【技术实现步骤摘要】
一种采用全文索引的网络攻击入侵检测方法
本专利技术涉及信息安全领域,尤其是涉及一种采用全文索引的网络攻击入侵检测方法。
技术介绍
入侵检测能够提升信息系统对网络攻击的主动防御能力。技术上可分为基于标签的和基于异常的两类。相比之下,基于标签的入侵检测对已知攻击的检测准确率较高,是构建当前主流入侵检测系统(IntrusionDetectionSystem,IDS)核心组件的基础。基于标签的入侵检测技术的基本思路是:判断被检测流量与已知攻击引起的异常流量是否存在相似或相同特征。一种实现方法是:首先,根据专家经验从已知攻击的异常流量中提取攻击特征来构建特征库;接着,使用模式匹配算法判断被检测流量是否包含与特征库相匹配的特征;最后,返回相匹配特征所对应的攻击。另一种实现方法是:首先,使用机器学习算法学习已知攻击的异常流量特征来构建二分类判定模型;接着,使用二分类判定模型来判断被检测流量是否为异常流量。目前,基于标签的入侵检测技术对未知攻击的检测准确率较低,这主要是因为未知攻击的异常流量包含一些新的攻击特征,这些攻击特征既未被特征库收录,也未被分类判定模型学习,导致传统模式匹配算法和机器学习算法难以发挥作用。一些研究使用集成学习和迁移学习来提升二分类判定模型的能力。其中,集成学习首先使用多种机器学习算法来构建多个独立的二分类判定模型,接着依次使用各个二分类判定模型来判断被检测流量是否为异常流量,最后综合考虑所有判定模型输出的判断结果来形成最终的判断结果。迁移学习则是将由二分类判定模型判断为异常的网络流量作为模型的...
【技术保护点】
1.一种采用全文索引的网络攻击入侵检测方法,其特征在于,包括以下步骤:/n1)建立模拟网络环境E,并生成正常网络流量和已知攻击异常流量;/n2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值;/n3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA;/n4)利用广义后缀数组SA和广义最长公共前缀数组LCPA,搜寻已知攻击异常流量中所有的公共字面值,作为潜在攻击特征;/n5)将潜在攻击特征作为训练集,训练二分类判决模型;/n6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量。/n
【技术特征摘要】
1.一种采用全文索引的网络攻击入侵检测方法,其特征在于,包括以下步骤:
1)建立模拟网络环境E,并生成正常网络流量和已知攻击异常流量;
2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值;
3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA;
4)利用广义后缀数组SA和广义最长公共前缀数组LCPA,搜寻已知攻击异常流量中所有的公共字面值,作为潜在攻击特征;
5)将潜在攻击特征作为训练集,训练二分类判决模型;
6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量。
2.根据权利要求1所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤2)具体包括:
201)将正常网络流量的数据包和已知攻击异常流量的数据包结合,构成包含多个字符串的流量集合S={S0,S1,S2,...,Sn},所述的流量集合S内的元素S0对应正常网络流量的字面值,所述的流量集合S内的元素S1~Sn对应各已知攻击异常流量的字面值;
202)将流量集合S内的各元素分别切分为多个子串,得到子串集合E,所述的子串集合E中的各子串对应一个完整数据包的字面值;
203)将子串集合E内的每个子串切分为多个分段,得到分段集合F={F0,F1,F2,...,Fm},所述的分段集合F中的各元素对应一个完整数据包字段的字面值。
3.根据权利要求2所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤3)具体包括:
301)构造分段字符串F’,所述的分段字符串F’中包含分段集合F中所有分段对应的字面值;
302)将分段字符串F’作为输入,利用后缀数组算法和最长公共前缀数组算法,构建广义后缀数组SA和广义最长公共前缀数组LCPA。
4.根据权利要求3所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的分段字符串F’的表达式为:
F’=F0HF1HF2H...FmH
其中,F0,F1,F2,...,Fm为分段集合F中各分段的字符,H为按字典序小于分段集合F中任意字符的一个字符。
5.根据权利要求4所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的广义后缀数组SA记录按字典序排列的分段集合F中的所有后缀,该数组中的元素SA...
【专利技术属性】
技术研发人员:吴裔,郭乃网,黄华炜,田英杰,任辰,
申请(专利权)人:华东电力试验研究院有限公司,国网上海市电力公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。