， 是否通过所述交换芯片或所述处理器模块丢 弃所述目标网络会话对应的全部网络数据报文。 本公开实施例可以优化网络安全设备中处理器 的性能。 权利要求书2页 说明书11页 附图4页 CN 115333853 A 2022.11.11 CN 115333853 A 1.一种网络入侵检测方法， 其特 征在于， 包括： 响应目标网络会话的会话请求， 接收与所述目标网络会话对应的网络数据报文， 并提 取所述网络数据报文的预设信息； 将所述预设信 息顺次与交换芯片存储的白名单信 息、 处理器模块存储的第 一黑名单信 息进行匹配， 以得到匹配结果； 根据所述匹配结果， 判断是否通过所述交换芯片直接转发所述目标网络会话请求对应 的全部网络数据报文， 或者， 是否通过所述交换芯片或所述处理器模块丢弃所述 目标网络 会话对应的全部网络数据报文。 2.如权利要求1所述的网络入侵检测方法， 其特征在于， 所述预设信 息包括所述网络数 据报文的源IP地址、 目的IP地址、 源端口、 目的端口、 协议。 3.如权利要求1所述的网络入侵检测方法， 其特征在于， 将所述预设信 息顺次与交换芯 片存储的白名单信息、 处 理器模块存 储的第一 黑名单信息进行匹配， 以得到匹配结果包括： 如果所述预设信息与所述白名单信息匹配， 输出第一匹配结果， 停止后续匹配动作； 如果所述预设信息不与所述 白名单信息匹配， 且与所述第一黑名单信息匹配， 输出第 二匹配结果。 4.如权利要求1所述的网络入侵检测方法， 其特征在于， 所述交换芯片存储有第 二黑名 单信息， 所述将所述预设信息顺次与 交换芯片存储的白名单信息、 处理器模块存储的第一 黑名单信息进行匹配， 以得到匹配结果包括： 如果所述预设信息与所述白名单信息匹配， 输出第一匹配结果， 停止后续匹配动作； 如果所述预设信息不与所述 白名单信息匹配， 且与所述第二黑名单信息匹配， 输出第 三匹配结果， 停止后续匹配动作； 如果所述预设信 息不与所述白名单信 息和所述第 二黑名单信 息匹配， 且与 所述第一黑 名单信息匹配， 输出第二匹配结果。 5.如权利要求 4所述的网络入侵检测方法， 其特 征在于， 还 包括： 监控所述处理器模块的使用率， 在所述存储器模块的使用率大于预设值时， 将新生成 的黑名单信息存 入所述交换芯片， 以形成所述第二 黑名单信息 。 6.如权利要求3 ‑5任一项所述的网络入侵检测方法， 其特征在于， 根据所述匹配结果， 判断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文， 或 者， 是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据 报文包括： 在所述匹配结果为所述第一匹配结果时， 将所述目标网络会话标记为安全会话， 并通 过所述交换芯片直接转发所述目标网络会话对应的全部网络数据报文； 在所述匹配结果为所述第二匹配结果时， 将所述目标网络会话标记为不安全会话， 并 通过所述处理器模块丢弃 所述目标网络会话对应的全部网络数据报文。 7.如权利要求4或5所述的网络入侵检测方法， 其特征在于， 所述根据 所述匹配结果， 判 断是否通过所述交换芯片直接转发所述目标网络会话请求对应的全部网络数据报文， 或 者， 是否通过所述交换芯片或所述处理器模块丢弃所述目标网络会话对应的全部网络数据 报文包括： 在所述匹配结果为所述第 三匹配结果 时， 通过所述交换芯片丢弃所述目标网络会话对权　利　要　求　书 1/2 页 2 CN 115333853 A 2应的全部网络数据报文。 8.一种网络入侵检测装置， 其特征在于， 该网络入侵检测装置设置有交换芯片和处理 器模块， 包括： 信息提取模块， 设置为响应目标网络会话的会话请求， 接收与所述目标网络会话对应 的网络数据报文， 并提取 所述网络数据报文的预设信息； 前置匹配模块， 设置为将所述预设信息顺次与交换芯片存储的白名单信息、 处理器模 块存储的第一 黑名单信息进行匹配， 以得到匹配结果； 前置处理模块， 设置为根据所述匹配结果， 判断是否通过所述交换芯片直接转发所述 目标网络会话请求对应的全部网络数据报文， 或者， 是否通过所述交换芯片或所述处理器 模块丢弃 所述目标网络会话对应的全部网络数据报文。 9.一种电子设备， 其特 征在于， 包括： 存储器； 以及 耦合到所述存储器的处理器， 所述处理器被配置为基于存储在所述存储器中的指令， 执行如权利要求1 ‑7任一项所述的网络入侵检测方法。 10.一种计算机可读存储介质， 其上存储有程序， 该程序被处理器执行时实现如权利要 求1‑7任一项所述的网络入侵检测方法。权　利　要　求　书 2/2 页 3 CN 115333853 A 3