基于多技術融合的智能高級攻擊檢測技術研究

摘" 要：在安全檢測方面，研究基于深度包檢測、智能化檢測以及可編程對抗等技術相結合的智能高級攻擊檢測技術，以實現更全面的安全攻擊檢測。通過DPI深度包解碼，對WEB訪問流量進行解析得到WEB應用層協議內容，然后通過對深度包特征檢測、可編程插件檢測、智能檢測的研究，實現WEB應用的高級威脅檢測預警及流量攔截，實現更全面的安全攻擊檢測，提高攻擊檢測的準確性和效率。

關鍵詞：高級攻擊；深度包；可編程；智能檢測；多技術融合

中圖分類號：TP393.0" " " 文獻標志碼：A" " " " " 文章編號：2095-2945（2025）05-0018-05

Abstract： In terms of security monitoring， this paper studies the intelligent advanced attack monitoring technology based on the combination of deep packet inspection， intelligent detection and programmable adversarial technologies to achieve more comprehensive security attack monitoring. Through DPI deep packet decoding， the WEB access traffic is parsed to obtain the WEB application layer protocol content， and then through the research of deep packet feature detection， programmable plug-in detection， and intelligent detection， the advanced threat detection and early warning and traffic interception of WEB applications are realized， so as to achieve more comprehensive security attack monitoring and improve the accuracy and efficiency of attack detection.

Keywords： advanced attack; deep packet; programmable; smart detection; multi-technology fusion

近年來，隨著云計算、大數據、人工智能等技術的發展，新型電力系統的建設業務越來越多樣化、網絡結構越來越復雜，同時需要應對的網絡攻擊手段也越來越多樣化，網絡安全面臨更大挑戰。目前市場上的網絡安全設備主要是基于規則的安全檢測和防護，存在網絡安全檢測不夠全面的問題，傳統的安全監測技術已無法滿足日益變化的安全事件處理需求。尤其是智能高級攻擊手段，因具有高度復雜、隱蔽性強、目標明確且持續時間長的特點往往難以被傳統的安全防御措施所識別和預防。

因此，本文將研究基于深度包檢測、智能化檢測以及可編程對抗等技術融合的智能高級攻擊檢測技術，有效檢測和識別智能高級攻擊，更好地應對日益復雜多變的網絡安全威脅。

1nbsp; 研究方向

多技術融合的智能高級攻擊檢測技術基于深度包檢測、智能化檢測以及可編程對抗等技術相結合，實現更全面的安全攻擊檢測，提高攻擊檢測的準確性和效率。深度包解碼技術通過對WEB訪問流量進行深度包解碼，實現對HTTP、HTTPS協議的解析、識別。深度包特征檢測技術通過構建包含多種攻擊類型的攻擊特征庫，可供深度包解碼后的PACP包所提取的特征進行匹配查詢，識別攻擊。可編程插件檢測引擎技術通過構建語言編寫的插件庫，集成于可編程插件引擎，可根據需要對攻擊檢測全過程編寫自定義/定制化插件，進一步強化系統，為威脅檢測提供可插件化擴展能力。智能檢測技術通過利用智能算法，對從HTTP載荷中提取的疑似可執行代碼段，進行訓練及建模，實現SQL注入、XSS攻擊、WEBSHELL三種WEB威脅的智能化檢測模型。多技術融合可以將多種類型的數據進行融合，從而提供更全面、更豐富的攻擊檢測。

2" 深度包解碼技術研究

DPI深度包檢測技術在傳統IP數據包檢測技術基礎上增加了對應用層數據的應用協議識別，數據包內容檢測與深度解碼[1]。深度包解碼技術能夠實現對HTTP、HTTPS等協議的數據內容進行精細化識別與檢測，通過對網絡流量的深入洞察，有效保護網絡免受威脅，網絡結構模型如圖1所示。

2.1" 實現方法

2.1.1" 深度包解碼

深度包解碼技術通過對WEB訪問流量進行深度包解碼，實現對HTTP、HTTPS協議的解析、識別。首先，通過網卡捕獲流經網絡的數據包，將數據包記錄下來以供分析。其次，為了使管理員能夠對特定協議的數據包進行控制，通過應用HTTP方案過濾器、URL過濾器、HTTP狀態碼過濾器和HTTP響應體過濾器等方式對捕獲的數據包進行過濾，實現管控數據包傳輸，輔助分析最可能與特定事件或行為相關的數據包。再次，通過協議解碼、數據解碼、數據包重組3種方式，對過濾后的數據包進行深度解碼。最后，針對數據包解碼以后的內容進行分析，分析數據包內容的唯一標識是HTTP指紋識別，通過在每一條規則的規則選項中根據需要配置/編寫的命令，以供規則調用從而實現分析。

2.1.2" HTTPS解密

HTTPS解密通過“無服務端私鑰解密”和“有服務端私鑰解密”實現。無服務端私鑰解密在獲取到服務器的CA證書、客戶端隨機數、服務端的隨機數和協商的密碼算法等參數后，即可計算出“主密鑰”。在TLS握手協議中，客戶端會使用服務器的公鑰加密預設主密鑰，然后發送給服務器。只要獲取足夠的信息，就能夠模擬客戶端的操作，解密預設主密鑰從而計算出主密鑰。有服務端私鑰解密通過服務器私鑰來解密出“預設主密鑰”，從而計算主密鑰解密。

2.2" 研究結果

深度包檢測基于業務的高層協議內容，通過深度包解碼和HTTPS解密，結合數據包的深度特征字檢測實現對應用層網絡協議識別。結合基于特征字的識別技術，通過識別數據報文中的指紋信息確定業務所承載的應用，從而對網絡數據包進行實時檢測和分析，實現對已知攻擊流量檢測。基于特征字的識別技術對指紋信息進行升級，擴展新協議檢測，深度識別潛在威脅攻擊，提高網絡安全性[2]。

3" 深度包特征檢測技術研究

深度包特征檢測技術利用深度學習強大的表征能力和包檢測技術，對網絡流量進行更精確的識別和分類。通過對各類攻擊行為特征的研究，構建包含XSS、SQL注入、WEBSHELL攻擊的攻擊特征庫，供深度包解碼后的PACP包所提取的特征進行匹配查詢。通過對特征庫存儲數據結構的研究，構建能夠通過算法進行規則高效匹配的存儲結構，確保規則檢測的實時性。通過對字符串匹配算法的研究，實現網絡報文與特征庫規則的快速匹配，以實現高效的特征檢測引擎。

3.1" 實現方法

3.1.1" 規則庫

規則匹配的過程發生在高級攻擊檢測引擎監聽網絡流量時，通過將網絡數據包與特征庫規則進行比較，可以確定是否符合規則定義的條件。當一個數據包到達時，高級攻擊檢測引擎將該數據包與規則集中的每個規則進行逐一匹配。當規則被匹配時，會執行規則定義的觸發動作，完成生成警報（Alert）、記錄日志（log）或者執行其他自定義操作。一個數據包可以匹配多個規則同時觸發多個規則的動作，生成相應的警報。

3.1.2" 特征檢測引擎

基于XSS攻擊、SQL注入攻擊、WEBSHELL攻擊和反序列化攻擊等各類攻擊行為特征構建攻擊特征庫，高效識別攻擊威脅。通過建立特征庫存儲數據結構，在高級攻擊檢測運行時實現將文本規則解析成樹狀結構，生成不同的規則樹，每一個規則樹包含獨立的三維鏈表：RTN（規則頭），OTN（規則選項）和FUNC（指向匹配子函數的指針）[3]，以提高匹配效率。采用高效的Aho-Corasick多模式匹配算法實現同時匹配多個關鍵詞，并且在匹配過程中不會重復檢查文本，從而提高了匹配的速度。利用特征庫檢測技術將數據報的IP協議進行規則樹匹配，實現與RTN結點和OTN結點的依次匹配。每個OTN結點都包含了一條規則的全部選項，當檢測到數據報與某個OTN結點的所有條件相符合時，即判斷此數據報為攻擊報文[4]。

3.1.3" 特征檢測引擎組建

基于預處理插件、處理插件、輸出插件、規則處理模塊和日志模塊實現特征檢測引擎組建，全面提升檢測準確性和檢測效率。預處理插件主要對HTTP流量進行檢查，分析HTTP請求和響應，提取URL、Cookie、User-Agent等信息，以便進行規則匹配。處理插件實現對匹配到的網絡流量進行處理、記錄、報警等操作。輸出插件實現將處理結果輸出到不同的目的地，方便進行后續的分析、存儲和響應。規則處理模塊實現解析、編譯和匹配規則，當網絡流量經過高級攻擊檢測模塊時，規則處理模塊會檢查流量是否符合規則集中定義的條件，并采取相應的響應措施。日志模塊實現記錄規則匹配結果、警報信息以及其他相關事件，以便進行后續的分析、審計和響應。

3.2" 研究結果

通過對各類攻擊行為特征進行研究，構建攻擊特征庫，特征庫中的每條規則就是一條攻擊標識，可直接用于攻擊的識別，供深度包解碼后的PACP包所提取的特征進行匹配查詢。通過對特征庫存儲數據結構的研究，構建能夠通過算法進行規則高效匹配的存儲結構，確保規則檢測的實時性。通過對字符串匹配算法的研究，實現網絡報文與特征庫規則的快速匹配，構建高效的特征檢測引擎，提高檢測和防御能力。

4" 可編程插件檢測引擎技術研究

可編程插件檢測引擎技術通過采用C語言進行數據轉發和處理，采用Lua語言作為可編程的基礎開發語言，基于HTTP協議網絡流量的各攻擊類型的特征信息，通過預先編寫邏輯代碼并執行響應的邏輯代碼，將深度包解碼后的流量特征與預定義的應用特征進行匹配，實現網絡安全設備能夠深度分析各種網絡安全攻擊流量，提高網絡安全防御水平。

4.1" 實現方法

4.1.1" 邏輯代碼運行

基于流量轉發、加載單元、檢測運行和結果輸出實現邏輯代碼運行，可以根據需求和程序的設計，通過一系列的指令和邏輯判斷，完成特定的任務。流量轉發將邏輯代碼對應的網絡流量作為輸入數據導入可編程插件檢測引擎中，系統將按順序讀取每一個IP數據包，對網絡流量進行分析處理。加載單元將編寫的插件代碼動態地加載到應用程序中，使得應用程序可以在不停止或重新編譯的情況下，增加新功能或修改現有功能。檢測運行通過執行邏輯代碼，可以獲得邏輯代碼測試運行的結果。最后根據邏輯代碼檢測執行情況完成執行結果輸出。

4.1.2" 插件代碼試運行

基于流量樣本導入、代碼加載、語法檢查、測試運行和結果輸出實現插件代碼試運行。首先，通過流量樣本導入上傳tcpdump格式的網絡流量樣本數據包文件，并通過代碼加載已編寫保存的代碼。其次，對加載處理后的邏輯代碼進行語法檢查，確保代碼符合編程語言的語法規范，避免基本的語法錯誤。根據檢查結果決定是否對邏輯代碼進行修改。再次，對插件進行功能性測試運行，驗證代碼在預期使用場景下的行為是否符合要求。最后根據邏輯代碼檢測執行情況完成執行結果輸出。將該運行結果與用戶期望的效果進行比較，如果兩者運行結果相符，保存該邏輯代碼到測試運行的代碼庫，如果兩者運行結果不相符，返回修改。通過插件代碼試運行，可以驗證網絡安全插件是否按照預期實現了所需的安全功能，確保能夠有效識別并阻止網絡攻擊，準確分析網絡流量中的異常行為等，網絡流量樣本處理原理如圖2所示。

4.2" 研究結果

通過采用可編程機制，使得基于多技術融合的智能高級攻擊檢測技術自身具備了橫向、縱向檢測的動態擴展能力。可以針對特定需求場景編寫邏輯代碼，通過語法檢查和測試運行，確保編寫的邏輯代碼符合編寫規范，在實際應用中能夠達到預期的執行效果，將其存儲在可編程插件檢測引擎代碼庫中。可編程插件檢測引擎可以靈活地適應各種網絡應用，實現高效的安全防御。

5" 智能檢測技術研究

本研究通過引入機器學習算法，對攻擊特征進行持續學習生成智能檢測模型。同時，通過模型庫對業務流量進行智能攻擊檢測并進行威脅告警。通過機器學習技術，構建一個能夠自動識別和防止惡意行為攻擊的檢測系統，全面提高WEB應用程序的安全性。

5.1" 實現方法

5.1.1" 數據預處理

為確保模型訓練數據集的質量和可靠性，本文基于數據收集、特征提取、數據標簽、數據分割和分層采樣等技術實現對數據集的預處理。首先，數據預處理從多個網絡流量數據源收集數據，包含正常請求和惡意行為的請求。通過采用TF-IDF、TF方法、IDF統計、Skip-Gram或CBOW等方法對文本數據進行特征提取并輸出權重矩陣，用于進一步的模型或分析訓練。并為每個網絡請求分配標簽，標明其是否包含惡意行為及惡意行為的類型。然后再按照70%的訓練集、15%的驗證集和15%的測試集對數據進行分割，訓練集用于訓練模型，驗證集用于參數調優和模型選擇，測試集用于評估模型的最終性能[5]。同時，為了保證分割后的數據集能夠保持原始數據集的類別分布，采用分層采樣方法進行數據分割。

5.1.2" 模型訓練與驗證

為優化模型參數，確保智能檢測模型滿足智能攻擊檢測需求。本文利用訓練集數據訓練模型，采用邏輯回歸、支持向量機、隨機森林和K-最近鄰算法進行訓練，找到能最好地擬合訓練數據的模型參數，并通過改變正則化系數、樹的數量（對于隨機森林）、近鄰數（對于K-最近鄰）調整模型的參數以優化模型的性能。再采用交叉驗證方法評估模型的性能，確定最優的參數設置。

5.1.3" 性能評估

為提高模型性能，通過準確率（Accuracy）、召回率（Recall）、精確率（Precision）和F1分數（F1 Score）計算評估模型性能。

5.1.4 模型選擇

針對不同類型的網絡攻擊數據，支持選擇合適的機器學習模型進行分類和檢測，對于XSS威脅數據，選擇基于Word2Vec的隨機森林分類器；對于SQL注入數據，選擇基于Word2Vec的K近鄰分類器；對于WEBSHELL數據，選擇基于Word2Vec的隨機森林分類器。

5.2 研究結果

通過對WEB流量攻擊特征反序列化攻擊、SQL注入攻擊、WEBSHELL攻擊的分析研究，引入機器學習算法，對攻擊特征進行持續學習，生成智能檢測模型，通過模型庫對業務流量進行智能攻擊檢測并進行威脅告警，實現對潛在威脅攻擊的實時、高效識別與防御。

6 結束語

本文旨在研究基于多技術融合的智能高級攻擊檢測技術，基于DPI深度包解碼、深度包特征檢測、可編程插件檢測、智能檢測實現WEB應用的高級威脅檢測預警及流量攔截。研究結果表明，基于多技術融合的智能高級攻擊檢測技術是一種有效應對復雜和隱蔽的智能高級攻擊的方法，相比傳統攻擊檢測技術具有更好的性能和效果，可以有效地應對復雜和隱蔽的智能高級攻擊手段，深度維護網絡安全。

參考文獻：

[1] 康鵬，楊文忠，馬紅橋.TLS協議惡意加密流量識別研究綜述[J].計算機工程與應用，2022，58（12）：1-11.

[2] 張鑫鑫.人工智能在網絡安全中的應用[J].無線互聯科技，2023，20（6）：29-35.

[3] 任曉峰，董占球.提高Snort規則匹配速度方法的研究與實現[J].計算機應用，2003（4）：59-61.

[4] 谷曉鋼，江榮安，趙銘偉.Snort的高效規則匹配算法[J].計算機工程，2006（18）：155-156，213.

[5] 黃詩敏.基于機器學習的網絡入侵檢測與防御系統設計[J].電腦編程技巧與維護，2023（8）：128-131.