[发明专利]一种采用全文索引的网络攻击入侵检测方法

说明书

本发明涉及一种采用全文索引的网络攻击入侵检测方法，包括以下步骤：1)建立模拟网络环境E，并生成正常网络流量和已知攻击异常流量；2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值；3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA；4)利用广义后缀数组SA和广义最长公共前缀数组LCPA，搜寻已知攻击异常流量中所有的公共字面值，作为潜在攻击特征；5)将潜在攻击特征作为训练集，训练二分类判决模型；6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量，与现有技术相比，本发明具有检出率高且执行效率高等优点。

技术领域

本发明涉及信息安全领域，尤其是涉及一种采用全文索引的网络攻击入侵检测方法。

背景技术

入侵检测能够提升信息系统对网络攻击的主动防御能力。技术上可分为基于标签的和基于异常的两类。相比之下，基于标签的入侵检测对已知攻击的检测准确率较高，是构建当前主流入侵检测系统(Intrusion Detection System，IDS)核心组件的基础。

基于标签的入侵检测技术的基本思路是：判断被检测流量与已知攻击引起的异常流量是否存在相似或相同特征。一种实现方法是：首先，根据专家经验从已知攻击的异常流量中提取攻击特征来构建特征库；接着，使用模式匹配算法判断被检测流量是否包含与特征库相匹配的特征；最后，返回相匹配特征所对应的攻击。另一种实现方法是：首先，使用机器学习算法学习已知攻击的异常流量特征来构建二分类判定模型；接着，使用二分类判定模型来判断被检测流量是否为异常流量。

目前，基于标签的入侵检测技术对未知攻击的检测准确率较低，这主要是因为未知攻击的异常流量包含一些新的攻击特征，这些攻击特征既未被特征库收录，也未被分类判定模型学习，导致传统模式匹配算法和机器学习算法难以发挥作用。一些研究使用集成学习和迁移学习来提升二分类判定模型的能力。其中，集成学习首先使用多种机器学习算法来构建多个独立的二分类判定模型，接着依次使用各个二分类判定模型来判断被检测流量是否为异常流量，最后综合考虑所有判定模型输出的判断结果来形成最终的判断结果。迁移学习则是将由二分类判定模型判断为异常的网络流量作为模型的新训练集，从而通过闭环学习实现模型的迭代更新。从一定意义上来说，集成学习和迁移学习均是从已知攻击中挖掘出隐藏的攻击特征，这些攻击特征在未知攻击引起的异常流量中呈显性。

但是现有的基于标签的入侵检测技术过于依赖专家经验和统计分析，导致对异常流量的潜在攻击特征的提取能力不足。因此，如何高效地挖掘异常流量的潜在攻击特征是一个有待解决的关键问题。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种采用全文索引，能够有效挖掘异常流量潜在攻击特征的网络攻击入侵检测方法。

本发明的目的可以通过以下技术方案来实现：

一种采用全文索引的网络攻击入侵检测方法，包括以下步骤：

1)建立模拟网络环境E，并生成正常网络流量和已知攻击异常流量；

2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值；

3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA；

4)利用广义后缀数组SA和广义最长公共前缀数组LCPA，搜寻已知攻击异常流量中所有的公共字面值，作为潜在攻击特征；

5)将潜在攻击特征作为训练集，训练二分类判决模型；

6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量。

所述的步骤2)具体包括：