本發(fā)明公開了屬于人工智能與網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的一種基于貝葉斯分類器的網(wǎng)絡(luò)逃避行為檢測算法。該方法首先從正常網(wǎng)絡(luò)數(shù)據(jù)流和逃避網(wǎng)絡(luò)數(shù)據(jù)流中提取幀內(nèi)特征和幀間特征并轉(zhuǎn)換為符號(hào)串流，從符號(hào)串流中提取統(tǒng)計(jì)特征形成樣本，再利用貝葉斯分類器對(duì)這些樣本進(jìn)行分類，從而實(shí)現(xiàn)了對(duì)各類原子逃避行為的在線識(shí)別。本發(fā)明不依賴于人工事先設(shè)定的檢測標(biāo)準(zhǔn)或檢測閾值，在面對(duì)新的逃避手段時(shí)，只要獲得其足夠次數(shù)的網(wǎng)絡(luò)數(shù)據(jù)流，就能夠通過對(duì)貝葉斯分類器的增量訓(xùn)練，實(shí)現(xiàn)對(duì)其的檢測和識(shí)別，具有現(xiàn)有方法所不具備的自適應(yīng)性和自學(xué)習(xí)優(yōu)點(diǎn)，能夠可靠地探測識(shí)別網(wǎng)絡(luò)中針對(duì)NIDS/IPS的逃避行為。

技術(shù)領(lǐng)域

本發(fā)明屬于人工智能與網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于貝葉斯分類器的網(wǎng)絡(luò)逃避行為檢測方法。

背景技術(shù)

為了監(jiān)控和檢測惡意網(wǎng)絡(luò)流，越來越多的企業(yè)引進(jìn)了網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)(NIDS/IPS)，而逃避技術(shù)可通過偽裝修改網(wǎng)絡(luò)數(shù)據(jù)流以躲避入侵檢測系統(tǒng)的檢測和阻止，使得越來越多的惡意網(wǎng)絡(luò)行為和攻擊通過偽裝變得難于檢測，也使得NIDS/IPS的有效性受到了極大的挑戰(zhàn)。現(xiàn)有的逃避技術(shù)從實(shí)現(xiàn)原理上可分為原子逃避和混合逃避。其中，原子逃避又可分為四種：IP分片和TCP分段的碎片化；被攻擊目標(biāo)和NIDS/IPS在協(xié)議解析上的差異；負(fù)載變換；以及應(yīng)用層逃避。混合逃避則是原子逃避技術(shù)的組合。此外還有針對(duì)NIDS/IPS的拒絕服務(wù)攻擊，能暫時(shí)使其癱瘓，讓攻擊規(guī)避其檢測，也是一種逃避技術(shù)。目前業(yè)界對(duì)抗逃避技術(shù)是采用合規(guī)的方式來消除NIDS/IPS和被攻擊主機(jī)在處理網(wǎng)絡(luò)流上的歧義，例如，Handley實(shí)現(xiàn)了基于IP頭字段和TCP狀態(tài)的合規(guī)器—norm，但其對(duì)TCP分段碎片化的逃避無能為力。劉寶超等人提出了流量預(yù)處理引擎，將流向內(nèi)網(wǎng)的流量處理后重新轉(zhuǎn)發(fā)，以消除NIDS和終端主機(jī)對(duì)IP分片理解的歧義性。Vutukuru也提出了一種TCP流合規(guī)器，通過計(jì)算收到的每個(gè)TCP分段的Hash值，來確定每個(gè)分段在連接表中的TCP流隊(duì)列歸屬，根據(jù)其序列號(hào)確定其在隊(duì)列中的位置，并決定是否轉(zhuǎn)發(fā)，重置或暫存，以消除NIDS和終端主機(jī)對(duì)TCP碎片的歧義性。基于這些技術(shù)的思想，大多數(shù)NIDS/IPS都已開發(fā)并加入了對(duì)IP分片和TCP碎片的處理，例如最為流行的開源NIDS——snort，分別使用Frag3和Stream5兩個(gè)預(yù)處理器來處理IP層和TCP層的碎片。然而Cheng,Tsung Huan等人實(shí)際測試了FortiGate，Snort和ZyXEL三種有代表性的NIDS/IPS對(duì)原子逃避技術(shù)的防御能力，結(jié)果表明，使用TCP分段或重疊，仍然可以避開參與實(shí)驗(yàn)的所有NIDS/IPS；使用負(fù)載變換仍然可以避開Snort。Gorton在由TCP分段長度、TCP分段重合長度，以及段前雜質(zhì)三個(gè)維度構(gòu)成的空間中，對(duì)攻擊流進(jìn)行修改，對(duì)snort進(jìn)行了測試，實(shí)驗(yàn)表明：由基本的TCP/IP碎片化原子逃避構(gòu)成的某些組合，仍然能避開精心設(shè)計(jì)的NIDS。這些實(shí)際的測試表明，采用合規(guī)方法仍然難以防御原子逃避技術(shù)。McAfee公司認(rèn)為，徹底解決逃避問題的關(guān)鍵在于在所有協(xié)議層中解碼網(wǎng)絡(luò)流，并實(shí)現(xiàn)合規(guī)，通過在下一代防火墻中內(nèi)置全協(xié)議棧的合規(guī)功能，以杜絕逃避。不過，這種解決思路對(duì)防火墻軟硬件的處理能力提出了非常高的要求，難以應(yīng)對(duì)大型內(nèi)網(wǎng)的海量流量，目前還沒有有效技術(shù)能夠可靠地探測識(shí)別網(wǎng)絡(luò)中針對(duì)NIDS/IPS的逃避行為。

發(fā)明內(nèi)容

針對(duì)上述問題，本發(fā)明提出了一種基于貝葉斯分類器的網(wǎng)絡(luò)逃避行為檢測算法，其特征在于，包括以下步驟：

步驟1、在正常網(wǎng)絡(luò)數(shù)據(jù)流上應(yīng)用逃避技術(shù)，生成不同類別的逃避網(wǎng)絡(luò)數(shù)據(jù)流，或直接捕獲由逃避技術(shù)在逃避攻擊時(shí)發(fā)出的逃避網(wǎng)絡(luò)數(shù)據(jù)流；

步驟2、分別從正常網(wǎng)絡(luò)數(shù)據(jù)流和逃避網(wǎng)絡(luò)數(shù)據(jù)流中提取幀內(nèi)特征和幀間特征并轉(zhuǎn)換成符號(hào)串，最終由網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)換形成符號(hào)串流，從符號(hào)串流中提取統(tǒng)計(jì)特征，組成網(wǎng)絡(luò)數(shù)據(jù)流訓(xùn)練樣本集；

步驟3、構(gòu)建貝葉斯分類器，在步驟2得到的網(wǎng)絡(luò)數(shù)據(jù)流訓(xùn)練樣本集上進(jìn)行訓(xùn)練；

步驟4、利用步驟3得到的貝葉斯分類器，對(duì)待檢測的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分類，識(shí)別該網(wǎng)絡(luò)數(shù)據(jù)流是否為正常網(wǎng)絡(luò)數(shù)據(jù)流，或應(yīng)用了逃避技術(shù)的逃避網(wǎng)絡(luò)數(shù)據(jù)流，若識(shí)別為逃避網(wǎng)絡(luò)數(shù)據(jù)流，則識(shí)別出應(yīng)用的逃避技術(shù)類別。