基于深度特征的復(fù)雜snort規(guī)則分類方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種基于深度特征的復(fù)雜snort規(guī)則分類方法及系統(tǒng)�,其中的方法包括:根據(jù)snort規(guī)則分別建立基于content深度特征的多級(jí)分類器、基于稀疏矩陣的弱分類器和相關(guān)性分類器��,其中���,基于content深度特征的多級(jí)分類器根據(jù)snort規(guī)則中的content關(guān)鍵詞建立����,基于稀疏矩陣的弱分類器根據(jù)snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞建立���,相關(guān)性分類器根據(jù)snort規(guī)則中的前置規(guī)則與后置規(guī)則建立�;在半監(jiān)督學(xué)習(xí)下,對(duì)content深度特征的多級(jí)分類器�、稀疏矩陣的弱分類器、相關(guān)性分類器以及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練�,形成基于深度特征的復(fù)雜snort規(guī)則總分類器,以完成對(duì)復(fù)雜snort規(guī)則進(jìn)行語義層面的分類����。利用本發(fā)明,能夠解決在攻擊預(yù)防系統(tǒng)中�����,snort規(guī)則缺乏有針對(duì)性地利用自身規(guī)則特性進(jìn)行分類的問題�����。
【專利說明】基于深度特征的復(fù)雜snort規(guī)則分類方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全領(lǐng)域【技術(shù)領(lǐng)域】�,更為具體地��,涉及一種基于深度特征的復(fù)雜 snort規(guī)則分類方法及系統(tǒng)��。
【背景技術(shù)】
[0002] 在信息安全領(lǐng)域��,入侵是指試圖破壞資源的完整性、機(jī)密性及可用性的行為集合��, 該概念是1980年美國(guó)James P. Anderson教授提出的���。攻擊簽名特征試圖使用定量方式描 述可接受的行為特征�����,區(qū)分異常的���、潛在的帶有入侵性的行為,也是對(duì)攻擊行為特征的精確 性描述�,其種類隨著系統(tǒng)漏洞的不斷暴露與網(wǎng)絡(luò)攻擊手段的更新而變得愈加豐富。由于攻 擊簽名特征被廣泛地應(yīng)用到網(wǎng)絡(luò)安全設(shè)備中���,在對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行有效地阻止及預(yù)防中 扮演著越來越重要的角色���,因此各安全廠商及研究機(jī)構(gòu)紛紛投入大量的攻防人員對(duì)其進(jìn)行 研究開發(fā)。
[0003] 目前��,攻擊防御開發(fā)者往往采用snort語言來開發(fā)�����、描述攻擊簽名特征。而每個(gè)攻 擊防御系統(tǒng)幾乎都會(huì)有至少幾千條甚至上萬條攻擊簽名規(guī)則�。這些規(guī)則在雖然物理上或功 能上已經(jīng)被開發(fā)者進(jìn)行了一定的分類,但是從語義層面上對(duì)這些規(guī)則進(jìn)行分類�����,進(jìn)而發(fā)掘 其內(nèi)在規(guī)律性的工作還處于初級(jí)階段��。在對(duì)snort規(guī)則的分析研究中�����,主要有兩種方式:
[0004] (1)橫向重在發(fā)現(xiàn)規(guī)則中各選項(xiàng)值的分布特征�����;
[0005] (2)縱向則是統(tǒng)計(jì)不同版本的規(guī)則變化�,從中找出變化的"規(guī)律"。
[0006] 無論是橫向從概率分布的角度還是縱向從規(guī)則變化的角度����,都難以對(duì)規(guī)則從語義 層面上進(jìn)行全面的度量與分類。
[0007] 傳統(tǒng)規(guī)則分類方法對(duì)復(fù)雜的snort規(guī)則進(jìn)行分類���,主要是基于某種度量標(biāo)準(zhǔn)(即 空間距離)�����,或基于某種統(tǒng)計(jì)學(xué)上的分布規(guī)律對(duì)其進(jìn)行分類�����。通常都存在以下兩方面問題:
[0008] (1) snort規(guī)則的關(guān)鍵詞特征比較多����,每一項(xiàng)所占的權(quán)重隨著具體規(guī)則內(nèi)容變化���, 指定的基于概率分布或固定距離的度量方式難以準(zhǔn)確而適應(yīng)性地對(duì)具體規(guī)則特征進(jìn)行衡 量����;
[0009] (2) snort規(guī)則之間的共性特征往往是幾個(gè)或以上規(guī)則具有某一個(gè)公共的特性�,而 另外一些又具有另外層面上的深層共性特征,傳統(tǒng)的分類方法往往難以發(fā)現(xiàn)其內(nèi)在規(guī)律或 利用深層的內(nèi)在規(guī)則作用于規(guī)則本身��。
[0010] 而針對(duì)snort規(guī)則�,缺乏有針對(duì)性地利用規(guī)則自身特性進(jìn)行分類的方法。研究者 也不乏使用機(jī)器學(xué)習(xí)手段提高其適應(yīng)性�����,但往往都是利用固有的機(jī)器學(xué)習(xí)手段如決策樹、 KNN法��、SVM法�����、向量空間模型法�����、Bayes法�����、神經(jīng)網(wǎng)絡(luò)等�。這些方法本身都具有很多優(yōu)點(diǎn),同 時(shí)在對(duì)復(fù)雜snort規(guī)則分類的過程中也有自身的限制����。比如KNN對(duì)樣本容量較小的類域比 較容易產(chǎn)生誤分,難以控制其準(zhǔn)確性�����;SVM對(duì)各類域的邊界樣本依賴程度比較高,對(duì)邊界不 確定或可擴(kuò)散的樣本容易誤分����;向量空間模型法對(duì)類別中所包含的非零特征項(xiàng)越多���,其包 含的每個(gè)特征項(xiàng)對(duì)于類別的表達(dá)能力越弱�����;Bayes法對(duì)樣本總量要求比較高�����,概率分布函 數(shù)(或密度函數(shù))常常是不知道的����;神經(jīng)網(wǎng)絡(luò)方法的層數(shù)與神經(jīng)元個(gè)數(shù)難以確定�,容易陷入 局部極小,還容易有過學(xué)習(xí)現(xiàn)象�。
【發(fā)明內(nèi)容】
[0011] 鑒于上述問題,本發(fā)明的目的是提供一種基于深度特征的復(fù)雜snort規(guī)則分類方 法及系統(tǒng)�,以解決在攻擊預(yù)防系統(tǒng)中,snort規(guī)則缺乏有針對(duì)性地利用自身規(guī)則特性進(jìn)行分 類的問題����。
[0012] 一方面�����,本發(fā)明提供一種基于深度特征的復(fù)雜snort規(guī)則分類方法���,包括:
[0013] 根據(jù)snort規(guī)則分別建立基于content深度特征的多級(jí)分類器、基于稀疏矩陣的 弱分類器和相關(guān)性分類器��,其中��,基于content深度特征的多級(jí)分類器根據(jù)snort規(guī)則中的 content關(guān)鍵詞建立�����,基于稀疏矩陣的弱分類器根據(jù)snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞建 立���,相關(guān)性分類器根據(jù)snort規(guī)則中的前置規(guī)則與后置規(guī)則建立�;���;
[0014] 在半監(jiān)督學(xué)習(xí)下����,對(duì)基于content深度特征的多級(jí)分類器、基于稀疏矩陣的弱分 類器����、相關(guān)性分類器以及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練,形成基于深度特征的復(fù) 雜snort規(guī)則總分類器��,以完成對(duì)復(fù)雜snort規(guī)則進(jìn)行語義層面的分類�����。
[0015] 此外��,優(yōu)選的方案是����,在建立基于content深度特征的多級(jí)分類器的過程中����,
[0016] 采用多層公共特征串管理機(jī)制,計(jì)算snort規(guī)則中的content關(guān)鍵詞的相似性�����,獲 得每層的最大公共串���;對(duì)獲得的每層的最大公共串建立相應(yīng)的hash表�����;根據(jù)hash表中的 規(guī)則���,匯總content關(guān)鍵詞相似性的分?jǐn)?shù)���,根據(jù)匯總的content關(guān)鍵詞相似性的分?jǐn)?shù)獲得基 于content深度特征的多級(jí)分類器。
[0017] 此外��,優(yōu)選的方案是��,通過公式(1)計(jì)算snort規(guī)則中的content關(guān)鍵詞的相似 性�����,獲得每層的最大公共串����;公式(1)如下所示:
[0018]
【權(quán)利要求】
1. 一種基于深度特征的復(fù)雜snort規(guī)則分類方法,包括: 根據(jù)snort規(guī)則分別建立基于content深度特征的多級(jí)分類器�����、基于稀疏矩陣的弱分 類器和相關(guān)性分類器;其中�,所述基于content深度特征的多級(jí)分類器根據(jù)snort規(guī)則中的 content關(guān)鍵詞建立,所述基于稀疏矩陣的弱分類器根據(jù)snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵 詞建立�,所述相關(guān)性分類器根據(jù)snort規(guī)則中的前置規(guī)則與后置規(guī)則建立; 在半監(jiān)督學(xué)習(xí)下����,對(duì)所述基于content深度特征的多級(jí)分類器、所述基于稀疏矩陣的 弱分類器�����、所述相關(guān)性分類器以及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練����,形成基于深度 特征的復(fù)雜snort規(guī)則總分類器�,以完成對(duì)復(fù)雜snort規(guī)則進(jìn)行語義層面的分類。
2. 如權(quán)利要求1所述的基于深度特征的復(fù)雜snort規(guī)則分類方法���,其中���,在建立基于 content深度特征的多級(jí)分類器的過程中, 采用多層公共特征串管理機(jī)制��,通過計(jì)算snort規(guī)則中的content關(guān)鍵詞的相似性,獲 得每層的最大公共串��;對(duì)獲得的每層的最大公共串建立相應(yīng)的hash表�����;根據(jù)所述hash表 中的規(guī)則�,匯總content關(guān)鍵詞相似性的分?jǐn)?shù),根據(jù)匯總的content關(guān)鍵詞相似性的分?jǐn)?shù)獲 得基于content深度特征的多級(jí)分類器�。
3. 如權(quán)利要求2所述的基于深度特征的復(fù)雜snort規(guī)則分類方法,其中���, 通過公式(1)計(jì)算snort規(guī)則中的content關(guān)鍵詞的相似性���,獲得每層的最大公共串; 公式(1)如下所示:
其中��,在公式(1)中�����,ruleA, ruleB分別表示A與B兩條規(guī)則���; S (ruleA, ruleB)表示A與B兩條規(guī)則的相似性��; con_content_j表示最大公共串���; len(con_content_j)表示最大公共串的長(zhǎng)度����;
表不content關(guān)鍵詞屬性的串長(zhǎng)度之和���;
表不對(duì)第一個(gè)連加符號(hào)后的內(nèi)容進(jìn)行求 和����,其中�����,j的個(gè)數(shù)最大值為規(guī)則A與規(guī)則B中content關(guān)鍵詞屬性的乘積�。
4. 如權(quán)利要求3所述的基于深度特征的復(fù)雜snort規(guī)則分類方法�����,其中��, 根據(jù)所述hash表中的規(guī)則,通過公式(2)匯總content關(guān)鍵詞相似性的分?jǐn)?shù)����;其公式 (2)如下所示:
其中,在公式(2)中�,在公式(1)的基礎(chǔ)上增加了權(quán)重系數(shù)ki;ki表示第i層公共子串 的權(quán)重;depth表示公共子串的深度���。
5. 如權(quán)利要求1所述的基于深度特征的復(fù)雜snort規(guī)則分類方法���,其中, 在建立基于稀疏矩陣的弱分類器的過程中�����, 將snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞采用20X20的矩陣表示����; 將所述矩陣對(duì)角化,獲得其特征向量��; 將所述特征向量單位正交化�����,并通過公式(3)計(jì)算兩個(gè)正交化特征向量的距離,作為 所述snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞的相似性���; 其公式(3)如下:
其中����,在公式(3)中�,
表示兩個(gè)正交化特征向量的距離;
表示采用歐式距離為snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞的相似性�����。
6. 如權(quán)利要求1所述的基于深度特征的復(fù)雜snort規(guī)則分類方法���,其中�����,在建立相關(guān)性 分類器的過程中����, snort規(guī)則中的前置規(guī)則與后置規(guī)則采用公式(4)進(jìn)行比較�����,其公式(4) 如下所示: | S (ruleA�,ruleB) I I classifier(a) n classifier(b)〈 = δ,( 〇〇 > δ >〇) (4) 其中����,在公式(4)中,classifier (a) Π classifier (b)表示a與b兩個(gè)分類器的共同作 用�; S (?ΓΙ?Ιθ^, ΓΙ?Ιθβ) I I classifjer (a) Π classifier (b) 表示規(guī)則A與規(guī)則B在分類器a與b的共同作 用下的相似性距離; S表示設(shè)定的閾值��。
7. 如權(quán)利要求1所述的基于深度特征的復(fù)雜snort規(guī)則分類方法����,其中,在對(duì)所述 content深度特征的多級(jí)分類器�、所述稀疏矩陣的弱分類器、所述相關(guān)性分類器以及snort 規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練的過程中����, 通過公式(5)對(duì)所述content深度特征的多級(jí)分類器、所述稀疏矩陣的弱分類器����、所述 相關(guān)性分類器以及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練,并獲得基于深度特征的復(fù)雜 snort規(guī)則總分類器����,其公式(5)如下:
其中����,在公式(5)中�,ΔΙ表不分類器Classifier (a)的權(quán)重系數(shù); ΔΚ2表示分類器Classifier (b)的權(quán)重系數(shù)��; ΔΚ3表不分類器Classifier (c)的權(quán)重系數(shù)��; Δ &表不后面的分類器Classifier (i)的權(quán)重系數(shù)�����。
8. -種基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)�,包括: 分類器建立單元,用于根據(jù)snort規(guī)則分別建立基于content深度特征的多級(jí)分類器��、 基于稀疏矩陣的弱分類器和相關(guān)性分類器��;其中�, 所述分類器建立單元進(jìn)一步包括:基于content深度特征的多級(jí)分類器建立單元,用 于根據(jù)snort規(guī)則中的content關(guān)鍵詞建立基于content深度特征的多級(jí)分類器���;基于稀 疏矩陣的弱分類器建立單元��,用于根據(jù)snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞建立基于稀疏矩 陣的弱分類器���;相關(guān)性分類器建立單元,用于根據(jù)snort規(guī)則中的前置規(guī)則與后置規(guī)則建 立相關(guān)性分類器���; 基于深度特征的復(fù)雜snort規(guī)則總分類器形成單元��,用于在半監(jiān)督學(xué)習(xí)下���,對(duì)所述基 于content深度特征的多級(jí)分類器、所述基于稀疏矩陣的弱分類器�����、所述相關(guān)性分類器以 及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練�����,形成基于深度特征的復(fù)雜snort規(guī)則總分類 器��,以完成對(duì)復(fù)雜snort規(guī)則進(jìn)行語義層面的分類���。
9. 如權(quán)利要求8所述的基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)�,其中, 在所述基于content深度特征的多級(jí)分類器建立單元建立基于content深度特征的多 級(jí)分類器的過程中��, 采用多層公共特征串管理機(jī)制�����,計(jì)算snort規(guī)則中的content關(guān)鍵詞的相似性�����,獲得每 層的最大公共串�����;對(duì)獲得的每層的最大公共串建立相應(yīng)的hash表���;根據(jù)所述hash表中的 規(guī)則�����,匯總content關(guān)鍵詞相似性的分?jǐn)?shù)���,根據(jù)匯總的content關(guān)鍵詞相似性的分?jǐn)?shù)獲得基 于content深度特征的多級(jí)分類器。
10. 如權(quán)利要求9所述的基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)���,其中����, 在所述基于content深度特征的多級(jí)分類器建立單元通過公式(1)計(jì)算snort規(guī)則中 的content關(guān)鍵詞的相似性��,獲得每層的最大公共串的過程中���;其公式(1)如下所示:
其中���,在公式(1)中,ruleA, ruleB分別表示A與B兩條規(guī)則��; S (ruleA, ruleB)表示A與B兩條規(guī)則的相似性����; con_content_j表示最大公共串; len(con_content_j)表示最大公共串的長(zhǎng)度�;
表不content關(guān)鍵詞屬性的串長(zhǎng)度之和;
表不對(duì)第一個(gè)連加符號(hào)后的內(nèi)容進(jìn)行求 和����,其中,j的個(gè)數(shù)最大值為規(guī)則A與規(guī)則B中content關(guān)鍵詞屬性的乘積���。
11. 如權(quán)利要求10所述的基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)�,其中, 在所述基于content深度特征的多級(jí)分類器建立單元根據(jù)所述hash表中的規(guī)則����,通過 公式(2)匯總content關(guān)鍵詞相似性的分?jǐn)?shù)的過程中,其公式(2)如下所示:
其中���,在公式(2)中��,在公式(1)的基礎(chǔ)上增加了權(quán)重系數(shù)ki;ki表示第i層公共子串 的權(quán)重����;depth表示公共子串的深度�����。
12. 如權(quán)利要求8所述的基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)�����,其中��, 在所述基于稀疏矩陣的弱分類器建立單元建立基于稀疏矩陣的弱分類器 的過程中, 將snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞采用20X20的矩陣表示���; 將所述矩陣對(duì)角化�,獲得其特征向量�; 將所述特征向量單位正交化,并通過公式(3)計(jì)算兩個(gè)正交化特征向量的距離��,作為 所述snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞的相似性���; 其公式(3)如下:
其中,在公式(3)中��,
表示兩個(gè)正交化特征向量的距離�����;
表示采用歐式距離為snort規(guī)則中的組合關(guān)聯(lián)性關(guān)鍵詞的相似性�����。
13. 如權(quán)利要求8所述的基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)����,其中, 在所述相關(guān)性分類器建立單元建立相關(guān)性分類器的過程中, snort規(guī)則中的前置規(guī)則與后置規(guī)則采用公式(4)進(jìn)行比較��,其公式(4)如下所示: | S (ruleA����,ruleB) I I classifier(a) n classifier(b)〈 = δ,( 〇〇 > δ >〇) (4) 其中��,在公式(4)中����,classifier (a) Π classifier (b)表示a與b兩個(gè)分類器的共同作 用; S (?ΓΙ?Ιθ^, ΓΙ?Ιθβ) I I classifjer (a) Π classifier (b) 表示規(guī)則A與規(guī)則B在分類器a與b的共同作 用下的相似性距離����; S表示設(shè)定的閾值。
14. 如權(quán)利要求8所述的基于深度特征的復(fù)雜snort規(guī)則分類系統(tǒng)����,其中,在所述基于 深度特征的復(fù)雜snort規(guī)則總分類器形成單元對(duì)所述content深度特征的多級(jí)分類器����、所 述稀疏矩陣的弱分類器、所述相關(guān)性分類器以及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練 的過程中����, 通過公式(5)對(duì)所述content深度特征的多級(jí)分類器���、所述稀疏矩陣的弱分類器、所述 相關(guān)性分類器以及snort規(guī)則中的一維SVM分類器進(jìn)行訓(xùn)練�����,并獲得基于深度特征的復(fù)雜 snort規(guī)則總分類器����,其公式(5)如下:
其中,在公式(5)中��,ΔΙ表不分類器Classifier (a)的權(quán)重系數(shù)�����; ΔΚ2表示分類器Classifier (b)的權(quán)重系數(shù)��; ΔΚ3表不分類器Classifier (c)的權(quán)重系數(shù)����; Δ &表不后面的分類器Classifier (i)的權(quán)重系數(shù)���。
【文檔編號(hào)】G06F17/30GK104142993SQ201410369473
【公開日】2014年11月12日 申請(qǐng)日期:2014年7月30日 優(yōu)先權(quán)日:2014年7月30日
【發(fā)明者】吳子章, 劉申, 柴麗穎, 鄒榮珠 申請(qǐng)人:東軟集團(tuán)股份有限公司