一种网络入侵检测方法及装置与流程

本发明涉及信息安全技术领域，更具体地说，涉及一种网络入侵检测方法及装置。

背景技术：

随着计算机及网络系统中存储的重要信息越来越多，系统的安全问题日益严重，需要找到更好的措施来保护系统免受入侵者的攻击。NIDS(Network Intrusion Detection System，网络入侵检测系统)是继“防火墙”和“数据加密”等传统安全保护措施之后又一项重要的安保技术。

NIDS可分为误用检测系统和异常检测系统，而误用检测系统是目前主流的安保系统。误用检测系统预先建立入侵特征数据库，检测时将获取的网络流量与入侵特征进行模式匹配来判断是否发生了入侵。虽然该系统具有低误报率的优点，但是由于无法检测尚未提取特征的入侵行为，因此误用检测结果的准确性较低。

有鉴于此，如何解决提高误用检测结果的准确性，已经成为现阶段本领域技术人员亟需解决的问题。

技术实现要素：

有鉴于此，本发明提供一种网络入侵检测方法及装置，以解决现有的技术方案中误用检测结果的准确性较低的问题。技术方案如下：

一种网络入侵检测方法，包括：

基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，所述误用检测配置信息包括入侵特征数据库及误用检测准确率，所述分类器检测配置信息包括分类器及分类器检测准确率；

根据所述误用检测准确率和所述分类器检测准确率，计算误用检测权重值和分类器检测权重值；

基于所述第一判断值、所述第二判断值、所述误用检测权重值和所述分类器检测权重值，计算表征同时检测结果的权值；

比较所述权值和第一阈值，并依据比较结果生成表征所述同时检测结果的提示信息。

优选的，所述基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，之前，还包括：更新所述误用检测配置信息。

优选的，所述更新所述误用检测配置信息，包括：

基于所述入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果；

依据用户输入的第一结果修正信息更新所述当前误用检测结果；

判断当前时间点是否在设定时间内；

若是，返回执行所述基于所述入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果，这一步骤；

若否，基于各个所述当前误用检测结果对所述入侵特征数据库和所述误用检测准确率进行更新。

优选的，所述基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，之前，还包括：基于各个所述当前误用检测结果对所述分类器检测配置信息进行更新。

优选的，所述基于各个所述当前误用检测结果对所述分类器检测配置信息进行更新，包括：

依据设定划分比例将各个所述当前误用检测结果划分为训练样本和测试样本；

基于所述训练样本对所述分类器进行训练，更新所述分类器；

基于所述测试样本对更新后分类器进行校验，并计算更新后分类器的准确率；

判断所述更新后分类器的准确率是否小于第二阈值；

若是，返回执行所述基于所述入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果，这一步骤；

若否，将所述更新后分类器的准确率确定为所述分类器检测准确率。

优选的，所述比较所述权值和第一阈值，并依据比较结果生成表征所述同时检测结果的提示信息，之后，还包括：

依据用户输入的第二结果修正信息对所述分类器进行训练，并更新所述分类器检测配置信息。

一种网络入侵检测装置，包括：检测模块、权重值计算模块、权值计算模块和提示信息生成模块；

所述检测模块，用于基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，所述误用检测配置信息包括入侵特征数据库及误用检测准确率，所述分类器检测配置信息包括分类器及分类器检测准确率；

所述权重值计算模块，用于根据所述误用检测准确率和所述分类器检测准确率，计算误用检测权重值和分类器检测权重值；

所述权值计算模块，用于基于所述第一判断值、所述第二判断值、所述误用检测权重值和所述分类器检测权重值，计算表征同时检测结果的权值；

所述提示信息生成模块，用于比较所述权值和第一阈值，并依据比较结果生成表征所述同时检测结果的提示信息。

优选的，所述检测模块之前，还包括：第一更新模块；

所述第一更新模块用于更新所述误用检测配置信息。

优选的，所述第一更新模块包括：误用检测单元、修正单元、第一判断单元和更新单元；

所述误用检测单元，用于基于所述入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果；

所述修正单元，用于依据用户输入的第一结果修正信息更新所述当前误用检测结果；

所述第一判断单元，用于判断当前时间点是否在设定时间内；若是，触发所述误用检测单元；若否，触发所述更新单元；

所述更新单元，用于基于各个所述当前误用检测结果对所述入侵特征数据库和所述误用检测准确率进行更新。

优选的，所述检测模块之前，还包括：第二更新模块；

所述第二更新模块，用于基于各个所述当前误用检测结果对所述分类器检测配置信息进行更新。

优选的，所述第二更新模块包括：样本划分单元、训练单元、校验计算单元、第二判断单元和确定单元；

所述样本划分单元，用于依据设定划分比例将各个所述当前误用检测结果划分为训练样本和测试样本；

所述训练单元，用于基于所述训练样本对所述分类器进行训练，更新所述分类器；

所述校验计算单元，用于基于所述测试样本对更新后分类器进行校验，并计算更新后分类器的准确率；

所述第二判断单元，用于判断所述更新后分类器的准确率是否小于第二阈值；若是，触发所述误用检测单元；若否，触发所述确定单元；

所述确定单元，用于将所述更新后分类器的准确率确定为所述分类器检测准确率。

优选的，所述提示信息生成模块之后，还包括：训练更新模块；

所述训练更新模块，用于依据用户输入的第二结果修正信息对所述分类器进行训练，并更新所述分类器检测配置信息。

相较于现有技术，本发明实现的有益效果为：

以上本发明提供的一种网络入侵检测方法及装置，该方法包括：基于误用检测配置信息中的入侵特征数据库和分类器检测配置信息中的分类器，对网络流量数据同时进行误用检测和分类器检测，得到表征各自检测结果的判断值；根据误用配置信息中的误用检测准确率和分类器检测配置信息中的分类器准确率，可计算在同时检测中误用检测和分类器检测各自的权重值，即准确率越高，权重值越大；根据表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值，以及各自的权重值，可以得到同时检测的权值，(例如，假定判断值1表示对网络数据流量的检测结果为攻击流量数据，判断值0表示对网络数据流量的检测结果为正常流量数据，那么，权值越接近1就表示同时检测的结果越接近攻击流量数据)；通过比较权值与第一阈值，生成表征同时检测结果的提示信息(例如，假定权值为0.7，第一阈值为0.5，由于权值高于第一阈值，就生成表征同时检测结果为攻击流量数据的提示信息，对分析人员进行提醒)。进一步的，还可以通过更新误用检测配置信息和分类器检测配置信息提高同时检测的准确率。

由此可见，本发明通过将误用检测与分类器检测相结合，构建了一套双模式检测方法及装置，实现了对网络流量数据同时检测，通过计算误用检测和分类器检测的权重值，实现了网络流量数据进行同时检测结果的量化，解决了单一检测技术的缺陷，提高了网络入侵检测的准确率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例一公开的一种网络入侵检测方法流程图；

图2为本发明实施例二公开的一种网络入侵检测方法流程图；

图3为本发明实施例二公开的另一种网络入侵检测方法部分流程图；

图4为本发明实施例二公开的另一种网络入侵检测方法流程图；

图5为本发明实施例二公开的另一种网络入侵检测方法部分流程图；

图6为本发明实施例二公开的另一种网络入侵检测方法流程图；

图7为本发明实施例三公开的一种网络入侵检测装置结构示意图；

图8为本发明实施例四公开的一种网络入侵检测装置结构示意图；

图9为本发明实施例四公开的另一种网络入侵检测装置部分结构示意图；

图10为本发明实施例四公开的另一种网络入侵检测装置结构示意图；

图11为本发明实施例四公开的另一种网络入侵检测装置部分结构示意图；

图12为本发明实施例四公开的另一种网络入侵检测装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明实施例一公开了一种网络入侵检测方法，应用于网络入侵检测装置，方法流程图如图1所示，该网络入侵检测方法包括：

S101，基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，误用检测配置信息包括入侵特征数据库及误用检测准确率，分类器检测配置信息包括分类器及分类器检测准确率；

在执行步骤S101的过程中，通过将提取到的网络流量数据的特征与入侵特征数据库进行匹配，得到误用检测结果，(若能匹配上，则误用检测结果是网络流量数据为攻击流量数据；若不能匹配上，则误用检测结果是网络流量数据为正常流量数据)；通过对网络流量数据进行分类器检测，可得到分类器检测结果；

误用检测结果和分类器检测结果均可用判断值表示，其中，判断值为0或1。例如，假定判断值1表示网络数据流量为攻击流量数据的检测结果，判断值0表示网络数据流量为正常流量数据的检测结果(当然，也可用判断值1表示网络数据流量为正常流量数据的检测结果，判断值0表示网络数据流量为攻击流量数据的检测结果)，可根据实际需求进行选择性设置。

S102，根据误用检测准确率和分类器检测准确率，计算误用检测权重值和分类器检测权重值；

在执行步骤S102的过程中，根据误用检测准确率和分类器检测准确率计算同时检测中各自的权重值，准确率越高，权重值也就越大，这就保证了同时检测的准确性；

可选的，假设误用检测准确率为c和分类器检测准确率为d，则误用检测权重值为f＝c/c+d和分类器检测权重值为g＝d/c+d。

S103，基于第一判断值、第二判断值、误用检测权重值和分类器检测权重值，计算表征同时检测结果的权值；

在执行步骤S103的过程中，通过计算权值将可将同时检测结果进行量化，例如，假定判断值1表示网络数据流量为攻击流量数据的检测结果，判断值0表示网络数据流量为正常流量数据的检测结果，那么权值越接近1表示该网络流量数据为攻击流量数据的可能性就越大。

可选的，假设第一判断值为a、第二判断值为b、误用检测权重值为f和分类器检测权重值为g，则表征同时检测结果的权值为e＝a*f+b*g。

S104，比较权值和第一阈值，并依据比较结果生成表征同时检测结果的提示信息；

在执行步骤S104的过程中，通过对比权值与第一阈值，可判断该网络流量数据是否为攻击流量数据，例如，权值为0.5，第一阈值为0.7，由于权值小于第一阈值，则判定该网络流量数据为正常流量数据，生成相应的提示信息。

需要说明的是，提示信息包括但不局限于文字、嗡鸣或彩灯，可根据实际需要进行设置。

本实施例公开的一种网络入侵检测方法，包括：基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征各自检测结果的判断值；根据误用检测准确率和分类器检测准确率可计算误用检测和分类器检测各自的权重值，即准确率越高，权重值越大；根据表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值以及各自的权重值，可以得到表征同时检测检测的权值；依据权值与第一阈值的比较结果，生成表征同时检测结果的提示信息。基于本发明实施例公开的网络入侵检测方法，实现了对网络流量数据同时检测，解决了单一检测技术的缺陷，提高了网络入侵检测的准确率，也减少了分析人员的工作量。

实施例二

结合上述本发明实施例一公开的网络入侵检测方法和附图1，本发明实施例二提供了一种网络入侵检测方法，方法流程图如图2所示，该网络入侵检测方法包括：

S201，更新误用检测配置信息；

需要说明的是，误用检测配置信息中的入侵特征数据库可以为预先设置好的，也可以在对网络流量数据进行同时检测之前，对预先设置好的入侵特征数据库进行更新，通过增加入侵特征数据库中的特征提高误用检测准确率，相应的也就可以提高同时检测的准确率。

S101，基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，误用检测配置信息包括入侵特征数据库及误用检测准确率，分类器检测配置信息包括分类器及分类器检测准确率；

S102，根据误用检测准确率和分类器检测准确率，计算误用检测权重值和分类器检测权重值；

S103，基于第一判断值、第二判断值、误用检测权重值和分类器检测权重值，计算表征同时检测结果的权值；

S104，比较权值和第一阈值，并依据比较结果生成表征同时检测结果的提示信息。

还需要说明的是，在本发明实施二公开的网络入侵检测方法中，步骤S101～步骤S104的执行过程与上述实施例一的步骤S101～步骤S104一致，在此不再赘述，请参见本发明实施例一公开的部分。

本发明实施例公开的网络入侵检测方法，通过对误用检测配置信息进行更新，增加了入侵特征数据库中特征，从而提高了误通检测准确率，这就进一步提高了对网络流量数据进行同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合本发明实施例二公开的网络入侵检测方法和附图2，本发明实施例还提供一种网络入侵检测方法，其中，步骤S201更新误用检测配置信息的具体执行过程，如图3所示，包括如下步骤：

S2011，基于入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果；

在执行步骤S2011的过程中，基于入侵特征数据库，对设定时间内的网络流量数据进行误用检测，通过将提取到的当前网络流量数据的特征与入侵特征数据库进行匹配，即可得到当前误用检测结果；

S2012，依据用户输入的第一结果修正信息更新当前误用检测结果；

在执行步骤S2012的过程中，用户(即分析人员)对当前误用检测结果判断是否则正确，若不正确，则对当前误用检测结果进行修正并更新当前误用检测结果。

S2013，判断当前时间点是否在设定时间内；若是，返回执行步骤S2011；若否，执行步骤S2014；

S2014，基于各个当前误用检测结果对入侵特征数据库和误用检测准确率进行更新；

在执行步骤S2014的过程中，将更新的当前误用检测结果存储于入侵特征数据库，实现了对入侵特征数据库的更新，误用检测准确率也会相应更新。

本发明实施例公开的网络入侵检测方法，通过对误用检测配置信息进行更新，增加了入侵特征数据库中特征，从而提高了误通检测准确率，这就进一步提高了对网络流量数据进行同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合上述本发明实施例二公开的网络入侵检测方法和附图3，本发明实施例还提供了一种网络入侵检测方法，方法流程图如图4所示，该网络入侵检测方法包括：

S2011，基于入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果；

S2012，依据用户输入的第一结果修正信息更新当前误用检测结果；

S2013，判断当前时间点是否在设定时间内；若是，返回执行步骤S2011；若否，执行步骤S2014；

S2014，基于各个当前误用检测结果对入侵特征数据库和误用检测准确率进行更新；

S401，基于各个当前误用检测结果对分类器检测配置信息进行更新；

需要说明的是，分类器检测配置信息中的分类器可以为预先设置好的，也可以在对网络流量数据进行同时检测之前，对预先设置好的分类器进行训练，这就提高了分类器检测准确率，相应的，也就提高了同时检测的准确率。

S101，基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，误用检测配置信息包括入侵特征数据库及误用检测准确率，分类器检测配置信息包括分类器及分类器检测准确率；

S102，根据误用检测准确率和分类器检测准确率，计算误用检测权重值和分类器检测权重值；

S103，基于第一判断值、第二判断值、误用检测权重值和分类器检测权重值，计算表征同时检测结果的权值；

S104，比较权值和第一阈值，并依据比较结果生成表征同时检测结果的提示信息。

在本发明实施二公开的网络入侵检测方法中，步骤S101～步骤S104的执行过程与上述实施例一的步骤S101～步骤S104一致，步骤S2011～S2014的执行过程与上述实施例二的步骤S2011～S2014一致，在此不再赘述，请参见本发明实施例一和实施例二公开的部分。

本发明实施例公开的网络入侵检测方法，基于误用检测配置信息更新过程中的检测结果，对分类器进行训练，解决了分类器训练样本难以采集的问题，并且在误用检测准确率提高的同时提高了分类器检测准确率，相应的也就提高了同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合本发明实施例二公开的网络入侵检测方法和附图4，本发明实施例还提供了一种网络入侵检测方法，其中，步骤S401，基于各个当前误用检测结果对分类器检测配置信息进行更新的具体执行过程，如图5所示，包括如下步骤：

S4011，依据设定划分比例将各个当前误用检测结果划分为训练样本和测试样本；

S4012，基于训练样本对分类器进行训练，更新分类器；

S4013，基于测试样本对更新后分类器进行校验，并计算更新后分类器的准确率；

S4014，判断更新后分类器的准确率是否小于第二阈值；若是，返回步骤S2011；若否，执行步骤S4015；

S4015，将更新后分类器的准确率确定为分类器检测准确率。

本发明实施例公开的网络入侵检测方法，基于误用检测配置信息更新过程中的检测结果，对分类器进行训练，解决了分类器训练样本难以采集的问题，并且在误用检测准确率提高的同时提高了分类器检测准确率，相应的也就提高了同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合上述本发明实施例一公开的网络入侵检测方法和附图1，本发明实施例二还提供了一种网络入侵检测方法，方法流程图如图6所示，该网络入侵检测方法包括：

S101，基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，误用检测配置信息包括入侵特征数据库及误用检测准确率，分类器检测配置信息包括分类器及分类器检测准确率；

S102，根据误用检测准确率和分类器检测准确率，计算误用检测权重值和分类器检测权重值；

S103，基于第一判断值、第二判断值、误用检测权重值和分类器检测权重值，计算表征同时检测结果的权值；

S104，比较权值和第一阈值，并依据比较结果生成表征同时检测结果的提示信息；

S105，依据用户输入的第二结果修正信息对分类器进行训练，并更新分类器检测配置信息。

在执行步骤S105的过程中，用户(即分析人员)对进行提示的同时检测结果进行误报或漏报判断，对同时检测结果进行修正，使得系统依据修正信息继续对分类器进行训练。

本发明实施例公开的网络入侵检测方法，通过将用户输入的第二结果修正信息用于对分类器进行训练，提高分类器检测准确率，实现了无需升级入侵特征数据库仍然可以提升检测结果准确率，不仅解决了单一检测技术的缺陷，减少了分析人员的工作量，而且消除了频繁升级入侵特征数据库带来的不便。

实施例三

基于上述本发明各实施例公开的网络入侵检测方法，本实施例三则对应提供了执行上述网络入侵检测方法的网络入侵检测装置，其结构示意图如图7所示，网络入侵检测装置500包括：检测模块501、权重值计算模块502、权值计算模块503和提示信息生成模块504；

检测模块501，用于基于误用检测配置信息和分类器检测配置信息，对网络流量数据同时进行误用检测和分类器检测，得到表征误用检测结果的第一判断值和表征分类器检测结果的第二判断值；其中，误用检测配置信息包括入侵特征数据库及误用检测准确率，分类器检测配置信息包括分类器及分类器检测准确率；

权重值计算模块502，用于根据误用检测准确率和分类器检测准确率，计算误用检测权重值和分类器检测权重值；

权值计算模块503，用于基于第一判断值、第二判断值、误用检测权重值和分类器检测权重值，计算表征同时检测结果的权值；

提示信息生成模块504，用于比较权值和第一阈值，并依据比较结果生成表征同时检测结果的提示信息。

基于本发明实施例公开的网络入侵检测装置，实现了对网络流量数据同时检测，解决了单一检测技术的缺陷，提高了网络入侵检测的准确率，也减少了分析人员的工作量。

实施例四

结合本发明实施例三公开的网络入侵检测装置和图7，本实施例四提供了一种网络入侵检测装置，其结构示意图如图8所示，其中，检测模块501之前，还包括：第一更新模块601；

第一更新模块601，用于更新误用检测配置信息。

本发明实施例公开的网络入侵检测装置，通过对误用检测配置信息进行更新，增加了入侵特征数据库中特征，从而提高了误通检测准确率，这就进一步提高了对网络流量数据进行同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合本发明实施例四公开的网络入侵检测装置和图8，本发明实施例还提供了一种网络入侵检测装置，其中，第一更新模块601的结构示意图如图9所示，第一更新模块601包括：误用检测单元6011、修正单元6012、第一判断单元6013和更新单元6014；

误用检测单元6011，用于基于入侵特征数据库对当前网络流量数据进行误用检测，得到当前误用检测结果；

修正单元6012，用于依据用户输入的第一结果修正信息更新当前误用检测结果；

第一判断单元6013，用于判断当前时间点是否在设定时间内；若是，触发误用检测单元6011；若否，触发更新单元6014；

更新单元6014，用于基于各个当前误用检测结果对入侵特征数据库和误用检测准确率进行更新。

本发明实施例公开的网络入侵检测装置，通过对误用检测配置信息进行更新，增加了入侵特征数据库中特征，从而提高了误通检测准确率，这就进一步提高了对网络流量数据进行同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合本发明实施例四公开的网络入侵检测装置和图9，本发明实施例还提供了一种网络入侵检测装置，其结构示意图如图10所示，其中，检测模块601之前，还包括：第二更新模块701；

第二更新模块701，用于基于各个当前误用检测结果对分类器检测配置信息进行更新。

本发明实施例公开的网络入侵检测装置，基于误用检测配置信息更新过程中的检测结果，对分类器进行训练，解决了分类器训练样本难以采集的问题，并且在误用检测准确率提高的同时提高了分类器检测准确率，相应的也就提高了同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合本发明实施例四公开的网络入侵检测装置和图10，本发明实施例还提供一种网络入侵检测装置，其中，第二更新模块701的结构示意图如图11所示，第二更新模块701包括：样本划分单元7011、训练单元7012、校验计算单元7013、第二判断单元7014和确定单元7015；

样本划分单元7011，用于依据设定划分比例将各个当前误用检测结果划分为训练样本和测试样本；

训练单元7012，用于基于训练样本对所述分类器进行训练，更新分类器；

校验计算单元7013，用于基于测试样本对更新后分类器进行校验，并计算更新后分类器的准确率；

第二判断单元7014，用于判断更新后分类器的准确率是否小于第二阈值；若是，触发误用检测单元6011；若否，触发确定单元7015；

确定单元7015，用于将更新后分类器的准确率确定为分类器检测准确率。

本发明实施例公开的网络入侵检测装置，基于误用检测配置信息更新过程中的检测结果，对分类器进行训练，解决了分类器训练样本难以采集的问题，并且在误用检测准确率提高的同时提高了分类器检测准确率，相应的也就提高了同时检测的准确率，解决了单一检测技术的缺陷，也减少了分析人员的工作量。

结合本发明实施例三公开的网络入侵检测装置和图7，本实施例四还提供一种网络入侵检测装置，其结构示意图如图12所示，其中，提示信息生成模块504之后，还包括：训练更新模块505；

训练更新模块505，用于依据用户输入的第二结果修正信息对分类器进行训练，并更新分类器检测配置信息。

本发明实施例公开的网络入侵检测装置，通过将用户输入的第二结果修正信息用于对分类器进行训练，提高分类器检测准确率，实现了无需升级入侵特征数据库仍然可以提升检测结果准确率，不仅解决了单一检测技术的缺陷，减少了分析人员的工作量，而且消除了频繁升级入侵特征数据库带来的不便。

以上对本发明所提供的一种网络入侵检测方法及装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素，或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。