本發明公開了一種用于實時入侵檢測系統的過濾方法，包括：白名單與黑名單構建；風險損失評估；過濾器構建和部署：為白名單用戶分配用于插入布隆過濾器的初始散列函數集；結合黑名單用戶和其所對應的危害程度，自適應調整白名單用戶的散列函數集，使得危害程度高的黑名單用戶具有更高的被攔截概率；將調整過的散列函數集存入預設的散列表達器中；將白名單用戶利用它的散列函數集插入到布隆過濾器中，結合散列表達器得到哈希自適應布隆過濾器，再將哈希自適應布隆過濾器部署到檢測系統。本發明具備空間高效，快速檢測的特點，能有效降低由黑名單用戶帶來的系統損失，并給出了有效的理論性能保障，可以應用于涉及實時入侵檢測的應用。

技術領域

本發明涉及網絡入侵防護檢測技術領域，具體而言涉及一種用于實時入侵檢測系統的過濾方法。

背景技術

近些年來隨著互聯網的快速發展和應用，網絡攻擊和欺詐行為也日益增加，使得現有網絡服務系統被入侵的風險大大增加，尤其是在高速網絡環境下，對于一些實時的處理系統，通常因為需要快速判斷訪問用戶是否具有惡意攻擊意圖而無法精確攔截。例如，分布式拒絕服務(D-Dos)網絡攻擊流量峰值每年都不斷地被超越，在此類攻擊中，攻擊者將大量高頻惡意請求偽裝成正常請求發送給受害者機器，過量的服務負載將導致受害者的服務器宕機。2016年俄羅斯五家銀行遭受分布式拒絕服務攻擊，直接導致服務下線；美國動態DNS解析服務商Dyn DNS曾遭受攻擊，導致半個美國互聯網服務癱瘓。

近些年來，已經有一些研究工作開始關注實時入侵檢測，但這些研究工作關注的重點在于以下兩個方面：(1)被動檢測，在入侵發生之后發出警報，盡可能降低系統損失；(2)使用大量的過濾規則，逐一排查。目前大多數網絡應用都搭建了入侵防護檢測系統，用來防止一些惡意的入侵者進入和破壞系統，通常是維護一個白名單列表，系統只允許列表中的用戶進入。在實時的入侵檢測中，檢測系統不僅需要在每個用戶訪問時準確給出檢測結果，還要求檢測過程盡可能快速。在高速網絡環境下，由于要分析的數據非常大，考慮到現有的入侵檢測研究難以同時保證檢測的實時性和正確率，不能達到快速檢測每個訪問用戶的同時，降低系統風險和功耗。因而已有工作不能解決本發明中提出的目標。

因此，如何提供一種能在實時入侵檢測系統的新型高效過濾方法，并且能有效的降低過濾器的存儲空間，保證檢測出的惡意攻擊的準確度，是本領域技術人員亟待解決的問題。

發明內容

本發明針對現有技術中的不足，提供一種用于實時入侵檢測系統的過濾方法，首先提出基于布隆過濾器進行實時入侵檢測的系統模型，其次提出一種新型高效的布隆過濾器，利用黑名單和損失評估對過濾器進行優化，核心是自適應選擇每個用戶使用的散列函數集合。本發明提出的新型過濾器，具備空間高效，快速檢測的特點，能有效降低由黑名單用戶帶來的系統損失，并給出了有效的理論性能保障，可以應用于涉及實時入侵檢測的應用。

為實現上述目的，本發明采用以下技術方案：

一種用于實時入侵檢測系統的過濾方法，所述過濾方法包括以下步驟：

S1，白名單與黑名單構建：收集檢測系統對應的允許進入系統和禁止進入系統的用戶名單，分別定義成白名單用戶和黑名單用戶；

S2，風險損失評估：評估黑名單用戶未被攔截時可能對系統造成的危害程度；

S3，過濾器構建和部署：

S31，為白名單用戶分配用于插入布隆過濾器的初始散列函數集；

S32，結合黑名單用戶和其所對應的危害程度，自適應調整白名單用戶的散列函數集，使得危害程度高的黑名單用戶具有更高的被攔截概率；

S33，將調整過的散列函數集存入預設的散列表達器中，所述散列表達器是一個由多個元組構成的哈希表，每個元組包括標識和散列索引，都被初始化為0；