基于多技术融合的智能高级攻击检测技术研究

摘" 要：在安全检测方面，研究基于深度包检测、智能化检测以及可编程对抗等技术相结合的智能高级攻击检测技术，以实现更全面的安全攻击检测。通过DPI深度包解码，对WEB访问流量进行解析得到WEB应用层协议内容，然后通过对深度包特征检测、可编程插件检测、智能检测的研究，实现WEB应用的高级威胁检测预警及流量拦截，实现更全面的安全攻击检测，提高攻击检测的准确性和效率。

关键词：高级攻击；深度包；可编程；智能检测；多技术融合

中图分类号：TP393.0" " " 文献标志码：A" " " " " 文章编号：2095-2945（2025）05-0018-05

Abstract： In terms of security monitoring， this paper studies the intelligent advanced attack monitoring technology based on the combination of deep packet inspection， intelligent detection and programmable adversarial technologies to achieve more comprehensive security attack monitoring. Through DPI deep packet decoding， the WEB access traffic is parsed to obtain the WEB application layer protocol content， and then through the research of deep packet feature detection， programmable plug-in detection， and intelligent detection， the advanced threat detection and early warning and traffic interception of WEB applications are realized， so as to achieve more comprehensive security attack monitoring and improve the accuracy and efficiency of attack detection.

Keywords： advanced attack; deep packet; programmable; smart detection; multi-technology fusion

近年来，随着云计算、大数据、人工智能等技术的发展，新型电力系统的建设业务越来越多样化、网络结构越来越复杂，同时需要应对的网络攻击手段也越来越多样化，网络安全面临更大挑战。目前市场上的网络安全设备主要是基于规则的安全检测和防护，存在网络安全检测不够全面的问题，传统的安全监测技术已无法满足日益变化的安全事件处理需求。尤其是智能高级攻击手段，因具有高度复杂、隐蔽性强、目标明确且持续时间长的特点往往难以被传统的安全防御措施所识别和预防。

因此，本文将研究基于深度包检测、智能化检测以及可编程对抗等技术融合的智能高级攻击检测技术，有效检测和识别智能高级攻击，更好地应对日益复杂多变的网络安全威胁。

1nbsp; 研究方向

多技术融合的智能高级攻击检测技术基于深度包检测、智能化检测以及可编程对抗等技术相结合，实现更全面的安全攻击检测，提高攻击检测的准确性和效率。深度包解码技术通过对WEB访问流量进行深度包解码，实现对HTTP、HTTPS协议的解析、识别。深度包特征检测技术通过构建包含多种攻击类型的攻击特征库，可供深度包解码后的PACP包所提取的特征进行匹配查询，识别攻击。可编程插件检测引擎技术通过构建语言编写的插件库，集成于可编程插件引擎，可根据需要对攻击检测全过程编写自定义/定制化插件，进一步强化系统，为威胁检测提供可插件化扩展能力。智能检测技术通过利用智能算法，对从HTTP载荷中提取的疑似可执行代码段，进行训练及建模，实现SQL注入、XSS攻击、WEBSHELL三种WEB威胁的智能化检测模型。多技术融合可以将多种类型的数据进行融合，从而提供更全面、更丰富的攻击检测。

2" 深度包解码技术研究

DPI深度包检测技术在传统IP数据包检测技术基础上增加了对应用层数据的应用协议识别，数据包内容检测与深度解码[1]。深度包解码技术能够实现对HTTP、HTTPS等协议的数据内容进行精细化识别与检测，通过对网络流量的深入洞察，有效保护网络免受威胁，网络结构模型如图1所示。

2.1" 实现方法

2.1.1" 深度包解码

深度包解码技术通过对WEB访问流量进行深度包解码，实现对HTTP、HTTPS协议的解析、识别。首先，通过网卡捕获流经网络的数据包，将数据包记录下来以供分析。其次，为了使管理员能够对特定协议的数据包进行控制，通过应用HTTP方案过滤器、URL过滤器、HTTP状态码过滤器和HTTP响应体过滤器等方式对捕获的数据包进行过滤，实现管控数据包传输，辅助分析最可能与特定事件或行为相关的数据包。再次，通过协议解码、数据解码、数据包重组3种方式，对过滤后的数据包进行深度解码。最后，针对数据包解码以后的内容进行分析，分析数据包内容的唯一标识是HTTP指纹识别，通过在每一条规则的规则选项中根据需要配置/编写的命令，以供规则调用从而实现分析。

2.1.2" HTTPS解密

HTTPS解密通过“无服务端私钥解密”和“有服务端私钥解密”实现。无服务端私钥解密在获取到服务器的CA证书、客户端随机数、服务端的随机数和协商的密码算法等参数后，即可计算出“主密钥”。在TLS握手协议中，客户端会使用服务器的公钥加密预设主密钥，然后发送给服务器。只要获取足够的信息，就能够模拟客户端的操作，解密预设主密钥从而计算出主密钥。有服务端私钥解密通过服务器私钥来解密出“预设主密钥”，从而计算主密钥解密。

2.2" 研究结果

深度包检测基于业务的高层协议内容，通过深度包解码和HTTPS解密，结合数据包的深度特征字检测实现对应用层网络协议识别。结合基于特征字的识别技术，通过识别数据报文中的指纹信息确定业务所承载的应用，从而对网络数据包进行实时检测和分析，实现对已知攻击流量检测。基于特征字的识别技术对指纹信息进行升级，扩展新协议检测，深度识别潜在威胁攻击，提高网络安全性[2]。

3" 深度包特征检测技术研究

深度包特征检测技术利用深度学习强大的表征能力和包检测技术，对网络流量进行更精确的识别和分类。通过对各类攻击行为特征的研究，构建包含XSS、SQL注入、WEBSHELL攻击的攻击特征库，供深度包解码后的PACP包所提取的特征进行匹配查询。通过对特征库存储数据结构的研究，构建能够通过算法进行规则高效匹配的存储结构，确保规则检测的实时性。通过对字符串匹配算法的研究，实现网络报文与特征库规则的快速匹配，以实现高效的特征检测引擎。

3.1" 实现方法

3.1.1" 规则库

规则匹配的过程发生在高级攻击检测引擎监听网络流量时，通过将网络数据包与特征库规则进行比较，可以确定是否符合规则定义的条件。当一个数据包到达时，高级攻击检测引擎将该数据包与规则集中的每个规则进行逐一匹配。当规则被匹配时，会执行规则定义的触发动作，完成生成警报（Alert）、记录日志（log）或者执行其他自定义操作。一个数据包可以匹配多个规则同时触发多个规则的动作，生成相应的警报。

3.1.2" 特征检测引擎

基于XSS攻击、SQL注入攻击、WEBSHELL攻击和反序列化攻击等各类攻击行为特征构建攻击特征库，高效识别攻击威胁。通过建立特征库存储数据结构，在高级攻击检测运行时实现将文本规则解析成树状结构，生成不同的规则树，每一个规则树包含独立的三维链表：RTN（规则头），OTN（规则选项）和FUNC（指向匹配子函数的指针）[3]，以提高匹配效率。采用高效的Aho-Corasick多模式匹配算法实现同时匹配多个关键词，并且在匹配过程中不会重复检查文本，从而提高了匹配的速度。利用特征库检测技术将数据报的IP协议进行规则树匹配，实现与RTN结点和OTN结点的依次匹配。每个OTN结点都包含了一条规则的全部选项，当检测到数据报与某个OTN结点的所有条件相符合时，即判断此数据报为攻击报文[4]。

3.1.3" 特征检测引擎组建

基于预处理插件、处理插件、输出插件、规则处理模块和日志模块实现特征检测引擎组建，全面提升检测准确性和检测效率。预处理插件主要对HTTP流量进行检查，分析HTTP请求和响应，提取URL、Cookie、User-Agent等信息，以便进行规则匹配。处理插件实现对匹配到的网络流量进行处理、记录、报警等操作。输出插件实现将处理结果输出到不同的目的地，方便进行后续的分析、存储和响应。规则处理模块实现解析、编译和匹配规则，当网络流量经过高级攻击检测模块时，规则处理模块会检查流量是否符合规则集中定义的条件，并采取相应的响应措施。日志模块实现记录规则匹配结果、警报信息以及其他相关事件，以便进行后续的分析、审计和响应。

3.2" 研究结果

通过对各类攻击行为特征进行研究，构建攻击特征库，特征库中的每条规则就是一条攻击标识，可直接用于攻击的识别，供深度包解码后的PACP包所提取的特征进行匹配查询。通过对特征库存储数据结构的研究，构建能够通过算法进行规则高效匹配的存储结构，确保规则检测的实时性。通过对字符串匹配算法的研究，实现网络报文与特征库规则的快速匹配，构建高效的特征检测引擎，提高检测和防御能力。

4" 可编程插件检测引擎技术研究

可编程插件检测引擎技术通过采用C语言进行数据转发和处理，采用Lua语言作为可编程的基础开发语言，基于HTTP协议网络流量的各攻击类型的特征信息，通过预先编写逻辑代码并执行响应的逻辑代码，将深度包解码后的流量特征与预定义的应用特征进行匹配，实现网络安全设备能够深度分析各种网络安全攻击流量，提高网络安全防御水平。

4.1" 实现方法

4.1.1" 逻辑代码运行

基于流量转发、加载单元、检测运行和结果输出实现逻辑代码运行，可以根据需求和程序的设计，通过一系列的指令和逻辑判断，完成特定的任务。流量转发将逻辑代码对应的网络流量作为输入数据导入可编程插件检测引擎中，系统将按顺序读取每一个IP数据包，对网络流量进行分析处理。加载单元将编写的插件代码动态地加载到应用程序中，使得应用程序可以在不停止或重新编译的情况下，增加新功能或修改现有功能。检测运行通过执行逻辑代码，可以获得逻辑代码测试运行的结果。最后根据逻辑代码检测执行情况完成执行结果输出。

4.1.2" 插件代码试运行

基于流量样本导入、代码加载、语法检查、测试运行和结果输出实现插件代码试运行。首先，通过流量样本导入上传tcpdump格式的网络流量样本数据包文件，并通过代码加载已编写保存的代码。其次，对加载处理后的逻辑代码进行语法检查，确保代码符合编程语言的语法规范，避免基本的语法错误。根据检查结果决定是否对逻辑代码进行修改。再次，对插件进行功能性测试运行，验证代码在预期使用场景下的行为是否符合要求。最后根据逻辑代码检测执行情况完成执行结果输出。将该运行结果与用户期望的效果进行比较，如果两者运行结果相符，保存该逻辑代码到测试运行的代码库，如果两者运行结果不相符，返回修改。通过插件代码试运行，可以验证网络安全插件是否按照预期实现了所需的安全功能，确保能够有效识别并阻止网络攻击，准确分析网络流量中的异常行为等，网络流量样本处理原理如图2所示。

4.2" 研究结果

通过采用可编程机制，使得基于多技术融合的智能高级攻击检测技术自身具备了横向、纵向检测的动态扩展能力。可以针对特定需求场景编写逻辑代码，通过语法检查和测试运行，确保编写的逻辑代码符合编写规范，在实际应用中能够达到预期的执行效果，将其存储在可编程插件检测引擎代码库中。可编程插件检测引擎可以灵活地适应各种网络应用，实现高效的安全防御。

5" 智能检测技术研究

本研究通过引入机器学习算法，对攻击特征进行持续学习生成智能检测模型。同时，通过模型库对业务流量进行智能攻击检测并进行威胁告警。通过机器学习技术，构建一个能够自动识别和防止恶意行为攻击的检测系统，全面提高WEB应用程序的安全性。

5.1" 实现方法

5.1.1" 数据预处理

为确保模型训练数据集的质量和可靠性，本文基于数据收集、特征提取、数据标签、数据分割和分层采样等技术实现对数据集的预处理。首先，数据预处理从多个网络流量数据源收集数据，包含正常请求和恶意行为的请求。通过采用TF-IDF、TF方法、IDF统计、Skip-Gram或CBOW等方法对文本数据进行特征提取并输出权重矩阵，用于进一步的模型或分析训练。并为每个网络请求分配标签，标明其是否包含恶意行为及恶意行为的类型。然后再按照70%的训练集、15%的验证集和15%的测试集对数据进行分割，训练集用于训练模型，验证集用于参数调优和模型选择，测试集用于评估模型的最终性能[5]。同时，为了保证分割后的数据集能够保持原始数据集的类别分布，采用分层采样方法进行数据分割。

5.1.2" 模型训练与验证

为优化模型参数，确保智能检测模型满足智能攻击检测需求。本文利用训练集数据训练模型，采用逻辑回归、支持向量机、随机森林和K-最近邻算法进行训练，找到能最好地拟合训练数据的模型参数，并通过改变正则化系数、树的数量（对于随机森林）、近邻数（对于K-最近邻）调整模型的参数以优化模型的性能。再采用交叉验证方法评估模型的性能，确定最优的参数设置。

5.1.3" 性能评估

为提高模型性能，通过准确率（Accuracy）、召回率（Recall）、精确率（Precision）和F1分数（F1 Score）计算评估模型性能。

5.1.4 模型选择

针对不同类型的网络攻击数据，支持选择合适的机器学习模型进行分类和检测，对于XSS威胁数据，选择基于Word2Vec的随机森林分类器；对于SQL注入数据，选择基于Word2Vec的K近邻分类器；对于WEBSHELL数据，选择基于Word2Vec的随机森林分类器。

5.2 研究结果

通过对WEB流量攻击特征反序列化攻击、SQL注入攻击、WEBSHELL攻击的分析研究，引入机器学习算法，对攻击特征进行持续学习，生成智能检测模型，通过模型库对业务流量进行智能攻击检测并进行威胁告警，实现对潜在威胁攻击的实时、高效识别与防御。

6 结束语

本文旨在研究基于多技术融合的智能高级攻击检测技术，基于DPI深度包解码、深度包特征检测、可编程插件检测、智能检测实现WEB应用的高级威胁检测预警及流量拦截。研究结果表明，基于多技术融合的智能高级攻击检测技术是一种有效应对复杂和隐蔽的智能高级攻击的方法，相比传统攻击检测技术具有更好的性能和效果，可以有效地应对复杂和隐蔽的智能高级攻击手段，深度维护网络安全。

参考文献：

[1] 康鹏，杨文忠，马红桥.TLS协议恶意加密流量识别研究综述[J].计算机工程与应用，2022，58（12）：1-11.

[2] 张鑫鑫.人工智能在网络安全中的应用[J].无线互联科技，2023，20（6）：29-35.

[3] 任晓峰，董占球.提高Snort规则匹配速度方法的研究与实现[J].计算机应用，2003（4）：59-61.

[4] 谷晓钢，江荣安，赵铭伟.Snort的高效规则匹配算法[J].计算机工程，2006（18）：155-156，213.

[5] 黄诗敏.基于机器学习的网络入侵检测与防御系统设计[J].电脑编程技巧与维护，2023（8）：128-131.