基于多技術融合的智能高級攻擊監測系統設計

摘" 要：為應對新型電力系統和網絡數字化設備發展中網絡安全面臨的挑戰，文章提出一種基于多技術融合的智能高級攻擊監測系統。系統采用分層設計，包含流量層、解析層和檢測層，以此實現對數據的全面捕獲與深度分析。在研究過程中，運用了深度包檢測技術、智能化檢測技術以及可編程對抗技術，構建了特征庫模塊、智能檢測模塊和插件檢測模塊，并借助機器學習算法增強智能檢測能力。實驗結果表明，該系統能夠有效地監測已知和未知的攻擊流量，為網絡安全攻擊監測提供了一種全面的解決方案。

關鍵詞：網絡安全；高級攻擊監測；多技術融合；深度包檢測；智能化檢測；可編程對抗

中圖分類號：TP311；TP309.5" 文獻標識碼：A" 文章編號：2096-4706（2025）03-0170-08

Design of Intelligent Advanced Attack Monitoring System Based on Multi-technology Fusion

LIU Yuting， HANG Feilu， XIE Linjiang

（Information Center of Yunnan Power Grid Co.， Ltd.， Kunming" 650217， China）

Abstract： In order to address the challenges of network security in the development of new power systems and network digital equipment， this paper proposes an intelligent advanced attack monitoring system based on multi-technology fusion. The system adopts layered design， including traffic layer， parsing layer and detection layer， so as to realize the comprehensive capture and in-depth analysis of data. In the research process， the Deep Packet Inspection technology， intelligent detection technology and programmable countermeasure technology are used to construct the feature library module， intelligent detection module and plug-in detection module， and the Machine Learning algorithm is used to enhance the intelligent detection ability. The experimental results show that the system can effectively monitor known and unknown attack traffic， and provides a comprehensive solution for network security attack monitoring.

Keywords： network security; advanced attack monitoring; multi-technology fusion; Deep Packet Inspection; intelligent detection; programmable countermeasure

0" 引" 言

隨著新型電力系統的建設和網絡數字化設備的發展，業務日益多樣化，網絡結構愈發復雜，與此同時，需要應對的網絡攻擊手段也越來越復雜，網絡安全面臨著更大的挑戰。目前，市場上的網絡安全設備主要基于規則進行安全檢測和防護，存在網絡安全檢測不夠全面的問題，尤其是對于智能高級攻擊[1]，傳統的安全防御措施往往難以對其進行識別和預防。

因此，研發一種能夠有效監測和識別智能高級攻擊的方法，成為當前網絡安全領域的研究重點。基于多技術融合的智能高級攻擊監測技術，依托深度包檢測[2]、智能化檢測以及可編程對抗等技術，致力于實現更全面的安全攻擊監測。

1" 系統架構說明

1.1" 系統總體結構

整個高級攻擊監測系統采用分層設計，各層相互依賴，下層功能的實現是上層功能實現的前提條件，主要包括流量層、解析層、檢測層三大模塊[3]。

1.1.1" 流量層

流量層主要定義流量的處理范圍。在本系統中，將捕獲并處理入口網卡的所有流量，做到應檢盡檢。入口網卡在全過程中均使用混雜模式，以確保捕獲的全面性。

1.1.2" 解析層

解析層主要實現數據包的深度包解碼工作，由數據包捕獲、數據包預解碼、協議識別、流重組、HTTP流量識別5個模塊組成，各模塊實現的功能如下：

1）數據包捕獲。主要負責捕獲入口網卡的所有流量，并將其交給后續功能模塊處理。捕獲方式采用內聯模式，以保證在后續威脅檢測過程中，能做到發現即攔截，提供實時防御服務。

2）數據包預解碼。主要負責將以太網幀解碼為IP數據包，為流量識別奠定基礎。

3）協議識別。主要是識別出網絡層的IP協議、ICMP協議（其中ICMP基于IP協議，屬于網絡層），以及傳輸層的TCP、UDP協議。

4）流重組。主要完成將由多個數據包發送的數據進行重組，以保證被檢測數據的內容完整性。

5）HTTP流量識別。主要完成對應用層協議的分析處理，識別出其中的HTTP流量（含HTTPS）[4]。

1.1.3" 檢測層

檢測層主要實現安全檢測的功能，主要包括特征庫檢測、智能檢測、插件檢測三個模塊，各個模塊功能及相互間的作用如下：

1）特征庫。對解碼后的HTTP數據包進行特征庫匹配，以識別攻擊流量。若為攻擊流量，則打上攻擊流量標簽，根據命中特征庫的動作，僅產生告警或直接攔截；若為正常流量，則進入下一攻擊檢測環節，進行智能檢測和插件檢測的旁路檢測。未被攔截的流量直接進入編排層和處置層，進行下一步處理[5]。

2）智能檢測。對解碼后的HTTP數據包進行智能模型檢測，以識別攻擊流量。若為攻擊流量，打上攻擊流量標簽，并產生告警。若為正常流量，或者疑似攻擊流量，則等待插件檢測結果，以判斷是否產生告警，并完成檢測[6]。

3）插件檢測。對解碼后的HTTP數據包進行插件檢測，以識別攻擊流量。若為攻擊流量，打上攻擊流量標簽，并產生告警。若為正常流量，或者疑似攻擊流量，則等待智能檢測結果，以判斷是否產生告警，并完成檢測[7]。

1.2" 系統業務流程

基于深度包檢測、智能化檢測以及可編程對抗等技術相結合的高級攻擊監測技術，旨在實現更全面的安全攻擊監測。具體業務流程如圖1所示。

通過DPI深度包解碼技術，對Web訪問流量進行解析，深入分析Web應用層協議內容。隨后，通過開發深度包特征檢測、可編程插件檢測、智能檢測等功能，實現對Web應用的高級威脅檢測預警及流量攔截。

1.3" 系統實現時序結構

系統實現過程中，流量接收、解碼、特征庫檢測、插件檢測、智能檢測等功能由各技術棧協同完成。具體各技術棧實現功能的時序如圖2所示。

具體如下：

1）接收流量、解密并轉發到解碼。從網卡接收流量，針對其中的HTTPS包進行解密，并將流量轉發至HTTP深度包解碼環節。

2）解碼并轉發到特征庫。對HTTP流量進行解碼，解碼完成后將流量轉發給特征檢測模塊。

3）特征庫檢測。通過前端界面進行特征庫頁面的增刪改查操作，維護特征庫，并將規則同步到指定文件；觸發重新在線加載文件；對解碼后的流量進行特征匹配，根據流量包標志對流量進行包內攔截或放行處理。

4）流量轉發。推送經過特征庫檢測且帶有是否為攻擊包標志的流量到消息中間件。其中，標識為“true”表示是攻擊包，“1”表示不是攻擊包。

5）智能檢測。通過前端界面完成智能檢測的增刪改查、切換維護和存儲操作，通過消費消息中間件隊列，對標志為“1”的流量包通過智能模型進行流量檢測。

6）插件庫。通過前端界面完成插件庫的增刪改查、啟停維護操作，通過消費消息中間件隊列，對標志為“1”的流量包調用已注冊編寫的lua腳本、Python腳本進行插件檢測。

7）告警。對攻擊包標志為“true”的流量包的告警信息進行整合并展示到前端。

備注：插件檢測和智能檢測是異步后置開展。

2" 系統功能實現

2.1" 深度包解碼模塊

深度包解碼技術分為4個步驟：捕獲數據包、過濾數據包、解碼數據包和分析數據包。具體如下：

1）捕獲數據包。作為深度包解碼的第一步，通過網卡捕獲流經網絡的數據包，并將這些數據包記錄下來，以便后續分析。

2）過濾數據包。捕獲數據包后，使用規則文件配置過濾規則。該文件用于將每個數據包與規則集進行匹配，當發現匹配的數據包時，執行相應操作。符合過濾條件的數據包將被輸出到指定目錄。可利用動態編排技術指定IP、數據包類型等信息，并在規則頭中配置以下命令以實現過濾效果。

3）解碼數據包。經過過濾器的數據包需要進行解碼，包括協議解碼、數據解碼和數據包重組。協議解碼器根據不同協議類型進行解析，數據解碼器處理編碼內容，甚至使用HTTPS證書解密數據。在數據包重組階段，提供TCP重組功能，確保數據準確重建，按照Sturges/Novak模型操作。

4）分析數據包。主要分析解碼后的內容，重點關注HTTP指紋識別。HTTP指紋是特定字節序列，如請求頭、響應頭和狀態碼，可分為請求頭指紋、響應頭指紋、狀態碼指紋和方法指紋。分析過程包括HTTP版本、Web服務器和應用程序識別，依賴基于字節序列的模式匹配。通過配置規則選項實現HTTP指紋識別和分析，方法類似于過濾數據包。

數據包解碼格式如下：

Host： 10.110.8.43

Connection： keep-alive

Upgrade-Insecure-Requests： 1

User-Agent： Mozilla/5.0 （Windows NT 10.0; Win64; x64） AppleWebKit/537.36 （KHTML， like Gecko） Chrome/116.0.0.0 Safari/537.36 Edg/116.0.1938.81

Accept： text/html，application/xhtml+xml， application/xml;q=0.9，image/webp，image/apng，*/*; q=0.8，application/signed-exchange;v=b3;q=0.7

Referer： http：//10.110.8.43/dvwa/vulnerabilities/sqli/

Accept-Encoding： gzip， deflate

Accept-Language： zh-CN，zh;q=0.9，en;q=0.8，en-GB;q=0.7，en-US;q=0.6

Cookie： security=low; PHPSESSID=2ap16rssubhk3v6ptp9f86b5ur

2.2" 特征檢測模塊

深度包特征檢測技術通過將網絡流量中的數據包與預定義規則集進行比較，識別潛在威脅并生成警報。通過構建規則，將解碼后的每個數據包與規則庫進行匹配，若匹配成功則視為規則觸發，判定為攻擊流量。

2.2.1" 特征庫構建

規則語法由規則頭和規則選項組成。規則頭包含規則ID、協議類型、源和目標IP地址、端口等元數據。規則選項包括觸發條件，如關鍵字、內容、匹配方向等。規則修飾符則定義了匹配內容的位置（如頭部、尾部或正文）、匹配次數及其他條件；通過規則語法和規則修飾符完成規則構建。

規則樣例如下：alert tcp $EXTERNAL_NET any -gt; $HOME_NET $HTTP_PORTS （ msg：\"SERVER-WEBAPP Novell eDirectory iMonitor crafted Accept-Language header buffer overflow attempt\"; flow：to_server，established; http_uri; content：\"/nds\"，fast_pattern，nocase; http_header; content：\"Accept-Language： \"; content：！\"|0D 0A|\"，within 500; metadata：policy max-detect-ips drop; service：http; reference：cve，2009-0192; classtype：attempted-user; sid：57536; rev：1; rem：\"attacktype： other， threat_level： medium\";）

規則解釋如下：alert[動作] tcp[協議] $EXTERNAL_NET[源IP] any [源端口]-gt; $HTTP_SERVERS[目的IP] $HTTP_PORTS [源端口] （ msg：“SERVER-WEBAPP PCCS mysql database admin tool access”[消息]; flow：to_server[流量流向]，established[TCP建立狀態]; content：“pccsmysqladm/incs/dbconnect.inc”[規則匹配模式]，depth 36[匹配字節]，nocase[忽略大小寫]; metadata[元數據信息]：ruleset community[規則來源：社區/官方]; service[服務類型]：http; reference[外部鏈接或參考信息]：bugtraq，1557[ Bugtraq數據庫中編號為1557的條目]; reference [外部鏈接或參考信息]： cve，2000-0707[CVE編號]; reference[外部鏈接或參考信息]：：nessus，10783[編號]; classtype [攻擊類型]; ：web-application-attack[應用程序攻擊]; sid[規則ID]：509[509]；rev[版本]：18[18];rem[注釋]\"attacktype[攻擊類型]： other， threat_level[攻擊等級]： medium\";）

規則語法：規則由兩個主要部分組成：規則頭（Rule Header）和規則選項（Rule Options）。以下是規則語法的詳細介紹：

一是規則頭（Rule Header）。規則頭包含了與規則相關的元數據，定義了何時應該觸發規則。規則頭的基本語法如表1所示。

二是規則選項（Rule Options）。規則選項定義了觸發規則的具體條件，由一個或多個關鍵字和參數組成。常用的規則選項如表2所示。

規則修飾符：規則修飾符是特征庫規則語法中的一部分，用于進一步定制規則的匹配條件，允許用戶指定特定的匹配條件或者改變匹配行為。一些常見的規則修飾符如表3所示。

2.2.2" 特征匹配實現

首先解析規則文件，生成不同的規則樹，每個規則樹包含三維鏈表：RTN（規則頭）、OTN（規則選項）和FUNC（指向匹配子函數的指針）[8]。捕獲到數據包后，進行解碼和預處理，然后利用規則樹進行匹配，以檢測攻擊報文。具體過程如表4所示。

特征庫檢測完成后，通過Kafka將數據包轉發給可編程插件檢測引擎和智能檢測引擎，格式如下：

{

\"id\"： 0，

\"timestamp\"： \"155963355219723\"，

\"src_ip\"： \"192.168.50.1\"，

\"dst_ip\"： \"192.168.50.2\"，

\"src_port\"： 58482，

\"dst_port\"： 18081，

\"black_white\"： \"\"，

\"black_white_ip\"： \"\"，

\"first_detect\"： 1，

\"last_detect\"： true，

\"current_pos\"： 466，

\"current_detect_size\"： 404，

\"current_data\"： \"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\"，

\"save_http\"： true，

\"http_data_size\"： 466，

\"complete_http_data\"： \"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\"，

\"attack_traffic\"： 1，

\"alert_save\"： 1，

\"alert_msg\"： \"\"，

\"https\"： 1，

\"pcap_file\"： \"L3Zhci9sb2cvc25vcnQvMTlfcGFja2V0X2NhcHR1cmUucGNhcC4xNzE5OTAzOTA2\"，

\"count\"： 0

}

轉發字段解釋如下：id：id；timestamp：時間戳；src_ip：源IP；dst_ip：目標IP；src_port：源端口；dst_port：目標端口；black_white：是白名單或是黑名單黑名；black_white_ip：黑白名單的具體IP；first_detect：是否第一次對此HTTP數據進行檢測；last_detect：是否最后一次對此HTTP數據進行檢測；current_pos：規則庫當前檢測位置；current_detect_size：當前檢測數據大小；current_data：源數據；save_http：是否保存HTTP；http_data_size：HTTP數據大小；complete_http_data：字段對應的偏移位置；attack_traffic：是否攻擊流量；alert_save：是否報警保存；alert_msg：報警信息；https：是否是HTTPS；pcap_file：PCAP文件位置；count：流量包統計。

2.3" 可編程插件檢測模塊

該模塊基于HTTP協議，通過編寫邏輯代碼，將解碼后的流量特征與預定義的應用特征進行匹配，從而深入分析各種網絡安全攻擊。

2.3.1" 邏輯代碼運行

流量轉發：將與邏輯代碼對應的網絡流量作為輸入數據導入可編程插件檢測引擎中，系統會按順序讀取每一個IP數據包，對網絡流量進行分析處理。

加載單元：將編寫的插件代碼動態地加載到應用程序中，使應用程序能夠在不停止運行或重新編譯的情況下，增加新功能或修改現有功能。

檢測運行：執行邏輯代碼，獲取邏輯代碼測試運行的結果。

結果輸出：根據邏輯代碼檢測的執行情況完成執行結果的輸出。

2.3.2" 插件代碼試檢測

插件代碼試檢測過程包括流量樣本導入、代碼加載、語法檢查、測試運行、結果輸出等步驟，具體插件代碼檢測過程如圖3所示。

具體介紹如下：

1）流量樣本導入：上傳tcpdump格式的網絡流量樣本數據包文件。

2）代碼加載：加載已編寫并保存的代碼。

3）語法檢查：對加載處理后的邏輯代碼進行語法檢查，確保代碼符合編程語言的語法規范，避免出現基本的語法錯誤。根據檢查結果決定是否對邏輯代碼進行修改。

4）測試運行：對插件進行功能性測試，驗證代碼在預期使用場景下的行為是否符合要求。

5）結果輸出：根據邏輯代碼檢測執行情況完成執行結果輸出。將該運行結果與用戶期望的效果進行比較，如果兩者運行結果相符，將該邏輯代碼保存到測試運行的代碼庫；如果兩者運行結果不相符，則返回修改。

2.4" 智能檢測模塊

該模塊通過應用機器學習算法持續學習攻擊特征，生成智能檢測模型，利用模型庫對業務流量進行智能攻擊檢測，以提升Web應用程序的安全性[9]。

2.4.1" 模型設計

模式設計方法如下：

1）數據預處理方法：收集包含正常請求和惡意行為（如Webshell、反序列化攻擊、SQL注入和XSS攻擊）請求的網絡流量數據。采用TF-IDF和Word2Vec特征提取技術，捕獲文本數據中的核心信息和語義[10]。為每個網絡請求分配標簽，標明其是否包含惡意行為（0表示不包含，1表示包含）。按照70%作為訓練集、15%作為驗證集和15%作為測試集的比例對預處理后的數據進行劃分訓練，并結合采樣和欠采樣方法處理不平衡數據。

2）模型選擇方法：通過比較各類型惡意數據在邏輯回歸、支持向量機、隨機森林和K-最近鄰算法中的性能，并結合k折交叉驗證和超參數優化等過程完成各模型的選擇。

3）模型訓練方法：通過使用盡可能多的訓練數據，確保模型學習到每個細節，并引入“早停”策略避免過度訓練，完成模型最佳狀態的訓練。

4）模型評估：留出一個與訓練無關的測試集，確保評估結果公正且真實反映模型在未知數據上的性能，同時通過準確率、召回率、精確度和F1分數等關鍵指標進行綜合性能評估。

2.4.2" 模型驗證

在Webshell模型的驗證過程中，使用了包含8 634個正類樣本和8 671個負類樣本的平衡訓練數據集。測試數據集同樣保持了良好的平衡性，包含2 145個負類樣本（占比49.57%）和2 182個正類樣本（占比50.43%）。通過對比多種分類算法，發現基于Word2Vec的隨機森林分類器在測試集上表現最佳，達到了驚人的準確率（99.93%）、召回率（100.00%）和F1分數（99.93%）。這一結果表明，該模型能夠非常準確地識別出Webshell攻擊，同時保持了極低的誤報率和漏報率。此外，該模型的平均推理速度也非常快，僅為1.52×10-5秒，這在實際應用中意味著能夠快速響應并處理大量數據。

在SQL注入模型的驗證過程中，保證了訓練數據在正類和負類之間的平衡，每類均包含9 106個樣本。測試數據集包含3 908個負類樣本（占比63.20%）和2 276個正類樣本（占比36.80%）。在多種分類算法中，基于Word2Vec的K近鄰分類器表現突出，其準確率達到99.56%，召回率為99.08%，F1分數為99.40%。這表明該模型在識別SQL注入攻擊方面性能出色，盡管測試數據集的類別分布存在一定傾斜，但模型仍能保持較高的準確率和召回率。同時，該模型的推理速度相對較快，為3.64×10-4秒，適合用于實時檢測場景。

在XSS威脅模型的驗證中，使用了平衡的訓練數據集，每類包含5 898個樣本。測試數據集則包含1 263個負類樣本（占比46.13%）和1 475個正類樣本（占比53.87%）。經過對比測試，基于Word2Vec的隨機森林分類器在測試集上表現最佳，準確率為99.53%，召回率為99.53%，F1分數為99.56%。這一結果證明了該模型在識別XSS攻擊方面的卓越性能，能夠準確區分正常請求和惡意請求。同時，該模型的推理速度也非常快，為1.75×10-5秒，有助于提升系統的整體響應速度。

在反序列攻擊模型的驗證中，同樣采用了平衡的訓練數據集，每類包含8 000個樣本。測試數據集也保持了平衡，包含2 000個負類樣本（占比50%）和2 000個正類樣本（占比50%）。在多種分類算法中，基于Word2Vec的邏輯分類器表現最佳，盡管其準確率（78.62%）相比其他模型略低，但其召回率達到了100%，F1分數為82.25%。這表明該模型在識別反序列攻擊方面具有很高的敏感性，能夠確保不漏報任何潛在的威脅。同時，該模型的推理速度極快，為4.07×10-7秒，這對于需要快速響應的安全系統來說至關重要。

上述4個攻擊類型的最佳模型驗證結論如表5所示。

3" 結" 論

在安全監測領域，借助深度包解碼技術，并結合基于特征字的識別技術，對網絡數據包展開實時監測與分析，從而實現對已知攻擊流量的檢測。同時，融合人工智能和機器學習技術，構建基于機器學習的智能化安全監測功能，以此達成對未知攻擊流量的監測。此外，利用可編程插件的擴展化特性，滿足不同安全防護場景的定制化需求，實現靈活且目標性強的攻擊檢測。通過構建基于深度包檢測、智能化檢測以及可編程插件檢測等多技術融合的智能化高級攻擊監測技術體系，為網絡安全攻擊監測提供更為全面的手段。

參考文獻：

[1] 許佳，周丹平，顧海東.APT攻擊及其檢測技術綜述 [J].保密科學技術，2014（1）：34-40.

[2] 張哲暢.深度包檢測系統漏洞挖掘框架研究 [D].武漢：華中科技大學，2023.

[3] 張亮，屈剛，李慧星，等.智能電網電力監控系統網絡安全態勢感知平臺關鍵技術研究及應用 [J].上海交通大學學報，2021，55（S2）：103-109.

[4] 吳盼盼，俞嘉雯，韓冰青.淺談基于HTTP數據包的Web安全邏輯漏洞挖掘思路 [J].計算機時代，202 （9）：24-28.

[5] 周穎杰，焦程波，陳慧楠，等.基于流量行為特征的DoSamp;DDoS攻擊檢測與異常流識別 [J].計算機應用，2013，33（10）：2838-2841+2845.

[6] 林松.基于機器學習的網絡流量分類和異常檢測技術研究與實現 [D].南京：南京郵電大學，2023.

[7] 何能芳.基于圖神經網絡的Python程序漏洞檢測插件設計與實現 [D].貴陽：貴州大學，2021.

[8] 任曉峰，董占球.提高Snort規則匹配速度方法的研究與實現 [J].計算機應用，2003（4）：59-61.

[9] 胡睿，徐芹寶，王昌達.SDN中一種基于機器學習的DDoS入侵檢測與防御方法 [J].計算機與數字工程，2023 ，51 （7）：1590-1596+1610.

[10 ] 梁松林，林偉，王玨，等.面向后滲透攻擊行為的網絡惡意流量檢測研究 [J].計算機工程，2024，50（5）：128-138.

作者簡介：劉玉婷（1987.10—），女，漢族，云南昭通人，工程師，碩士研究生，研究方向：信息安全；杭菲璐（1984.01—），男，漢族，云南昭通人，正高級工程師，碩士研究生，研究方向：信息安全、網絡安全對抗；謝林江（1985.08—），男，漢族，云南曲靖人，正高級工程師，本科，研究方向：信息安全、網絡安全對抗。