[发明专利]一种基于多层次卷积的运维系统资产入侵探测方法

说明书

本发明提供了一种基于多层次卷积的运维系统资产入侵探测方法，包括：(1)、提取资产交互过程中加密流量的可用原始数据：在确定检测粒度层级后，确认加密流量的可用原始字节，用于后续的表示学习与入侵检测；(2)、通过一维卷积神经网络获得数据包层级的特征表示；(3)、对属于同一条加密会话的数据包表示通过一维卷积神经网络获得会话层级的特征表示；(4)、将单条加密会话的特征表示输入前馈神经网络实现加密流量中的入侵检测。本发明的有益效果为：实现了加密场景下的运维系统资产的入侵检测；充分利用流量原始数据特征；分层卷积神经网络分别在数据包层级与会话层级对加密流量进行表示，实现更好的检测效果。

技术领域

本发明涉及IT运维系统中的入侵检测技术领域，主要是一种基于多层次卷积的运维系统资产入侵探测方法。

背景技术

随着数字化经济的快速发展与数据中心基础设施的不断扩张，IT环境变得越来越复杂。由此也引发了一系列安全问题。传统的基于边界的安全防护，静态的安全策略配置等安全措施已经无法满足业务发展的实际安全需求，网络安全走向实战化、体系化和常态化，企业亟需建设开放兼容、高效实战的智能安全运维架构。

现如今，传统的安全防护策略难以应对高度动态与充满对抗的网络空间安全环境中。此外，随着各种加密协议如SSL(安全套接字协议)及其改进协议TLS(传输层安全协议)的普及，网络通信的机密性与安全性得以保证。但同时也为网络监管带来了问题。加密流量传输的有效payload不透明，使得攻击者可以利用加密流量隐蔽其恶意行为与威胁活动，例如恶意负载传递、CC通道以及数据回传等。

IT安全运维中的入侵检测即对恶意流量进行检测识别，从而及早的响应，发现威胁，避免数据泄露以及经济损失。虽然传统的基于规则的各种入侵检测技术已经非常成熟，但由于加密协议的普及以及网络攻击升级日新月异，传统的检测技术难以应对。因此基于人工智能的应对加密流量的资产入侵检测研究十分重要。

专利CN108494810A提出了一种面向攻击的网络安全态势预测方法，通过检测并收集网络对抗环境下的报警数据与网络环境运维信息，评估攻击方能力与防御方水平，建立动态贝叶斯攻击图，结合漏洞平稳标准与资产信息，从时空维度量化网络安全态势值。然而此研究方法是从宏观的角度对IT系统的安全态势进行评估，虽然要收集网络对抗环境下的报警数据，但对于网络中最直接的流量数据并没有进行深入地分析，并且无法应对隐藏在加密流量中的网络威胁，因而难以取得理想的安全态势感知效果。

专利CN107347057B基于原始流量报文分析，与检测规则集合进行规则匹配。其优势在于对规则的匹配与生成进行了更细粒度地划分，具体到产生网络报文的特定文件类型，以及网络报文发送目的地址的外部网络信息，此外还引入了恶意文件的静态检测与沙箱动态运行技术。然而此类方法虽然对原始流量进行了分析，但仍属于规则匹配无法应对未知的网络威胁。

目前有一些专利试图引入人工智能算法来进行网络入侵检测，比如专利CN108650274B提出了一种基于机器学习的网络入侵检测方法，其主要是通过获取大量的网络访问请求记录，并提出了一个完备的访问请求记录的特征集，使用机器学习的方法训练辨别正常记录与入侵记录的分类器，实现智能检测。但是此类方法提取特征需要专家知识，也没有抓住最重要的原始流量内容信息，同时对于加密流量的分析也是缺失的。

发明内容

针对IT系统中网络威胁动态进化以及通过加密协议隐藏难以识别等问题，本发明提出了一种基于多层次卷积的运维系统资产入侵探测方法。

本发明的目的是通过如下技术方案来完成的。一种基于多层次卷积的运维系统资产入侵探测方法，首先分析加密流量中的可用数据信息，对数据包层级的可用原始字节进行卷积。再进一步在会话层级上对各个数据包表示进行卷积，构建加密会话的表示。基于该表示实现针对加密流量的入侵检测；具体步骤包括：

(1)、提取资产交互过程中加密流量的可用原始数据：在确定检测粒度层级后，确认加密流量的可用原始字节，用于后续的表示学习与入侵检测；