一种基于双向报文入侵检测的方法和系统技术方案

本发明专利技术提供一种基于双向报文入侵检测的方法和系统，通过提取出报文数据的时序特征和空间特征，进行随机森林分类，可以全方面检测并快速突出所需的特征向量，利用整合的不同的分类能力，克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测的问题；通过双向报文携带的时间戳计算传输用时，计算其与信道测量估计的预计用时的偏差，判断客户端的报文数据是否被恶意篡改，以此引入其他检测角度来辅助，有助于提高检测的精确度。有助于提高检测的精确度。有助于提高检测的精确度。

【技术实现步骤摘要】
一种基于双向报文入侵检测的方法和系统


[0001]本申请涉及网络安全
，尤其涉及一种基于双向报文入侵检测的方法和系统。

技术介绍

[0002]随着流量加密技术的不断发展，加密流量逐渐取代非加密流量成为当前网络的主流，其在保护用户隐私的同时，也常被各种恶意软件用来规避传统的基于端口或载荷关键词的入侵检测系统，给网络安全带来了严重威胁。
[0003]现有的加密流量检测常见做法是使用卷积神经网络模型来识别加密特征向量，这样的做法可以实现对加密流量的入侵检测，但是单一的检测角度容易受到模型训练效果的影响。需要引入其他检测角度来辅助，有助于提高检测的精确度。
[0004]因此，急需一种针对性的基于双向报文入侵检测的方法和系统。

技术实现思路

[0005]本专利技术的目的在于提供一种基于双向报文入侵检测的方法和系统，解决恶意代码借用加密报文规避基于端口或载荷关键词的入侵检测，以及单一的检测角度容易受到模型训练效果的影响的问题。
[0006]第一方面，本申请提供一种基于双向报文入侵检测的方法，所述方法包括：
[0007]获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，分别输入时序特征模块和空间特征模块；
[0008]所述时序特征模块包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
[0009]所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵Q、K、V，并行对所述权重矩阵Q、K、V进行线性变换，合并输出全局特征；
[0010]提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；
[0011]将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
[0012]所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响
应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；
[0013]对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；
[0014]根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止TLS1.3握手过程。
[0015]第二方面，本申请提供一种基于双向报文入侵检测的系统，所述系统包括：
[0016]预处理模块，用于获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，分别输入时序特征模块和空间特征模块；
[0017]时序特征模块，包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
[0018]空间特征模块，包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵Q、K、V，并行对所述权重矩阵Q、K、V进行线性变换，合并输出全局特征；
[0019]分类模块，用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
[0020]双向报文判断模块，用于利用所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；
[0021]执行模块，用于根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止TLS1.3握手过程。
[0022]第三方面，本申请提供一种基于双向报文入侵检测的系统，所述系统包括处理器以及存储器：
[0023]所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
[0024]所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
[0025]第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的方法。
[0026]有益效果
[0027]本专利技术提供一种基于双向报文入侵检测的方法和系统，通过提取出报文数据的时序特征和空间特征，进行随机森林分类，可以全方面检测并快速突出所需的特征向量，利用整合的不同的分类能力，克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测的问题；通过双向报文携带的时间戳计算传输用时，计算其与信道测量估计的预计用时的偏差，判断客户端的报文数据是否被恶意篡改，以此引入其他检测角度来辅助，有助于提高检测的精确度。
附图说明
[0028]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0029]图1为本专利技术基于双向报文入侵检测的方法的大致流程图；
[0030]图2为本专利技术基于双向报文入侵检测的系统的架构图。
具体实施方式
[0031]下面结合附图对本专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于双向报文入侵检测的方法，其特征在于，所述方法包括：获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，分别输入时序特征模块和空间特征模块；所述时序特征模块包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵Q、K、V，并行对所述权重矩阵Q、K、V进行线性变换，合并输出全局特征；提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止TLS1.3握手过程。2.根据权利要求1所述的方法，其特征在于：所述提取所述会话报文的特征向量后，还包括：判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整，包括：如果会话报文的特征向量不包括业务载荷，则认定该会话报文与业务无关，是恶意代码篡改的结果；如果会话报文的握手信息不完整，则认定该会话报文是恶意代码篡改的结果。3.根据权利要求1所述的方法，其特征在于：所述每棵决策树的分类能力具有针对性，所述指定量特征值是根据不同分类得出的，将同一个特征向量矩阵通过决策树按照不同的角度进行分类，即完成针对不同分类能力的整合功能。4.根据权利要求2或3任一项所述的方法，其特征在于...

【专利技术属性】
技术研发人员：侯小超，周瑞红，刘玉佳，
申请(专利权)人：北京国瑞数智技术有限公司，
类型：发明
国别省市：