一种网络入侵检测方法、装置、设备及存储介质与流程

1.本技术涉及互联网通信技术领域，尤其涉及一种网络入侵检测方法、装置、设备及存储介质。


背景技术：

2.随着互联网的发展，大量互联网系统面对的网络入侵也越来越多样化，导致需要大量网络入侵检测规则来进行检测，但用大量网络入侵检测规则进行网络入侵检测带来系统资源消耗大和检测效率的问题。因此，需要提供更可靠或更高效的方案。


技术实现要素：

3.本技术提供了一种网络入侵检测方法、装置、设备及存储介质，可以有效降低系统资源消耗，大大提高网络入侵检测效率。
4.一方面，本技术提供了一种网络入侵检测方法，所述方法包括：
5.获取待检测流量；
6.基于多种数据过滤策略和所述多种数据过滤策略的过滤排序信息对所述待检测流量进行数据过滤，得到过滤后流量数据；所述过滤排序信息为基于所述多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的；
7.确定所述待检测流量对应的多种网络入侵检测规则和所述多种网络入侵检测规则的检测排序信息，所述检测排序信息为基于所述多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的；
8.基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果。
9.另一方面提供了一种网络入侵检测装置，所述装置包括：
10.待检测流量获取模块，用于获取待检测流量；
11.第一数据过滤模块，用于基于多种数据过滤策略和所述多种数据过滤策略的过滤排序信息对所述待检测流量进行数据过滤，得到过滤后流量数据；所述过滤排序信息为基于所述多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的；
12.数据确定模块，用于确定所述待检测流量对应的多种网络入侵检测规则和所述多种网络入侵检测规则的检测排序信息，所述检测排序信息为基于所述多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的；
13.第一网络入侵检测模块，用于基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果。
14.另一方面提供了一种网络入侵检测设备，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的网络入侵检测方法。
15.另一方面提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如上述的网络入侵检测方法。
16.本技术提供的网络入侵检测方法、装置、设备及存储介质，具有如下技术效果：
17.本技术在对待检测流量进行网络入侵检测时，先结合基于多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的过滤排序信息，可以充分的考虑多种数据过滤策略的排序不同，对数据过滤效率和系统性能的影响，大大提高数据过滤效率，且通过预先对待检测流量进行数据过滤，可以有效降低后续网络入侵检测时处理的数据量；然后，结合了基于多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的检测排序信息，可以有效考虑多种网络入侵检测规则的排序不同，对网络入侵检测效率和系统性能的影响，进而有效降低系统资源消耗，大大提高网络入侵检测效率。
附图说明
18.为了更清楚地说明本技术实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。
19.图1是本技术实施例提供的一种应用环境的示意图；
20.图2是本技术实施例提供的一种网络入侵检测方法的流程示意图；
21.图3是本技术实施例提供的一种网络入侵检测方法的流程示意图；
22.图4是本技术实施例提供的一种预先确定过滤排序信息的流程示意图；
23.图5是本技术实施例提供的另一种预先确定过滤排序信息的流程示意图；
24.图6是本技术实施例提供是一种将检测应用与网络入侵检测规则进行映射的示意图；
25.图7是本技术实施例提供的一种预先确定检测排序信息的流程示意图；
26.图8是本技术实施例提供的另一种预先确定检测排序信息的流程示意图；
27.图9是本技术实施例提供的另一种网络入侵检测方法的流程示意图；
28.图10是本技术实施例提供的另一种网络入侵检测方法的流程示意图；
29.图11是本技术实施例提供的一种网络入侵检测装置的结构示意图；
30.图12是本技术实施例提供的一种实现网络入侵检测方法的服务器的硬件结构框图。
具体实施方式
31.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
32.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第
二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
33.请参阅图1，图1是本技术实施例提供的一种应用环境的示意图，如图1所示，该应用环可以包括客户端01、核心交换机02、网关03、服务器04、镜像交换机05和网络入侵检测系统06。
34.在实际应用中，客户端01通过互联网向服务器04发送网络请求(即流量)过程中，会先依次通过核心交换机02和网关03构建的通路连接到服务器04。
35.本说明书实施例中，客户端01包括智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、增强现实(augmented reality，ar)/虚拟现实(virtual reality，vr)设备、智能可穿戴设备等类型的电子设备。也可以包括运行与上述电子设备上的软体。
36.本说明书实施例中，核心交换机02可以包括但不限于以太网交换机、光纤交换机等。
37.本说明书实施例中，网关03可以包括但不限于因特网网关、lan网关。
38.本说明书实施例中，服务器04可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn(content deliverynetwork，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
39.本说明书实施例中，镜像交换机05可以用于从核心交换机02上复制流量；具体的，镜像交换机05可以包括但不限于以太网交换机、光纤交换机等。
40.本说明书实施例中，网络入侵检测系统06可以用于对镜像交换机05复制到的流量进行网络入侵检测。
41.此外，需要说明的是，上述客户端以及服务器间并不仅限于上述无线网络的方式连接通信，还可以通过有线的方式进行连接，本技术在此不做限制。
42.以下介绍本技术一种网络入侵检测方法，图2是本技术实施例提供的一种网络入侵检测方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示，所述方法可以包括：
43.s201：获取待检测流量。
44.本说明书实施例中，待检测流量可以包括需要检测的网络请求，例如http请求。在一个具体的实施例中，获取待检测流量可以包括：复制核心交换机上的流量；将复制的流量作为上述待检测流量。
45.s203：基于多种数据过滤策略和所述多种数据过滤策略的过滤排序信息对所述待
检测流量进行数据过滤，得到过滤后流量数据。
46.在一个可选的实施例中，在基于多种数据过滤策略和所述多种数据过滤策略的过滤排序信息对所述待检测流量进行数据过滤，得到过滤后流量数据之前，如图3所示，上述方法还可以包括：
47.s209：获取所述多种数据过滤策略和所述多种数据过滤策略的过滤排序信息；
48.本说明书实施例中，为了提高网络入侵检测效率和系统资源消耗，可以在入侵检测前对待检测流量进行数据过滤，以过滤一些无需检测的数据。在实际应用中，无需检测的数据类型多种多样，往往需要结合不同的数据过滤策略来进行数据过滤。本说明书实施例中，过滤排序信息为所述过滤排序信息为基于所述多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的。
49.在一个具体的实施例中，上述方法还可以包括预先确定过滤排序信息的步骤，可选的，如图4所示，预先确定过滤排序信息可以包括：
50.s401：获取预设流量；
51.s403：基于所述多种数据过滤策略分别对所述预设流量进行数据过滤，得到每种数据过滤策略对应的过滤结果；
52.s405：将每种数据过滤策略对所述预设流量进行过滤过程中产生的系统资源消耗参数作为每种数据过滤策略对应的系统资源消耗参数；
53.s407：基于所述多种数据过滤策略对应的过滤结果确定每种数据过滤策略对应的过滤参数；
54.s409：根据所述多种数据过滤策略对应的过滤参数和/或系统资源消耗参数确定所述多种数据过滤策略的过滤排序信息。
55.在一个具体的实施例中，多种数据过滤策略可以包括但不限于过滤静态域名策略、过滤静态cgi(common gateway interface，公共网关接口)策略、过滤扫描器策略和过滤不可见编码策略中的至少两种。
56.在实际应用中，静态资源通常使用单独的域名保存，一般的静态资源会放到cdn(content deliverynetwork，内容分发网络)上，通常在cdn上不会运行正常的业务，所以这些部分流量不需要进行网络入侵检测，相应的，将这部分流量过滤掉会大大降低网络入侵检测过程中的系统资源消耗和检测效率。相应的，本说明书实施例中，过滤静态域名策略可以包括去除待检测流量中包含cdn域名的策略。本说明书实施例中，静态资源可以包括但不限于图片，视频，音频，压缩包静态文件等。
57.在实际应用中，并非所以静态资源都会放在cdn域名上，所以也需要通过其他策略来过滤静态资源。一般的，静态资源的请求cgi通常以特定形式出现，如.js,.css,.mp4,.png,.rar,.zip等，所以通过将这些包括特定形式的cgi的待检测流量可以大大降低网络入侵检测过程中的系统资源消耗和检测效率。相应的，本说明书实施例中，过滤静态cgi策略可以包括去除待检测流量中包静态cgl的策略，具体的，静态cgi可以包括但不限于.js,.css,.mp4,.png,.rar,.zip等形式的cgi。
58.在实际应用中，一些企业往往会使用扫描器先自行进行常态化探测扫描，这些扫描探测流量往往会很多，造成资源消耗的浪费，且不会被企业防护墙拉黑(自己的扫描器安全可控，拉黑则无法正常使用)，而且这部分流量会造成大量攻击告警，影响运营效率，相应
的，本说明书实施例中，过滤扫描器策略可以包括去除待检测流量中扫描器产生的扫描探测流量的策略。
59.在实际应用中，待检测流量中有许多加密流量和二进制文件上传流量，这部分流量属于不可见编码，故去除这部分流量对网络入侵检测无影响，但能低网络入侵检测过程中的系统资源消耗和检测效率，相应的，本说明书实施例中，过滤不可见编码策略可以包括去除待检测流量中加密流量和二进制文件上传流量的策略。
60.在实际应用中，不同数据过滤策略在进行数据过滤时，系统资源消耗和过滤性能往往是不一样的，具体的，系统资源消耗可以包括但不限于通过cup消耗量(单位赫兹)、消耗的cup占比等系统资源消耗参数来反映。过滤性能可以包括但不限于通过过滤出的流量占总流量的比例等过滤性能参数来反映。在实际应用中，可以按照一定的频率获取待检测流量，也可以结合实际应用需求触发获取待检测流量的操作。上述待检测流量中可以包括多个网络请求，可选的，总流量可以为待检测流量中网络请求的数量。相应的，某一数据过滤策略过滤出的流量可以为过滤出的流量中的网络请求的数量。
61.在一个可选的实施例中，在根据所述多种数据过滤策略对应的过滤参数确定所述多种数据过滤策略的过滤排序信息的情况下，可以根据多种数据过滤策略对应的过滤参数的数值大小，按照数值大小由大到小对多种数据过滤策略进行排序，以得到过滤排序信息。
62.上述实施例中，结合数据过滤策略对应的过滤参数的数值大小，按照数值大小由大到小对多种数据过滤策略进行排序，以得到过滤排序信息的方式，可以优先由能过滤掉较多流量的数据过滤策略进行数据过滤，相应的，排在后面的数据过滤策略可以对更少的流量进行数据过滤，进而降低系统资源消耗，大大提高数据过滤效率。
63.在一个具体的实施例中，在根据所述多种数据过滤策略对应的系统资源消耗参数确定所述多种数据过滤策略的过滤排序信息的情况下，可以根据多种数据过滤策略对应的系统资源消耗参数的数值大小，按照数值大小由小到大对多种数据过滤策略进行排序，以得到过滤排序信息。
64.上述实施例中，结合数据过滤策略对应的系统资源消耗参数的数值大小，按照数值大小由小到大对多种数据过滤策略进行排序，以得到过滤排序信息的方式，可以在前期消耗较少的系统性能，同时可以先检测出一部分属于网络入侵的流量，使得后续系统资源消耗较大的数据过滤策略可以对较少的流量进行数据过滤，进而降低系统资源消耗，提高数据过滤效率。
65.在根据所述多种数据过滤策略对应的过滤参数和系统资源消耗参数确定所述多种数据过滤策略的过滤排序信息到的情况下，可以确定过滤参数对应的第三权重和系统资源消耗参数对应的第四权重，基于第三权重和第四权重对每种数据过滤策略对应的过滤参数和系统资源消耗参数进行加权处理，得到加权后过滤参数；根据加权后过滤参数的数值大小对多种数据过滤策略进行排序，以得到过滤排序信息。
66.本说明书实施例中，第三权重和第四权重的符号可以相反，第三权重与第四权重的绝对值之和可以为1，第三权重和第四权重的具体数值可以结合实际应用预先设置，在一个具体的实施例中，例如第三权重的绝对值为0.95，第四权重的绝对值为0.05。可选的，当第三权重为正数，第四权重为负数时，根据加权后过滤参数的数值大小对多种数据过滤策略进行排序，以得到过滤排序信息可以包括根据加权后过滤参数的数值大小，按照数值大
小由大到小对多种数据过滤策略进行排序，以得到过滤排序信息。反之，当第三权重为负数，第四权重为正负数时，根据加权后过滤参数的数值大小对多种数据过滤策略进行排序，以得到过滤排序信息可以包括根据加权后过滤参数的数值大小，按照数值大小由小到大对多种数据过滤策略进行排序，以得到过滤排序信息。
67.可选的，当过滤参数与系统资源消耗参数不属于相同量级的数据时，例如，系统资源消耗参数为cup消耗量；过滤性能参数为过滤出的流量占总流量的比例；可以将系统资源消耗参数和过滤性能参数统一到同一数量级，然后结合权重进行加权处理，得到加权后过滤参数。在一个具体的实施例中，例如确定多种数据过滤策略对应的系统资源消耗参数的最大值，将该最大值对应为1，对其他数据过滤策略对应的系统资源消耗参数进行量化。
68.上述实施例中，结合数据过滤策略对应的过滤参数和/或系统资源消耗参数，对数据过滤策略进行排序，以得到相应的过滤排序信息的，可以有效考虑多种数据过滤策略的排序不同，对网络入侵检测效率和系统性能的影响，进而有效降低系统资源消耗，大大提高网络入侵检测效率。
69.本说明书实施例中，为了更好的降低系统资源消耗，提高网络入侵检测效率，可以将多种数据过滤策略进行全排列后，即得到多种数据过滤策略的全部排列组合后，利用全部排列组合依次对预设流量进行数据过滤，并结合每种排列组合对应的系统资源消耗参数和/或过滤性能参数来确定多种数据过滤策略的过滤排序信息，可选的，当结合每种排列组合对应的系统资源消耗参数和确定多种数据过滤策略的过滤排序信息时，可以将系统资源消耗参数最小的一种排列组合对应的排序作为上述检查排序信息。可选的，结合每种排列组合对应的过滤性能参数来确定多种数据过滤策略的过滤排序信息，可以将过滤性能参数最大的一种排列组合对应的排序作为上述检查排序信息。可选的，当结合每种排列组合对应的系统资源消耗参数和/或过滤性能参数来确定多种数据过滤策略的过滤排序信息，可以将每种排列组合对应的加权后过滤参数(加权后过滤参数计算方式可以参见上述相关步骤)来确定种数据过滤策略的过滤排序信息。具体的，当第三权重为正数，第四权重为负数时，可以将加权后过滤参数最大的一种排列组合对应的排序作为上述检查排序信息。反之，当第三权重为负数，第四权重为正负数时，可以将加权后过滤参数最小的一种排列组合对应的排序作为上述检查排序信息。
70.在实际应用中，由于数据过滤策略非常多，将他们进行排序组合会非常多，全部尝试一遍会花费很长的时间。相应的本说明书实施例中，可以结合分治法来确定多个数据过滤策略的过滤排序信息。
71.在另一个可选的实施例中，如图5所示，预先确定过滤排序信息可以包括：
72.s501：获取预设流量和第一预设拆分阈值。
73.本说明书实施例中，第一预设拆分阈值表征单位过滤策略组中数据过滤策略的排列组合量上限。
74.s503：基于所述第一预设拆分阈值对所述多种数据过滤策略进行拆分，得到多个单位过滤策略组；
75.本说明书实施例中，多个可以为至少两个；具体的，基于所述第一预设拆分阈值对所述多种数据过滤策略进行拆分，得到的多个单位过滤策略组包括一定数量个网检络入侵测规则，可选的，每个单位过滤策略组中的数据过滤策略数量可以相同，与也可以不同，但
每个单位过滤策略组中的数据过滤策略数量数量均小于等于第一预设拆分阈值。
76.s505：对每个单位过滤策略组中的数据过滤策略进行全排列组合，得到每个单位过滤策略组对应的多个排列过滤策略集。
77.本说明书实施例中，对每个单位过滤策略组中的数据过滤策略进行全排列组合，得到每个单位过滤策略组对应的多个排列过滤策略集可以为每个单位过滤策略组中数据过滤策略的全部排列组合。每个排列过滤策略集可以包括多个按序排列的数据过滤策略。
78.s507：基于所述多个排列过滤策略集分别对所述预设流量进行数据过滤，确定每个排列过滤策略集对应的系统资源消耗参数和过滤参数。
79.本说明书实施例中，基于所述多个排列过滤策略集分别对所述预设流量进行数据过滤，确定每个排列过滤策略集对应的系统资源消耗参数和过滤参数的具体细化步骤可参见上述确定每个数据过滤策略对应的系统资源消耗参数和过滤参数的具体细化，在此不再赘述。
80.s509：根据每个单位过滤策略组对应的多个排列过滤策略集的过滤参数和/或系统资源消耗参数，确定每个单位过滤策略组对应的目标排列过滤策略集；
81.在一个可选的实施例中，当结合每个单位过滤策略组对应的多个排列过滤策略集对应的系统资源消耗参数来确定多种数据过滤策略的过滤排序信息时，可以将系统资源消耗参数最小的排列过滤策略集作为目标排列过滤策略集。可选的，当结合每个单位过滤策略组对应的多个排列过滤策略集对应的过滤参数来确定多种数据过滤策略的过滤排序信息时，可以将过滤参数最小的排列过滤策略集作为目标排列过滤策略集。可选的，当结合每个单位过滤策略组对应的多个排列过滤策略集对应的过滤参数和系统资源消耗参数来确定多种数据过滤策略的过滤排序信息，可以将结合每个排列过滤策略集的加权后过滤参数(加权后过滤参数计算方式可以参见上述相关步骤)来确定种数据过滤策略的过滤排序信息。具体的，当第三权重为正数，第四权重为负数时，可以将加权后过滤参数最大的排列过滤策略集作为目标排列过滤策略集。反之，当第三权重为负数，第四权重为正负数时，可以将加权后过滤参数最小的排列过滤策略集作为目标排列过滤策略集。
82.s511：基于分治法中的合并子算法对所述多个单位过滤策略组对应的目标排列过滤策略集进行合并，得到所述多个数据过滤策略的过滤排序信息。
83.本说明书实施例中，基于分治法中的合并子算法对所述多个单位过滤策略组对应的目标排列过滤策略集进行合并，得到所述多个数据过滤策略的过滤排序信息可以包括对多个目标排列过滤策略集进行两两合并，在合并时结合上述系统资源消耗参数、或过滤参数，或加权后过滤参数的数值大小对两个目标排列过滤策略集进行组合排序，并对组合排序后得到的排列过滤策略集再上述两两合并，以及结合上述系统资源消耗参数、或过滤参数，或加权后过滤参数的数值大小对两个目标排列过滤策略集进行组合排序的步骤，至当前组合排序后得到的排列过滤策略集的数量为1，将当前组合排序后得到的排列过滤策略集对应的排序作为多个数据过滤策略的过滤排序信息。
84.本说明书实施例中，结合分治法来确定多个数据过滤策略的过滤排序信息，可以大大提高确定过滤排序信息的效率，即使在数据过滤策略非常多的情况下，也可以快速出多个数据过滤策略的过滤排序信息，且上述实施例中，通过对多种数据过滤策略进行全排列，并结合全排列后的排列过滤策略集对应的过滤参数和/或系统资源消耗参数来确定过
滤排序信息，可以充分的考虑多种数据过滤策略的排序不同，对数据过滤效率和系统性能的影响，大大提高数据过滤效率，且通过预先对待检测流量进行数据过滤，可以有效降低后续网络入侵检测时处理的数据量，进而更好的降低系统资源消耗以及提高入侵检测网络效率。
85.s205：确定所述待检测流量对应的多种网络入侵检测规则和所述多种网络入侵检测规则的检测排序信息。
86.在实际应用中，网络攻击的类型多种多样，往往需要结合多种网络入侵检测规则进行网络入侵检测。相应的，本说明书实施例中，待检测流量对应的多种网络入侵检测规则可以包括预先设置在网络入侵检测系统中的网络入侵检测规则。具体的，本说明书实施例中的多种可以为至少两种。
87.在一个可选的实施例中，当需要针对某一特定应用进行网络入侵检测时，在所述复制核心交换机上的流量之后，上述获取待检测流量还可以包括：
88.确定目标检测应用的标识信息；
89.基于所述标识信息对复制的流量进行过滤，得到所述待检测流量。
90.本说明书实施例中，待检测流量中可以往往会包括目标检测应用的标识信息，例如ip地址信息，相应的，结合ip地址信息等目标检测应用的标识信息对复制的流量进行过滤，选取包括目标检测应用的标识信息的流量作为待检测流量。在一个具体的实施例中，如图6所示，图6是本技术实施例提供是一种将检测应用与网络入侵检测规则进行映射的示意图，从图6中可见，可以维护一个检测应用的应用标识(如图中应用a)和流量中包含的应用的标识信息(如ip1)间的映射关系，以及流量中包含的应用的标识信息与网络入侵检测规则间的映射关系。相应的，上述确定所述待检测流量对应的多种网络入侵检测规则可以包括：
91.基于预设映射信息确定与所述目标检测应用对应的目标网络入侵检测规则，所述预设映射信息表征多个检测应用和对应的网络入侵检测规则间的预设关系；
92.将所述目标网络入侵检测规则作为所述多种网络入侵检测规则。
93.本说明书实施例中，检测排序信息为基于所述多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的。
94.在一个具体的实施例中，上述方法还可以包括预先确定检测排序信息的步骤，可选的，如图7所示，预先确定检测排序信息可以包括：
95.s701：获取预设流量；
96.s703：基于所述多种网络入侵检测规则分别对所述预设流量进行网络入侵检测，得到每种网络入侵检测规则对应的入侵检测结果；
97.s705：将每种网络入侵检测规则对所述预设流量进行网络入侵检测过程中产生的系统资源消耗参数作为每种网络入侵检测规则对应的系统资源消耗参数；
98.s707：基于所述多种网络入侵检测规则对应的入侵检测结果确定每种数据网络入侵检测规则对应的检测参数；
99.s709：根据所述多种网络入侵检测规则对应的检测参数和/或系统资源消耗参数确定所述多种网络入侵检测规则的检测排序信息。
100.本说明书实施例中，预设流量可以为历史时间段内的流量数据，可选的，该预设流
量中可以包括属于网络入侵的流量，也可以包括不属于网络入侵的流量。
101.在实际应用中，网络入侵的类型有多种。在一个具体的实施例中，网络入侵的类型可以包括但不限于：木马(这种攻击方式主要是通过向服务器植入木马，开启后面，获取服务器的控制权，恶意破坏服务器文件或盗取服务器数据)、恶意小程序(这类攻击的方式主要存在我们使用的程序上面，它们可以通过入侵修改硬盘上的文件、窃取口令等)、sql注入(sql注入的攻击手段主要是利用后台的漏洞，通过url将关键sql语句带入程序，在数据库中进行破坏)、爬虫攻击(通过自动化工具非法获取源站页面数据或者利用业务逻辑缺陷获得非法业务收益)。相应的，上述多种网络入侵检测规则可以为可以实现对多种网络入侵进行检测的规则。
102.在一个具体的实施例中，每种网络入侵检测规则对应的检查结果可以为属于网络入侵的流量。
103.在实际应用中，不同网络入侵检测规则在进行网络入侵检测时，系统资源消耗和检测性能往往是不一样的，具体的，系统资源消耗可以包括但不限于通过cup消耗量(单位赫兹)、消耗的cup占比等系统资源消耗参数来反映。检测性能可以包括但不限于通过检测出的属于网络入侵的流量占总流量的比例等检测性能参数来反映。在实际应用中，可以按照一定的频率获取待检测流量，也可以结合实际应用需求触发获取待检测流量的操作。相应的，上述待检测流量中可以包括多个网络请求，可选的，总流量可以为待检测流量中网络请求的数量。相应的，某一网络入侵检测规则检测出的属于网络入侵的流量可以为检测出的属于网络入侵的流量中的网络请求的数量。
104.在一个可选的实施例中，在根据所述多种网络入侵检测规则对应的检测参数确定所述多种网络入侵检测规则的检测排序信息的情况下，可以根据多种网络入侵检测规则对应的检测参数的数值大小，按照数值大小由大到小对多种网络入侵检测规则进行排序，以得到检测排序信息。
105.上述实施例中，结合网络入侵检测规则对应的检测参数的数值大小，按照数值大小由大到小对多种网络入侵检测规则进行排序，以得到检测排序信息的方式，可以优先由能检测出较多属于网络入侵的流量的网络入侵检测规则进行网络入侵检测，相应的，排在后面的网络入侵检测规则可以对更少的流量进行网络入侵检测，进而降低系统资源消耗，大大提高网络入侵检测效率。
106.在一个具体的实施例中，在根据所述多种网络入侵检测规则对应的系统资源消耗参数确定所述多种网络入侵检测规则的检测排序信息的情况下，可以根据多种网络入侵检测规则对应的系统资源消耗参数的数值大小，按照数值大小由小到大对多种网络入侵检测规则进行排序，以得到检测排序信息。
107.上述实施例中，结合网络入侵检测规则对应的系统资源消耗参数的数值大小，按照数值大小由小到大对多种网络入侵检测规则进行排序，以得到检测排序信息的方式，可以在前期消耗较少的系统性能，同时可以先检测出一部分属于网络入侵的流量，使得后续系统资源消耗较大的网络入侵检测规则可以对较少的流量进行网络入侵检测，进而降低系统资源消耗，提高网络入侵检测效率。
108.在根据所述多种网络入侵检测规则对应的检测参数和系统资源消耗参数确定所述多种网络入侵检测规则的检测排序信息到的情况下，可以确定检测参数对应的第一权重
和系统资源消耗参数对应的第二权重，基于第一权重和第二权重对每种网络入侵检测规则对应的检测参数和系统资源消耗参数进行加权处理，得到加权后检测参数；根据加权后检测参数的数值大小对多种网络入侵检测规则进行排序，以得到检测排序信息。
109.本说明书实施例中，第一权重和第二权重的符号可以相反，第一权重与第二权重的绝对值之和可以为1，第一权重和第二权重的具体数值可以结合实际应用预先设置，在一个具体的实施例中，例如第一权重的绝对值为0.95，第二权重的绝对值为0.05。可选的，当第一权重为正数，第二权重为负数时，根据加权后检测参数的数值大小对多种网络入侵检测规则进行排序，以得到检测排序信息可以包括根据加权后检测参数的数值大小，按照数值大小由大到小对多种网络入侵检测规则进行排序，以得到检测排序信息。反之，当第一权重为负数，第二权重为正负数时，根据加权后检测参数的数值大小对多种网络入侵检测规则进行排序，以得到检测排序信息可以包括根据加权后检测参数的数值大小，按照数值大小由小到大对多种网络入侵检测规则进行排序，以得到检测排序信息。
110.可选的，当检测参数与系统资源消耗参数不属于相同量级的数据时，例如，系统资源消耗参数为cup消耗量；检测性能参数为检测出的属于网络入侵的流量占总流量的比例；可以将系统资源消耗参数和检测性能参数统一到同一数量级，然后结合权重进行加权处理，得到加权后检测参数。在一个具体的实施例中，例如确定多种网络入侵检测规则对应的系统资源消耗参数的最大值，将该最大值对应为1，对其他网络入侵检测规则对应的系统资源消耗参数进行量化。
111.上述实施例中，结合网络入侵检测规则对应的检测参数和/或系统资源消耗参数，对网络入侵检测规则进行排序，以得到相应的检测排序信息的，可以有效考虑多种网络入侵检测规则的排序不同，对网络入侵检测效率和系统性能的影响，进而有效降低系统资源消耗，大大提高网络入侵检测效率。
112.本说明书实施例中，为了更好的降低系统资源消耗，提高网络入侵检测效率，可以将多种网络入侵检测规则进行全排列后，即得到多种网络入侵检测规则的全部排列组合后，利用全部排列组合依次对预设流量进行网络入侵检测，并结合每种排列组合对应的系统资源消耗参数和/或检测性能参数来确定多种网络入侵检测规则的检测排序信息，可选的，当结合每种排列组合对应的系统资源消耗参数和确定多种网络入侵检测规则的检测排序信息时，可以将系统资源消耗参数最小的一种排列组合对应的排序作为上述检查排序信息。可选的，结合每种排列组合对应的检测性能参数来确定多种网络入侵检测规则的检测排序信息，可以将检测性能参数最大的一种排列组合对应的排序作为上述检查排序信息。可选的，当结合每种排列组合对应的系统资源消耗参数和/或检测性能参数来确定多种网络入侵检测规则的检测排序信息，可以将每种排列组合对应的加权后检测参数(加权后检测参数计算方式可以参见上述相关步骤)来确定种网络入侵检测规则的检测排序信息。具体的，当第一权重为正数，第二权重为负数时，可以将加权后检测参数最大的一种排列组合对应的排序作为上述检查排序信息。反之，当第一权重为负数，第二权重为正负数时，可以将加权后检测参数最小的一种排列组合对应的排序作为上述检查排序信息。
113.在实际应用中，由于网络入侵的类型非常多，相应的网络入侵检测规则也非常多，将他们进行排序组合会非常多，全部尝试一遍会花费很长的时间。相应的本说明书实施例中，可以结合分治法来确定多个网络入侵检测规则的检测排序信息。
114.在另一个可选的实施例中，如图8所示，预先确定检测排序信息可以包括：
115.s801：获取预设流量和第二预设拆分阈值。
116.本说明书实施例中，第二预设拆分阈值可以表征单位检测规则组中网络入侵检测规则的排列组合量上限。
117.s803：基于所述第二预设拆分阈值对所述多种网检络入侵测规则进行拆分，得到多个单位检测规则组；
118.本说明书实施例中，多个可以为至少两个；具体的，基于所述第二预设拆分阈值对所述多种网检络入侵测规则进行拆分，得到的多个单位检测规则组可以包括一定数量个网检络入侵测规则，可选的，每个单位检测规则组中的网检络入侵测规则数量可以相同，与也可以不同，但每个单位检测规则组中的网检络入侵测规则数量均小于等于第二预设拆分阈值。
119.s805：对每个单位检测规则组中的网络入侵检测规则进行全排列组合，得到每个单位检测规则组对应的多个排列检测规则集；
120.本说明书实施例中，对每个单位检测规则组中的网络入侵检测规则进行全排列组合，得到每个单位检测规则组对应的多个排列检测规则集可以为每个单位检测规则组中网络入侵检测规则的全部排列组合。每个排列过滤策略集可以包括多个按序排列的网络入侵检测规则。
121.s807：基于所述多个排列检测规则集分别对所述预设流量进行网络入侵检测，确定每个排列检测规则集对应的系统资源消耗参数和检测参数；
122.本说明书实施例中，基于所述多个排列检测规则集分别对所述预设流量进行网络入侵检测，确定每个排列检测规则集对应的系统资源消耗参数和检测参数的具体细化步骤可参见上述确定每个网络入侵检测规则对应的系统资源消耗参数和检测参数的具体细化，在此不再赘述。
123.s809：根据每个单位检测规则组对应的多个排列检测规则集对应的检测参数和/或系统资源消耗参数，确定每个单位检测规则组对应的目标排列检测规则集。
124.在一个可选的实施例中，当结合每个单位检测规则组对应的多个排列检测规则集对应的系统资源消耗参数来确定多种网络入侵检测规则的检测排序信息时，可以将系统资源消耗参数最小的排列检测规则集作为目标排列检测规则集。可选的，当结合每个单位检测规则组对应的多个排列检测规则集对应的检测参数来确定多种网络入侵检测规则的检测排序信息时，可以将检测参数最小的排列检测规则集作为目标排列检测规则集。可选的，当结合每个单位检测规则组对应的多个排列检测规则集对应的检测参数和系统资源消耗参数来确定多种网络入侵检测规则的检测排序信息，可以将结合每个排列检测规则集的加权后检测参数(加权后检测参数计算方式可以参见上述相关步骤)来确定种网络入侵检测规则的检测排序信息。具体的，当第一权重为正数，第二权重为负数时，可以将加权后检测参数最大的排列检测规则集作为目标排列检测规则集。反之，当第一权重为负数，第二权重为正负数时，可以将加权后检测参数最小的排列检测规则集作为目标排列检测规则集。
125.s811：基于分治法中的合并子算法对所述多个单位检测规则组对应的目标排列检测规则集进行合并，得到所述多个网络入侵检测规则的检测排序信息。
126.本说明书实施例中，基于分治法中的合并子算法对所述多个单位检测规则组对应
的目标排列检测规则集进行合并，得到所述多个网络入侵检测规则的检测排序信息可以包括对多个目标排列检测规则集进行两两合并，在合并时结合上述系统资源消耗参数、或检测参数，或加权后检测参数的数值大小对两个目标排列检测规则集进行组合排序，并对组合排序后得到的排列检测规则集再上述两两合并，以及结合上述系统资源消耗参数、或检测参数，或加权后检测参数的数值大小对两个目标排列检测规则集进行组合排序的步骤，至当前组合排序后得到的排列检测规则集的数量为1，将当前组合排序后得到的排列检测规则集对应的排序作为多个网络入侵检测规则的检测排序信息。
127.本说明书实施例中，结合分治法来确定多个网络入侵检测规则的检测排序信息，可以大大提高确定检测排序信息的效率，即使在网络入侵检测规则非常多的情况下，也可以快速出多个网络入侵检测规则的检测排序信息，且上述实施例中，通过对多种网络入侵检测规则进行全排列，并结合全排列后的排列检测规则集对应的检测参数和/或系统资源消耗参数来确定检测排序信息，可以充分的考虑多种网络入侵检测规则的排序不同，对网络入侵检测效率和系统性能的影响，进而更好的降低系统资源消耗，大大提高网络入侵检测效率。
128.s207：基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果。
129.在一个可选的实施例中，基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果可以包括：
130.按照所述检测排序信息遍历所述多种网络入侵检测规则；
131.当遍历到任一网络入侵检测规则时，利用当前遍历到的网络入侵检测规则，对所述待检测流量进行网络入侵检测，得到所述当前遍历到的网络入侵检测规则对应的网络入侵检测结果；
132.将遍历过程中得到网络入侵检测规则作为所述目标入侵检测结果。
133.在另一个可选的实施例中，当当前遍历到的网络入侵检测规则包括对预设时间段内的目标数据进行网络入侵检测的目标规则时，所述利用当前遍历到的网络入侵检测规则，对所述待检测流量进行网络入侵检测，得到所述当前遍历到的网络入侵检测规则对应的网络入侵检测结果可以包括：
134.从所述待检测流量中获取预设时间段内的目标数据；
135.基于所述目标规则对所述目标数据进行网络入侵检测，得到所述目标规则对应的网络入侵检测结果。
136.本说明书实施例中，上述预设时间段包含在待检测流量采集的时间段内。
137.在实际应用中，网络请求中的url只能使用ascii字符集来通过因特网进行发送，由于url常常会包含ascii集合之外的字符，因此，发送到交互及上的网络请求(待检测流量)中的url必须转换为有效的ascii格式。相应的，在基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果之前，如图9所示，上述方法还可以包括：
138.s211：对所述过滤后流量数据进行解码处理，得到解码后流量数据；
139.相应的，所述基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果包括：基于所述多种网络入侵检测规
则和所述检测排序信息对所述解码后流量数据进行网络入侵检测，得到目标入侵检测结果。
140.此外，需要说明的是，一般的，可以直接对待检测流量进行数据过滤，无需先进行解码处理。
141.在一个具体的实施例中，假设需要对某一应用进行爬虫攻击的检测，相应的，由于爬虫攻击检测需要结合一段时间内的请求数量是否超过预设请求量阈值来识别，相应的，可以将某一应用对应的ip地址信息等标识信息从待检测流量中获取一段时间内该标识信息对应的数据，作为上述目标数据，并结合爬虫攻击检测规则(即目标规则)来进行爬虫攻击检测。
142.在一个可选的实施例中，在基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果之后，如图10所示，上述方法还可以包括：
143.s213：基于所述目标入侵检测结果发出告警通知。
144.在实际应用中，当目标网络入侵检测结果指示当前的网络存在风险时，可以发出告警通知，以便及时进行系统修复。
145.由以上本说明书实施例提供的技术方案可见，本说明书实施例中在对待检测流量进行网络入侵检测时，先结合基于多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的过滤排序信息，可以充分的考虑多种数据过滤策略的排序不同，对数据过滤效率和系统性能的影响，大大提高数据过滤效率，且通过预先对待检测流量进行数据过滤，可以有效降低后续网络入侵检测时处理的数据量；然后，结合了基于多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的检测排序信息，可以有效考虑多种网络入侵检测规则的排序不同，对网络入侵检测效率和系统性能的影响，进而有效降低系统资源消耗，大大提高网络入侵检测效率，且在上述实施例中的实现过程中无需对硬件进行任何升级改进，可以有效降低成本，且通过多种网络入侵检测规则可以有效应对不同应用，不同网络架构下的检查需求，提升网络入侵检测的通用性。
146.本技术实施例还提供了一种网络入侵检测装置，如图11所示，所述装置包括：
147.待检测流量获取模块1110，用于获取待检测流量；
148.第一数据过滤模块1120，用于基于多种数据过滤策略和所述多种数据过滤策略的过滤排序信息对所述待检测流量进行数据过滤，得到过滤后流量数据；所述过滤排序信息为基于所述多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的；
149.数据确定模块1130，用于确定所述待检测流量对应的多种网络入侵检测规则和所述多种网络入侵检测规则的检测排序信息，所述检测排序信息为基于所述多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的；
150.第一网络入侵检测模块1140，用于基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果。
151.可选的，所述装置还包括：
152.第一数据获取模块，用于获取所述多种数据过滤策略和所述多种数据过滤策略的
过滤排序信息。
153.可选的，上述方法还包括：
154.第二数据获取模块，用于获取预设流量和第一预设拆分阈值，所述第一预设拆分阈值表征单位过滤策略组中数据过滤策略的排列组合量上限；
155.策略拆分模块，用于基于所述第一预设拆分阈值对所述多种数据过滤策略进行拆分，得到多个单位过滤策略组；
156.第一全排列组合模块，用于对每个单位过滤策略组中的数据过滤策略进行全排列组合，得到每个单位过滤策略组对应的多个排列过滤策略集，每个排列过滤策略集包括多个按序排列的数据过滤策略；
157.第二数据过滤模块，用于基于所述多个排列过滤策略集分别对所述预设流量进行数据过滤，确定每个排列过滤策略集对应的系统资源消耗参数和过滤参数；
158.目标排列过滤策略集确定模块，用于根据每个单位过滤策略组对应的多个排列过滤策略集的过滤参数和/或系统资源消耗参数，确定每个单位过滤策略组对应的目标排列过滤策略集；
159.第一合并模块，用于基于分治法中的合并子算法对所述多个单位过滤策略组对应的目标排列过滤策略集进行合并，得到所述多个数据过滤策略的过滤排序信息。
160.可选的，所述装置还包括：
161.第一预设流量获取模块，用于获取预设流量；
162.第二数据过滤模块，用于基于所述多种数据过滤策略分别对所述预设流量进行数据过滤，得到每种数据过滤策略对应的过滤结果；
163.第一系统资源消耗参数确定模块，用于将每种数据过滤策略对所述预设流量进行过滤过程中产生的系统资源消耗参数作为每种数据过滤策略对应的系统资源消耗参数；
164.过滤参数确定模块，用于基于所述多种数据过滤策略对应的过滤结果确定每种数据过滤策略对应的过滤参数；
165.过滤排序信息确定模块，用于根据所述多种数据过滤策略对应的过滤参数和/或系统资源消耗参数确定所述多种数据过滤策略的过滤排序信息。
166.可选的，所述装置还包括：
167.第三数据获取模块，用于获取预设流量和第二预设拆分阈值，所述第二预设拆分阈值表征单位检测规则组中网络入侵检测规则的排列组合量上限；
168.规则拆分模块，用于基于所述第二预设拆分阈值对所述多种网检络入侵测规则进行拆分，得到多个单位检测规则组；
169.第二全排列组合模块，用于对每个单位检测规则组中的网络入侵检测规则进行全排列组合，得到每个单位检测规则组对应的多个排列检测规则集，每个排列检测规则集包括多个按序排列的网络入侵检测规则；
170.第二网络入侵检测模块，用于基于所述多个排列检测规则集分别对所述预设流量进行网络入侵检测，确定每个排列检测规则集对应的系统资源消耗参数和检测参数；
171.目标排列检测规则集确定模块，用于根据每个单位检测规则组对应的多个排列检测规则集对应的检测参数和/或系统资源消耗参数，确定每个单位检测规则组对应的目标排列检测规则集；
172.第二合并模块，用于基于分治法中的合并子算法对所述多个单位检测规则组对应的目标排列检测规则集进行合并，得到所述多个网络入侵检测规则的检测排序信息。
173.可选的，所述装置还包括：
174.第二预设流量模块，用于获取预设流量；
175.第三网络入侵检测模块，用于基于所述多种网络入侵检测规则分别对所述预设流量进行网络入侵检测，得到每种网络入侵检测规则对应的入侵检测结果；
176.第二系统资源消耗参数确定模块，用于将每种网络入侵检测规则对所述预设流量进行网络入侵检测过程中产生的系统资源消耗参数作为每种网络入侵检测规则对应的系统资源消耗参数；
177.检测参数确定模块，用于基于所述多种网络入侵检测规则对应的入侵检测结果确定每种数据网络入侵检测规则对应的检测参数；
178.检测排序信息确定模块，用于根据所述多种网络入侵检测规则对应的检测参数和/或系统资源消耗参数确定所述多种网络入侵检测规则的检测排序信息。
179.可选的，所述待检测流量获取模块1110包括：
180.流量复制单元，用于复制核心交换机上的流量；
181.待检测流量确定单元，用于将复制的流量作为所述待检测流量。
182.可选的，所述待检测流量获取模块1110还包括：
183.标识信息确定单元，用于确定目标检测应用的标识信息；
184.流量过滤单元，用于基于所述标识信息对复制的流量进行过滤，得到所述待检测流量。
185.可选的，所述数据确定模块1130包括：
186.目标网络入侵检测规则确定单元，用于基于预设映射信息确定与所述目标检测应用对应的目标网络入侵检测规则，所述预设映射信息表征多个检测应用和对应的网络入侵检测规则间的预设关系；
187.网络入侵检测规则确定单元，用于将所述对应的目标网络入侵检测规则作为所述多种网络入侵检测规则。
188.可选的，所述装置还包括：
189.解码处理模块，用于在基于所述多种网络入侵检测规则和所述检测排序信息对所述过滤后流量数据进行网络入侵检测，得到目标入侵检测结果之前，对所述过滤后流量数据进行解码处理，得到解码后流量数据；
190.所述第一网络入侵检测模块1140还用于基于所述多种网络入侵检测规则和所述检测排序信息对所述解码后流量数据进行网络入侵检测，得到目标入侵检测结果。
191.可选的，所述第一网络入侵检测模块1140包括：
192.网络入侵检测规则遍历单元，用于按照所述检测排序信息遍历所述多种网络入侵检测规则；
193.网络入侵检测单元，用于当遍历到任一网络入侵检测规则时，利用当前遍历到的网络入侵检测规则，对所述待检测流量进行网络入侵检测，得到所述当前遍历到的网络入侵检测规则对应的网络入侵检测结果；
194.目标入侵检测结果确定单元，用于将遍历过程中得到网络入侵检测规则作为所述
目标入侵检测结果。
195.可选的，当前遍历到的网络入侵检测规则包括对预设时间段内的目标数据进行网络入侵检测的目标规则时，所述网络入侵检测单元包括：
196.目标数据获取单元，用于从所述待检测流量中获取预设时间段内的目标数据；
197.网络入侵检测子单元，用于基于所述目标规则对所述目标数据进行网络入侵检测，得到所述目标规则对应的网络入侵检测结果。
198.所述的装置实施例中的装置与方法实施例基于同样的申请构思。
199.本技术实施例提供了一种网络入侵检测设备，该网络入侵检测设备包括处理器和存储器，该存储器中存储有至少一条指令、或至少一段程序，该至少一条指令、或该至少一段程序由该处理器加载并执行以实现如上述方法实施例所提供的网络入侵检测方法。
200.存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、功能所需的应用程序等；存储数据区可存储根据所述设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器还可以包括存储器控制器，以提供处理器对存储器的访问。
201.本技术实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例，图12是本技术实施例提供的一种实现网络入侵检测方法的服务器的硬件结构框图。如图12所示，该服务器1200可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，cpu)1210(处理器1210可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器1230，一个或一个以上存储应用程序1223或数据1222的存储介质1220(例如一个或一个以上海量存储设备)。其中，存储器1230和存储介质1220可以是短暂存储或持久存储。存储在存储介质1220的程序可以包括一个或一个以上模块，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1210可以设置为与存储介质1220通信，在服务器1200上执行存储介质1220中的一系列指令操作。服务器1200还可以包括一个或一个以上电源1260，一个或一个以上有线或无线网络接口1250，一个或一个以上输入输出接口1240，和/或，一个或一个以上操作系统1221，例如windows server
tm
，mac os x
tm
，unix
tm
,linux
tm
，freebsd
tm
等等。
202.输入输出接口1240可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器1200的通信供应商提供的无线网络。在一个实例中，输入输出接口1240包括一个网络适配器(network interface controller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，输入输出接口1240可以为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
203.本领域普通技术人员可以理解，图12所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，服务器1200还可包括比图12中所示更多或者更少的组件，或者具有与图12所示不同的配置。
204.本技术的实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备
的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的方法。
205.本技术的实施例还提供了一种存储介质，所述存储介质可设置于设备之中以保存用于实现方法实施例中一种网络入侵检测方法相关的至少一条指令、或至少一段程序，该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述方法实施例提供的网络入侵检测方法。
206.可选地，在本实施例中，上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，randomaccess memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
207.由上述本技术提供的网络入侵检测方法、装置、设备、服务器或存储介质的实施例可见，本技术中在对待检测流量进行网络入侵检测时，先结合基于多种数据过滤策略分别对预设流量进行过滤所对应的系统资源消耗和/或过滤性能确定的过滤排序信息，可以充分的考虑多种数据过滤策略的排序不同，对数据过滤效率和系统性能的影响，大大提高数据过滤效率，且通过预先对待检测流量进行数据过滤，可以有效降低后续网络入侵检测时处理的数据量；然后，结合了基于多种网络入侵检测规则分别对预设流量进行网络入侵检测所对应的系统资源消耗和/或检测性能确定的检测排序信息，可以有效考虑多种网络入侵检测规则的排序不同，对网络入侵检测效率和系统性能的影响，进而有效降低系统资源消耗，大大提高网络入侵检测效率，且在上述实施例中的实现过程中无需对硬件进行任何升级改进，可以有效降低成本，且通过多种网络入侵检测规则可以有效应对不同应用，不同网络架构下的检查需求，提升网络入侵检测的通用性。
208.需要说明的是：上述本技术实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
209.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、设备、服务器和存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
210.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指示相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
211.以上所述仅为本技术的较佳实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。