[发明专利]一种智能特征提取方法及系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种在网络入侵检测中提取特征的方 法。

背景技术

入侵检测/防御系统(Intrusion Detection/Protection System，IDS/IPS)作为网 络安全防护的重要手段，通常部署在关键网络内部/网络边界入口处，实时捕获 网络内或进出网络的报文数据流并进行智能综合分析，发现可能的入侵行为后 进行报警或实施进一步的阻断功能。

目前的入侵检测产品及技术绝大部分是基于协议解析的结果并根据预先设 定的各种检测特征(例如对于BT协议以特征字段“BiTTorrent”进行识别)通 过模式匹配的方式来进行相应的入侵检测的判断。现有的大部分入侵检测产品 当中所使用的检测特征都是由人工进行定义的，大多数都是采用搭建环境、捕 捉报文，人工分析的方式进行特征的提取。这样做虽然特征提取的精度很高， 但是需要消耗大量的人力、时间。而目前很多的应用软件，尤其是P2P(点对点) (比如BT、emule、迅雷等)、即时通信(IM)类等很多应用非常广泛的软件的 版本更新速度非常快，而对于大部分的版本更新而言，带来的数据当中特征的 变化其实是非常小的。例如深圳腾讯公司生产的即时通信软件“QQ”几乎1-2 个月就会升级一次，其特征在数据报文当中的变化非常细微。在这种情况下， 如果对于每次的升级或版本变化都采用传统的人工特征提取方式的话会占用非 常多的时间和人力，这种情况下采用这种特征提取方式显然是不经济的。因此 有必要实现一种在特征变动很小的情况下进行特征的智能提取的机制，能够自 动检测特定的匹配特征在实际报文当中的变化程度，并根据相似度的大小自动 的进行匹配特征的更新，进一步提高网络安全产品当中特征提取的效率。根据 研究发现很多的网络应用在版本升级等变化中反应在数据报文特征中的变化是 非常小的，完全可以通过自动修正的方式进行特征提取及更新，因此实现这种 智能特征提取系统是可行的。

发明内容

为了克服现有技术的上述问题，本发明提出一种智能特征提取方法及系统， 所述的智能特征提取方法可以满足：在实际网络环境中根据实际捕获的网络报 文及预先定义的检测特征判断该特征有效性，在特征匹配成功时直接输出入侵 检测引擎进行处理。在特征匹配不成功时对比特征与数据报文当中对应的数据 部分的相似度，并在相似度达到预先设定的阈值时自动生成新的匹配特征并将 此特征存储于匹配特征库中供后续入侵检测使用。本发明可以在特征变化较小 的情况下实现新特征的自动生成，进一步的节省人力和时间的开销，同时保证 了准确率及性能。

为了实现本发明的目的，根据本发明的一个方面，提供一种智能特征提取方 法，该方法包含以下步骤：

特征匹配步骤，用于将已存储的匹配特征与实际获取的特征进行匹配，如果 匹配成功，则直接上报入侵检测引擎；否则进行相似度计算；

相似度计算步骤，用于根据所述特征匹配步骤的匹配结果进行相似度计算；

特征提取步骤，用于根据所述相似度计算步骤的计算结果生成新特征；

入侵检测步骤，用于根据所述特征匹配步骤的匹配结果进行入侵检测。

根据所述的一种智能特征提取方法，所述的特征匹配步骤还包括步骤：

A1、对实际捕获的数据报文进行协议分析，获得实际获取的特征；

A2、将匹配特征库中存储的匹配特征与步骤A1中获取的特征进行特征匹配；

A3、如果特征匹配成功，则直接上报入侵检测引擎进行处理；如果特征匹配 失败，则将步骤A1中获取的特征及对应的数据部分输出到相似度计算器进行相 似度计算。

根据所述的一种智能特征提取方法，所述的相似度步骤还包括步骤：

B1、依据所述特征匹配步骤的输出特征、对应的数据部分以及特征字段的权 重进行相似度的计算；

B2、如果计算得出的相似度小于预先设定的阈值，则不进行处理；如果计算 得出的相似度大于预先设定的阈值，则将所述特征匹配步骤输出的特征与相应 的数据部分提供给新特征生成器进行特征提取。

根据所述的一种智能特征提取方法，所述的特征提取步骤，还包括步骤：

C1、依据所述相似度计算步骤提供的匹配特征及相对应的数据部分，生成新 的匹配特征；

C2、将新的匹配特征输出到匹配特征库；