基于D-S证据理论的混合入侵检测方法和系统技术方案

本发明专利技术提供了一种基于D

【技术实现步骤摘要】
基于D
‑
S证据理论的混合入侵检测方法和系统


[0001]本专利技术涉及计算机网络安全
，具体地，涉及一种基于D
‑
S证据理论的混合入侵检测方法和系统。

技术介绍

[0002]随着互联网技术的发展和互联网应用场景的拓展，网络攻击技术不断推陈出新，网络攻击的危害越来越大。目前，常见的攻击方法包括端口扫描、拒绝服务攻击、暴力破解、僵尸网络、恶意代码等。入侵检测系统(Intrusion Detection System，以下简称IDS)是一种监控网络流量，根据算法发现可疑流量并发出警告的网络安全设备。IDS能够有效地发现恶意流量，有利于安全人员及时进行攻击拦截、采取安全措施，保证网络系统的安全。IDS根据信息来源可以分成基于主机的IDS和基于网络的IDS，基于网络的IDS收集网络流量，用原始的网络流量数据包作为信息源，本专利技术属于基于网络的IDS。IDS还可以根据检测方法分成异常检测和误用检测，其中误用检测对所有恶意行为建立模型，所有与恶意行为模型类似的流量被判定为入侵，本专利技术属于异常检测IDS。
[0003]异常检测IDS通常分为基于流和基于报文的IDS方法。基于报文的IDS方法以网络流量报文作为输入，报文由报头和数据段组成，其中报头包含地址信息和报文相关信息，数据段包含应用数据，因此数据段中可以挖掘出攻击流量的特征，比如暴力破解攻击中，攻击者的报文通常会出现password字段或是一些常见的密码，检测时匹配这些字段即可发现；而有些攻击报文中的特征不明显，这种情况可以使用卷积神经网络(CNN)和深度神经网络(DNN)进行特征提取和类别判断。基于流的IDS方法首先对原始报文进行处理，将一段时间内五元组(即源IP、目的IP、源端口、目的端口和协议)相同的报文聚合形成流，对流提取报文总数、报文长度、标志位个数、持续时间等特征，比如拒绝服务攻击在短时间内发送大量报文，因此报文总数、报文长度都较正常流有明显的上升，可以利用这些特征检测异常流量，常见的基于流的IDS方法使用传统机器学习算法(如支持向量机、逻辑回归、K近邻等)，近年来使用深度神经网络(DNN)和决策树(如随机森林、XGBoost等)。另一类异常检测IDS结合了时间和空间特征，使用循环神经网络(RNN)在记录报文空间特征基础上，通过循环网络记录前n个报文与当前报文的关联性，以表征其时间特性，取得了良好的检测效果，但模型大多计算成本高，不利于实际部署。
[0004]目前IDS领域在部署上存在很多问题，尤其是在物联网、边缘计算等场景中。第一，节点需要处理大量数据。在如今的大数据时代，每个端设备会接收大量的网络数据，IDS一般部署在交换机上，所监控的端设备数量多，流量大。基于报文的IDS方法仅需要一个报文即可获得检测结果，因此检测周期短，能更快发现攻击流量，但是面对大量流量时可能会出现延迟；基于流的IDS方法可以减小处理数据量，但是一般收集完整的流需要较长时间，检测周期会增加。本专利技术的IDS系统结合两种方法，仅取每个流的前3个报文，减小基于报文的IDS方法需要处理的数据量；流的数据源流量按时间截取，缩短检测周期。第二，节点算力和存储不够。IDS领域学术界已经设计出多种基于深度学习的IDS算法，取得了高准确率和多
攻击方式的覆盖，但是一般深度学习网络的层数较高、参数较多，需要高算力和高存储能力，导致IDS的部署成本很高。本专利技术的IDS系统采用浅层CNN网络和随机森林，参数相对较少，降低了对算力和存储的要求，通过Dempster
‑
Shafer理论将两个方法的预测结果融合得到高准确率。
[0005]Dempster
‑
Shafer证据融合理论(以下简称D
‑
S理论)，是由20世纪60年代的数学家A.P.Dempster与他的学生Shafer建立的一种不精确推理理论，属于人工智能范畴，最早应用于专家系统中，具有处理不确定信息的能力。通过Dempster合成规则将多个信息源的证据融合，比如多个传感器、多个分类器、多个人的判断。D
‑
S理论是对贝叶斯推理方法的推广，相比贝叶斯推理，D
‑
S理论不需要知道先验概率，能够很好地表示“不确定性”，被广泛用来处理不确定数据。本专利技术的系统使用D
‑
S理论融合基于流和基于报文的IDS预测结果，提高系统的准确率。
[0006]网络攻击的类型很多，以下列举6种攻击类型：暴力破解、分布式拒绝服务、端口扫描、慢速拒绝服务攻击、僵尸网络和暗网流量。暴力破解主要针对SSH和FTP，通过反复尝试猜解账号密码，取得未授权登陆的能力。分布式拒绝服务攻击是指处于不同位置的多个攻击者对同一个目标发起攻击，发送大量要求回复的消息，消耗网络带宽或系统资源，导致受害者无法响应正常的请求。端口扫描属于攻击的信息收集阶段，攻击者发送一组端口扫描消息，探查目标主机打开了哪些端口，以此得知开放了哪些服务，针对这些服务挖掘漏洞，常见的端口扫描包括TCP connect扫描、TCP SYN扫描、TCPFIN扫描等。慢速拒绝服务攻击常见于针对Web服务器的拒绝服务攻击，原理是发送http报文使服务器保持连接等待，以此消耗服务器资源，但是无需像分布式拒绝服务攻击发送大量消息。僵尸网络是指通过一种或多种传播手段，使大量主机感染僵尸程序病毒，从而控制多个主机的一种攻击方式，被感染的主机通过控制信道接收攻击者的命令，共同完成攻击者发布的后续攻击任务，比如分布式拒绝服务攻击。暗网需要一些特定的软件和授权才能进入，数据流量大多进行加密，且通过虚拟货币交易，由于其匿名性，导致暗网成为非法活动的重灾区，暗网流量也是IDS系统的主要目标之一。
[0007]专利文献CN103077347B(申请号：CN201210564255.1)公开了一种网络安全
中基于改进核心向量机数据融合的复合式入侵检测方法。本专利技术从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据；将特征数据分别构造为黑、白名单数据样本子集；对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型；通过D
‑
S证据理论实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；得到最终检测结果。

技术实现思路

[0008]针对现有技术中的缺陷，本专利技术的目的是提供一种基于D
‑
S证据理论的混合入侵检测方法和系统。
[0009]根据本专利技术提供的基于D
‑
S证据理论的混合入侵检测方法，包括：
[0010]步骤1：以网络流量pcap文件为输入，使用开源流量特征提取工具提取网络流量特征，并记录每一个网络流量的五元组信息和时间戳；
[0011]步骤2：根据五元组信息和时间戳，从网络流量pcap文件中找出每个网络流量相应的报文并进行提取；
[0012]步骤3：根据报文的提取结果，使用基于报文本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于D
‑
S证据理论的混合入侵检测方法，其特征在于，包括：步骤1：以网络流量pcap文件为输入，使用开源流量特征提取工具提取网络流量特征，并记录每一个网络流量的五元组信息和时间戳；步骤2：根据五元组信息和时间戳，从网络流量pcap文件中找出每个网络流量相应的报文并进行提取；步骤3：根据报文的提取结果，使用基于报文的IDS算法进行检测，得到报文检测结果；步骤4：对提取的网络流量特征，使用基于流的IDS算法进行检测，得到流检测结果；步骤5：使用D
‑
S证据融合算法，综合报文检测结果和流检测结果，得到最终检测结果。2.根据权利要求1所述的基于D
‑
S证据理论的混合入侵检测方法，其特征在于，所述步骤1包括：步骤101：根据检测周期，使用流量分析软件抓取时间窗口内的网络流量，并保存为pcap文件；步骤102：将pcap文件输入流量特征提取工具中，提取包括流持续时间、报文总数、报文长度、每秒字节数、每秒报文数、标志位数量的特征，并记录每一个流的目的IP、源IP、目的端口、源端口、协议号和时间戳；步骤103：将提取的流量特征保存为tsv文件。3.根据权利要求1所述的基于D
‑
S证据理论的混合入侵检测方法，其特征在于，所述步骤2包括：步骤201：根据五元组信息和时间戳，在pcap文件中进行比对，找到每个流的前n个报文；步骤202：对每一个报文，使用python的scapy库进行报文解析，将IP地址、MAC地址置0；步骤203：对每一个报文，提取报文的前784字节，并将提取的特征保存为tsv文件。4.根据权利要求1所述的基于D
‑
S证据理论的混合入侵检测方法，其特征在于，所述步骤3包括：步骤301：使用python的numpy库将提取的报文数据从tsv文件中读入；步骤302：将报文数据输入训练后的基于报文的IDS模型进行检测，得到报文检测结果，输出一个k*1的向量，表示预测为k种类别的概率，k包括1种正常流量和k
‑
1种攻击流量。5.根据权利要求4所述的基于D
‑
S证据理论的混合入侵检测方法，其特征在于，所述步骤4包括：步骤401：使用python的numpy库将提取的流量特征数据从tsv文件中读入；步骤402：将流量特征数据输入训练后的基于流的IDS模型进行检测，得到流检测结果，输出一个k*1的向量，表示预测为k种类别的概率，k包括1种正常流量和k
‑
1种攻击流量。6.根据权利要求5所述的基于D
‑
S证据理论的混合入侵检测方法，其特征在于，所述步骤5包括：步骤501：将报文检测结果和流检测结果按照流的信息进行匹配，对于每一个流，记录1个流检测结果向量k*1和n个报文检测结果矩阵n*k*1；步骤502：对于每一个流，将流检测结果和报文检测结果进行D
‑
S证据融合，首先将n*k*1向量取平均值得到k*1向量，根据下列公式计算出1个k*1的向量，作为流和报文综合判断的结果；
其中：m1和m2均为信息源；B和C表示各信息源判断结果；m1(B)表示信息源m1判别为B的概率；X表示为一个假设；K为正交系数，表示不同假设证据间对于某假设的冲突；表示融合证据后X假设的概率；步骤503：在检测结果...

【专利技术属性】
技术研发人员：陈秀真，马颖华，裘炜程，于海洋，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：