一种基于知识编译的入侵检测方法及系统技术方案

本发明专利技术公开了一种基于知识编译的入侵检测方法及系统，涉及入侵检测领域，所述方法，包括：计算获取到的目标网络数据流的统计值；采用变量离散化规则将目标网络数据流的统计值映射为二进制字符串，得到目标字符串；将目标字符串与白名单规则库进行对比，确定目标网络数据流是否为入侵的网络数据流；变量离散化规则和白名单规则库确定方法为：采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；采用知识编译的方法对入侵检测模型进行规则抽取，得到变量离散化规则；对变量离散化规则转化为二进制字符串，得到白名单规则库。本发明专利技术能提高入侵检测的准确度。的准确度。的准确度。

【技术实现步骤摘要】
一种基于知识编译的入侵检测方法及系统


[0001]本专利技术涉及入侵检测领域，特别是涉及一种基于知识编译的入侵检测方法及系统。

技术介绍

[0002]传统的入侵检测多是利用TCP数据包的包头信息实现，而随着QUIC协议的发展，包头信息是被加密或扰乱的，不能直接拿来作为入侵检测的依据，因此需要使用更加隐秘的信息，如数据流量的统计信息用机器学习来进行模式识别，而现有机器学习模型是黑盒，不可解释、不透明、不可审阅的，在安全性要求很高的入侵检测领域，会大大限制其发展和应用。现有的机器学习可解释方法大都是近似的模拟该模型的决策规则，并不能保证解释的方法可准确反映该模型内部的规则。因此，目前入侵检测的准确度有待提高。

技术实现思路

[0003]基于此，本专利技术实施例提供一种基于知识编译的入侵检测方法及系统，以提高入侵检测的准确度。
[0004]为实现上述目的，本专利技术提供了如下方案：
[0005]一种基于知识编译的入侵检测方法，包括：
[0006]获取目标网络数据流；
[0007]计算所述目标网络数据流的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识编译的入侵检测方法，其特征在于，包括：获取目标网络数据流；计算所述目标网络数据流的统计值；采用变量离散化规则将所述目标网络数据流的统计值映射为二进制字符串，得到目标字符串；将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流；其中，所述变量离散化规则和所述白名单规则库的确定方法为：采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；所述训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；所述入侵检测模型的结构为决策树结构；采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则；将所述变量离散化规则转化为二进制字符串，得到白名单规则库。2.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型，具体包括：获取训练网络数据流；计算所述训练网络数据流的统计值；将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型。3.根据权利要求2所述的一种基于知识编译的入侵检测方法，其特征在于，所述将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型，具体包括：将所述训练网络数据流的统计值分别输入决策树模型、随机森林模型、提升树模型和神经网络模型中进行训练，得到训练好的决策树模型、训练好的随机森林模型、训练好的提升树模型和训练好的神经网络模型；将所述训练好的决策树模型、所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中准确度最高的模型确定为目标模型；若所述目标模型为所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中的任意一个时，将所述目标模型的结构转换为决策树结构，并将转换后的目标模型确定为入侵检测模型；若所述目标模型为训练好的决策树模型，则将所述目标模型确定为所述入侵检测模型。4.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则，具体包括：以所述入侵检测模型中各决策点的阈值作为分隔值，将所述训练网络数据流的统计值映射为离散变量；根据所述离散变量将所述入侵检测模型中的目标决策路径表示为二进制布尔表达式，得到初始布尔表达式；所...

【专利技术属性】
技术研发人员：周倩如，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：