[发明专利]一种基于知识编译的入侵检测方法及系统

权利要求书

1.一种基于知识编译的入侵检测方法，其特征在于，包括：

获取目标网络数据流；

计算所述目标网络数据流的统计值；

采用变量离散化规则将所述目标网络数据流的统计值映射为二进制字符串，得到目标字符串；

将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流；

其中，所述变量离散化规则和所述白名单规则库的确定方法为：

采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；所述训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；所述入侵检测模型的结构为决策树结构；

采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则；

将所述变量离散化规则转化为二进制字符串，得到白名单规则库。

2.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型，具体包括：

获取训练网络数据流；

计算所述训练网络数据流的统计值；

将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型。

3.根据权利要求2所述的一种基于知识编译的入侵检测方法，其特征在于，所述将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型，具体包括：

将所述训练网络数据流的统计值分别输入决策树模型、随机森林模型、提升树模型和神经网络模型中进行训练，得到训练好的决策树模型、训练好的随机森林模型、训练好的提升树模型和训练好的神经网络模型；

将所述训练好的决策树模型、所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中准确度最高的模型确定为目标模型；

若所述目标模型为所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中的任意一个时，将所述目标模型的结构转换为决策树结构，并将转换后的目标模型确定为入侵检测模型；

若所述目标模型为训练好的决策树模型，则将所述目标模型确定为所述入侵检测模型。

4.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则，具体包括：

以所述入侵检测模型中各决策点的阈值作为分隔值，将所述训练网络数据流的统计值映射为离散变量；

根据所述离散变量将所述入侵检测模型中的目标决策路径表示为二进制布尔表达式，得到初始布尔表达式；所述目标决策路径为所述入侵检测模型中决策出正常的网络数据流的决策路径；

根据所述初始布尔表达式，将所述离散变量中的连续值融合为一个离散值，得到融合后的离散变量；

将由所述融合后的离散变量确定的二进制布尔表达式，确定为简化后的布尔表达式，并将所述简化后的布尔表达式确定为变量离散化规则。

5.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述将所述变量离散化规则转化为二进制字符串，得到白名单规则库，具体包括：

对所述变量离散化规则进行简化，得到最简布尔表达式；

将所述最简布尔表达式转化成二进制字符串，得到白名单规则库。

6.根据权利要求1所述的一种基于知识编译的入侵检测方法，其特征在于，所述将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流，具体包括：

判断白名单规则库中是否存在与所述目标字符串相匹配的二进制字符串；

若是，则确定所述目标网络数据流为正常的网络数据流；

若否，则确定所述目标网络数据流为入侵的网络数据流。