一种基于知识编译的入侵检测方法及系统技术方案

本发明专利技术公开了一种基于知识编译的入侵检测方法及系统，涉及入侵检测领域，所述方法，包括：计算获取到的目标网络数据流的统计值；采用变量离散化规则将目标网络数据流的统计值映射为二进制字符串，得到目标字符串；将目标字符串与白名单规则库进行对比，确定目标网络数据流是否为入侵的网络数据流；变量离散化规则和白名单规则库确定方法为：采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；采用知识编译的方法对入侵检测模型进行规则抽取，得到变量离散化规则；对变量离散化规则转化为二进制字符串，得到白名单规则库。本发明专利技术能提高入侵检测的准确度。的准确度。的准确度。

【技术实现步骤摘要】
一种基于知识编译的入侵检测方法及系统


[0001]本专利技术涉及入侵检测领域，特别是涉及一种基于知识编译的入侵检测方法及系统。

技术介绍

[0002]传统的入侵检测多是利用TCP数据包的包头信息实现，而随着QUIC协议的发展，包头信息是被加密或扰乱的，不能直接拿来作为入侵检测的依据，因此需要使用更加隐秘的信息，如数据流量的统计信息用机器学习来进行模式识别，而现有机器学习模型是黑盒，不可解释、不透明、不可审阅的，在安全性要求很高的入侵检测领域，会大大限制其发展和应用。现有的机器学习可解释方法大都是近似的模拟该模型的决策规则，并不能保证解释的方法可准确反映该模型内部的规则。因此，目前入侵检测的准确度有待提高。

技术实现思路

[0003]基于此，本专利技术实施例提供一种基于知识编译的入侵检测方法及系统，以提高入侵检测的准确度。
[0004]为实现上述目的，本专利技术提供了如下方案：
[0005]一种基于知识编译的入侵检测方法，包括：
[0006]获取目标网络数据流；
[0007]计算所述目标网络数据流的统计值；
[0008]采用变量离散化规则将所述目标网络数据流的统计值映射为二进制字符串，得到目标字符串；
[0009]将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流；
[0010]其中，所述变量离散化规则和所述白名单规则库的确定方法为：
[0011]采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；所述训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；所述入侵检测模型的结构为决策树结构；
[0012]采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则；
[0013]将所述变量离散化规则转化为二进制字符串，得到白名单规则库。
[0014]可选的，所述采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型，具体包括：
[0015]获取训练网络数据流；
[0016]计算所述训练网络数据流的统计值；
[0017]将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型。
[0018]可选的，所述将所述训练网络数据流的统计值分别输入多个不同类型的机器学习
模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型，具体包括：
[0019]将所述训练网络数据流的统计值分别输入决策树模型、随机森林模型、提升树模型和神经网络模型中进行训练，得到训练好的决策树模型、训练好的随机森林模型、训练好的提升树模型和训练好的神经网络模型；
[0020]将所述训练好的决策树模型、所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中准确度最高的模型确定为目标模型；
[0021]若所述目标模型为所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中的任意一个时，将所述目标模型的结构转换为决策树结构，并将转换后的目标模型确定为入侵检测模型；
[0022]若所述目标模型为训练好的决策树模型，则将所述目标模型确定为所述入侵检测模型。
[0023]可选的，所述采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则，具体包括：
[0024]以所述入侵检测模型中各决策点的阈值作为分隔值，将所述训练网络数据流的统计值映射为离散变量；
[0025]根据所述离散变量将所述入侵检测模型中的目标决策路径表示为二进制布尔表达式，得到初始布尔表达式；所述目标决策路径为所述入侵检测模型中决策出正常的网络数据流的决策路径；
[0026]根据所述初始布尔表达式，将所述离散变量中的连续值融合为一个离散值，得到融合后的离散变量；
[0027]将由所述融合后的离散变量确定的二进制布尔表达式，确定为简化后的布尔表达式，并将所述简化后的布尔表达式确定为变量离散化规则。
[0028]可选的，所述将所述变量离散化规则转化为二进制字符串，得到白名单规则库，具体包括：
[0029]对所述变量离散化规则进行简化，得到最简布尔表达式；
[0030]将所述最简布尔表达式转化成二进制字符串，得到白名单规则库。
[0031]可选的，所述将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流，具体包括：
[0032]判断白名单规则库中是否存在与所述目标字符串相匹配的二进制字符串；
[0033]若是，则确定所述目标网络数据流为正常的网络数据流；
[0034]若否，则确定所述目标网络数据流为入侵的网络数据流。
[0035]可选的，所述获取目标网络数据流，具体包括：
[0036]获取目标网络数据包信息；
[0037]按照流元素对所述目标网络数据包信息进行提取，得到目标网络数据流；所述流元素包括：起始ip地址、终点ip地址、起始端口号、终点端口号以及协议。
[0038]可选的，所述统计值，包括：流长度、上行的总包数、下行的总包数、包长度的最大值、包长度的最小值、包长度的平均值、包长度的方差、流比特率、包到达时差最小值和不同标签的包数。
[0039]本专利技术还提供了一种基于知识编译的入侵检测系统，包括：
[0040]目标数据流获取模块，用于获取目标网络数据流；
[0041]统计值计算模块，用于计算所述目标网络数据流的统计值；
[0042]离散化模块，用于采用变量离散化规则将所述目标网络数据流的统计值映射为二进制字符串，得到目标字符串；
[0043]入侵检测模块，用于将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流；
[0044]其中，所述变量离散化规则和所述白名单规则库的确定方法为：
[0045]采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；所述训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；所述入侵检测模型的结构为决策树结构；
[0046]采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则；
[0047]将所述变量离散化规则转化为二进制字符串，得到白名单规则库。
[0048]与现有技术相比，本专利技术的有益效果是：
[0049]本专利技术实施例提出了一种基于知识编译的入侵检测方法及系统，采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；采用知识编译的方法对入侵检测模型进行规则抽取，得到变量离散化规则；对变量离散化规则转化为二进制字符串，得到白名单规则库；计算获取到的目标网络数据流的统计值；采用变量离散化规则将目标网络数据流的统计值映射为二进制字符串，得到目标字符串；将目标字符串与白名单规则库进行对比，确定目标网络数据流是否为入侵的网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识编译的入侵检测方法，其特征在于，包括：获取目标网络数据流；计算所述目标网络数据流的统计值；采用变量离散化规则将所述目标网络数据流的统计值映射为二进制字符串，得到目标字符串；将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流；其中，所述变量离散化规则和所述白名单规则库的确定方法为：采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；所述训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；所述入侵检测模型的结构为决策树结构；采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则；将所述变量离散化规则转化为二进制字符串，得到白名单规则库。2.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型，具体包括：获取训练网络数据流；计算所述训练网络数据流的统计值；将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型。3.根据权利要求2所述的一种基于知识编译的入侵检测方法，其特征在于，所述将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型，具体包括：将所述训练网络数据流的统计值分别输入决策树模型、随机森林模型、提升树模型和神经网络模型中进行训练，得到训练好的决策树模型、训练好的随机森林模型、训练好的提升树模型和训练好的神经网络模型；将所述训练好的决策树模型、所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中准确度最高的模型确定为目标模型；若所述目标模型为所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中的任意一个时，将所述目标模型的结构转换为决策树结构，并将转换后的目标模型确定为入侵检测模型；若所述目标模型为训练好的决策树模型，则将所述目标模型确定为所述入侵检测模型。4.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则，具体包括：以所述入侵检测模型中各决策点的阈值作为分隔值，将所述训练网络数据流的统计值映射为离散变量；根据所述离散变量将所述入侵检测模型中的目标决策路径表示为二进制布尔表达式，得到初始布尔表达式；所...

【专利技术属性】
技术研发人员：周倩如，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：