入侵检测方法、装置、电子设备及计算机可读存储介质与流程

1.本技术涉及计算机的技术领域，具体而言，涉及一种入侵检测方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.在用户使用电子设备访问互联网时，一般通过部署入侵检测设备来检测访问互联网时产生的流量中可能存在的攻击行为。安全研究员会根据真实攻击行为中的流量，分析出该类型攻击特有的攻击特征，并将该攻击特征通过文本方式记录到攻击规则库中。
3.入侵检测设备在对流量中的数据包进行检测时，会读取数据包中预设字节数量的内容，并将该部分内容与攻击规则库中的攻击特征进行匹配，若匹配成功，则认为该数据包存在攻击行为。其中，本技术发明人在研究本技术时，发现现有的这种检测方式难以全面地检测到数据包中存在的攻击行为。


技术实现要素：

4.本技术提供一种入侵检测方法、装置、电子设备及计算机可读存储介质，以解决现有的检测方式难以全面地检测到数据包中存在的攻击行为的问题。
5.第一方面，本技术提供一种入侵检测方法，包括：获取数据包；确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数；基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果。
6.本技术实施例中，通过预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数和攻击规则库中的攻击特征对数据包进行检测，提高了不同攻击特征进行检测时的检测深度，从而可以更加全面地对数据包进行检测。
7.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数，包括：从所述攻击规则库中随机获取并记录两个深度参数，删除记录的所述两个深度参数中最小的深度参数；从所述攻击规则库的剩余深度参数中随机获取并记录一个深度参数，删除记录的两个深度参数中最小的深度参数，直至所述攻击规则库中不存在剩余的深度参数，最终记录的最大的深度参数为所述最大深度参数。
8.本技术实施例中，通过记录两个深度参数，并删除其中最小的深度参数，可以使记录的深度参数始终大于被删除的所有深度参数。因此，在攻击规则库中不存在剩余的深度参数时，记录的最大深度参数为攻击规则库中的最大深度参数。通过遍历所有的深度参数，保证最终得到的最大深度参数的准确性。
9.结合上述第一方面提供的技术方案，在一些可能的实施方式中，若所述最大深度参数为所述攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数，所述基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果，包括：获取所述数据包中字节数为所述最大深度参数的内容，并将该内容与所述攻击规则
库中的所有攻击特征分别进行匹配，得到所述检测结果。
10.本技术实施例中，在最大深度参数为攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数时，将该最大深度参数作为所有攻击特征进行检测时检测的字节数，提高了不同攻击特征进行检测时的检测深度，从而可以更加全面地对数据包进行检测。
11.结合上述第一方面提供的技术方案，在一些可能的实施方式中，若所述最大深度参数为所述攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数，所述基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果，包括：针对每种类型，获取所述数据包中字节数为该类型对应的最大深度参数的内容，并将该内容与该类型下的所有攻击特征分别进行匹配，得到所述检测结果。
12.本技术实施例中，通过将不同类型对应的最大深度参数作为该类型所有攻击特征进行检测时检测的字节数，可以较为全面地对该类型攻击行为进行检测。同时，不同攻击类型对应不同的最大深度参数，可以减少部分类型对应的攻击特征进行匹配时需要的计算量，提高匹配效率。
13.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述攻击规则库还包括每个攻击特征用于攻击的协议类型，所述确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数，包括：获取所述数据包对应的目标协议类型；根据所述攻击规则库中用于攻击所述目标协议类型的所有攻击特征对应的深度参数，确定所述最大深度参数；相应的，所述基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果，包括：获取所述数据包中字节数为所述最大深度参数的内容，并将该内容与所述攻击规则库中用于攻击所述目标协议类型的所有攻击特征分别进行匹配，得到所述检测结果。
14.本技术实施例中，通过获取数据包对应的目标协议类型，从而在后续进行匹配时，无需将该数据包与不用于攻击该目标协议类型的攻击特征进行匹配，降低了匹配需要的时间，提高了匹配效率。
15.第二方面，本技术提高一种入侵检测装置，包括：获取模块、确定模块和处理模块，获取模块用于获取数据包；确定模块用于确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数；处理模块用于基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果。
16.结合上述第二方面提供的技术方案，在一些可能的实施方式中，若所述最大深度参数为所述攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数，所述处理模块，具体用于获取所述数据包中字节数为所述最大深度参数的内容，并将该内容与所述攻击规则库中的所有攻击特征分别进行匹配，得到所述检测结果。
17.结合上述第二方面提供的技术方案，在一些可能的实施方式中，若所述最大深度参数为所述攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数，所述处理模块，具体用于针对每种类型，获取所述数据包中字节数为该类型对应的最大深度参数的内容，并将该内容与该类型下的所有攻击特征分别进行匹配，得到所述检测结果。
18.第三方面，本技术实施例还提供了一种电子设备，包括：存储器和处理器，所述存储器和所述处理器连接；所述存储器，用于存储程序；所述处理器，用于调用存储于所述存储器中的程序，以执行如上述第一方面实施例和/或结合上述第一方面实施例的任一种可
能的实施方式提供的方法。
19.第四方面，本技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被计算机运行时，执行如上述第一方面实施例和/或结合上述第一方面实施例的任一种可能的实施方式提供的方法。
附图说明
20.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
21.图1为本技术实施例示出的第一种入侵检测方法的流程示意图；
22.图2为本技术实施例示出的第二种入侵检测方法的流程示意图；
23.图3为本技术实施例示出的一种入侵检测装置的结构框图；
24.图4为本技术实施例示出的一种电子设备的结构框图。
具体实施方式
25.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
26.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
27.再者，本技术中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。
28.下面将结合附图对本技术的技术方案进行详细地描述。
29.鉴于现有技术中存在的问题，发明人在经过仔细研究后发现，现有的入侵检测设备读取数据包中内容的字节数量通常是通过一个预设的深度参数确定的，不同攻击特征对应有不同的深度参数。也即在对数据包进行检测时，针对每一种攻击特征，利用该攻击特征对应的深度参数和该攻击特征对数据包进行检测。
30.例如，当攻击规则库中记录了一个攻击特征为“aaaaa”字段，且其对应的深度参数为100，那么入侵检测设备会读取数据包的前100个字节的内容，并将读取的内容与“aaaaa”进行匹配。若读取的内容中存在“aaaaa”字段，那么该数据包存在攻击行为。
31.但是，同一个攻击特征在数据包中存在的位置并非是固定的，因此，利用攻击特征对应的深度参数对数据包进行匹配，可能出现因为读取内容较少，而无法检测出数据包中包括攻击特征的情况。
32.需要说明的是，针对以上方案所存在的缺陷，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案，都应该是发明人在本发明过程中对本发明做出的贡献。
33.基于此，本方案提供一种入侵检测方法，通过将攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数作为最终对数据包进行检测的深度参数，可以更加全面地对数据包进行检测，提高检测的准确性。
34.为了便于理解，请参阅图1，图1为本技术实施例示出的一种入侵检测方法的流程示意图，下面将结合图1对其包含的步骤进行说明。
35.s100：获取数据包。
36.其中，数据包可以是预先获取好并存储在数据库中，在需要时直接调用即可，或者，也可以是在需要时，实时获取得到的。
37.s200：确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数。
38.针对不同的实施场景，确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数可以有如下三种实施方式。
39.第一种实施方式下，最大深度参数为攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数。
40.其中，从攻击规则库中的所有攻击特征对应的深度参数中，确定最大深度参数的方式，可以是对攻击规则库中的所有攻击特征对应的深度参数按照数值大小进行排序，从而可以得到攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数。
41.例如，当攻击规则库中包括有a、b、c、d、e这5个攻击特征，且a、b、c、d、e各自对应的深度参数分别为100、120、140、110、130，那么可以将100、120、140、110、130按照从大到下的顺序进行排序，排序后的深度参数为140、130、120、110、100，从而可以确定攻击规则库中所有攻击特征对应的深度参数中的最大深度参数为140。
42.或者，可以是首先从攻击规则库中随机获取并记录两个深度参数，删除记录的两个深度参数中最小的深度参数。然后从攻击规则库的剩余深度参数中随机获取并记录一个深度参数，删除记录的两个深度参数中最小的深度参数，直至攻击规则库中不存在剩余的深度参数，最终记录的最大的深度参数为最大深度参数。
43.例如，当攻击规则库中包括有a、b、c、d、e这5个攻击特征，且a、b、c、d、e各自对应的深度参数分别为100、120、140、110、130，那么可以先获取并记录a、b各自的深度参数，也即记录100和120。然后删除记录的两个深度参数中的100，此时记录的深度参数为120。此处举例仅为便于理解，不应作为对本技术的限制。
44.然后从剩余的深度参数140、110、130中获取并记录一个深度参数140，然后删除记录的两个深度参数140、120中较小的120，此时记录的深度参数为140。
45.再从剩余的深度参数110、130中获取并记录一个深度参数110，然后删除记录的两个深度参数140、110中较小的110，此时记录的深度参数为140。
46.最后从剩余的深度参数130中获取并记录深度参数130，然后删除记录的两个深度参数140、130中较小的130，此时记录的深度参数为140。或者在获取并记录深度参数130后，直接比较记录的两个深度参数130、140，得到其中最大的深度参数140，140即为攻击规则库
中的所有攻击特征对应的深度参数中的最大深度参数。
47.此处举例仅为便于理解，不应作为对本技术的限制。
48.其中，除上述确定攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数的方式外，也可以采用其他的方式确定最大深度参数，此处不对确定最大深度参数的具体方式进行限制。
49.第二种实施方式下，攻击规则库中还包括有每一个攻击特征对应的类型，此时，最大深度参数可以为攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数。
50.由于同一类型下的不同攻击特征在数据包中存在的位置不一定相同，因此，通过将攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数作为最大深度参数，从而在利用该最大深度参数以及该类型攻击特征对数据包进行匹配时，可以较为全面地对该类型攻击行为进行检测。同时，不同攻击类型对应不同的最大深度参数，可以减少部分类型对应的攻击特征进行匹配时需要的计算量，提高匹配效率。
51.其中，攻击特征对应的类型可以包括口令入侵、特洛伊木马、www欺骗、节点攻击、网络监听等类型，此处不对攻击特征对应的具体类型进行限制。
52.为了便于理解，设置攻击规则库中包括有a、b、c、d、e这5个攻击特征，攻击特征a、b属于口令入侵类型，攻击特征c、d、e属于特洛伊木马类型，且a、b、c、d、e各自对应的深度参数分别为100、120、140、110、130。
53.此时，针对口令入侵类型，确定该类型对应的攻击特征包括a、b，因此，从攻击特征a、b各自对应的深度参数中确定出最大深度参数120。
54.针对特洛伊木马类型，确定该类型对应的攻击特征包括c、d、e，因此，从攻击特征c、d、e各自对应的深度参数中确定出最大深度参数140。
55.其中，针对每种类型确定出该类型下的所有攻击特征对应的深度参数中的最大参数的具体过程，与前述的从攻击规则库中的所有攻击特征对应的深度参数中，确定最大深度参数的方式相同，为简要描述，此处不再赘述。
56.此处举例仅为便于理解，不应作为对本技术的限制。
57.第三种实施方式下，所述攻击规则库还包括每个攻击特征用于攻击的协议类型，此时，确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数的过程可以是：首先获取数据包对应的目标协议类型，然后根据攻击规则库中用于攻击目标协议类型的所有攻击特征对应的深度参数，确定最大深度参数。
58.通过获取数据包对应的目标协议类型，从而可以在后续基于深度参数进行匹配时，无需将该数据包与不用于攻击该目标协议类型的攻击特征进行匹配，降低了匹配需要的时间，提高了匹配效率。
59.其中，协议类型可以包括http(hyper text transfer protocol，超文本传输协议)、https(hyper text transfer protocol secure，安全超文本传输协议)等。此处不对协议的具体类型进行限制。
60.为了便于理解，设置攻击规则库中包括有a、b、c、d、e这5个攻击特征，攻击特征a、b用于攻击http协议，攻击特征c、d、e用于攻击https协议，且a、b、c、d、e各自对应的深度参数分别为100、120、140、110、130。
61.此时，首先检测数据包对应的目标协议类型，若目标协议类型为http协议，从攻击规则库中确定该类型协议对应的攻击特征包括a、b，因此，从攻击特征a、b各自对应的深度参数中确定出最大深度参数120。
62.若目标协议类型为https协议，从攻击规则库中确定该类型协议对应的攻击特征包括c、d、e，因此，从攻击特征c、d、e各自对应的深度参数中确定出最大深度参数140。
63.其中，针对每种协议类型确定出该协议类型下的所有攻击特征对应的深度参数中的最大参数的具体过程，与前述的从攻击规则库中的所有攻击特征对应的深度参数中，确定最大深度参数的方式相同，为简要描述，此处不再赘述。
64.此处举例仅为便于理解，不应作为对本技术的限制。
65.s300：基于最大深度参数和攻击规则库中的攻击特征，对数据包进行检测，得到检测结果。
66.根据s200中确定最大深度参数的方式的不同，基于最大深度参数和攻击规则库中的攻击特征，对数据包进行检测，得到检测结果的具体过程也可以有如下三种实施方式。
67.第一种实施方式下，若最大深度参数为攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数，那么，基于最大深度参数和攻击规则库中的攻击特征，对数据包进行检测，得到检测结果的具体过程可以是：首先获取数据包中字节数为最大深度参数的内容，然后将该内容与攻击规则库中的所有攻击特征分别进行匹配，得到检测结果。
68.为了便于理解，以攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数为150，且攻击规则库中包括有a、b、c、d、e这5个攻击特征为例进行说明。
69.首先，获取数据包的前150个字节的内容，然后将攻击特征a、b、c、d、e分别与这150个字节的内容进行匹配，若这150个字节的内容中不存在攻击特征a，那么确定该数据包中不存在攻击特征a对应的攻击行为。若这150个字节的内容中存在攻击特征a，那么确定该数据包中存在攻击特征a对应的攻击行为，同理，若这150个字节的内容中还存在攻击特征b、c、d、e中的一种或多种时，也可以确认该数据包中还存在其他攻击特征对应的攻击行为，确定数据包中是否存在攻击特征b、c、d、e各自对应的攻击行为的方式与确定数据包中是否存在攻击特征a对应的攻击行为的方式一致，为简要描述，此处不再赘述。
70.此处举例仅为便于理解，不应作为对本技术的限制。
71.第二种实施方式下，若最大深度参数为攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数，此时，基于最大深度参数和攻击规则库中的攻击特征，对数据包进行检测，得到检测结果的具体过程可以是：针对每种类型，获取数据包中字节数为该类型对应的最大深度参数的内容，并将该内容与该类型下的所有攻击特征分别进行匹配，得到检测结果。
72.为了便于理解，设置攻击规则库中包括口令入侵、特洛伊木马两类攻击特征，且攻击特征a、b属于口令入侵类型，攻击特征c、d、e属于特洛伊木马类型，口令入侵类型对应的最大深度参数为120，特洛伊木马类型对应的最大深度参数为140。
73.此时，针对口令入侵类型，获取数据包的前120个字节的内容，然后将攻击特征a、b分别与这120个字节的内容进行匹配，得到第一匹配结果。
74.针对特洛伊木马类型，获取数据包的前140个字节的内容，然后将攻击特征c、d、e分别与这140个字节的内容进行匹配，得到第二匹配结果。其中，匹配结果包括第一匹配结
构和第二匹配结果。
75.将攻击特征a、b分别与这120个字节的内容进行匹配，得到第一匹配结果，以及将攻击特征c、d、e分别与这140个字节的内容进行匹配，得到第二匹配结果的具体实现方式及原理与第一种实施方式下的将攻击特征a、b、c、d、e分别与这150个字节的内容进行匹配的具体实现方式及原理相同，为简要描述，此处不再赘述。
76.此处举例仅为便于理解，不应作为对本技术的限制。
77.第三种实施方式下，若最大深度参数为用于攻击目标协议类型的所有攻击特征对应的深度参数中的最大深度参数时，此时，基于最大深度参数和攻击规则库中的攻击特征，对数据包进行检测，得到检测结果的具体过程可以是：首先获取数据包中字节数为最大深度参数的内容，然后将该内容与攻击规则库中用于攻击目标协议类型的所有攻击特征分别进行匹配，得到检测结果。
78.为了便于理解，设置攻击规则库中包括用于攻击http、https两类协议的攻击特征，且攻击特征a、b用于攻击http协议，攻击特征c、d、e用于攻击https协议，且用于攻击http协议的所有攻击特征对应的所有深度参数中的最大深度参数为120，用于攻击https协议的所有攻击特征对应的所有深度参数中的最大深度参数为140。
79.此时，若数据包对应的目标协议类型为http协议，那么，获取数据包的前120个字节的内容，然后将攻击特征a、b分别与这120个字节的内容进行匹配，得到匹配结果。
80.若数据包对应的目标协议类型为https协议，那么，获取数据包的前140个字节的内容，然后将攻击特征c、d、e分别与这140个字节的内容进行匹配，得到匹配结果。
81.将攻击特征a、b分别与这120个字节的内容进行匹配，得到匹配结果，以及将攻击特征c、d、e分别与这140个字节的内容进行匹配，得到匹配结果的具体实现方式及原理与第一种实施方式下的将攻击特征a、b、c、d、e分别与这150个字节的内容进行匹配的具体实现方式及原理相同，为简要描述，此处不再赘述。
82.此处举例仅为便于理解，不应作为对本技术的限制。
83.为了进一步理解上述的入侵检测方法，请参阅图2。需要说明的是，图2所示的原理为本技术入侵检测方法的众多实施例中的一种，因此，不能将图2所示的方式理解成是对本技术的限制。
84.首先获取数据包，然后获取数据包对应的目标协议类型。之后从攻击规则库中确定出所有用于攻击目标协议类型的攻击特征。再确定所有用于攻击该目标协议类型的攻击特征中属于同一类型的所有攻击特征对应的深度参数中的最大参数。最后针对每种类型，获取数据包中字节数为该类型对应的最大深度参数的内容，并将该内容与该类型下的所有攻击特征分别进行匹配，得到检测结果。
85.为了便于理解，设置攻击规则库中包括有a、b、c、d、e、f、g、h、i这5个攻击特征，攻击特征a、b、c、d、e用于攻击http协议，攻击特征f、g、h、i用于攻击https协议，且攻击特征a、b、f、g属于口令入侵类型，攻击特征c、d、e、h、i属于特洛伊木马类型，且a、b、c、d、e、f、g、h、i各自对应的深度参数分别为100、120、140、110、130、110、150、120、130。
86.此时，首先检测数据包对应的目标协议类型，若目标协议类型为http协议，从攻击规则库中确定该类型协议对应的攻击特征包括a、b、c、d、e，以及其各自对应的深度参数100、120、140、110、130。
87.针对口令入侵类型，确定该类型对应的攻击特征包括a、b，因此，从攻击特征a、b各自对应的深度参数中确定出最大深度参数120。针对特洛伊木马类型，确定该类型对应的攻击特征包括c、d、e，因此，从攻击特征c、d、e各自对应的深度参数中确定出最大深度参数140。
88.再获取数据包的前120个字节的内容，然后将攻击特征a、b分别与这120个字节的内容进行匹配，得到第一匹配结果。以及获取数据包的前140个字节的内容，然后将攻击特征c、d、e分别与这140个字节的内容进行匹配，得到第二匹配结果。其中，匹配结果包括第一匹配结构和第二匹配结果。
89.若目标协议类型为https协议，从攻击规则库中确定该类型协议对应的攻击特征包括f、g、h、i，以及其各自对应的深度参数110、150、120、130。
90.针对口令入侵类型，确定该类型对应的攻击特征包括f、g，因此，从攻击特征f、g各自对应的深度参数110、150中确定出最大深度参数150。针对特洛伊木马类型，确定该类型对应的攻击特征包括h、i，因此，从攻击特征h、i各自对应的深度参数120、130中确定出最大深度参数130。
91.再获取数据包的前150个字节的内容，然后将攻击特征f、g分别与这150个字节的内容进行匹配，得到第一匹配结果。以及获取数据包的前130个字节的内容，然后将攻击特征h、i分别与这130个字节的内容进行匹配，得到第二匹配结果。其中，匹配结果包括第一匹配结构和第二匹配结果。
92.此处举例仅为便于理解，不应作为对本技术的限制。
93.请参阅图3，图3为本技术实施例示出的一种入侵检测装置，入侵检测装置100包括获取模块110、确定模块120和处理模块130。
94.获取模块110，用于获取数据包。
95.确定模块120，用于确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数。
96.处理模块130，用于基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果。
97.确定模块120，具体用于从所述攻击规则库中随机获取并记录两个深度参数，删除记录的所述两个深度参数中最小的深度参数；从所述攻击规则库的剩余深度参数中随机获取并记录一个深度参数，删除记录的两个深度参数中最小的深度参数，直至所述攻击规则库中不存在剩余的深度参数，最终记录的最大的深度参数为所述最大深度参数。
98.若所述最大深度参数为所述攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数，所述处理模块130，具体用于获取所述数据包中字节数为所述最大深度参数的内容，并将该内容与所述攻击规则库中的所有攻击特征分别进行匹配，得到所述检测结果。
99.若所述最大深度参数为所述攻击规则库中同一类型下的所有攻击特征对应的深度参数中的最大参数，所述处理模块130，具体用于针对每种类型，获取所述数据包中字节数为该类型对应的最大深度参数的内容，并将该内容与该类型下的所有攻击特征分别进行匹配，得到所述检测结果。
100.所述攻击规则库还包括每个攻击特征用于攻击的协议类型，确定模块120具体用
于获取所述数据包对应的目标协议类型；根据所述攻击规则库中用于攻击所述目标协议类型的所有攻击特征对应的深度参数，确定所述最大深度参数。相应的，处理模块130具体用于获取所述数据包中字节数为所述最大深度参数的内容，并将该内容与所述攻击规则库中用于攻击所述目标协议类型的所有攻击特征分别进行匹配，得到所述检测结果。
101.本技术实施例所提供的入侵检测装置100，其实现原理及产生的技术效果和前述入侵检测方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述入侵检测方法实施例中相应内容。
102.请参阅图4，其为本技术实施例提供的一种电子设备200。所述电子设备200包括：收发器210、存储器220、通讯总线230、处理器240。
103.所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中，收发器210用于收发数据。存储器220用于存储计算机程序，如存储有图3中所示的软件功能模块，即入侵检测装置100。其中，入侵检测装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器220中或固化在所述电子设备200的操作系统(operating system，os)中的软件功能模块。所述处理器240，用于执行存储器220中存储的可执行模块，例如入侵检测装置100包括的软件功能模块或计算机程序。此时，处理器240，用于获取数据包；确定预设的攻击规则库中的所有攻击特征对应的深度参数中的最大深度参数；基于所述最大深度参数和所述攻击规则库中的攻击特征，对所述数据包进行检测，得到检测结果。
104.其中，存储器220可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
105.处理器240可能是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
106.其中，上述的电子设备200，包括但不限于个人电脑、服务器等。
107.本技术实施例还提供了一种非易失性计算机可读取存储介质(以下简称存储介质)，该存储介质上存储有计算机程序，该计算机程序被计算机如上述的电子设备200运行时，执行上述所示的入侵检测方法。该计算机可读存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
108.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。