[发明专利]一种基于MLP的入侵检测方法

说明书

本发明公开了一种基于MLP的入侵检测方法。该方法为：首先、扫描整个磁盘，收集可执行文件及日志文件，该过程包括主动模式和被动模式，在主动模式下，扫描磁盘并收集可执行文件，如果可执行文件为包含源代码的脚本，则将其编译成中间代码；在被动模式下，仅收集系统和服务器日志文件；然后、进行数据预处理，提取特征，并标注标签，提取的特征为词库中的每个单词在样本中的词频；接着、使用MLP对数据进行建模；最后、使用模型预测新的数据，得到标签的预测值。本发明将多层感知机模型与可执行文件或日志的统计特征相结合，提高了入侵检测的精确度。

技术领域

本发明涉及入侵检测技术领域，特别是一种基于MLP的入侵检测方法。

背景技术

随着Internet的高速发展和日益普及，网络入侵事件迅速增长，网络安全越来越受到人们的重视。入侵检测是对入侵行为的检测，它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。

入侵检测的本质，就是将正常操作于异常操作区分开。目前，绝大多数入侵检测方法都是基于规则的，例如，阿里云的Web防火墙在遇到Select、Where、Union等SQL 关键字时，就会认为这是SQL注入攻击。阿里云举办的智能安全大赛中，多数选手仍旧使用基于规则的关键字过滤。显然上述方法具有以下缺陷：首先，这种方法会产生一些误报，SQL关键字也可能是正常的参数内容，例如在搜索引擎的场景下，用户搜索的东西完全有可能带有这些关键字，就可能被错误地拦截。其次，当应用场景变化时，例如切换到了XSS漏洞的入侵检测，就要重新请专家总结一套规则，费时费力。可见，基于规则以及黑白名单的检测技术已经无法适应日益发展的入侵手段。

发明内容

本发明的目的在于提供一种基于MLP的入侵检测方法，能够实现高效率、高精确度的入侵检测。

实现本发明目的的技术解决方案为：一种基于MLP的入侵检测方法，包括以下步骤：

步骤1，扫描整个磁盘，收集指定的文件；

步骤2，进行数据预处理，提取特征，并标注标签；

步骤3，使用MLP对数据进行建模；

步骤4，使用模型预测新的数据，得到标签的预测值。

进一步地，步骤1中所述的扫描整个磁盘，收集指定的文件，该过程包括主动模式和被动模式，具体如下：

在主动模式下，扫描磁盘并收集可执行文件，如果可执行文件为包含源代码的脚本，则将其编译成中间代码；

在被动模式下，仅收集系统和服务器日志文件。

进一步地，步骤2中所述的进行数据预处理，提取特征，并标注标签，具体如下：

将不同类型的原始文件，分别进行以下预处理：

(1)机器码或中间代码：提取指令名称和字符串内容，对字符串进行分词处理，得到单词，将一个文件视为一个样本；

(2)系统日志：从用户目录中的.bash_history文件中读取Shell的历史记录，按照指定的时间间隔切分为不同会话，一个会话视为一个样本，命令名称视为单词；

(3)服务器日志：将一个请求视为一个样本，对请求的载荷部分进行分词处理，得到单词；