[发明专利]针对容器云平台的网络入侵检测方法

说明书

本发明涉及一种针对容器云平台的网络入侵检测方法，包括如下步骤：步骤S1：获取网络流量；步骤S2：对获取的网络流量进行数据预处理；步骤S3：将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L‑CNN，利用入侵检测模型L‑CNN对获取的网络流量进行入侵检测，得到检测结果。本发明提供的针对容器云平台的网络入侵检测方法，针对容器云平台网络架构的特点，从Flannel.1抓取云平台的网络流量，更好地从南北和东西方向对云平台进行保护；同时，本发明使用LSTM‑CNN的模型，与其他模型相比，本发明使用的模型囊括特征的时间和空间特性，并且不需要进行额外的特征提取，减少时间开销，拥有更高的精确度。

技术领域

本发明属于深度学习和网络安全相结合的技术领域，尤其涉及容器云平台下基于深度学习的入侵检测方法。

背景技术

2020年国家互联网应急中心监测发现，我国境内云遭受大流量DDoS攻击次数占境内目标遭受大流量攻击次数的74.0％；被植入后门数占境内被植入后门数的88.1％；被篡改网站数占境内被篡改网站数的88.6％；由于云上承载的业务和数据越来越多，发生在云平台上的各类网络安全事件数量占比较高。云平台包括基于虚拟化的云平台和容器云平台，而基于虚拟化的云平台满足不了云原生时代业务快速创新的需求。容器技术拥有比传统虚拟化方法更高的性能和效率，利用Docker、Kubernetes(K8S)等项目构建私有云或混合云的容器云平台正在成为业界的主流选择。因此容器云平台的安全问题也变得越发重要。使用入侵检测方法对云平台的网络流量进行监控，可以及时发现并阻止恶意网络入侵，保障云平台的安全。

入侵检测技术通常是通过分析网络流量来检测攻击行为，现有技术中流量分析通常使用机器学习算法完成。随着计算机的计算能力的发展，深度学习也开始被用于入侵检测，相较于传统的机器学习算法，深度学习方法不需要进行复杂的特征工程，并且可以自动发现不同网络流量之间的相关性。

容器云发展迅速，使用越来越广泛，但是目前没有很好地针对容器云的网络入侵检测方案。容器云和传统云平台网络结构的不同导致传统检测方法不再那么有效。已有的使用深度学习模型的网络入侵检测方法更多的没有考虑时序特征或者空间特征，不够全面；已有考虑时序和空间特征的网络入侵检测办法在训练前需要经过特征提取，将网络流量向量化，增加时间成本。

发明内容

为解决已有技术存在的不足，本发明提供了一种针对容器云平台的网络入侵检测方法，包括如下步骤：

步骤S1：获取网络流量；

步骤S2：对获取的网络流量进行数据预处理；

步骤S3：将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L-CNN，利用入侵检测模型L-CNN对获取的网络流量进行入侵检测，得到检测结果。

其中，所述步骤S1中，使用Tcpdump工具抓取Flannel.1网桥的网络流量。

其中，所述步骤S3中，入侵检测模型L-CNN中，初始LSTM模型对输入中的网络流量的每个标记确定一个输出标记，CNN层使用原始输入的更丰富的表示查找局部图案。

其中，所述入侵检测模型L-CNN中，LSTM层前面还设置有Embedding层，以将输入文本转化为词向量的同时对其进行降维处理。

本发明提供的针对容器云平台的网络入侵检测方法，针对容器云平台网络架构的特点，从Flannel.1抓取云平台的网络流量，更好地从南北和东西方向对云平台进行保护；同时，本发明使用LSTM-CNN的模型，与其他模型相比，本发明使用的模型囊括特征的时间和空间特性，并且不需要进行额外的特征提取，减少时间开销，拥有更高的精确度。

附图说明

图1为本发明的基于容器云平台的入侵检测方法的设计流程图。

图2为Kubernetes的网络架构图。