[发明专利]一种基于机器学习的远程缓冲区溢出攻击检测方法

说明书

本发明应用于计算机流量分析领域，旨在用机器学习的方法建立模型用于对网络入侵活动中的缓冲区溢出攻击进行检测。本发明首先通过复现大量远程缓冲区溢出漏洞的exploit来收集攻击流量样本，再结合正常数据流量组成完整的数据集。该方法首先提取样本流量的基本信息，组成完整的tcp流，再利用本方法特有的特征提取规则对样本进行特征提取，将预处理后的特征利用不同模型的机器学习方法进行训练，测试和比较，选择分类效果最好的模型作为检测远程缓冲区溢出漏洞攻击的分类器。本方法具有精准度高，误报率低，耗时短，等特点，利用本方法进行远程缓冲区溢出攻击检测能够有效的在网络中识别具有缓冲区溢出攻击行为的恶意流量，便于进行拦截和防御。

技术领域

本发明涉及网络流量检测技术，旨在利用远程缓冲区溢出exploit流量的特征和机器学习算法对网络中数据流进行检测，核心是从收集到的正常和异常流量包中提取特征，通过特定的规则和机器学习的方法生成分类模型来识别网络中的缓冲区溢出攻击行为。

背景技术

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行为。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。理想的情况是：程序会检查数据长度，而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出。

缓冲区溢出攻击检测技术可按照检测的对象不同分为三大类，即基于源代码的检测技术，基于目标代码的检测技术，基于攻击代码特征的检测技术。

传统的针对缓冲区溢出攻击检测的方法存在以下这些问题：基于源码的检测技术虽然可以检测出大量的漏洞攻击，但是缺点是误报率高，结果集大，针对性不强，流程复杂，源码获得较为困难；基于目标代码的检测技术通用性很强，并且降低了漏报率，但精度难以提高，造成误报率较高，另外执行时间很难估计，大部分方法只能给出一种模糊的判断，判断软件中是否存在漏洞，而对漏洞在源码中的具体位置不能确定；传统的基于攻击代码特征的检测技术这种检测都可以在入侵检测等外围防御系统中实现，缺点是漏报率较高，无法检测出无明显特征的溢出攻击注入代码。

同时针对缓冲区漏洞的网络攻击愈演愈烈，极大地威胁着人们的生活安全和国家安全，迫切需要一种精准度高，误报率低的远程缓冲区溢出攻击检测方法来克服已有检测方法的不足，来对上述攻击行为进行有效的检测。

发明内容

“一种基于机器学习的远程缓冲区溢出攻击检测方法”是在对网络中缓冲区溢出攻击检测研究中针对目前存在的问题所提出的发明。本发明的目标是改善现有检测方法精准度低，误报漏报率高的缺点，提出了一个基于机器学习的远程缓冲区溢出攻击检测方法。机器学习是一门多学科交叉专业，涵盖概率论知识，统计学知识，近似理论知识和复杂算法知识，使用计算机作为工具并致力于真实，实时的模拟人类学习方式，近年来，机器学习广泛应用于数据挖掘、计算机视觉、自然语言处理、生物特征识别等领域，并取得了突破性进展。该发明将机器学习方法应用于网络流量检测领域，用于对网络数据流中缓冲区溢出攻击行为的识别检测，区别于传统的基于代码特征检测技术，基于机器学习方法的缓冲区溢出攻击检测方法能够自动的从已有数据集中按照该方法独有的特征提取规则进行特征的提取和分析，并根据特征对机器学习模型进行训练，并将训练好的模型应用于实际的流量检测当中去。该方法不仅可以有效地检测出网络中关于缓冲区溢出攻击的恶意流量，而且可以识别未知的新型缓冲区溢出攻击方式，可将训练好的分类器模型应用于网络节点处，不需要获得程序源码，也不会影响节点处设备的正常运转，而且该方法提取的特征针对性强，因此训练出的分类器的检测效果比传统检测方法好很多。