[发明专利]一种基于支持向量机的工业互联网入侵检测方法及实现系统

权利要求书

1.一种基于支持向量机的工业互联网入侵检测方法，其特征在于，包括：

(1)获取dnsflood攻击的异常通信流量数据；

(2)从步骤(1)得到的异常通信流量数据中提取特征数据，构造特征量；具体过程为：

A、根据异常行为模式，直接从通信流量中获取第一特征数据，构造特征量特征量x1至x9；

第一特征数据包括域名、目的端口、目的IP地址、UDP报文长度、查询请求类型、IP包头部长度、数据量、查询类和标志，所述查询类为dns报文头中标志部分的机内码，用来设置查询的种类，具体值包括0-15的正整数，0表示标准查询；1表示反向查询；2表示服务器状态查询；3-15表示保留值，暂时未使用；所述标志为dns报文头中的标识ID部分，是请求客户端设置的16位标示；

将域名作为特征量xl，将目的端口作为特征量x2，将目的IP地址作为特征量x3，将UDP报文长度作为特征量x4，将查询请求类型作为特征量x5，将IP包头部长度作为特征量x6，将数据量作为特征量x7；将查询类作为特征量x8，将标志作为特征量x9；

B、解析通信流量数据，提取第二特征数据，构造特征量特征量x10至x13；

第二特征数据包括域名长度、10秒域名解析请求次数、10秒访问域名服务器IP次数、10秒访问域名服务器端口次数；

将域名长度作为特征量x10，将10秒内的域名解析请求的次数作为特征量x11，将10秒访问域名服务器IP次数作为作为特征量x12，将10秒访问域名服务器端口次数作为作为特征量x13；

(3)将步骤(2)构造的特征量输入SVM入侵检测模型进行训练，得到用于检测dnsflood攻击的SVM入侵检测模型；

(4)提取待检测的通信流量数据的特征数据并构造特征量，然后输入到训练好的SVM入侵检测模型进行入侵检测，对检测到的可疑流量进行捕获，同时记录日志，并进行处理。

2.根据权利要求1提供的一种基于支持向量机的工业互联网入侵检测方法，其特征在于，步骤(1)中，获取dnsflood攻击的异常通信流量数据，具体过程为：

a.网络特征的收集：监听主机间的每个会话，捕获会话中的基于UDP协议的报文；

b.dnsflood攻击的检测：基于步骤a收集到的基于UDP协议的报文，进行dnsflood攻击的检测；

c.数据保存：针对判断为dnsflood攻击的会话，将攻击者的IP地址列入黑名单，对攻击者向服务器发送的请求进行拦截，同时将判断为dnsflood攻击的数据包保存下来用作训练SVM入侵检测模型。

3.根据权利要求2提供的一种基于支持向量机的工业互联网入侵检测方法，其特征在于，步骤b中，dnsflood攻击的检测，具体步骤包括：

b-1、对建立的每个会话，从发送的第一个数据包开始，设定一个时间戳，对该时间戳之后发送的数据包都划入该段时间内，统计该段时间内发包次数；当用户停止发送数据包超过设定时间，即关闭当前时间戳；

若用户再次发送数据包，则重新设定时间戳，重新统计发包次数；

b-2、检测dnsflood攻击：对时间戳内的发包次数进行统计，如果时间戳内的一个周期中的发包次数超过阈值，则将会话判断为dnsflood攻击。