[发明专利]基于贝叶斯分类器的网络逃避行为检测方法

说明书

本发明公开了属于人工智能与网络安全技术领域的一种基于贝叶斯分类器的网络逃避行为检测算法。该方法首先从正常网络数据流和逃避网络数据流中提取帧内特征和帧间特征并转换为符号串流，从符号串流中提取统计特征形成样本，再利用贝叶斯分类器对这些样本进行分类，从而实现了对各类原子逃避行为的在线识别。本发明不依赖于人工事先设定的检测标准或检测阈值，在面对新的逃避手段时，只要获得其足够次数的网络数据流，就能够通过对贝叶斯分类器的增量训练，实现对其的检测和识别，具有现有方法所不具备的自适应性和自学习优点，能够可靠地探测识别网络中针对NIDS/IPS的逃避行为。

技术领域

本发明属于人工智能与网络安全技术领域，尤其涉及一种基于贝叶斯分类器的网络逃避行为检测方法。

背景技术

为了监控和检测恶意网络流，越来越多的企业引进了网络入侵检测/防御系统(NIDS/IPS)，而逃避技术可通过伪装修改网络数据流以躲避入侵检测系统的检测和阻止，使得越来越多的恶意网络行为和攻击通过伪装变得难于检测，也使得NIDS/IPS的有效性受到了极大的挑战。现有的逃避技术从实现原理上可分为原子逃避和混合逃避。其中，原子逃避又可分为四种：IP分片和TCP分段的碎片化；被攻击目标和NIDS/IPS在协议解析上的差异；负载变换；以及应用层逃避。混合逃避则是原子逃避技术的组合。此外还有针对NIDS/IPS的拒绝服务攻击，能暂时使其瘫痪，让攻击规避其检测，也是一种逃避技术。目前业界对抗逃避技术是采用合规的方式来消除NIDS/IPS和被攻击主机在处理网络流上的歧义，例如，Handley实现了基于IP头字段和TCP状态的合规器—norm，但其对TCP分段碎片化的逃避无能为力。刘宝超等人提出了流量预处理引擎，将流向内网的流量处理后重新转发，以消除NIDS和终端主机对IP分片理解的歧义性。Vutukuru也提出了一种TCP流合规器，通过计算收到的每个TCP分段的Hash值，来确定每个分段在连接表中的TCP流队列归属，根据其序列号确定其在队列中的位置，并决定是否转发，重置或暂存，以消除NIDS和终端主机对TCP碎片的歧义性。基于这些技术的思想，大多数NIDS/IPS都已开发并加入了对IP分片和TCP碎片的处理，例如最为流行的开源NIDS——snort，分别使用Frag3和Stream5两个预处理器来处理IP层和TCP层的碎片。然而Cheng,Tsung Huan等人实际测试了FortiGate，Snort和ZyXEL三种有代表性的NIDS/IPS对原子逃避技术的防御能力，结果表明，使用TCP分段或重叠，仍然可以避开参与实验的所有NIDS/IPS；使用负载变换仍然可以避开Snort。Gorton在由TCP分段长度、TCP分段重合长度，以及段前杂质三个维度构成的空间中，对攻击流进行修改，对snort进行了测试，实验表明：由基本的TCP/IP碎片化原子逃避构成的某些组合，仍然能避开精心设计的NIDS。这些实际的测试表明，采用合规方法仍然难以防御原子逃避技术。McAfee公司认为，彻底解决逃避问题的关键在于在所有协议层中解码网络流，并实现合规，通过在下一代防火墙中内置全协议栈的合规功能，以杜绝逃避。不过，这种解决思路对防火墙软硬件的处理能力提出了非常高的要求，难以应对大型内网的海量流量，目前还没有有效技术能够可靠地探测识别网络中针对NIDS/IPS的逃避行为。

发明内容

针对上述问题，本发明提出了一种基于贝叶斯分类器的网络逃避行为检测算法，其特征在于，包括以下步骤：

步骤1、在正常网络数据流上应用逃避技术，生成不同类别的逃避网络数据流，或直接捕获由逃避技术在逃避攻击时发出的逃避网络数据流；

步骤2、分别从正常网络数据流和逃避网络数据流中提取帧内特征和帧间特征并转换成符号串，最终由网络数据流转换形成符号串流，从符号串流中提取统计特征，组成网络数据流训练样本集；

步骤3、构建贝叶斯分类器，在步骤2得到的网络数据流训练样本集上进行训练；

步骤4、利用步骤3得到的贝叶斯分类器，对待检测的网络数据流进行分类，识别该网络数据流是否为正常网络数据流，或应用了逃避技术的逃避网络数据流，若识别为逃避网络数据流，则识别出应用的逃避技术类别。