基於高語義序列比對的網路攻擊特徵自動提取方法

基於特徵庫的安全防護系統(如防火牆、IDS/IPS等)是對抗網路攻擊的主要手段，特徵質量和數量決定這類系統的檢測性能，攻擊特徵自動提取技術能快速提取攻擊特徵，成為近年來研究熱點。現有特徵自動提取方法一般通過統計方式處理攻擊樣本數據集，產生由單個或多個字元片段表達的特徵，損失了片段之間的語義信息，特徵表達缺乏準確性，且容噪性低，難以對抗現實網路中的多態攻擊和新型攻擊。本項目借鑑生物信息學中的序列比對方法，來識別攻擊樣本數據的保守片段及片段之間的語義信息，快速高效地自動提取出攻擊特徵。擬結合網路攻擊的通信特徵，研究攻擊數據集的聚類技術；分析攻擊特徵的語義性問題，研究高語義性序列比對算法；在此基礎上，提出基於高語義序列比對算法的特徵自動提取方法，提高容噪性，研究攻擊的語義性特徵轉化方法與評價模型。項目採用仿真和實驗相結合的方法對提出的模型、算法和方法進行評估。

完成了項目計畫書要求的研究內容和技術指標，突破了一些關鍵技術，取得了預期研究成果和若干重要研究進展。利用序列比對能快速有效的識別保守片段及保守片段之間的語義特性的優勢，提出基於高語義性序列比對算法且具有高容噪性的特徵自動提取方法和語義性特徵轉化方法。實時攻擊數據集含有缺失屬性和大量非攻擊樣本，呈現屬性分布不完全和類分布偏斜的特點，使得聚類準確率較低，提出了一種面向不完全攻擊數據集的兩階段聚類算法，利用2-類支持向量機分離數據集中的非攻擊樣本，使類分布均衡，套用於最近鄰間隔模糊C均值算法實現聚類，有效的提高了聚類準確率。通過分析攻擊特徵的語義性問題，研究並提出一種新的高語義性序列比對算法。從3維圖形中提取2維序列信息特徵的映射平面信息，提出了一個二維的距離計算方法，分析比較9個物種的線粒體NADH脫氫酶(ND5)兩兩之間的相似性，該方法既能體現生物的進化關係，又能夠更好地適應蛋白質序列的相似性分析。提出了一種基於BLOSUM62矩陣的特徵提取方法。該方法為每一種胺基酸提供了一個映射坐標，利用了一個蛋白質對位排列表BLOSUM62計分矩陣，從中提取各胺基酸的計分信息作為胺基酸映射坐標Y值。該矩陣體現了20種常見胺基酸與其他胺基酸配對的統計得分信息，並支持親緣關係較遠的蛋白質序列相似性比對分析，具有高語義性。從生物信息學視角出發，在對生物序列比對理論研究的基礎上，結合多態蠕蟲自身的特點，提出了一種兩階段多序列比對算法TsMSA，能有效提高提取特徵的質量，降低誤報率。對於隨機噪聲數據，TsMSA算法具有很好的容噪性能。本項目所提出的基於高語義序列比對的網路攻擊特徵自動提取方法，首先調整數據去噪並進行數據聚類,接著通過高語義序列比對方法,使序列比對的特徵片段趨向更合理,最後將比對結果所代表的攻擊特徵轉化為IDS規則。該方法能快速高效地自動提取出攻擊特徵，攻擊特徵生成質量高。在該項目資助下，發表或錄用論文22篇，其中12篇SCI檢索，19篇EI檢索（源）；申請了發明專利4項，其中授權發明專利2項，軟體著作權登記2項。項目組有2人出國合作交流，邀請了美國密西根州立大學Alex X Liu副教授、美國VMware公司陳飛博士等學者到湖南大學進行學術交流。有3位項目組成員通過了博士學位論文答辯，有6位同學通過了碩士研究生答辯。