CN111556014A - 一种采用全文索引的网络攻击入侵检测方法 - Google Patents

一种采用全文索引的网络攻击入侵检测方法 Download PDF

Info

Publication number
CN111556014A
CN111556014A CN202010214124.5A CN202010214124A CN111556014A CN 111556014 A CN111556014 A CN 111556014A CN 202010214124 A CN202010214124 A CN 202010214124A CN 111556014 A CN111556014 A CN 111556014A
Authority
CN
China
Prior art keywords
lcpa
array
flow
generalized
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010214124.5A
Other languages
English (en)
Other versions
CN111556014B (zh
Inventor
吴裔
郭乃网
黄华炜
田英杰
任辰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Shanghai Electric Power Co Ltd
East China Power Test and Research Institute Co Ltd
Original Assignee
State Grid Shanghai Electric Power Co Ltd
East China Power Test and Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Shanghai Electric Power Co Ltd, East China Power Test and Research Institute Co Ltd filed Critical State Grid Shanghai Electric Power Co Ltd
Priority to CN202010214124.5A priority Critical patent/CN111556014B/zh
Publication of CN111556014A publication Critical patent/CN111556014A/zh
Application granted granted Critical
Publication of CN111556014B publication Critical patent/CN111556014B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种采用全文索引的网络攻击入侵检测方法,包括以下步骤:1)建立模拟网络环境E,并生成正常网络流量和已知攻击异常流量;2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值;3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA;4)利用广义后缀数组SA和广义最长公共前缀数组LCPA,搜寻已知攻击异常流量中所有的公共字面值,作为潜在攻击特征;5)将潜在攻击特征作为训练集,训练二分类判决模型;6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量,与现有技术相比,本发明具有检出率高且执行效率高等优点。

Description

一种采用全文索引的网络攻击入侵检测方法
技术领域
本发明涉及信息安全领域,尤其是涉及一种采用全文索引的网络攻击入侵检测方法。
背景技术
入侵检测能够提升信息系统对网络攻击的主动防御能力。技术上可分为基于标签的和基于异常的两类。相比之下,基于标签的入侵检测对已知攻击的检测准确率较高,是构建当前主流入侵检测系统(Intrusion Detection System,IDS)核心组件的基础。
基于标签的入侵检测技术的基本思路是:判断被检测流量与已知攻击引起的异常流量是否存在相似或相同特征。一种实现方法是:首先,根据专家经验从已知攻击的异常流量中提取攻击特征来构建特征库;接着,使用模式匹配算法判断被检测流量是否包含与特征库相匹配的特征;最后,返回相匹配特征所对应的攻击。另一种实现方法是:首先,使用机器学习算法学习已知攻击的异常流量特征来构建二分类判定模型;接着,使用二分类判定模型来判断被检测流量是否为异常流量。
目前,基于标签的入侵检测技术对未知攻击的检测准确率较低,这主要是因为未知攻击的异常流量包含一些新的攻击特征,这些攻击特征既未被特征库收录,也未被分类判定模型学习,导致传统模式匹配算法和机器学习算法难以发挥作用。一些研究使用集成学习和迁移学习来提升二分类判定模型的能力。其中,集成学习首先使用多种机器学习算法来构建多个独立的二分类判定模型,接着依次使用各个二分类判定模型来判断被检测流量是否为异常流量,最后综合考虑所有判定模型输出的判断结果来形成最终的判断结果。迁移学习则是将由二分类判定模型判断为异常的网络流量作为模型的新训练集,从而通过闭环学习实现模型的迭代更新。从一定意义上来说,集成学习和迁移学习均是从已知攻击中挖掘出隐藏的攻击特征,这些攻击特征在未知攻击引起的异常流量中呈显性。
但是现有的基于标签的入侵检测技术过于依赖专家经验和统计分析,导致对异常流量的潜在攻击特征的提取能力不足。因此,如何高效地挖掘异常流量的潜在攻击特征是一个有待解决的关键问题。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种采用全文索引,能够有效挖掘异常流量潜在攻击特征的网络攻击入侵检测方法。
本发明的目的可以通过以下技术方案来实现:
一种采用全文索引的网络攻击入侵检测方法,包括以下步骤:
1)建立模拟网络环境E,并生成正常网络流量和已知攻击异常流量;
2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值;
3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA;
4)利用广义后缀数组SA和广义最长公共前缀数组LCPA,搜寻已知攻击异常流量中所有的公共字面值,作为潜在攻击特征;
5)将潜在攻击特征作为训练集,训练二分类判决模型;
6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量。
所述的步骤2)具体包括:
201)将正常网络流量的数据包和已知攻击异常流量的数据包结合,构成包含多个字符串的流量集合S={S0,S1,S2,...,Sn},所述的流量集合S内的元素S0对应正常网络流量的字面值,所述的流量集合S内的元素S1~Sn对应各已知攻击异常流量的字面值;
202)将流量集合S内的各元素分别切分为多个子串,得到子串集合E,所述的子串集合E中的各子串对应一个完整数据包的字面值;
203)将子串集合E内的每个子串切分为多个分段,得到分段集合F={F0,F1,F2,...,Fm},所述的分段集合F中的各元素对应一个完整数据包字段的字面值。
所述的步骤3)具体包括:
301)构造分段字符串F’,所述的分段字符串F’中包含分段集合F中所有分段对应的字面值;
302)将分段字符串F’作为输入,利用后缀数组算法和最长公共前缀数组算法,构建广义后缀数组SA和广义最长公共前缀数组LCPA。
所述的分段字符串F’的表达式为:
F’=F0HF1HF2H...FmH
其中,F0,F1,F2,...,Fm为分段集合F中各分段的字符,H为按字典序小于分段集合F中任意字符的一个字符。
所述的广义后缀数组SA记录按字典序排列的分段集合F中的所有后缀,该数组中的元素SA[i]的值为第i+1小的后缀在分段字符串F’中的起始地址;
所述的广义最长公共前缀数组LCPA记录广义后缀数组SA中相邻后缀的最长公共前缀的长度,该数组中的元素LCPA[i]的值为分段字符串F’中起始地址分别为SA[i]和SA[i-1]的两个后缀的最长公共前缀的长度。
所述的步骤4)具体包括:
401)从左至右访问广义最长公共前缀数组LCPA中未被访问的元素,选取该数组中满足预设条件的区间LCPA[i,j];
402)查询分段字符串F’中,起始地址分别为SA[i-1]~SA[j]的后缀所属的分段;
403)判断该分段是否在所有已知攻击异常流量数据包中出现,且不在正常流量数据包中出现,若是,则该分段为已知攻击异常流量中的公共字面值;
404)判断广义最长公共前缀数组LCPA中是否还有未被访问的元素,若是,则返回执行步骤401),若否,则完整获取已知攻击异常流量中所有的公共字面值,执行步骤5)。
所述的满足预设条件的区间LCPA[i,j]具体为:
区间LCPA[i,j]中的最小值大于等于设定阈值K,且LCPA[i-1]和LCPA[j+1]均小于设定阈值K;所述的设定阈值K为整数。
所述的步骤403)具体包括:
403-1)获取步骤402)中查询到分段的分段编号,记录在第一集合M1中;
403-2)查询第一集合M1中各分段所属的子串,并将子串编号记录在第二集合M2中;
403-3)查询第二集合M2中各子串所属的字符串,并将字符串编号记录在第三集合M3中;
403-4)判断第三集合M3是否等于{1,2,...n},若是,则该分段为已知攻击异常流量中的公共字面值。
所述的步骤1)中,生成已知攻击异常流量的攻击为同类型攻击的不同变种。
所述的模拟网络环境E中的时间切分为等长的时间片。
与现有技术相比,本发明具有以下优点:
1)更高的检出率:本发明通过搜寻在已知同类型攻击的不同变种中均有出现的公共字面值特征,作为潜在攻击特征提取出来,并将该潜在攻击特征作为训练集训练基于机器学习的网络攻击入侵检测二分类算法,能够有效挖掘异常流量潜在攻击特征,提高机器学习算法二分类判定模型对异常流量检出率;
2)更高的执行效率:传统的模式匹配算法和机器学习算法提取特征的过程具有较高的时空复杂度,本发明方法在执行过程中的性能瓶颈在于广义后缀数组和广义最长公共前缀数组的构造过程,该构造过程的时空复杂度线性正比于输入的规模且常数因子较小,有更高的执行效率;
3)更好的数据通用性:传统的模式匹配算法和机器学习算法难以处理高维度数据,需要在特征提取前对数据进行筛选,得益于理论上较优的时空复杂度,所述方法可处理高维数据,可结合时间序列分析技术,更快更全地找出横跨多个数据包、多个会话的潜在攻击特征。
附图说明
图1为本发明方法的流程示意图;
图2为本发明方法的具体实现流程图;
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
实施例
如图1所示,本发明提供一种采用全文索引的网络攻击入侵检测方法,包括以下步骤:
1)建立模拟网络环境E,并生成正常网络流量和已知攻击异常流量;
2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值;
3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA;
4)利用广义后缀数组SA和广义最长公共前缀数组LCPA,搜寻已知攻击异常流量中所有的公共字面值,作为潜在攻击特征;
5)将潜在攻击特征作为训练集,训练二分类判决模型;
6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量。
如图2所示,利用本发明方法进行入侵检测的具体过程包括:
S1:建立模拟网络环境E,其中,模拟网络环境E中的时间被切分为等长的时间片。
S2:生成并记录正常网络流量,包括以下子步骤:
S201:初始化模拟网络环境E。
S202:模拟网络环境E中的节点N1监测从t时刻开始的T个时间片内流经的数据包,并将监测记录存储在字符串S0中。
S3:利用已知攻击集合A={A1,A2,...,An},生成并记录A中各攻击的异常流量。其中,该攻击集合A中的攻击为同类型攻击的不同变种,具体地,生成攻击Ai的异常流量的过程包括以下子步骤:
S301:初始化模拟网络环境E。
S302:从t时刻开始使用攻击Ai向模拟网络环境E中的节点N2发起攻击。
S303:模拟网络环境E中的节点N1监测从t时刻开始的T个时间片内流经的数据包,并将监测记录存储在字符串Si中,字符串Si对应攻击Ai的异常流量。
S4:生成包含多个字符串的流量集合S={S0,S1,S2,...,Sn},其中,字符串S0对应正常流量,字符串S1~Sn对应不同攻击的异常流量,对流量集合S中的各个字符串执行预处理。具体地,对字符串Si执行的预处理过程包括以下子步骤:
S401:将字符串Si切分为多个子串,每个子串是一个完整数据包的字面值。
S402:将每个子串切分为多个分段,每个分段是一个完整数据包字段的字面值。
S5:生成分段集合F={F0,F1,F2,...,Fm},分段集合F为流量集合S中所有字符串的所有分段的全集,并构建分段集合F的广义后缀数组SA和广义最长公共前缀数组LCPA。具体地,广义后缀数组SA和广义最长公共前缀数组LCPA的构建过程包括以下子步骤:
S501:构造分段字符串F’=F0HF1HF2H...FmH,分段字符串F’中的字符H按字典序小于该字符串中的任意分段的任意字符。
S502:调用后缀数组算法和最长公共前缀数组算法来构造广义后缀数组SA和广义最长公共前缀数组LCPA,算法的输入为分段字符串F’。广义后缀数组SA按字典序排列分段集合F中所有分段的所有后缀,其中SA[i]记录了第i+1小的后缀在分段字符串F’中的起始位置。广义最长公共前缀数组LCPA记录了广义后缀数组SA中相邻后缀的最长公共前缀的长度,其中LCPA[i]记录了在分段字符串F’中起始地址分别为SA[i]和SA[i-1]的两个后缀的最长公共前缀的长度。
S6:预设整数阈值K,寻找攻击集合A中攻击引起的异常流量的潜在攻击特征。具体地,包括以下子步骤:
S601:从左向右访问广义最长公共前缀数组LCPA中未被访问的元素,寻找区间LCPA[i,j],满足LCPA[i,j]中的最小值大于等于整数阈值K并且LCPA[i-1]和LCPA[j+1]均小于整数阈值K。若广义最长公共前缀数组LCPA中不存在符合条件的区间LCPA[i,j],则跳转执行步骤S7。
S602:查询分段字符串F’中的起始地址分别为SA[i-1],SA[i],SA[i+1],...,SA[j]的后缀所属的分段,将分段编号记录在第一集合M1中。
S603:查询第一集合M1中各分段所属的子串,将子串编号记录在第二集合M2中。
S604:查询第二集合M2中各分段所属字符串,将字符串编号记录在第三集合M3中。
S605:判断第三集合M3是否等于{1,2,...n},其中,n为攻击集合A和流量集合S中的元素个数,若是则将字符串F’[SA[i],SA[i]+LCP[i]-1]记录到训练集合M4中。
S606:判断LCPA中是否还有尚未访问的元素,若是则跳转执行步骤S601。
S7:利用训练集合M4作为训练集,训练现有的基于机器学习的网络攻击入侵检测二分类算法,得到一个二分类判决模型。
S8:在已知IDS中部署二分类判决模型。
S9:将IDS监测的网络流量输入二分类判决模型,并由二分类判决模型判断流量是否异常。
为进一步阐述本发明,假设流量集合S中各字符串的值为:S0=abaa,S1=abca,S2=caab,则流量集合S={abaa,abca,caab};并设定字符串中每个子串的长度均为4,每个字段的长度均为2,给出步骤S4、S5和S6的具体实例:
步骤S4:由于子串长度与字符串长度相同,因此每个字符串自身即为子串,则得到四个子串分别为:E0=abaa、E1=abca、E2=caab。再将每个子串切分为2个分段,得到:F0=ab,F1=aa,F2=ab,F3=ca,F4=ca,F5=ab。
步骤S5:由上一步,得到分段集合F={ab,aa,ab,ca,ca,ab},再根据分段集合F构造分段字符串F’=abHaaHabHcaHcaHabH。其中,分段集合F的广义后缀数组SA和广义最长公共前缀数组LCPA的构造结果如下表:
表 F的广义后缀数组和广义最长公共前缀数组
Figure BDA0002423815220000071
步骤S601:设定整数K=3,从左向右访问广义最长公共前缀数组LCPA,可得到满足要求的区间LCPA[14,15]。
步骤S602:对于区间LCPA[14,15],涉及的三个后缀在分段字符串F’中的起始位置分别为SA[13]=15、SA[14]=6、SA[15]=0。按起始位置查询可知,各后缀分别属于分段F5、F2、F0,因此第一集合M1={5,2,0}。
步骤S603:查询可知分段F5、F2、F0分别属于编号为E2、E1、E0的子串,所以第二集合M2={2,1,0}。
步骤S604:因为每个子串就是其所属字符串本身,所以第三集合M3={2,1,0}。
步骤S605:第三集合M3={2,1,0}表示“ab”不仅在所有异常流量中出现,也在正常流量中出现,故判断“ab”不是攻击集合A中所有攻击引起的异常流量的潜在攻击特征。换言之,因为第三集合M3不等于{1,2},所以不更新训练集合M4
步骤S606:因为LCPA中尚有未访问的元素,所以跳转执行步骤S601。
步骤S601:从左向右访问广义最长公共前缀数组LCPA,可得到下一个满足要求的区间LCPA[17,17]。
步骤S602:对于区间LCPA[17,17],涉及的两个后缀在分段字符串F’中的起始位置分别为SA[16]=12和SA[17]=9。按起始位置查询可知,两个后缀分别属于分段F4和F3,因此第一集合M1={4,3}。
步骤S603:查询可知分段F4和F3分别属于子串E2和E1,所以第二集合M2={2,1}。
步骤S604:因为每个子串就是其所属字符串本身,所以第三集合M3={2,1}。
步骤S605:第三集合M3={2,1}表示“ca”在所有异常流量中出现,并且不在正常流量中出现,故判断“ca”是A中所有攻击引起的异常流量的潜在攻击特征。换言之,因为第三集合M3等于{1,2},所以更新训练集合M4={ca}。
步骤S606:因为广义最长公共前缀数组LCPA中已无未访问的元素,所以继续执行步骤S7。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的工作人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种采用全文索引的网络攻击入侵检测方法,其特征在于,包括以下步骤:
1)建立模拟网络环境E,并生成正常网络流量和已知攻击异常流量;
2)分别获取正常网络流量和已知攻击异常流量中各数据包的字面值;
3)根据获取的字面值构建广义后缀数组SA和广义最长公共前缀数组LCPA;
4)利用广义后缀数组SA和广义最长公共前缀数组LCPA,搜寻已知攻击异常流量中所有的公共字面值,作为潜在攻击特征;
5)将潜在攻击特征作为训练集,训练二分类判决模型;
6)利用训练完成的二分类判决模型判断被检测流量是否为异常流量。
2.根据权利要求1所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤2)具体包括:
201)将正常网络流量的数据包和已知攻击异常流量的数据包结合,构成包含多个字符串的流量集合S={S0,S1,S2,...,Sn},所述的流量集合S内的元素S0对应正常网络流量的字面值,所述的流量集合S内的元素S1~Sn对应各已知攻击异常流量的字面值;
202)将流量集合S内的各元素分别切分为多个子串,得到子串集合E,所述的子串集合E中的各子串对应一个完整数据包的字面值;
203)将子串集合E内的每个子串切分为多个分段,得到分段集合F={F0,F1,F2,...,Fm},所述的分段集合F中的各元素对应一个完整数据包字段的字面值。
3.根据权利要求2所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤3)具体包括:
301)构造分段字符串F’,所述的分段字符串F’中包含分段集合F中所有分段对应的字面值;
302)将分段字符串F’作为输入,利用后缀数组算法和最长公共前缀数组算法,构建广义后缀数组SA和广义最长公共前缀数组LCPA。
4.根据权利要求3所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的分段字符串F’的表达式为:
F’=F0HF1HF2H...FmH
其中,F0,F1,F2,...,Fm为分段集合F中各分段的字符,H为按字典序小于分段集合F中任意字符的一个字符。
5.根据权利要求4所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的广义后缀数组SA记录按字典序排列的分段集合F中的所有后缀,该数组中的元素SA[i]的值为第i+1小的后缀在分段字符串F’中的起始地址;
所述的广义最长公共前缀数组LCPA记录广义后缀数组SA中相邻后缀的最长公共前缀的长度,该数组中的元素LCPA[i]的值为分段字符串F’中起始地址分别为SA[i]和SA[i-1]的两个后缀的最长公共前缀的长度。
6.根据权利要求5所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤4)具体包括:
401)从左至右访问广义最长公共前缀数组LCPA中未被访问的元素,选取该数组中满足预设条件的区间LCPA[i,j];
402)查询分段字符串F’中,起始地址分别为SA[i-1]~SA[j]的后缀所属的分段;
403)判断该分段是否在所有已知攻击异常流量数据包中出现,且不在正常流量数据包中出现,若是,则该分段为已知攻击异常流量中的公共字面值;
404)判断广义最长公共前缀数组LCPA中是否还有未被访问的元素,若是,则返回执行步骤401),若否,则完整获取已知攻击异常流量中所有的公共字面值,执行步骤5)。
7.根据权利要求6所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的满足预设条件的区间LCPA[i,j]具体为:
区间LCPA[i,j]中的最小值大于等于设定阈值K,且LCPA[i-1]和LCPA[j+1]均小于设定阈值K;所述的设定阈值K为整数。
8.根据权利要求6所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤403)具体包括:
403-1)获取步骤402)中查询到分段的分段编号,记录在第一集合M1中;
403-2)查询第一集合M1中各分段所属的子串,并将子串编号记录在第二集合M2中;
403-3)查询第二集合M2中各子串所属的字符串,并将字符串编号记录在第三集合M3中;
403-4)判断第三集合M3是否等于{1,2,...n},若是,则该分段为已知攻击异常流量中的公共字面值。
9.根据权利要求1所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的步骤1)中,生成已知攻击异常流量的攻击为同类型攻击的不同变种。
10.根据权利要求1所述的一种采用全文索引的网络攻击入侵检测方法,其特征在于,所述的模拟网络环境E中的时间切分为等长的时间片。
CN202010214124.5A 2020-03-24 2020-03-24 一种采用全文索引的网络攻击入侵检测方法 Active CN111556014B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010214124.5A CN111556014B (zh) 2020-03-24 2020-03-24 一种采用全文索引的网络攻击入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010214124.5A CN111556014B (zh) 2020-03-24 2020-03-24 一种采用全文索引的网络攻击入侵检测方法

Publications (2)

Publication Number Publication Date
CN111556014A true CN111556014A (zh) 2020-08-18
CN111556014B CN111556014B (zh) 2022-07-15

Family

ID=72007276

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010214124.5A Active CN111556014B (zh) 2020-03-24 2020-03-24 一种采用全文索引的网络攻击入侵检测方法

Country Status (1)

Country Link
CN (1) CN111556014B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910841A (zh) * 2021-01-14 2021-06-04 国网上海市电力公司 一种基于模糊匹配的工控网络入侵智能感知方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104899264A (zh) * 2015-05-21 2015-09-09 东软集团股份有限公司 一种多模式正则表达式匹配方法及装置
CN107015952A (zh) * 2017-03-24 2017-08-04 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种后缀数组和最长公共前缀的正确性验证方法及系统
US20180165597A1 (en) * 2016-12-08 2018-06-14 Resurgo, Llc Machine Learning Model Evaluation in Cyber Defense
CN108322445A (zh) * 2018-01-02 2018-07-24 华东电力试验研究院有限公司 一种基于迁移学习和集成学习的网络入侵检测方法
CN110505241A (zh) * 2019-09-17 2019-11-26 武汉思普崚技术有限公司 一种网络攻击面检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104899264A (zh) * 2015-05-21 2015-09-09 东软集团股份有限公司 一种多模式正则表达式匹配方法及装置
US20180165597A1 (en) * 2016-12-08 2018-06-14 Resurgo, Llc Machine Learning Model Evaluation in Cyber Defense
CN107015952A (zh) * 2017-03-24 2017-08-04 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种后缀数组和最长公共前缀的正确性验证方法及系统
CN108322445A (zh) * 2018-01-02 2018-07-24 华东电力试验研究院有限公司 一种基于迁移学习和集成学习的网络入侵检测方法
CN110505241A (zh) * 2019-09-17 2019-11-26 武汉思普崚技术有限公司 一种网络攻击面检测方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KEJUN ZHANG;GUOLIANG ZHANG;CHEN JIANG;YUNSONG YANG: "Research and Implementation of Security Cipher-Text Clustered Index Based on B+ Tree", 《2016 INTERNATIONAL CONFERENCE ON NETWORK AND INFORMATION SYSTEMS FOR COMPUTERS (ICNISC)》 *
皮玲: "云存储环境下密文全文检索技术研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910841A (zh) * 2021-01-14 2021-06-04 国网上海市电力公司 一种基于模糊匹配的工控网络入侵智能感知方法

Also Published As

Publication number Publication date
CN111556014B (zh) 2022-07-15

Similar Documents

Publication Publication Date Title
WO2019128529A1 (zh) Url攻击检测方法、装置以及电子设备
EP3343869B1 (en) A method for modeling attack patterns in honeypots
CN109784056A (zh) 一种基于深度学习的恶意软件检测方法
CN109359439A (zh) 软件检测方法、装置、设备及存储介质
CN101398820A (zh) 一种大规模关键词匹配方法
CN112333195B (zh) 基于多源日志关联分析的apt攻击场景还原检测方法及系统
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
Huang et al. Adversarial attack against LSTM-based DDoS intrusion detection system
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113420802B (zh) 基于改进谱聚类的报警数据融合方法
CN111125750B (zh) 一种基于双层椭圆模型的数据库水印嵌入、检测方法及系统
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
Howard et al. pSigene: Webcrawling to generalize SQL injection signatures
CN111556014B (zh) 一种采用全文索引的网络攻击入侵检测方法
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
CN103455754B (zh) 一种基于正则表达式的恶意搜索关键词识别方法
CN109344913B (zh) 一种基于改进MajorClust聚类的网络入侵行为检测方法
Das et al. An efficient feature selection approach for intrusion detection system using decision tree
Charan et al. Dmapt: Study of data mining and machine learning techniques in advanced persistent threat attribution and detection
Liu et al. An accuracy network anomaly detection method based on ensemble model
Li et al. MDBA: Detecting malware based on bytes n-gram with association mining
Weng et al. Deep packet pre-filtering and finite state encoding for adaptive intrusion detection system
Chen et al. Data curation and quality assurance for machine learning-based cyber intrusion detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant