本發(fā)明提供一種基于時(shí)序神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法。該方法包括：收集待檢測點(diǎn)中的網(wǎng)絡(luò)流量數(shù)據(jù)，將所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分類存儲(chǔ)；對(duì)分類存儲(chǔ)的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理，所述預(yù)處理包括符號(hào)特征數(shù)值化和特征值歸一化；訓(xùn)練GRU網(wǎng)絡(luò)，利用訓(xùn)練好的GRU網(wǎng)絡(luò)對(duì)預(yù)處理后的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行檢測；若檢測數(shù)據(jù)結(jié)果表現(xiàn)為正常流量，則允許流量通過當(dāng)前檢測點(diǎn)；若檢測數(shù)據(jù)結(jié)果表現(xiàn)為攻擊流量，則向用戶發(fā)出警報(bào)。本發(fā)明通過采用GRU網(wǎng)絡(luò)，在LSTM基礎(chǔ)上進(jìn)一步簡化了網(wǎng)絡(luò)結(jié)構(gòu)，不僅可以有效解決了RNN中存在的不足，而且相比于LSTM更貼近于網(wǎng)絡(luò)實(shí)時(shí)性的要求。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全維護(hù)中的入侵檢測技術(shù)領(lǐng)域，尤其涉及一種基于時(shí)序神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法及裝置。

背景技術(shù)

隨著文件共享，移動(dòng)支付和即時(shí)通信等新的互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，當(dāng)前網(wǎng)絡(luò)安全環(huán)境變得越來越復(fù)雜多變。與此同時(shí)，網(wǎng)絡(luò)攻擊者變得更加隱匿，攻擊成本進(jìn)一步降低，所有這些因素都嚴(yán)重威脅著網(wǎng)絡(luò)安全環(huán)境。

入侵檢測作為一種主動(dòng)防御技術(shù)，已逐漸成為確保網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵技術(shù)。入侵檢測系統(tǒng)(IDS,Intrusion Detection System)是專為提供網(wǎng)絡(luò)安全主動(dòng)保護(hù)而設(shè)計(jì)的，它基于一定的安全策略來監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行，發(fā)現(xiàn)各種入侵行為，企圖或結(jié)果，并自動(dòng)進(jìn)行響應(yīng)，有效防止非法訪問或入侵。傳統(tǒng)IDS可分為誤用檢測和異常檢測兩種處理方法。誤用檢測系統(tǒng)需要提前準(zhǔn)確定義入侵行為模式，如果攻擊者的攻擊模式與檢測系統(tǒng)中的模式庫完全匹配，則檢測入侵行為。異常檢測系統(tǒng)認(rèn)為入侵活動(dòng)未知，是異常活動(dòng)的一個(gè)子集。當(dāng)任何行為偏離正常行為模式達(dá)到一定程度時(shí)，即被視為入侵事件。

然而隨著當(dāng)前網(wǎng)絡(luò)環(huán)境邁入大數(shù)據(jù)與智能化時(shí)代，傳統(tǒng)入侵檢測方法及系統(tǒng)逐漸開始難以應(yīng)對(duì)海量數(shù)據(jù)和復(fù)雜網(wǎng)絡(luò)環(huán)境帶來的影響。因此為了提升IDS檢測性能與效率，近年來國內(nèi)外研究者們開始在IDS構(gòu)建中引入機(jī)器學(xué)習(xí)方法并且取得了許多突破性的進(jìn)展。機(jī)器學(xué)習(xí)方法通過利用已有數(shù)據(jù)進(jìn)行訓(xùn)練，使模型對(duì)目標(biāo)數(shù)據(jù)空間完成擬合過程，將傳統(tǒng)模型的匹配檢測過程轉(zhuǎn)化為分類過程，具有更高的智能化程度和自我學(xué)習(xí)能力。

眾所周知，網(wǎng)絡(luò)攻擊行為的發(fā)生并不是偶然因素導(dǎo)致或者攻擊者的突發(fā)行為，攻擊者在發(fā)動(dòng)正式攻擊前往往已經(jīng)過周密的計(jì)劃與前期準(zhǔn)備活動(dòng)，如利用網(wǎng)絡(luò)掃描設(shè)備測探目標(biāo)主機(jī)各類信息等行為。然而，現(xiàn)有基于機(jī)器學(xué)習(xí)算法的IDS普遍并未考慮樣本間存在的時(shí)序連接關(guān)系，導(dǎo)致檢測模型無法對(duì)訓(xùn)練樣本形成時(shí)間積累學(xué)習(xí)，缺乏動(dòng)態(tài)特性，造成部分情況下IDS檢測性能偏低，且無法有效應(yīng)對(duì)未知攻擊。