[发明专利]一种基于知识编译的入侵检测方法及系统

说明书

本发明公开了一种基于知识编译的入侵检测方法及系统，涉及入侵检测领域，所述方法，包括：计算获取到的目标网络数据流的统计值；采用变量离散化规则将目标网络数据流的统计值映射为二进制字符串，得到目标字符串；将目标字符串与白名单规则库进行对比，确定目标网络数据流是否为入侵的网络数据流；变量离散化规则和白名单规则库确定方法为：采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；采用知识编译的方法对入侵检测模型进行规则抽取，得到变量离散化规则；对变量离散化规则转化为二进制字符串，得到白名单规则库。本发明能提高入侵检测的准确度。

技术领域

本发明涉及入侵检测领域，特别是涉及一种基于知识编译的入侵检测方法及系统。

背景技术

传统的入侵检测多是利用TCP数据包的包头信息实现，而随着QUIC协议的发展，包头信息是被加密或扰乱的，不能直接拿来作为入侵检测的依据，因此需要使用更加隐秘的信息，如数据流量的统计信息用机器学习来进行模式识别，而现有机器学习模型是黑盒，不可解释、不透明、不可审阅的，在安全性要求很高的入侵检测领域，会大大限制其发展和应用。现有的机器学习可解释方法大都是近似的模拟该模型的决策规则，并不能保证解释的方法可准确反映该模型内部的规则。因此，目前入侵检测的准确度有待提高。

发明内容

基于此，本发明实施例提供一种基于知识编译的入侵检测方法及系统，以提高入侵检测的准确度。

为实现上述目的，本发明提供了如下方案：

一种基于知识编译的入侵检测方法，包括：

获取目标网络数据流；

计算所述目标网络数据流的统计值；

采用变量离散化规则将所述目标网络数据流的统计值映射为二进制字符串，得到目标字符串；

将所述目标字符串与白名单规则库进行对比，确定所述目标网络数据流是否为入侵的网络数据流；

其中，所述变量离散化规则和所述白名单规则库的确定方法为：

采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型；所述训练网络数据流包括不同入侵的网络数据流和正常的网络数据流；所述入侵检测模型的结构为决策树结构；

采用知识编译的方法对所述入侵检测模型进行规则抽取，得到变量离散化规则；

将所述变量离散化规则转化为二进制字符串，得到白名单规则库。

可选的，所述采用训练网络数据流的统计值对机器学习模型进行训练，得到入侵检测模型，具体包括：

获取训练网络数据流；

计算所述训练网络数据流的统计值；

将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型。

可选的，所述将所述训练网络数据流的统计值分别输入多个不同类型的机器学习模型中进行训练，并将训练好的模型中准确度最高的模型确定为入侵检测模型，具体包括：

将所述训练网络数据流的统计值分别输入决策树模型、随机森林模型、提升树模型和神经网络模型中进行训练，得到训练好的决策树模型、训练好的随机森林模型、训练好的提升树模型和训练好的神经网络模型；

将所述训练好的决策树模型、所述训练好的随机森林模型、所述训练好的提升树模型和所述训练好的神经网络模型中准确度最高的模型确定为目标模型；