(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211022536.4 (22)申请日 2022.08.25 (71)申请人 青岛远洋船员职业学院 地址 266000 山东省青岛市黄岛区海 军路 1166号 (72)发明人 王晓　唐洪鹏　潘淑芬　 (74)专利代理 机构 东营辛丁知联专利代理事务 所(普通合伙) 37334 专利代理师 罗文远 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种计算机网络安全 入侵检测系统 (57)摘要 本发明公开了一种计算机网络安全入侵检 测系统， 涉及网络安全入侵检测技术领域， 解决 了现有技术中， 无法将计算机网络内的安全参考 阈值进行控制， 以至于漏警率和虚警率增加的技 术问题， 将计算机网络与对应用户进行特征轮廓 搭建， 提高计算机网络的运行效率以及对应用户 的使用质量， 同时根据搭建的特征轮廓有利于提 高安全入侵检测的准确性， 间接保护用户的数据 同时降低计算机网络的故障风险； 将计算机网络 内安全参考阈值进行设定控制， 防止阈值过大导 致漏警率增加， 同时防止阈值过小导致虚警率过 高， 准确的控制安全参考阈值有利于提高计算机 网络的安全检测 力度， 增强计算机网络的工作效 率。 权利要求书2页 说明书6页 附图1页 CN 115333849 A 2022.11.11 CN 115333849 A 1.一种计算机网络安全 入侵检测系统， 其特 征在于， 包括 服务器， 服务器连接有： 特征轮廓搭建单元， 用于将计算机网络与对应用户进行特征轮廓搭建， 获取到计算机 的网络特征轮廓和用户特征轮廓， 且在计算机网络内网络特征轮廓与各个用户的用户特征 轮廓均适配， 且网络特 征轮廓针对不同的用户特 征轮廓， 其网络特 征轮廓不相同； 参考阈值设定控制单元， 用于将计算机网络内安全参考阈值进行设定控制， 将各个用 户对应用户特征轮廓与对应网络特征轮廓完成搭建后， 将匹配合格的用户特征轮廓和网络 特征轮廓形成运行闭环， 将运行闭环进行分析并生成阈值重设定信号和阈值满足信号， 并 将发送至服 务器； 试入侵预警分析单元， 用于将当前计算机网络进行入侵模拟， 通过计算机网络入侵模 拟判断计算机网络内各个部位异常运行时影响的参数， 通过分析生成网络安全策略、 入侵 标签以及实时入侵类型， 并将其发送至服 务器； 实时入侵检测单元， 用于将实时运行的计算机网络进行实时入侵检测， 通过分析将网 络运行参数进行维护和预警。 2.根据权利要求1所述的一种计算机网络安全入侵检测系统， 其特征在于， 特征轮廓搭 建单元的运行 过程如下： 在计算机网络与用户进行通讯连接时， 将其通讯过程进行分析， 根据用户登录至计算 机网络的执行操作进行分析， 若用户对应执行操作频率超过执行频率阈值， 则将对应执行 操作标记为计入执行； 若用户对应执行操作频率未超过执行频率阈值， 则将对应执行操作 标记为非计入执 行； 将通讯过程中用户的计入执行以执行顺序汇总， 构建用户特征轮廓， 并采集到用户特 征轮廓内计入执行的执行特征， 执行特征表示为用户登录至计算机网络后对应执行操作的 频率、 耗时； 用户特征轮廓表 示为用户对应计入执行通过执行顺序组合后的浏览流程， 且包 括各个计入执行的执行特征； 根据对应用户特征轮廓执行时， 计算机网络内响应操作进行分析， 若计算机网络内响 应操作的出现概率超过概率阈值， 则将对应响应操作标记为计入响应； 若计算机网络内响 应操作的出现概率未超过概率阈值， 则将对应响应操作标记为非计入响应； 根据用户特征 轮廓顺序， 将计算机网络对应的计入响应进行排序， 并将对应顺序的计入响应的响应特征 进行采集， 在响应特征完成采集后构建网络特征轮廓， 响应特征表示为计算机网络针对用 户执行操作的响应时长、 通过率。 3.根据权利要求1所述的一种计算机网络安全入侵检测系统， 其特征在于， 参考阈值设 定控制单 元的运行 过程如下： 将运行闭环内用户执行特征和网络响应特征进行分析， 若用户执行特征或者网络响应 特征对应参数 数值浮动， 则将其标记为 运行闭环的更新； 采集到运行闭环更新过程中用户执行特征浮动时刻与网络响应特征的浮动时刻对应 缓冲时长以及用户执行特征浮动与网络响应特征浮动不成比例的频率， 并将其分别与缓冲 时长阈值和不成比例频率阈值进行比较： 若运行闭环更新过程中用户执行特征浮动时刻与网络响应特征的浮动 时刻对应缓冲 时长超过缓冲时长阈值， 或者用户执行特征浮动与网络响应特征浮动不成比例的频率超过 不成比例频率阈值， 则判定网络安全参考阈值需重新设定， 生成阈值重设定信号并将 阈值权　利　要　求　书 1/2 页 2 CN 115333849 A 2重设定信号 发送至服务器； 若运行闭环更新过程中用户执行特征浮动时刻与网络响应特征 的浮动时刻对应缓冲时长未超过缓冲时长阈值， 且用户执行特征浮动与网络响应特征浮动 不成比例的频率未超过不成比例频率阈值， 则判定网络安全参考阈值满足， 生成阈值满足 信号并将阈值满足信号发送至服 务器。 4.根据权利要求1所述的一种计算机网络安全入侵检测系统， 其特征在于， 试入侵预警 分析单元的运行 过程如下： 将计算机网络当前所有 网络接入设备进行通讯连接断开， 并设置试连接设备接入计算 机网络， 若计算机网络数据输至试连接 设备， 则无法将数据进 行传输； 将 计算机网络仅连接 试连接设备时的实时网络运行参数进行获取， 并在试连接设备的执行满足时， 将对应实时 网络运行参数 标记为合格参数， 实时网络运行参数表示 为网络的网速、 响应时长； 根据硬件设备和网络设备的模拟 故障设置故障时间段， 采集到故障时间段内实时网络 运行参数对应数值浮动时刻以及对应数值浮动频率， 将对应数值浮动频率超过浮动频率阈 值的实时网络运行参数类型设置入侵标签， 并将对应入侵标签与实时入侵类型进行绑定， 并将其发送至服务器； 将带有入侵标签的实时网络运行参数标记为影响参数， 根据影响参 数对计算机网络的合格参数进行筛分， 将完成筛分后的合格参数标记为网络安全策略， 并 将网络安全策略发送至服 务器； 网络安全策略表示 为网络运行参数的合格阈值范围。 5.根据权利要求1所述的一种计算机网络安全入侵检测系统， 其特征在于， 实时入侵检 测单元的运行 过程如下： 将设置有入侵标签的网络运行参数作为优先监测参数， 若优先监测参数对应数值未处 于网络安全策略， 则将对应优先监测参数对应的实时入侵类型作为当前入侵类型， 并将当 前入侵类型进 行整顿的同时将当前入侵类型对应的影响参数进行控制； 当优先监测参数对 应数值处于网络安全策略时， 若优先监测参数数值与网络安全策略内范围阈值差值缩短速 度超过缩短速度阈值， 则将对应优先监测参数作为实时预警参数， 同时将优先监测 参数对 应入侵类型的影响参数进行监控。权　利　要　求　书 2/2 页 3 CN 115333849 A 3