用于网络威胁情报的入侵检测和预防的装置和方法与流程

本发明涉及通过使用基于流和基于数据包的机器学习技术的集成，来进行网络威胁情报的入侵检测和预防。

背景技术：

1、近年来，由于互联网的广泛使用，网络威胁已经成为一个重大关切。为了应对这一问题，已经付出了大量努力来开发网络威胁情报分析的方法。例如，入侵检测系统(intrusion?detection?systems；ids)和入侵预防系统(intrusion?prevention?systems；ips)，其用于检测和预防网络或计算机系统的攻击，其研究正被展开以应对网络威胁的风险。

2、然而，当前的ids/ips系统会产生大量虚警或噪声，使得大量警报淹没了网络安全分析引擎。此外，不断增加ips规则也会导致随着时间的推移，致使检测性能下降。由于评估这些规则需要专业知识，这将既昂贵又耗时。此外，入侵检测要么是基于网络数据包的，要么是基于流的。在这方面，仅仅基于实时数据包的ids/ips不能检测所有类型的攻击，然而基于流的ids/ips也无法提供实时?；?。当前，已经观察到某些网络攻击只能是通过基于流的方法来识别。此外，传统的ids/ips部署为网络网关，这仅在单一网络环境中有益。

3、目前，混合数据包和基于流的ids/ips系统尚未被商业化。因此，需要一种混合数据包和基于流的ids/ips，并具有近乎实时的入侵预防?？?intrusion?preventionmodule；ipm)规则的更新能力，从而实现强大的网络威胁入侵检测和预防。此外，现有的技术水平还缺乏采用机器学习(machine?learning；ml)模型进行更智能的入侵检测和预防的网络安全分析方法。

技术实现思路

1、本发明的目的是提供一种装置和方法来解决现有技术中的前述缺点和未满足的需求。根据本发明的第一方面，提供了一种用于网络威胁情报的入侵检测和预防的装置。装置包括网络接口、特征提取模型、特征选择模型、基于流的入侵检测?？?、基于数据包的入侵检测?？楹腿肭衷し滥？?ipm)。网络接口由至少一个处理器执行，并且被配置为接收网络原始数据包数据。特征提取模型由至少一个处理器执行，并且被配置为将来自网络原始数据包数据的数据包解析成会话，其作为网络流数据集。特征选择模型由至少一个处理器执行，并且被配置为从网络流数据集之中选择基于流的特征，以生成网络流元?；诹鞯娜肭旨觳饽？楸慌渲梦治鐾缌髟?，并生成基于流的标签?；谑莅娜肭旨觳饽？楸慌渲梦治鐾缭际莅?，并生成基于数据包的标签。ipm用于根据基于流的标签和基于数据包的标签进行入侵分析，以生成入侵预防的ipm规则，从而对网络原始数据包数据进行识别和处理。ipm还被配置为执行规则优化以移除过时的ipm规则。

2、根据本发明的第二方面，提供了一种用于网络威胁情报的入侵检测和预防的方法。方法包括以下步骤：借由至少一个处理器，通过特征提取模型将网络原始数据包数据解析为会话，其作为网络流数据集。借由至少一个处理器，从网络流数据集之中选择基于流的特征，以经由特征选择模型生成网络流元；通过基于流的入侵检测?？榉治鐾缌髟?，并生成基于流的标签；通过基于数据包的入侵检测?？榉治鐾缭际莅?，并生成基于数据包的标签；通过ipm，根据基于流的标签和基于数据包的标签进行入侵分析，生成用于入侵预防的ipm规则，从而对网络原始数据包数据进行识别和处理。

3、本发明实施例将机器学习(ml)技术引入到基于流的标签的生成中，有效应对网络安全威胁。此架构实现了近乎实时的基于机器学习的处理，能够及时识别和缓解潜在威胁。此外，将基于流的标签和基于数据包的标签集成，可以快速准确地检测和响应网络攻击。

技术特征：

1.一种网络威胁情报入侵检测和预防的装置，其特征在于，包括：

2.根据权利要求1所述的装置，其特征在于，还包括显示器，其被配置为显示仪表板，以示出在通过采用所述ipm规则阻止恶意流量之后的数据包的数量。

3.根据权利要求1所述的装置，其特征在于，还包括入侵分析存储器，其被配置为存储所述基于流的入侵检测?？榈姆治鼋峁?，以供访问。

4.根据权利要求3所述的装置，其特征在于，还包括集中式后端服务器，且所述基于流的入侵检测?？楹退鋈肭址治龃娲⑵鞅徊渴鸬剿黾惺胶蠖朔衿?。

5.根据权利要求1所述的装置，其特征在于，由所述ipm执行的入侵分析还包括从所述基于流的标签和所述基于数据包的标签获得流和数据包输入的概率总和。

6.根据权利要求1所述的装置，其特征在于，所述入侵预防?？榛贡慌渲梦葱凶允视pm规则生成，包括：

7.根据权利要求6所述的装置，其特征在于，其中所述ipm还被配置为根据所述规则生成的结果执行近实时的ipm规则更新。

8.根据权利要求6所述的装置，其特征在于，其中所述ipm使用网络属性来执行所述自适应ipm规则生成，所述网络属性包括协议、ip、主机名、端口、数据包串流、接口、数据包大小、数据包ttl或其组合。

9.根据权利要求1所述的装置，其特征在于，其中所述ipm还被配置为执行规则优化，包括：

10.根据权利要求1所述的装置，其特征在于，其中所述特征选择模型至少由深度神经网络(dnn)实现，并且所述基于流的入侵检测?？橹辽儆删断蚧窬?rbfnn)实现。

11.一种网络威胁情报的入侵检测和预防的方法，其特征在于，包括：

12.根据权利要求11所述的方法，其特征在于，还包括通过显示器显示仪表板，以示出在通过采用所述ipm规则阻止恶意流量之后的数据包的数量。

13.根据权利要求11所述的方法，其特征在于，还包括通过入侵分析存储器，存储所述基于流的入侵检测?？榈姆治鼋峁?，以供访问。

14.根据权利要求13所述的方法，其特征在于，还包括将所述基于流的入侵检测?？楹退鋈肭址治龃娲⑵鞑渴鸬郊惺胶蠖朔衿?。

15.根据权利要求11所述的方法，其特征在于，其中由所述ipm执行的入侵分析还包括从所述基于流的标签和所述基于数据包的标签获得流和数据包输入的概率总和。

16.根据权利要求11所述的方法，其特征在于，还包括由所述ipm执行自适应ipm规则生成，包括：

17.根据权利要求16所述的方法，其特征在于，还包括由所述ipm根据所述规则生成的结果执行近实时的ipm规则更新。

18.根据权利要求16所述的方法，其特征在于，其中所述ipm使用网络属性来执行所述自适应ipm规则生成，所述网络属性包括协议、ip、主机名、端口、数据包串流、接口、数据包大小、数据包ttl或其组合。

19.根据权利要求11所述的方法，其特征在于，还包括由所述ipm执行规则优化，包括：

20.根据权利要求11所述的方法，其特征在于，其中所述特征选择模型至少由深度神经网络(dnn)实现，并且所述基于流的入侵检测?？橹辽儆删断蚧窬?rbfnn)实现。

技术总结
提供了一种用于网络威胁情报的入侵检测和预防的装置。装置包括特征提取模型、特征选择模型、基于流的入侵检测?？?、基于数据包的入侵检测?？楹虸PM。特征提取模型被配置为将来自网络原始数据包数据的数据包解析，作为网络流数据集的会话。特征选择模型被配置为从网络流数据集之中，选择基于流的特征，以生成网络流元?；诹鞯娜肭旨觳饽？楸慌渲梦苫诹鞯谋昵??；谑莅娜肭旨觳饽？楸慌渲梦苫谑莅谋昵?。IPM用于根据基于流的标签和基于数据包的标签进行入侵分析，生成用于入侵检测和预防的IPM规则，从而对网络原始数据包数据进行识别和处理。

技术研发人员：杨溢明,梁伟基,李家钰,梁鼎忠,尤祖尧
受?；さ募际跏褂谜撸?/b>香港应用科技研究院有限公司
技术研发日：
技术公布日：2024/4/8