【技术实现步骤摘要】
本专利技术涉及网络安全技术,尤其涉及一种在网络入侵检测中提取特征的方法。
技术介绍
入侵检测/防御系统(Intrusion Detection/Protection System, IDS/IPS)作为 网络安全防护的重要手段,通常部署在关键网络内部/网络边界入口处,实时捕获网络内 或进出网络的报文数据流并进行智能综合分析,发现可能的入侵行为后进行报警或实施进 一步的阻断功能。 目前的入侵检测产品及技术绝大部分是基于协议解析的结果并根据预先设定的 各种检测特征(例如对于BT协议以特征字段BiTTorrent进行识别)通过模式匹配的方 式来进行相应的入侵检测的判断。现有的大部分入侵检测产品当中所使用的检测特征都 是由人工进行定义的,大多数都是采用搭建环境、捕捉报文,人工分析的方式进行特征的提 取。这样做虽然特征提取的精度很高,但是需要消耗大量的人力、时间。而目前很多的应用 软件,尤其是P2P(点对点)(比如BT、 emule、迅雷等)、即时通信(M)类等很多应用非常 广泛的软件的版本更新速度非常快,而对于大部分的版本更新而言,带来的数据当中特征 的变化其实是非常小...
【技术保护点】
一种智能特征提取方法,其特征在于,该方法包含以下步骤:特征匹配步骤,用于将已存储的匹配特征与实际获取的特征进行匹配,如果匹配成功,则直接上报入侵检测引擎;否则进行相似度计算;相似度计算步骤,用于根据所述特征匹配步骤的匹配结果进行相似度计算;特征提取步骤,用于根据所述相似度计算步骤的计算结果生成新特征;入侵检测步骤,用于根据所述特征匹配步骤的匹配结果进行入侵检测。
【技术特征摘要】
一种智能特征提取方法,其特征在于,该方法包含以下步骤特征匹配步骤,用于将已存储的匹配特征与实际获取的特征进行匹配,如果匹配成功,则直接上报入侵检测引擎;否则进行相似度计算;相似度计算步骤,用于根据所述特征匹配步骤的匹配结果进行相似度计算;特征提取步骤,用于根据所述相似度计算步骤的计算结果生成新特征;入侵检测步骤,用于根据所述特征匹配步骤的匹配结果进行入侵检测。2. 根据权利要求1所述的一种智能特征提取方法,其特征在于,所述的特征匹配步骤 还包括步骤Al、对实际捕获的数据报文进行协议分析,获得实际获取的特征; A2、将匹配特征库中存储的匹配特征与步骤A1中获取的特征进行特征匹配; A3、如果特征匹配成功,则直接上报入侵检测引擎进行处理;如果特征匹配失败,则将 步骤Al中获取的特征及对应的数据部分输出到相似度计算器进行相似度计算。3. 根据权利要求1所述的一种智能特征提取方法,其特征在于,所述的相似度步骤还 包括步骤Bl、依据所述特征匹配步骤的输出特征、对应的数据部分以及特征字段的权重进行相 似度的计算;B2、如果计算得出的相似度小于预先设定的阈值,则不进行处理;如果计算得出的相似度大于预先设定的阈值,则将所述特征匹配步骤输...
【专利技术属性】
技术研发人员:孙海波,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。