[发明专利]利用编码转化实现基于序列比对的攻击特征提取的方法

说明书

技术领域

本发明涉及计算机网络领域攻击特征提取方法，尤其涉及对多个攻击字符序列共同具有的攻击特征的自动提取方法。

背景技术

网络攻击和蠕虫仍然是当今Internet上的普遍现象，每年造成数以亿计的损失。入侵检测技术是对抗网络攻击和蠕虫的最主要手段，入侵检测系统(IDS)和防火墙等系统相互结合、相互补充构筑了计算机网络系统的基本安全屏障。根据分析方法的异同，入侵检测可分为误用入侵检测(misuse detection)和异常入侵检测(anomaly detection)。

误用入侵检测也称基于知识或基于特征(Signature)的入侵检测；它提取各类攻击的模式特征，形成已知攻击特征库；检测时将新获取的特征和已知攻击特征库中的模式相比较，从而确定入侵行为。因为误用入侵检测相对简单、高效和准确，而且可以实时工作，所以目前广泛使用的入侵检测系统绝大部分是误用入侵检测系统，如Symantec公司的Network Security、ISS公司的RealSecure Network、Snort和Bro等。

当前，攻击特征主要依靠安全专家以事后分析的方式人工提取，主要有下面两个缺点：第一，人工提取攻击特征过程长、速度慢，往往是新攻击出现几天甚至几周后相应的特征才被发布。第二，人工提取攻击特征的质量难以很好地保证。最后，攻击变形技术使得特征提取的难度大大增加。

近年来，一些蠕虫传播特征自动提取方法被相继提出，这些方法通过分析蠕虫传播数据(可能包括噪声)自动生成蠕虫传播特征，它们可被划分为下列类别：基于LCS(longest common substring)、基于固定长度负载出现频率、基于可变长度负载出现频率、基于有限状态自动机、基于序列比对等。基于序列比对的方法借鉴了生物信息的算法和工具，在特征提取的准确性上要优于其它方法。但是，由于生物信息学中的序列比对算法和工具只能处理生物学相关的数据，以Gibson T.，Thompson J.，Higgins D.开发的CLUSTALW(http://www.clustal.org/)为例，其所能处理的序列类型为氨基酸序列和核酸序列，所能接受的输入文件的格式类型有NBRF/PIR，EMBL/Swissprot，Pearson<Fasta>，GDE，Clustal，GCG/MSF，RSF这7种，不能直接应用于攻击特征提取。

基于序列比对的攻击特征提取方法在不断地被提出，现有的方法主要分为如下两种方式，第一种是重新实现了标准的序列比对算法，第二种是对序列比对算法做了一些小的改进，这些算法都存在下列问题：第一，这两类方法都不能保证他们的攻击特征提取的效果会比现有的生物信息学中最新的序列比对算法更好；第二，由于实现工作量巨大，不便于编写多种不同算法的攻击特征提取程序对算法进行比较，以弥补单一算法在攻击特征提取上的某些缺陷。

因此，如何能够提高程序的可扩展性，不断引入新的序列比对算法，以提高基于序列的攻击特征提取的准确性和时效性是本领域技术人员特别关注并致力于解决的热点问题。

发明内容

本发明要解决的技术问题是提出一种利用编码转化实现基于序列比对的攻击特征提取的方法，解决现有多序列比对算法不能及时运用于攻击特征提取的问题。通过本发明的可扩展性，能够随着引入的新的多序列算法的改进，提高攻击特征提取的准确性和时效性。

本发明以实现对多个攻击字符序列的攻击特征自动提取为目的，选取生物信息学中现行的多种多序列比对软件作为提取工具。但是，考虑到这些多序列比对软件在处理输入序列上的局限性(只能处理特定格式的氨基酸序列或核酸序列)，故采用编码转化的方法将攻击字符序列转化为氨基酸序列或核酸序列，用于进行多序列比对。

为解决上述具体技术问题，技术方案包括以下步骤：

第一步，设计基于编码转化技术的多序列比对攻击特征提取软件。