[发明专利]一种基于多层次卷积的运维系统资产入侵探测方法

权利要求书

1.一种基于多层次卷积的运维系统资产入侵探测方法，其特征在于：包括步骤如下：

(1)、提取资产交互过程中加密流量的可用原始数据：在确定检测粒度层级后，确认加密流量的可用原始字节，用于后续的表示学习与入侵检测；

(2)、基于步骤(1)中提出加密流量在握手阶段明文传输的数据包可用字节，通过一维卷积神经网络获得数据包层级特征表示；

(3)、在步骤(2)得到数据包层级特征表示的基础上，对属于同一条加密会话的数据包层级特征表示通过一维卷积神经网络获得会话层级的特征表示；

(4)、将步骤(3)中得到的单条加密会话的会话层级的特征表示输入前馈神经网络实现加密流量中的入侵检测；

在步骤(1)中，在进行加密流量的可用原始数据提取时，首先定义检测粒度为单条加密会话session_i，针对单条加密会话session_i提取加密连接建立时的数据包集合HandshakeMessage_i；

(2.1)、加密恶意流量检测的粒度为单条加密会话，加密会话的定义为双向加密网络流，即共享IP_S,IP_D,PORT_S,PORT_D,Protocol的单次连接的数据包集合，其中S代表源端，D代表目的端，能够互换；在单条双向加密网络流中，IP_S为源IP，IP_D为目的IP，PORT_S为源端口，PORT_D为目的端口，Protocol为传输协议；

(2.2)、握手信息HandshakeMessage_i为SSL/TLS连接建立之前的握手阶段传输的数据包集合，包含Client Hello,Server Hello,Certificate信息，而每个数据包packet_i为对应的可用字节集合；

其中，为第i条双向加密网络流的第n个数据包；为第i条双向加密网络流的第n个数据包中的第m个字节；

在步骤(2)中，首先对数据包层级的原始字节进行预处理，基于一维卷积神经网络处理预处理后的原始字节，学得数据包层级的原始字节数据表示Representation_packet；

Representation_packet＝1DCNN(packet)

＝1DCNN(byte¹,byte²,...,byte^m,...,byte^M)；

其中，1DCNN为一维卷积神经网络操作，packet为单个数据包，byte^m为单个数据包中的第m个原始字节；

在步骤(2)得到加密会话数据包层级特征表示的基础上，通过一维卷积神经网络处理单条会话的所有数据包层级特征表示Representation_packet，学得会话层级的特征表示Representation_session；

其中，为握手信息中第m个数据包的数据包层级特征表示。

2.根据权利要求1所述的基于多层次卷积的运维系统资产入侵探测方法，其特征在于：在步骤(3)中获得了单条加密会话的会话层级的特征表示，输入多层感知器训练实现网络威胁活动的检测与识别，

Label＝MLP(Representation_session)；

其中Label为最终预测的标签，MLP为多层感知器模型。