一种网络入侵检测方法及系统技术方案

本申请提供一种网络入侵检测方法及系统，其中，所述方法包括：获取预设数量的源IP到目标IP的访问请求记录；统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录；为所述目标访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标访问请求记录写入预设状态表；在所述预设状态表中将写入的目标访问请求记录进行匹配，并将匹配结果中的访问请求记录作为网络入侵记录。本申请提供的技术方案，能够提高网络入侵检测的成功率。

A network intrusion detection method and system

This application provides a network intrusion detection method and system, wherein the method includes: acquiring a preset number of access request records from source IP to target IP; counting a target access request record in which the request source page is identified as empty; and setting multiple features for the target access request record Set the weight value, and write the target access request record to the default state table based on the set weight value; match the written target access request record in the default state table, and regard the access request record in the matching result as the network intrusion record. The technical proposal provided by this application can improve the success rate of network intrusion detection.

【技术实现步骤摘要】
一种网络入侵检测方法及系统
本专利技术涉及互联网
，特别涉及一种网络入侵检测方法及系统。
技术介绍
随着网络技术的快速发展以及网络规模的急剧膨胀，网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。网络攻击中常见的是一种基于页面的分布式拒绝服务攻击。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文，导致目标服务器不断执行大量的计算或操作，耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时，将导致正常的访问被终止处理，甚至宕机。针对上述情况，现有的检测网络入侵的方式可以通过跳转检测来实现。在该方法中，一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文。该跳转检测设备可以在目标服务器接收到请求报文之前，代替目标服务器向请求端发送一个验证报文。攻击请求端往往不会对返回的验证报文做出响应，而是继续向目标服务器发起新的访问请求。检测设备接收不到攻击请求端发来的确认信息，则不会放行攻击请求端对目标服务器的访问请求。然而，攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应，比如再次向目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息，这样便可以穿透上述现有技术的网络入侵检测方式。
技术实现思路
本申请的目的在于提供一种网络入侵检测方法及系统，能够提高网络入侵检测的成功率。本申请提供一种网络入侵检测方法，所述方法包括：获取预设数量的源IP到目标IP的访问请求记录；统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录；为所述目标访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标访问请求记录写入预设状态表；在所述预设状态表中将写入的目标访问请求记录进行匹配，并将匹配结果中的访问请求记录作为网络入侵记录。进一步地，获取预设数量的源IP到目标IP的访问请求记录包括：基于真实源IP的确定规则，获取预设数量的真实源IP到目标IP的访问请求记录。进一步地，所述真实源IP的确定规则具体包括：当访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP；当访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的IP地址确定真实源IP。进一步地，为所述目标访问请求记录的多个特征分别设置权重值包括：确定所述目标访问请求记录的目标特征对应的分类错误率，并基于所述分类错误率确定所述目标特征的权重值。进一步地，按照下述公式确定所述目标特征的分类错误率；其中，δ表示所述目标特征的分类错误率，ηw表示所述目标特征在指定次数中分类错误的总次数，ηc表示所述目标特征在指定次数中分类正确的总次数。进一步地，按照下述公式确定所述目标特征的权重值：其中，γ表示所述目标特征的权重值，γ0表示预设权重初值。进一步地，所述预设状态表为DFA状态表，相应地，将所述目标访问请求记录写入预设状态表包括：获取所述目标访问请求记录的三元组信息，并将所述三元组信息写入所述DFA状态表中；其中，所述三元组信息包括起始字符、位图以及转换状态。进一步地，在所述预设状态表中将写入的目标访问请求记录进行匹配包括：在所述DFA状态表中获取与所述目标访问记录的三元组信息中的转换状态一致的目标三元组信息，并判断所述目标访问记录的三元组信息是否存在于所述目标三元组信息中；若存在，将所述目标访问记录作为匹配结果输出。进一步地，在为所述目标访问请求记录的多个特征分别设置权重值之前，所述方法还包括：确定所述目标访问请求记录对应的特征值，并将所述特征值与预设阈值进行比较，当所述特征值大于或者等于所述预设阈值时，才为所述目标访问请求记录的多个特征分别设置权重值；其中，所述特征值用于表征所述目标访问请求记录的分析成本-效益值。本申请还提供一种网络入侵检测系统，所述系统包括：访问请求记录获取单元，用于获取预设数量的源IP到目标IP的访问请求记录；统计单元，用于统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录；写入单元，用于为所述目标访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标访问请求记录写入预设状态表；匹配单元，用于在所述预设状态表中将写入的目标访问请求记录进行匹配，并将匹配结果中的访问请求记录作为网络入侵记录。由上可见，本申请提供的技术方案，首先可以从大量的访问请求记录中筛选出来源页面标识为空白的目标访问请求记录，这些目标访问请求记录是直接对目标IP发起的访问，而不是经过其它页面跳转后得到的，更加符合网络入侵的行为模式。然后，可以为目标访问请求的多个特征设置权重值，这些权重值可以表明目标访问请求作为网络入侵请求的程度值，然后可以将权重值较高的目标访问请求记录写入预设状态表中。所述预设状态表中可以记录符合网络入侵记录的状态特征，这样，通过将写入的目标访问请求记录在所述预设状态表中进行匹配，从而可以得到精确的网络入侵记录。由上可见，本申请提供的技术方案，能够提高网络入侵检测的成功率。本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例，对本专利技术的技术方案做进一步的详细描述。附图说明附图用来提供对本专利技术的进一步理解，并且构成说明书的一部分，与本专利技术的实施例一起用于解释本专利技术，并不构成对本专利技术的限制。在附图中：图1为本专利技术实施例中网络入侵检测方法的流程图；图2为本专利技术实施例中网络入侵检测系统的结构示意图。具体实施方式以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。请参阅图1，本申请提供一种网络入侵检测方法，所述方法包括：S1：获取预设数量的源IP到目标IP的访问请求记录。S2：统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录。S3：为所述目标访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标访问请求记录写入预设状态表。S4：在所述预设状态表中将写入的目标访问请求记录进行匹配，并将匹配结果中的访问请求记录作为网络入侵记录。在本实施方式中，每个获取的访问请求记录中可以包含该访问行为的源IP、目标IP以及访问请求页面。例如，访问请求记录1记载了源IP1向目标IP1发起访问页面1的请求，访问请求记录2记载了IP2向目标IP2发起访问页面2的请求。访问请求记录中还包含请求来源页面标识。请求来源页面标识可以用来注明该访问请求的前导页面地址。例如，第一源IP向第一目标IP发起访问页面2的请求，而该访问页面2的请求是通过点击页面1上的链接发起的。那么在该访问请求记录的请求来源页面标识中，会写入页面1的地址，注明该访问请求是从页面1链接过来的。在本申请具体实施例中，所述请求来源页面标识可以为访问请求中的referer字段。该referer字段注明了该访问请求的请求来源页面的页面地址。网络入侵者往往通过自动化的脚本语言，直接通过页面的地址频繁地向目标服务器发起访问请求。网络入侵者向目标服务器发起的访问本文档来自技高网...

【技术保护点】
1.一种网络入侵检测方法，其特征在于，所述方法包括：获取预设数量的源IP到目标IP的访问请求记录；统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录；为所述目标访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标访问请求记录写入预设状态表；在所述预设状态表中将写入的目标访问请求记录进行匹配，并将匹配结果中的访问请求记录作为网络入侵记录。

【技术特征摘要】
1.一种网络入侵检测方法，其特征在于，所述方法包括：获取预设数量的源IP到目标IP的访问请求记录；统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录；为所述目标访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标访问请求记录写入预设状态表；在所述预设状态表中将写入的目标访问请求记录进行匹配，并将匹配结果中的访问请求记录作为网络入侵记录。2.根据权利要求1所述的方法，其特征在于，获取预设数量的源IP到目标IP的访问请求记录包括：基于真实源IP的确定规则，获取预设数量的真实源IP到目标IP的访问请求记录。3.根据权利要求2所述的方法，其特征在于，所述真实源IP的确定规则具体包括：当访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP；当访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的IP地址确定真实源IP。4.根据权利要求1所述的方法，其特征在于，为所述目标访问请求记录的多个特征分别设置权重值包括：确定所述目标访问请求记录的目标特征对应的分类错误率，并基于所述分类错误率确定所述目标特征的权重值。5.根据权利要求4所述的方法，其特征在于，按照下述公式确定所述目标特征的分类错误率；其中，δ表示所述目标特征的分类错误率，ηw表示所述目标特征在指定次数中分类错误的总次数，ηc表示所述目标特征在指定次数中分类正确的总次数。6.根据权利要求5所述的方法，其特征在于，按照下述公式确定所述目标特征的权重值：其中，γ表示所述目标特征的权重值...

【专利技术属性】
技术研发人员：龙春，赵静，宋丹劼，王绍节，杨帆，
申请(专利权)人：中国科学院计算机网络信息中心，
类型：发明
国别省市：北京,11