一种针对多协议层次网络攻击的入侵检测方法及系统

本发明属于网络安全，尤其涉及一种针对多协议层次网络攻击的入侵检测方法及系统。

背景技术：

1、网络技术在过去的几十年中飞速发展，网络攻击的手段也随着网络的发展越来越多样化。入侵检测系统作为一种主动的安全防护技术，它已经成为信息系统安全不可或缺的一部分。传统的基于规则的入侵检测算法泛化性能差。然而，现有基于机器学习算法的入侵检测系统误报率高，然而真正有效的不多，这对安全人员管理造成了负担。而减少告警虽然减轻了安全人员的负担，但代价是容易对一些入侵行为进行漏报，现有技术难以平衡误报和漏报之间的矛盾。

2、专利文献cn 115834238 a公开了一种网络攻击检测方法、装置、系统及存储介质，该方法通过获取待检测的目标网络设备的流量信息；对所述流量信息进行分级检测处理；当任意检测级别判定为攻击行为时候，停止下一级别的检测处理，以及向所述目标网络设备发送阻断链接。该方法利用基于规则的方法提取应用层字段的特征，无法应对未见过或训练过的攻击类型。

3、专利文献cn115883226 a公开一种车辆网络攻击分析方法、装置、设备及存储介质，该方法包括：基于预设的数据处理层将车机网络数据进行分层解码处理，获得分层网络数据，其中，所述数据处理层包括网络层、传输层和应用层；针对每个所述数据处理层对应的所述分层网络数据，确定所述分层网络数据对应的目标数据信息；基于所述目标数据信息和预设的网络攻击规则集确定网络攻击车机数据。该方法针对封闭且有规律的车辆网络设计了检测算法，仅能检测针对性的网络入侵。

技术实现思路

1、本发明的目的是提供一种针对多协议层次网络攻击的入侵检测方法及系统，可以现了对各类攻击的有效检测，同时基于机器学习算法，减少了对领域专业知识的依赖，对不同种类攻击的检测效果得到显著保证。

2、为了实现第一个目的，本发明提供了一种针对多协议层次网络攻击的入侵检测方法，包括：

3、步骤1、获取局域网的流量信息，并对所述流量信息进行解析以获得对应的协议类型，所述协议类型包括非http协议数据和http协议数据；

4、步骤2、当流量信息属于非http协议数据，则提取流量信息中的会话特征并输入至基于集成学习的梯度提升树模型进行检测，以输出检测结果。

5、当流量信息属于http协议数据，则提取流量信息中的http请求特征生成对应的词向量，并通过预构建的文本卷积模型以获得检测结果，所述文本卷积模型包括一维卷积层，max-pooling层以及输出层，所述一维卷积层根据输入的词向量的组合文本，以固定步长对所述组合文本进行词向量的相乘处理，以获得叠加词向量，所述max-pooling层用于输入的叠加词向量特征提取，以获得语义特征，所述输出层根据获得的语义特征进行检测结果的预测。

6、步骤3、根据步骤获得的检测结果，对所述流量信息进行拦截或通过信任处理，并记录检测日程。

7、具体的，所述会话特征通过提取流量信息中的源ip，目的ip，源端口，目的端口以及协议进行网络数据包的聚集，并对聚集获得的网络数据包进行三类特征的提取以获得对应的会话特征，所述三类特征包括据包和流的基本信息，数据包的统计信息以及流的状态信息。

8、具体的，所述梯度提升树模型包括由多个小型机器学习子模型组成的cart决策树，利用xgboost投票算法将cart决策树子模型的预测向量进行融合以获得融合预测结果，将所述融合结果映射成为六维向量进行流量行为分类，所述流量行为分类包括正常、ddos、c&c、端口扫描、dos以及暴力攻击，该梯度提升树模型一方面通过引入正则项和列抽样的方法提高了稳健性，另一方面又在每个子模型预测的时候采取并行化策略从而极大提高了模型运行的速度。

9、具体的，所述http请求特征包括http请求中的请求类型，请求域名以及请求正文。

10、具体的，所述词向量通过n-gram自然语言预处理方法对由http请求特征拼接获得的请求url进行词嵌入处理，并将完成词嵌入处理的请求url转化为矩阵，以获得对应的词向量。

11、具体的，所述一维卷积层输出叠加词向量的具体过程如下：

12、以长度为k的一维卷积核，在词向量组合的文本长度方向上以步长为1进行移动，每移动一次卷积核与对应位置长度为k的词向量组相乘再求合并依次存储获求和的值，直至一维卷积核抵达文本尾部，将存储获得的值作为叠加词向量输出。

13、具体的，所述输出层包括包含多个次全连接神经网络的全连接层，通过将叠加词向量映射到长度为2的结果卷积核中进行预测。

14、为了实现第二个目的，本发明还提供了一种防入侵检测系统，基于上述的针对多协议层次网络攻击的入侵检测方法实现，包括防火墙模块，分类模块，特征提取模块，检测模块以及输出记录模块。

15、所述防火墙模块，用于捕获进入局域网内的流量信息。

16、所述分类模块，用于对捕获的流量信息进行分类，以获得流量信息对应的协议类型。

17、所述特征提取模块，用于根据协议类型，对捕获的流量信息进行特征提取，以获得对应的特征值。

18、所述检测模块，用于根据流量信息的协议类型，对输入的特征值进行预测分析，以获得流量信息的检测结果。

19、所述输出记录模块，根据输入的检测结果对流量信息执行拦截或通过信任处理，并记录检测日程。

20、与现有技术相比，本发明的有益效果：

21、基于攻击平面对网络攻击进行了划分，对不同特征的攻击分别设计了相应的检测算法，实现了对各类攻击的有效检测，同时基于机器学习算法，减少了对领域专业知识的依赖，对不同种类攻击的检测效果得到显著保证。

技术特征：

1.一种针对多协议层次网络攻击的入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的针对多协议层次网络攻击的入侵检测方法，其特在于，所述会话特征通过提取流量信息中的源ip，目的ip，源端口，目的端口以及协议进行网络数据包的聚集，并对聚集获得的网络数据包进行三类特征的提取以获得对应的会话特征，所述三类特征包括据包和流的基本信息，数据包的统计信息以及流的状态信息。

3.根据权利要求1所述的针对多协议层次网络攻击的入侵检测方法，其特在于，所述梯度提升树模型包括由多个小型机器学习子模型组成的cart决策树，利用xgboost投票算法将cart决策树子模型的预测向量进行融合以获得融合预测结果，将所述融合结果映射成为六维向量进行流量行为分类，所述流量行为分类包括正常、ddos、c&c、端口扫描、dos以及暴力攻击。

4.根据权利要求1所述的针对多协议层次网络攻击的入侵检测方法，其特征在于，所述http请求特征包括http请求中的请求类型，请求域名以及请求正文。

5.根据权利要求1所述的针对多协议层次网络攻击的入侵检测方法，其特征在于，所述词向量通过n-gram自然语言预处理方法对由http请求特征拼接获得的请求url进行词嵌入处理，并将完成词嵌入处理的请求url转化为矩阵，以获得对应的词向量。

6.根据权利要求1所述的针对多协议层次网络攻击的入侵检测方法，其特征在于，所述一维卷积层输出叠加词向量的具体过程如下：

7.根据权利要求1所述的针对多协议层次网络攻击的入侵检测方法，其特征在于，所述输出层包括包含多个次全连接神经网络的全连接层，通过将叠加词向量映射到长度为2的结果卷积核中进行预测。

8.一种防入侵检测系统，其特在于，基于如权利要求1～7任一项所述的针对多协议层次网络攻击的入侵检测方法实现，包括防火墙模块，分类模块，特征提取模块，检测模块以及输出记录模块；

技术总结
本发明公开了一种针对多协议层次网络攻击的入侵检测方法，包括：步骤1、获取局域网的流量信息，并对所述流量信息进行解析以获得对应的协议类型；步骤2、根据流量信息的协议类型进行分类检测；步骤3、根据步骤获得的检测结果，对所述流量信息进行拦截或通过信任处理，并记录检测日程。本发明还提供了一种防入侵检测系统。本发明提供的方法可以现了对各类攻击的有效检测，同时基于机器学习算法，减少了对领域专业知识的依赖，对不同种类攻击的检测效果得到显著保证。

技术研发人员：林峰,倪鑫雨,张斌,申永生,陈冲杰,任奎
受保护的技术使用者：浙江大学杭州国际科创中心
技术研发日：
技术公布日：2024/1/14