一种基于双向报文入侵检测的方法和系统与流程

1.本技术涉及网络安全技术领域，尤其涉及一种基于双向报文入侵检测的方法和系统。


背景技术：

2.随着流量加密技术的不断发展，加密流量逐渐取代非加密流量成为当前网络的主流，其在保护用户隐私的同时，也常被各种恶意软件用来规避传统的基于端口或载荷关键词的入侵检测系统，给网络安全带来了严重威胁。
3.现有的加密流量检测常见做法是使用卷积神经网络模型来识别加密特征向量，这样的做法可以实现对加密流量的入侵检测，但是单一的检测角度容易受到模型训练效果的影响。需要引入其他检测角度来辅助，有助于提高检测的精确度。
4.因此，急需一种针对性的基于双向报文入侵检测的方法和系统。


技术实现要素：

5.本发明的目的在于提供一种基于双向报文入侵检测的方法和系统，解决恶意代码借用加密报文规避基于端口或载荷关键词的入侵检测，以及单一的检测角度容易受到模型训练效果的影响的问题。
6.第一方面，本技术提供一种基于双向报文入侵检测的方法，所述方法包括：
7.获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，分别输入时序特征模块和空间特征模块；
8.所述时序特征模块包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
9.所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵q、k、v，并行对所述权重矩阵q、k、v进行线性变换，合并输出全局特征；
10.提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；
11.将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
12.所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响
应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；
13.对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；
14.根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止tls1.3握手过程。
15.第二方面，本技术提供一种基于双向报文入侵检测的系统，所述系统包括：
16.预处理模块，用于获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，分别输入时序特征模块和空间特征模块；
17.时序特征模块，包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
18.空间特征模块，包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵q、k、v，并行对所述权重矩阵q、k、v进行线性变换，合并输出全局特征；
19.分类模块，用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
20.双向报文判断模块，用于利用所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；
21.执行模块，用于根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止tls1.3握手过程。
22.第三方面，本技术提供一种基于双向报文入侵检测的系统，所述系统包括处理器以及存储器：
23.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
24.所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
25.第四方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的方法。
26.有益效果
27.本发明提供一种基于双向报文入侵检测的方法和系统，通过提取出报文数据的时序特征和空间特征，进行随机森林分类，可以全方面检测并快速突出所需的特征向量，利用整合的不同的分类能力，克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测的问题；通过双向报文携带的时间戳计算传输用时，计算其与信道测量估计的预计用时的偏差，判断客户端的报文数据是否被恶意篡改，以此引入其他检测角度来辅助，有助于提高检测的精确度。
附图说明
28.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
29.图1为本发明基于双向报文入侵检测的方法的大致流程图；
30.图2为本发明基于双向报文入侵检测的系统的架构图。
具体实施方式
31.下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。
32.tls1.3是新的传输层加密协议，用于提供web浏览器和服务器之间的安全通信。tls1.3具有速度更快，安全性更高的特点。
33.tls1.3通过tls错误启动和零往返时间0-rtt加快了加密连接的速度。简单地说，在tls1.2中完成握手需要两次往返，使用tls1.3只需要一次往返，反过来又将加密延迟减少了一半，所以加密连接更快了。这使得在新加密协议tls1.3使用场景中，识别检测速度要更快更高效，从而在握手成功前发现恶意代码的存在。
34.图1为本技术提供的基于双向报文入侵检测的方法的大致流程图，所述方法包括：
35.获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整；
36.如果会话报文的特征向量不包括业务载荷，则可以认定该会话报文与业务无关，很可能是恶意代码篡改的结果。
37.如果会话报文的握手信息不完整，则也可以认定该会话报文很可能是恶意代码篡改的结果。
38.根据划分得到会话报文的数量，判断是否执行进一步的特征压缩，当所述会话报文的数量超过预设的阈值时，则执行特征压缩，将之前提取得到的所述会话报文的特征向量分别输入时序特征模块和空间特征模块；
39.如果所述会话报文的数量小于预设的阈值时，则可以不必执行特征压缩，直接将特征向量分别输入时序特征模块和空间特征模块。
40.所述特征压缩是指在已提取得到的所述会话报文的特征向量中，选择部分特异性强的特征量，以此来压缩数据量和提高运算速度。可以采用现有技术中常见的特征压缩方
法。
41.所述时序特征模块包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
42.通过上述若干隐藏层神经元组成的多层次结构实现输入混合特征向量的信息传递和长期记忆能力。
43.所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵q、k、v，并行对所述权重矩阵q、k、v进行线性变换，合并输出全局特征；
44.提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；
45.将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
46.所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；
47.对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；
48.根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止tls1.3握手过程。
49.当所述客户端的报文数据中不存在恶意代码，则服务器按照tls1.3的握手执行标准完成握手过程。
50.在一些优选实施例中，所述提取所述会话报文的特征向量后，还包括：判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整，包括：如果会话报文的特征向量不包括业务载荷，则认定该会话报文与业务无关，是恶意代码篡改的结果；如果会话报文的握手信息不完整，则认定该会话报文是恶意代码篡改的结果。
51.在一些优选实施例中，所述每棵决策树的分类能力具有针对性，所述指定量特征值是根据不同分类得出的，将同一个特征向量矩阵通过决策树按照不同的角度进行分类，即完成针对不同分类能力的整合功能。其分类性能高于单个分类器。
52.随机森林中一棵决策树的平均泛化误差与回归函数有关。
53.在一些优选实施例中，所述投票的方式包括将每棵决策树的输出结果进行加权累加。
54.图2为本技术提供的基于双向报文入侵检测的系统的架构图，所述系统包括：
55.预处理模块，用于获取客户端的报文数据，以会话为单位将所述网络报文数据划分为不同的会话报文，提取所述会话报文的特征向量，分别输入时序特征模块和空间特征模块；
56.时序特征模块，包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
57.空间特征模块，包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同报文载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵q、k、v，并行对所述权重矩阵q、k、v进行线性变换，合并输出全局特征；
58.分类模块，用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话报文的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话报文的混合特征向量；将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
59.双向报文判断模块，用于利用所述客户端的报文数据中携带有发送的第一时间戳，服务器在返回给客户端的响应报文中携带有返回的第二时间戳，根据所述第一时间戳和第二时间戳计算得到报文传输的用时；对信道进行测量估计，根据所述测量估计的结果得到报文传输的预计用时，判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内，如果是则继续判断所述分类结果，反之则认定所述客户端的报文数据被恶意篡改；
60.执行模块，用于根据所述分类结果判断所述客户端的报文数据中是否有恶意代码，当所述客户端的报文数据中存在恶意代码，则服务器终止tls1.3握手过程。
61.本技术提供一种基于双向报文入侵检测的系统，所述系统包括：所述系统包括处理器以及存储器：
62.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
63.所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的方法。
64.本技术提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面所有实施例中任一项所述的方法。
65.具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：rom)或随机存储记忆体(简称：ram)等。
66.本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述
的方法。
67.本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。
68.以上所述的本发明实施方式并不构成对本发明保护范围的限定。