[发明专利]基于监测网络业务的网络入侵检测系统、方法和器件

权利要求书

1.一种装置(105)，包括：

至少一个存储器(142)，配置为存储计算机可执行指令，所述计算机可执行指令促进对由所述装置(105)接收的通信的业务检验；以及

至少一个处理器(140)，配置为访问所述至少一个存储器并且执行所述计算机可执行指令以：

识别(415)与所述装置(105)的网络业务简档关联的一个或多个网络业务参数；

至少部分基于所述一个或者多个网络业务参数来评价(425)由所述装置(105)接收的至少一个通信；以及

至少部分基于所述评价来确定(430)所述至少一个通信是否满足所述业务简档。

2.如权利要求1所述的装置(105)，其中所述一个或多个网络业务参数包括与以下的至少一个关联的参数，(i)在预定时间段内接收的通信数量、(ii)与通信关联的数据量、(iii)在预定时间段内接收的数据量、(iv)与通信会话关联的持续时间、(v)所接收的通信会话之间的持续时间、(vi)在预定时间段内所识别的错误量、或者(vii)接收通信的时间。

3.如权利要求1所述的装置(105)，其中所述业务简档包括与为装置通信所建立的标准关联的业务简档。

4.如权利要求1所述的装置(105)，其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以：

识别(410)用于所述至少一个通信的通信接口；以及

至少部分基于所识别的通信接口，识别(415)所述一个或多个网络业务参数。

5.如权利要求1所述的装置(105)，其中确定所述至少一个通信不满足所述业务简档，并且其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以：

生成(435)与所述至少一个通信关联的告警消息，以及

指示(435)所述告警消息的通信到管理控制系统(120)。

6.如权利要求5所述的装置(105)，其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以：

识别用于所述至少一个通信的始发装置；以及

将所述始发装置的标识符包含在所生成的告警消息中。

7.如权利要求5所述的装置(105)，其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以：

从所述管理控制系统(120)接收(465)包括用于处理额外的通信的指令的消息；以及

处理(465)所接收的指令。

8.如权利要求1所述的装置(105)，其中所述装置(105)包括(i)需给电表、(ii)现场自动化装置、(iii)传感器、(iv)高级计量体系装置或(v)医学装置中的一个。

9.一种方法(400)，包括：

识别(420)由装置(105)接收的至少一个通信；

识别(415)与所述装置(105)的网络业务简档关联的一个或多个网络业务参数；

至少部分基于所述一个或多个网络业务参数来评价(425)所接收的所述至少一个通信；以及

至少部分基于所述评价来确定(430)所述至少一个通信是否满足所述业务简档，

其中由与所述装置关联的一个或多个处理器(140)所执行的通信检验应用来执行以上的操作。

10.如权利要求9所述的方法(400)，其中识别(415)一个或多个网络业务参数包括识别与以下的至少一个关联的一个或多个网络业务参数：(i)在预定时间段内所接收的通信数量、(ii)与通信关联的数据量、(iii)在预定时间段内所接收的数据量、(iv)与通信会话关联的持续时间、(v)所接收的通信会话之间的持续时间、(vi)在预定时间段内所识别的错误量、或者(vii)接收通信的时间。