基于深度特征的复杂snort规则分类方法及系统的制作方法

基于深度特征的复杂snort规则分类方法及系统的制作方法
【专利摘要】本发明提供一种基于深度特征的复杂snort规则分类方法及系统，其中的方法包括：根据snort规则分别建立基于content深度特征的多级分类器、基于稀疏矩阵的弱分类器和相关性分类器，其中，基于content深度特征的多级分类器根据snort规则中的content关键词建立，基于稀疏矩阵的弱分类器根据snort规则中的组合关联性关键词建立，相关性分类器根据snort规则中的前置规则与后置规则建立；在半监督学习下，对content深度特征的多级分类器、稀疏矩阵的弱分类器、相关性分类器以及snort规则中的一维SVM分类器进行训练，形成基于深度特征的复杂snort规则总分类器，以完成对复杂snort规则进行语义层面的分类。利用本发明，能够解决在攻击预防系统中，snort规则缺乏有针对性地利用自身规则特性进行分类的问题。
【专利说明】基于深度特征的复杂snort规则分类方法及系统

【技术领域】
[0001] 本发明涉及信息安全领域【技术领域】，更为具体地，涉及一种基于深度特征的复杂 snort规则分类方法及系统。

【背景技术】
[0002] 在信息安全领域，入侵是指试图破坏资源的完整性、机密性及可用性的行为集合， 该概念是1980年美国James P. Anderson教授提出的。攻击签名特征试图使用定量方式描 述可接受的行为特征，区分异常的、潜在的带有入侵性的行为，也是对攻击行为特征的精确 性描述，其种类随着系统漏洞的不断暴露与网络攻击手段的更新而变得愈加丰富。由于攻 击签名特征被广泛地应用到网络安全设备中，在对网络入侵行为进行有效地阻止及预防中 扮演着越来越重要的角色，因此各安全厂商及研究机构纷纷投入大量的攻防人员对其进行 研究开发。
[0003] 目前，攻击防御开发者往往采用snort语言来开发、描述攻击签名特征。而每个攻 击防御系统几乎都会有至少几千条甚至上万条攻击签名规则。这些规则在虽然物理上或功 能上已经被开发者进行了一定的分类，但是从语义层面上对这些规则进行分类，进而发掘 其内在规律性的工作还处于初级阶段。在对snort规则的分析研究中，主要有两种方式：
[0004] (1)横向重在发现规则中各选项值的分布特征；
[0005] (2)纵向则是统计不同版本的规则变化，从中找出变化的"规律"。
[0006] 无论是横向从概率分布的角度还是纵向从规则变化的角度，都难以对规则从语义 层面上进行全面的度量与分类。
[0007] 传统规则分类方法对复杂的snort规则进行分类，主要是基于某种度量标准（即 空间距离），或基于某种统计学上的分布规律对其进行分类。通常都存在以下两方面问题：
[0008] (1) snort规则的关键词特征比较多，每一项所占的权重随着具体规则内容变化， 指定的基于概率分布或固定距离的度量方式难以准确而适应性地对具体规则特征进行衡 量；
[0009] (2) snort规则之间的共性特征往往是几个或以上规则具有某一个公共的特性，而 另外一些又具有另外层面上的深层共性特征，传统的分类方法往往难以发现其内在规律或 利用深层的内在规则作用于规则本身。
[0010] 而针对snort规则，缺乏有针对性地利用规则自身特性进行分类的方法。研究者 也不乏使用机器学习手段提高其适应性，但往往都是利用固有的机器学习手段如决策树、 KNN法、SVM法、向量空间模型法、Bayes法、神经网络等。这些方法本身都具有很多优点，同 时在对复杂snort规则分类的过程中也有自身的限制。比如KNN对样本容量较小的类域比 较容易产生误分，难以控制其准确性；SVM对各类域的边界样本依赖程度比较高，对边界不 确定或可扩散的样本容易误分；向量空间模型法对类别中所包含的非零特征项越多，其包 含的每个特征项对于类别的表达能力越弱；Bayes法对样本总量要求比较高，概率分布函 数（或密度函数）常常是不知道的；神经网络方法的层数与神经元个数难以确定，容易陷入 局部极小，还容易有过学习现象。


【发明内容】

[0011] 鉴于上述问题，本发明的目的是提供一种基于深度特征的复杂snort规则分类方 法及系统，以解决在攻击预防系统中，snort规则缺乏有针对性地利用自身规则特性进行分 类的问题。
[0012] 一方面，本发明提供一种基于深度特征的复杂snort规则分类方法，包括：
[0013] 根据snort规则分别建立基于content深度特征的多级分类器、基于稀疏矩阵的 弱分类器和相关性分类器，其中，基于content深度特征的多级分类器根据snort规则中的 content关键词建立，基于稀疏矩阵的弱分类器根据snort规则中的组合关联性关键词建 立，相关性分类器根据snort规则中的前置规则与后置规则建立；；
[0014] 在半监督学习下，对基于content深度特征的多级分类器、基于稀疏矩阵的弱分 类器、相关性分类器以及snort规则中的一维SVM分类器进行训练，形成基于深度特征的复 杂snort规则总分类器，以完成对复杂snort规则进行语义层面的分类。
[0015] 此外，优选的方案是，在建立基于content深度特征的多级分类器的过程中，
[0016] 采用多层公共特征串管理机制，计算snort规则中的content关键词的相似性，获 得每层的最大公共串；对获得的每层的最大公共串建立相应的hash表；根据hash表中的 规则，汇总content关键词相似性的分数，根据汇总的content关键词相似性的分数获得基 于content深度特征的多级分类器。
[0017] 此外，优选的方案是，通过公式（1)计算snort规则中的content关键词的相似 性，获得每层的最大公共串；公式（1)如下所示：
[0018]

【权利要求】
1. 一种基于深度特征的复杂snort规则分类方法，包括： 根据snort规则分别建立基于content深度特征的多级分类器、基于稀疏矩阵的弱分 类器和相关性分类器；其中，所述基于content深度特征的多级分类器根据snort规则中的 content关键词建立，所述基于稀疏矩阵的弱分类器根据snort规则中的组合关联性关键 词建立，所述相关性分类器根据snort规则中的前置规则与后置规则建立； 在半监督学习下，对所述基于content深度特征的多级分类器、所述基于稀疏矩阵的 弱分类器、所述相关性分类器以及snort规则中的一维SVM分类器进行训练，形成基于深度 特征的复杂snort规则总分类器，以完成对复杂snort规则进行语义层面的分类。
2. 如权利要求1所述的基于深度特征的复杂snort规则分类方法，其中，在建立基于 content深度特征的多级分类器的过程中， 采用多层公共特征串管理机制，通过计算snort规则中的content关键词的相似性，获 得每层的最大公共串；对获得的每层的最大公共串建立相应的hash表；根据所述hash表 中的规则，汇总content关键词相似性的分数，根据汇总的content关键词相似性的分数获 得基于content深度特征的多级分类器。
3. 如权利要求2所述的基于深度特征的复杂snort规则分类方法，其中， 通过公式（1)计算snort规则中的content关键词的相似性，获得每层的最大公共串； 公式（1)如下所示：
其中，在公式（1)中，ruleA, ruleB分别表示A与B两条规则； S (ruleA, ruleB)表示A与B两条规则的相似性； con_content_j表示最大公共串； len(con_content_j)表示最大公共串的长度；
表不content关键词属性的串长度之和；
表不对第一个连加符号后的内容进行求 和，其中，j的个数最大值为规则A与规则B中content关键词属性的乘积。
4. 如权利要求3所述的基于深度特征的复杂snort规则分类方法，其中， 根据所述hash表中的规则，通过公式（2)汇总content关键词相似性的分数；其公式 (2)如下所示：
其中，在公式（2)中，在公式（1)的基础上增加了权重系数ki;ki表示第i层公共子串 的权重；depth表示公共子串的深度。
5. 如权利要求1所述的基于深度特征的复杂snort规则分类方法，其中， 在建立基于稀疏矩阵的弱分类器的过程中， 将snort规则中的组合关联性关键词采用20X20的矩阵表示； 将所述矩阵对角化，获得其特征向量； 将所述特征向量单位正交化，并通过公式（3)计算两个正交化特征向量的距离，作为 所述snort规则中的组合关联性关键词的相似性； 其公式（3)如下：
其中，在公式（3)中，
表示两个正交化特征向量的距离；
表示采用欧式距离为snort规则中的组合关联性关键词的相似性。
6. 如权利要求1所述的基于深度特征的复杂snort规则分类方法，其中，在建立相关性 分类器的过程中， snort规则中的前置规则与后置规则采用公式（4)进行比较，其公式（4) 如下所示： | S (ruleA，ruleB) I I classifier(a) n classifier(b)〈 = δ，（ 〇〇 > δ >〇) (4) 其中，在公式（4)中，classifier (a) Π classifier (b)表示a与b两个分类器的共同作 用； S (?ΓΙ?Ιθ^, ΓΙ?Ιθβ) I I classifjer (a) Π classifier (b) 表示规则A与规则B在分类器a与b的共同作 用下的相似性距离； S表示设定的阈值。
7. 如权利要求1所述的基于深度特征的复杂snort规则分类方法，其中，在对所述 content深度特征的多级分类器、所述稀疏矩阵的弱分类器、所述相关性分类器以及snort 规则中的一维SVM分类器进行训练的过程中， 通过公式（5)对所述content深度特征的多级分类器、所述稀疏矩阵的弱分类器、所述 相关性分类器以及snort规则中的一维SVM分类器进行训练，并获得基于深度特征的复杂 snort规则总分类器，其公式（5)如下：
其中，在公式（5)中，ΔΙ表不分类器Classifier (a)的权重系数； ΔΚ2表示分类器Classifier (b)的权重系数； ΔΚ3表不分类器Classifier (c)的权重系数； Δ &表不后面的分类器Classifier (i)的权重系数。
8. -种基于深度特征的复杂snort规则分类系统，包括： 分类器建立单元，用于根据snort规则分别建立基于content深度特征的多级分类器、 基于稀疏矩阵的弱分类器和相关性分类器；其中， 所述分类器建立单元进一步包括：基于content深度特征的多级分类器建立单元，用 于根据snort规则中的content关键词建立基于content深度特征的多级分类器；基于稀 疏矩阵的弱分类器建立单元，用于根据snort规则中的组合关联性关键词建立基于稀疏矩 阵的弱分类器；相关性分类器建立单元，用于根据snort规则中的前置规则与后置规则建 立相关性分类器； 基于深度特征的复杂snort规则总分类器形成单元，用于在半监督学习下，对所述基 于content深度特征的多级分类器、所述基于稀疏矩阵的弱分类器、所述相关性分类器以 及snort规则中的一维SVM分类器进行训练，形成基于深度特征的复杂snort规则总分类 器，以完成对复杂snort规则进行语义层面的分类。
9. 如权利要求8所述的基于深度特征的复杂snort规则分类系统，其中， 在所述基于content深度特征的多级分类器建立单元建立基于content深度特征的多 级分类器的过程中， 采用多层公共特征串管理机制，计算snort规则中的content关键词的相似性，获得每 层的最大公共串；对获得的每层的最大公共串建立相应的hash表；根据所述hash表中的 规则，汇总content关键词相似性的分数，根据汇总的content关键词相似性的分数获得基 于content深度特征的多级分类器。
10. 如权利要求9所述的基于深度特征的复杂snort规则分类系统，其中， 在所述基于content深度特征的多级分类器建立单元通过公式（1)计算snort规则中 的content关键词的相似性，获得每层的最大公共串的过程中；其公式（1)如下所示：
其中，在公式（1)中，ruleA, ruleB分别表示A与B两条规则； S (ruleA, ruleB)表示A与B两条规则的相似性； con_content_j表示最大公共串； len(con_content_j)表示最大公共串的长度；
表不content关键词属性的串长度之和；
表不对第一个连加符号后的内容进行求 和，其中，j的个数最大值为规则A与规则B中content关键词属性的乘积。
11. 如权利要求10所述的基于深度特征的复杂snort规则分类系统，其中， 在所述基于content深度特征的多级分类器建立单元根据所述hash表中的规则，通过 公式（2)汇总content关键词相似性的分数的过程中，其公式（2)如下所示：
其中，在公式（2)中，在公式（1)的基础上增加了权重系数ki;ki表示第i层公共子串 的权重；depth表示公共子串的深度。
12. 如权利要求8所述的基于深度特征的复杂snort规则分类系统，其中， 在所述基于稀疏矩阵的弱分类器建立单元建立基于稀疏矩阵的弱分类器 的过程中， 将snort规则中的组合关联性关键词采用20X20的矩阵表示； 将所述矩阵对角化，获得其特征向量； 将所述特征向量单位正交化，并通过公式（3)计算两个正交化特征向量的距离，作为 所述snort规则中的组合关联性关键词的相似性； 其公式（3)如下：
其中，在公式（3)中，
表示两个正交化特征向量的距离；
表示采用欧式距离为snort规则中的组合关联性关键词的相似性。
13. 如权利要求8所述的基于深度特征的复杂snort规则分类系统，其中， 在所述相关性分类器建立单元建立相关性分类器的过程中， snort规则中的前置规则与后置规则采用公式（4)进行比较，其公式（4)如下所示： | S (ruleA，ruleB) I I classifier(a) n classifier(b)〈 = δ，（ 〇〇 > δ >〇) (4) 其中，在公式（4)中，classifier (a) Π classifier (b)表示a与b两个分类器的共同作 用； S (?ΓΙ?Ιθ^, ΓΙ?Ιθβ) I I classifjer (a) Π classifier (b) 表示规则A与规则B在分类器a与b的共同作 用下的相似性距离； S表示设定的阈值。
14. 如权利要求8所述的基于深度特征的复杂snort规则分类系统，其中，在所述基于 深度特征的复杂snort规则总分类器形成单元对所述content深度特征的多级分类器、所 述稀疏矩阵的弱分类器、所述相关性分类器以及snort规则中的一维SVM分类器进行训练 的过程中， 通过公式（5)对所述content深度特征的多级分类器、所述稀疏矩阵的弱分类器、所述 相关性分类器以及snort规则中的一维SVM分类器进行训练，并获得基于深度特征的复杂 snort规则总分类器，其公式（5)如下：
其中，在公式（5)中，ΔΙ表不分类器Classifier (a)的权重系数； ΔΚ2表示分类器Classifier (b)的权重系数； ΔΚ3表不分类器Classifier (c)的权重系数； Δ &表不后面的分类器Classifier (i)的权重系数。
【文档编号】G06F17/30GK104142993SQ201410369473
【公开日】2014年11月12日 申请日期:2014年7月30日 优先权日:2014年7月30日
【发明者】吴子章, 刘申, 柴丽颖, 邹荣珠 申请人:东软集团股份有限公司