[发明专利]一种入侵检测系统安全规则的自动生成方法

权利要求书

1.一种入侵检测系统安全规则的自动生成方法，其特征在于，包括如下步骤：

(1)检测点的部署：结合工业控制系统网络拓扑，分析造成所述工业控制系统脆弱性的关键节点，并将所述入侵检测系统的检测点部署于所述的关键节点；

(2)网络数据的抓取与保存：利用步骤(1)中部署的检测点对所述关键节点的网络流量进行抓取并进行保存；

(3)正常数据样本以及变异数据样本的构造：先构建筛选器，将步骤(2)中保存的数据包依据通信协议类型通过筛选器进行分类筛选，留下与检测相关的数据包，将筛选后的数据包进行包解析，选取数据包结构中易遭受攻击和影响系统安全的特征点，以所述的特征点为键，每个键设置相对应的值构建翻译矩阵，利用所述的翻译矩阵将各数据包转换为相对应的正常数据样本；利用测试工具对预定的通信协议的数据进行变异，构造变异数据样本；

(4)正常数据样本的特征点的提取：利用栈式稀疏自编码器对步骤(3)中的数据样本以及变异数据进行深度学习，提取出正常数据样本的特征点，具体步骤如下：

(4.1)训练第一层稀疏自编码器以及其对应一阶特征的输出：先将网络参数进行初始化，再将步骤(3)中的正常数据样本和变异数据样本组合并构成数据样本集{x}，从数据样本集{x}中选取部分数据作为第一层训练数据x⁽¹⁾，以第一层训练数据x⁽¹⁾作为第一层稀疏自编码器的输入，以最小化损失函数为目标，利用优化算法迭代运算训练得到第一层稀疏自编码器最佳网络参数θ⁽¹⁾，然后将所述数据样本集{x}作为已训练好的第一层稀疏自编码器的输入，得到并输出其对应的一阶特征h⁽¹⁾(x)；

(4.2)训练第二至N层稀疏自编码器以及其分别对应的二至N阶特征的输出：从一阶特征h⁽¹⁾(x)中选取部分数据作为第二层训练数据x⁽²⁾，以第二层训练数据x⁽²⁾作为第二层稀疏自编码器的输入，以最小化损失函数为目标，利用优化算法迭代运算训练得到第二层稀疏自编码器最佳网络参数θ⁽²⁾，然后将第一层稀疏自编码器的输出的一阶特征h⁽¹⁾(x)作为已训练好的第二层稀疏自编码器的输入，得到并输出其对应的二阶特征h⁽²⁾(x)；以此类推，从(N-1)阶特征h^(N-1)(x)中选取部分数据作为第N层训练数据x^(N)，以第N层训练数据x^(N)作为第N层稀疏自编码器的输入，以最小化损失函数为目标，利用优化算法迭代运算训练得到第N层稀疏自编码器最佳网络参数θ^(N)，然后将第(N-1)层稀疏自编码器的输出的(N-1)阶特征h^(N-1)(x)作为已训练好的第N层稀疏自编码器的输入，得到并输出其对应的N阶特征h^(N)(x)；

(4.3)将第N层的稀疏自编码器输出h^(N)(x)作为softmax分类器的输入，通过训练得到一个能将输入数据特征映射到数字标签的模型；

(4.4)微调稀疏自编码器、softmax分类器的系统模型：构造标签数据，将标签数据作为稀疏自编码器的输入，利用反向传播算法，对稀疏自编码器、softmax分类器系统模型内的参数进行有监督地微调，得到具有N个隐含层和一个softmax分类层的数据学习和分类模型，利用上述数据学习和分类模型对正常数据样本进行学习分类，提取出正常数据样本的特征点；

(5)安全规则的生成：将步骤(4)中提取的正常数据样本的特征点转换为所述入侵检测系统可以识别的安全规则文件，并将所述的安全规则写入规则库中；具体步骤如下：

(5.1)利用步骤(3)中构建的翻译矩阵，将步骤(4)提取的正常数据样本特征反翻译为数据包结构表示形式；

(5.2)根据预定的入侵检测系统的规则解析语法，构建预处理器或利用入侵检测系统自带的预处理器，将步骤(5.1)得到的数据包输入所述预处理器，生成标准结构的安全规则文件，并将所述规则文件导入到所述入侵检测系统的规则库中。