[发明专利]基于深度学习的网络入侵检测和漏洞扫描方法及装置

权利要求书

1.一种基于深度学习的网络入侵检测和漏洞扫描方法，其特征在于，该方法包括：

收集恶意样本文件并建立恶意文件数据库；

利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用IDS检测恶意样本文件的攻击特征；

利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描；

在该方法中，将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用IDS检测恶意样本文件的攻击特征的具体步骤包括：

将恶意文件数据库中的同一恶意样本文件在不同环境模拟运行；

分别解析不同环境中恶意样本文件的pcap包，计算不同环境中pcap包的相似度，得到匹配度最高的两个pcap包；

计算筛选出匹配度较高的字符串二元组，得到报文数据中可能存在的主机信息，计算出若干主机信息之间的间隔符；

通过最长公共子序列算法求出匹配字符串和匹配的模式，判断匹配字符串中是否包含间隔符，如果包含则截取出只包含单个间隔符的匹配串；

将匹配串和匹配的模式导入IDS在实际生产环境检测到恶意文件的攻击特征。

2.如权利要求1所述的方法，其特征在于，在本方法中，收集恶意样本文件的具体步骤包括：采用多种虚拟机环境，运行被检测文件，根据被检测文件打开后的系统环境、内存状态以及文件行为确定文件是否为恶意文件，将确定为恶意文件的被检测文件收集为恶意样本文件。

3.如权利要求2所述的方法，其特征在于，在该方法中，采用动态沙箱检测引擎模拟应用程序的执行以及恶意文件中攻击代码的执行，得到恶意样本攻击事件的内容和意图，并进行记录，根据记录的行为建立恶意文件数据库；

所述恶意文件数据库中记录的行为为危害系统的行为，包括注册表操作、文件操作、漏洞利用方式、API调用序列、网络行为、进程线程操作。

4.如权利要求1所述的方法，其特征在于，在该方法中，采用深度学习检测算法，将恶意文件数据库中的恶意样本文件的每个行为进行归一量化，通过神经网络模型迭代训练，得到初步分类模型。

5.如权利要求4所述的方法，其特征在于，在该方法中，当接收的新恶意样本文件积累到一定数量时执行一次初步分类模型的增量式训练；

在进行初步分类模型的增量式训练时，更新模型中部分层次的参数，其他层次的参数固定。

6.如权利要求5所述的方法，其特征在于，在该方法中，进行实时监控的模型增量式训练的具体步骤包括：

在进行初步分类模型的增量式训练时，使用额外的验证数据集对模型进行周期性的测试，观察在验证数据集上的检测表现判断模型是否有相应提升或者出现针对某类攻击的过拟合现象，及时调整训练的数据集和参数控制；同时采用多折交叉验证法确认模型更新的准确性。

7.如权利要求1所述的方法，其特征在于，在该方法中，生成网络攻击包，进行网络漏洞扫描的具体步骤包括：

分析漏洞攻击方式特征库，采用特征库中的攻击方式构建测试用例，即网络攻击包；

利用测试用例进行网络漏洞扫描，根据反馈结果确定是否存在漏洞，确定有效的测试用例，并将有效的测试用例建立漏洞库，并自动更新漏洞库。

8.一种计算机可读存储介质，其中存储有多条指令，其特征在于，所述指令适于由终端设备设备的处理器加载并执行根据权利要求1-7中任一项所述的方法。

9.一种终端设备，包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，其特征在于，所述指令用于执行根据权利要求1-7中任一项所述的方法。