基于多技術(shù)融合的智能高級攻擊監(jiān)測系統(tǒng)設(shè)計

摘" 要：為應(yīng)對新型電力系統(tǒng)和網(wǎng)絡(luò)數(shù)字化設(shè)備發(fā)展中網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，文章提出一種基于多技術(shù)融合的智能高級攻擊監(jiān)測系統(tǒng)。系統(tǒng)采用分層設(shè)計，包含流量層、解析層和檢測層，以此實現(xiàn)對數(shù)據(jù)的全面捕獲與深度分析。在研究過程中，運用了深度包檢測技術(shù)、智能化檢測技術(shù)以及可編程對抗技術(shù)，構(gòu)建了特征庫模塊、智能檢測模塊和插件檢測模塊，并借助機器學(xué)習(xí)算法增強智能檢測能力。實驗結(jié)果表明，該系統(tǒng)能夠有效地監(jiān)測已知和未知的攻擊流量，為網(wǎng)絡(luò)安全攻擊監(jiān)測提供了一種全面的解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全；高級攻擊監(jiān)測；多技術(shù)融合；深度包檢測；智能化檢測；可編程對抗

中圖分類號：TP311；TP309.5" 文獻標(biāo)識碼：A" 文章編號：2096-4706（2025）03-0170-08

Design of Intelligent Advanced Attack Monitoring System Based on Multi-technology Fusion

LIU Yuting， HANG Feilu， XIE Linjiang

（Information Center of Yunnan Power Grid Co.， Ltd.， Kunming" 650217， China）

Abstract： In order to address the challenges of network security in the development of new power systems and network digital equipment， this paper proposes an intelligent advanced attack monitoring system based on multi-technology fusion. The system adopts layered design， including traffic layer， parsing layer and detection layer， so as to realize the comprehensive capture and in-depth analysis of data. In the research process， the Deep Packet Inspection technology， intelligent detection technology and programmable countermeasure technology are used to construct the feature library module， intelligent detection module and plug-in detection module， and the Machine Learning algorithm is used to enhance the intelligent detection ability. The experimental results show that the system can effectively monitor known and unknown attack traffic， and provides a comprehensive solution for network security attack monitoring.

Keywords： network security; advanced attack monitoring; multi-technology fusion; Deep Packet Inspection; intelligent detection; programmable countermeasure

0" 引" 言

隨著新型電力系統(tǒng)的建設(shè)和網(wǎng)絡(luò)數(shù)字化設(shè)備的發(fā)展，業(yè)務(wù)日益多樣化，網(wǎng)絡(luò)結(jié)構(gòu)愈發(fā)復(fù)雜，與此同時，需要應(yīng)對的網(wǎng)絡(luò)攻擊手段也越來越復(fù)雜，網(wǎng)絡(luò)安全面臨著更大的挑戰(zhàn)。目前，市場上的網(wǎng)絡(luò)安全設(shè)備主要基于規(guī)則進行安全檢測和防護，存在網(wǎng)絡(luò)安全檢測不夠全面的問題，尤其是對于智能高級攻擊[1]，傳統(tǒng)的安全防御措施往往難以對其進行識別和預(yù)防。

因此，研發(fā)一種能夠有效監(jiān)測和識別智能高級攻擊的方法，成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究重點。基于多技術(shù)融合的智能高級攻擊監(jiān)測技術(shù)，依托深度包檢測[2]、智能化檢測以及可編程對抗等技術(shù)，致力于實現(xiàn)更全面的安全攻擊監(jiān)測。

1" 系統(tǒng)架構(gòu)說明

1.1" 系統(tǒng)總體結(jié)構(gòu)

整個高級攻擊監(jiān)測系統(tǒng)采用分層設(shè)計，各層相互依賴，下層功能的實現(xiàn)是上層功能實現(xiàn)的前提條件，主要包括流量層、解析層、檢測層三大模塊[3]。

1.1.1" 流量層

流量層主要定義流量的處理范圍。在本系統(tǒng)中，將捕獲并處理入口網(wǎng)卡的所有流量，做到應(yīng)檢盡檢。入口網(wǎng)卡在全過程中均使用混雜模式，以確保捕獲的全面性。

1.1.2" 解析層

解析層主要實現(xiàn)數(shù)據(jù)包的深度包解碼工作，由數(shù)據(jù)包捕獲、數(shù)據(jù)包預(yù)解碼、協(xié)議識別、流重組、HTTP流量識別5個模塊組成，各模塊實現(xiàn)的功能如下：

1）數(shù)據(jù)包捕獲。主要負(fù)責(zé)捕獲入口網(wǎng)卡的所有流量，并將其交給后續(xù)功能模塊處理。捕獲方式采用內(nèi)聯(lián)模式，以保證在后續(xù)威脅檢測過程中，能做到發(fā)現(xiàn)即攔截，提供實時防御服務(wù)。

2）數(shù)據(jù)包預(yù)解碼。主要負(fù)責(zé)將以太網(wǎng)幀解碼為IP數(shù)據(jù)包，為流量識別奠定基礎(chǔ)。

3）協(xié)議識別。主要是識別出網(wǎng)絡(luò)層的IP協(xié)議、ICMP協(xié)議（其中ICMP基于IP協(xié)議，屬于網(wǎng)絡(luò)層），以及傳輸層的TCP、UDP協(xié)議。

4）流重組。主要完成將由多個數(shù)據(jù)包發(fā)送的數(shù)據(jù)進行重組，以保證被檢測數(shù)據(jù)的內(nèi)容完整性。

5）HTTP流量識別。主要完成對應(yīng)用層協(xié)議的分析處理，識別出其中的HTTP流量（含HTTPS）[4]。

1.1.3" 檢測層

檢測層主要實現(xiàn)安全檢測的功能，主要包括特征庫檢測、智能檢測、插件檢測三個模塊，各個模塊功能及相互間的作用如下：

1）特征庫。對解碼后的HTTP數(shù)據(jù)包進行特征庫匹配，以識別攻擊流量。若為攻擊流量，則打上攻擊流量標(biāo)簽，根據(jù)命中特征庫的動作，僅產(chǎn)生告警或直接攔截；若為正常流量，則進入下一攻擊檢測環(huán)節(jié)，進行智能檢測和插件檢測的旁路檢測。未被攔截的流量直接進入編排層和處置層，進行下一步處理[5]。

2）智能檢測。對解碼后的HTTP數(shù)據(jù)包進行智能模型檢測，以識別攻擊流量。若為攻擊流量，打上攻擊流量標(biāo)簽，并產(chǎn)生告警。若為正常流量，或者疑似攻擊流量，則等待插件檢測結(jié)果，以判斷是否產(chǎn)生告警，并完成檢測[6]。

3）插件檢測。對解碼后的HTTP數(shù)據(jù)包進行插件檢測，以識別攻擊流量。若為攻擊流量，打上攻擊流量標(biāo)簽，并產(chǎn)生告警。若為正常流量，或者疑似攻擊流量，則等待智能檢測結(jié)果，以判斷是否產(chǎn)生告警，并完成檢測[7]。

1.2" 系統(tǒng)業(yè)務(wù)流程

基于深度包檢測、智能化檢測以及可編程對抗等技術(shù)相結(jié)合的高級攻擊監(jiān)測技術(shù)，旨在實現(xiàn)更全面的安全攻擊監(jiān)測。具體業(yè)務(wù)流程如圖1所示。

通過DPI深度包解碼技術(shù)，對Web訪問流量進行解析，深入分析Web應(yīng)用層協(xié)議內(nèi)容。隨后，通過開發(fā)深度包特征檢測、可編程插件檢測、智能檢測等功能，實現(xiàn)對Web應(yīng)用的高級威脅檢測預(yù)警及流量攔截。

1.3" 系統(tǒng)實現(xiàn)時序結(jié)構(gòu)

系統(tǒng)實現(xiàn)過程中，流量接收、解碼、特征庫檢測、插件檢測、智能檢測等功能由各技術(shù)棧協(xié)同完成。具體各技術(shù)棧實現(xiàn)功能的時序如圖2所示。

具體如下：

1）接收流量、解密并轉(zhuǎn)發(fā)到解碼。從網(wǎng)卡接收流量，針對其中的HTTPS包進行解密，并將流量轉(zhuǎn)發(fā)至HTTP深度包解碼環(huán)節(jié)。

2）解碼并轉(zhuǎn)發(fā)到特征庫。對HTTP流量進行解碼，解碼完成后將流量轉(zhuǎn)發(fā)給特征檢測模塊。

3）特征庫檢測。通過前端界面進行特征庫頁面的增刪改查操作，維護特征庫，并將規(guī)則同步到指定文件；觸發(fā)重新在線加載文件；對解碼后的流量進行特征匹配，根據(jù)流量包標(biāo)志對流量進行包內(nèi)攔截或放行處理。

4）流量轉(zhuǎn)發(fā)。推送經(jīng)過特征庫檢測且?guī)в惺欠駷楣舭鼧?biāo)志的流量到消息中間件。其中，標(biāo)識為“true”表示是攻擊包，“1”表示不是攻擊包。

5）智能檢測。通過前端界面完成智能檢測的增刪改查、切換維護和存儲操作，通過消費消息中間件隊列，對標(biāo)志為“1”的流量包通過智能模型進行流量檢測。

6）插件庫。通過前端界面完成插件庫的增刪改查、啟停維護操作，通過消費消息中間件隊列，對標(biāo)志為“1”的流量包調(diào)用已注冊編寫的lua腳本、Python腳本進行插件檢測。

7）告警。對攻擊包標(biāo)志為“true”的流量包的告警信息進行整合并展示到前端。

備注：插件檢測和智能檢測是異步后置開展。

2" 系統(tǒng)功能實現(xiàn)

2.1" 深度包解碼模塊

深度包解碼技術(shù)分為4個步驟：捕獲數(shù)據(jù)包、過濾數(shù)據(jù)包、解碼數(shù)據(jù)包和分析數(shù)據(jù)包。具體如下：

1）捕獲數(shù)據(jù)包。作為深度包解碼的第一步，通過網(wǎng)卡捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，并將這些數(shù)據(jù)包記錄下來，以便后續(xù)分析。

2）過濾數(shù)據(jù)包。捕獲數(shù)據(jù)包后，使用規(guī)則文件配置過濾規(guī)則。該文件用于將每個數(shù)據(jù)包與規(guī)則集進行匹配，當(dāng)發(fā)現(xiàn)匹配的數(shù)據(jù)包時，執(zhí)行相應(yīng)操作。符合過濾條件的數(shù)據(jù)包將被輸出到指定目錄?？衫脛討B(tài)編排技術(shù)指定IP、數(shù)據(jù)包類型等信息，并在規(guī)則頭中配置以下命令以實現(xiàn)過濾效果。

3）解碼數(shù)據(jù)包。經(jīng)過過濾器的數(shù)據(jù)包需要進行解碼，包括協(xié)議解碼、數(shù)據(jù)解碼和數(shù)據(jù)包重組。協(xié)議解碼器根據(jù)不同協(xié)議類型進行解析，數(shù)據(jù)解碼器處理編碼內(nèi)容，甚至使用HTTPS證書解密數(shù)據(jù)。在數(shù)據(jù)包重組階段，提供TCP重組功能，確保數(shù)據(jù)準(zhǔn)確重建，按照Sturges/Novak模型操作。

4）分析數(shù)據(jù)包。主要分析解碼后的內(nèi)容，重點關(guān)注HTTP指紋識別。HTTP指紋是特定字節(jié)序列，如請求頭、響應(yīng)頭和狀態(tài)碼，可分為請求頭指紋、響應(yīng)頭指紋、狀態(tài)碼指紋和方法指紋。分析過程包括HTTP版本、Web服務(wù)器和應(yīng)用程序識別，依賴基于字節(jié)序列的模式匹配。通過配置規(guī)則選項實現(xiàn)HTTP指紋識別和分析，方法類似于過濾數(shù)據(jù)包。

數(shù)據(jù)包解碼格式如下：

Host： 10.110.8.43

Connection： keep-alive

Upgrade-Insecure-Requests： 1

User-Agent： Mozilla/5.0 （Windows NT 10.0; Win64; x64） AppleWebKit/537.36 （KHTML， like Gecko） Chrome/116.0.0.0 Safari/537.36 Edg/116.0.1938.81

Accept： text/html，application/xhtml+xml， application/xml;q=0.9，image/webp，image/apng，*/*; q=0.8，application/signed-exchange;v=b3;q=0.7

Referer： http：//10.110.8.43/dvwa/vulnerabilities/sqli/

Accept-Encoding： gzip， deflate

Accept-Language： zh-CN，zh;q=0.9，en;q=0.8，en-GB;q=0.7，en-US;q=0.6

Cookie： security=low; PHPSESSID=2ap16rssubhk3v6ptp9f86b5ur

2.2" 特征檢測模塊

深度包特征檢測技術(shù)通過將網(wǎng)絡(luò)流量中的數(shù)據(jù)包與預(yù)定義規(guī)則集進行比較，識別潛在威脅并生成警報。通過構(gòu)建規(guī)則，將解碼后的每個數(shù)據(jù)包與規(guī)則庫進行匹配，若匹配成功則視為規(guī)則觸發(fā)，判定為攻擊流量。

2.2.1" 特征庫構(gòu)建

規(guī)則語法由規(guī)則頭和規(guī)則選項組成。規(guī)則頭包含規(guī)則ID、協(xié)議類型、源和目標(biāo)IP地址、端口等元數(shù)據(jù)。規(guī)則選項包括觸發(fā)條件，如關(guān)鍵字、內(nèi)容、匹配方向等。規(guī)則修飾符則定義了匹配內(nèi)容的位置（如頭部、尾部或正文）、匹配次數(shù)及其他條件；通過規(guī)則語法和規(guī)則修飾符完成規(guī)則構(gòu)建。

規(guī)則樣例如下：alert tcp $EXTERNAL_NET any -gt; $HOME_NET $HTTP_PORTS （ msg：\"SERVER-WEBAPP Novell eDirectory iMonitor crafted Accept-Language header buffer overflow attempt\"; flow：to_server，established; http_uri; content：\"/nds\"，fast_pattern，nocase; http_header; content：\"Accept-Language： \"; content：！\"|0D 0A|\"，within 500; metadata：policy max-detect-ips drop; service：http; reference：cve，2009-0192; classtype：attempted-user; sid：57536; rev：1; rem：\"attacktype： other， threat_level： medium\";）

規(guī)則解釋如下：alert[動作] tcp[協(xié)議] $EXTERNAL_NET[源IP] any [源端口]-gt; $HTTP_SERVERS[目的IP] $HTTP_PORTS [源端口] （ msg：“SERVER-WEBAPP PCCS mysql database admin tool access”[消息]; flow：to_server[流量流向]，established[TCP建立狀態(tài)]; content：“pccsmysqladm/incs/dbconnect.inc”[規(guī)則匹配模式]，depth 36[匹配字節(jié)]，nocase[忽略大小寫]; metadata[元數(shù)據(jù)信息]：ruleset community[規(guī)則來源：社區(qū)/官方]; service[服務(wù)類型]：http; reference[外部鏈接或參考信息]：bugtraq，1557[ Bugtraq數(shù)據(jù)庫中編號為1557的條目]; reference [外部鏈接或參考信息]： cve，2000-0707[CVE編號]; reference[外部鏈接或參考信息]：：nessus，10783[編號]; classtype [攻擊類型]; ：web-application-attack[應(yīng)用程序攻擊]; sid[規(guī)則ID]：509[509]；rev[版本]：18[18];rem[注釋]\"attacktype[攻擊類型]： other， threat_level[攻擊等級]： medium\";）

規(guī)則語法：規(guī)則由兩個主要部分組成：規(guī)則頭（Rule Header）和規(guī)則選項（Rule Options）。以下是規(guī)則語法的詳細(xì)介紹：

一是規(guī)則頭（Rule Header）。規(guī)則頭包含了與規(guī)則相關(guān)的元數(shù)據(jù)，定義了何時應(yīng)該觸發(fā)規(guī)則。規(guī)則頭的基本語法如表1所示。

二是規(guī)則選項（Rule Options）。規(guī)則選項定義了觸發(fā)規(guī)則的具體條件，由一個或多個關(guān)鍵字和參數(shù)組成。常用的規(guī)則選項如表2所示。

規(guī)則修飾符：規(guī)則修飾符是特征庫規(guī)則語法中的一部分，用于進一步定制規(guī)則的匹配條件，允許用戶指定特定的匹配條件或者改變匹配行為。一些常見的規(guī)則修飾符如表3所示。

2.2.2" 特征匹配實現(xiàn)

首先解析規(guī)則文件，生成不同的規(guī)則樹，每個規(guī)則樹包含三維鏈表：RTN（規(guī)則頭）、OTN（規(guī)則選項）和FUNC（指向匹配子函數(shù)的指針）[8]。捕獲到數(shù)據(jù)包后，進行解碼和預(yù)處理，然后利用規(guī)則樹進行匹配，以檢測攻擊報文。具體過程如表4所示。

特征庫檢測完成后，通過Kafka將數(shù)據(jù)包轉(zhuǎn)發(fā)給可編程插件檢測引擎和智能檢測引擎，格式如下：

{

\"id\"： 0，

\"timestamp\"： \"155963355219723\"，

\"src_ip\"： \"192.168.50.1\"，

\"dst_ip\"： \"192.168.50.2\"，

\"src_port\"： 58482，

\"dst_port\"： 18081，

\"black_white\"： \"\"，

\"black_white_ip\"： \"\"，

\"first_detect\"： 1，

\"last_detect\"： true，

\"current_pos\"： 466，

\"current_detect_size\"： 404，

\"current_data\"： \"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\"，

\"save_http\"： true，

\"http_data_size\"： 466，

\"complete_http_data\"： \"R0VUIC9zdGF0aWMvdGVtcGxhdGVzLzIwMjFfeWVhcl8wMi91c2VybmFtZS5wbmcgSFRUUC8xLjENCkhvc3Q6IDE5Mi4xNjguNTAuMjoxODA4MQ0KVXNlci1BZ2VudDogTW96aWxsYS81LjAgKFgxMTsgVWJ1bnR1OyBMaW51eCB4ODZfNjQ7IHJ2OjEyNy4wKSBHZWNrby8yMDEwMDEwMSBGaXJlZm94LzEyNy4wDQpBY2NlcHQ6IGltYWdlL2F2aWYsaW1hZ2Uvd2VicCwqLyoNCkFjY2VwdC1MYW5ndWFnZTogemgtQ04semg7cT0wLjgsemgtVFc7cT0wLjcsemgtSEs7cT0wLjUsZW4tVVM7cT0wLjMsZW47cT0wLjINCkFjY2VwdC1FbmNvZGluZzogZ3ppcCwgZGVmbGF0ZQ0KQ29ubmVjdGlvbjoga2VlcC1hbGl2ZQ0KUmVmZXJlcjogaHR0cDovLzE5Mi4xNjguNTAuMjoxODA4MS8NCkNvb2tpZTogUEhQU0VTU0lEPWtpMXNxYjQ2bHI1b2Y2ZjBlbTFoYWpsZzY2OyBLRVlfUkFORE9NREFUQT05MzA0DQpQcmlvcml0eTogdT00DQoNCg==\"，

\"attack_traffic\"： 1，

\"alert_save\"： 1，

\"alert_msg\"： \"\"，

\"https\"： 1，

\"pcap_file\"： \"L3Zhci9sb2cvc25vcnQvMTlfcGFja2V0X2NhcHR1cmUucGNhcC4xNzE5OTAzOTA2\"，

\"count\"： 0

}

轉(zhuǎn)發(fā)字段解釋如下：id：id；timestamp：時間戳；src_ip：源IP；dst_ip：目標(biāo)IP；src_port：源端口；dst_port：目標(biāo)端口；black_white：是白名單或是黑名單黑名；black_white_ip：黑白名單的具體IP；first_detect：是否第一次對此HTTP數(shù)據(jù)進行檢測；last_detect：是否最后一次對此HTTP數(shù)據(jù)進行檢測；current_pos：規(guī)則庫當(dāng)前檢測位置；current_detect_size：當(dāng)前檢測數(shù)據(jù)大小；current_data：源數(shù)據(jù)；save_http：是否保存HTTP；http_data_size：HTTP數(shù)據(jù)大??；complete_http_data：字段對應(yīng)的偏移位置；attack_traffic：是否攻擊流量；alert_save：是否報警保存；alert_msg：報警信息；https：是否是HTTPS；pcap_file：PCAP文件位置；count：流量包統(tǒng)計。

2.3" 可編程插件檢測模塊

該模塊基于HTTP協(xié)議，通過編寫邏輯代碼，將解碼后的流量特征與預(yù)定義的應(yīng)用特征進行匹配，從而深入分析各種網(wǎng)絡(luò)安全攻擊。

2.3.1" 邏輯代碼運行

流量轉(zhuǎn)發(fā)：將與邏輯代碼對應(yīng)的網(wǎng)絡(luò)流量作為輸入數(shù)據(jù)導(dǎo)入可編程插件檢測引擎中，系統(tǒng)會按順序讀取每一個IP數(shù)據(jù)包，對網(wǎng)絡(luò)流量進行分析處理。

加載單元：將編寫的插件代碼動態(tài)地加載到應(yīng)用程序中，使應(yīng)用程序能夠在不停止運行或重新編譯的情況下，增加新功能或修改現(xiàn)有功能。

檢測運行：執(zhí)行邏輯代碼，獲取邏輯代碼測試運行的結(jié)果。

結(jié)果輸出：根據(jù)邏輯代碼檢測的執(zhí)行情況完成執(zhí)行結(jié)果的輸出。

2.3.2" 插件代碼試檢測

插件代碼試檢測過程包括流量樣本導(dǎo)入、代碼加載、語法檢查、測試運行、結(jié)果輸出等步驟，具體插件代碼檢測過程如圖3所示。

具體介紹如下：

1）流量樣本導(dǎo)入：上傳tcpdump格式的網(wǎng)絡(luò)流量樣本數(shù)據(jù)包文件。

2）代碼加載：加載已編寫并保存的代碼。

3）語法檢查：對加載處理后的邏輯代碼進行語法檢查，確保代碼符合編程語言的語法規(guī)范，避免出現(xiàn)基本的語法錯誤。根據(jù)檢查結(jié)果決定是否對邏輯代碼進行修改。

4）測試運行：對插件進行功能性測試，驗證代碼在預(yù)期使用場景下的行為是否符合要求。

5）結(jié)果輸出：根據(jù)邏輯代碼檢測執(zhí)行情況完成執(zhí)行結(jié)果輸出。將該運行結(jié)果與用戶期望的效果進行比較，如果兩者運行結(jié)果相符，將該邏輯代碼保存到測試運行的代碼庫；如果兩者運行結(jié)果不相符，則返回修改。

2.4" 智能檢測模塊

該模塊通過應(yīng)用機器學(xué)習(xí)算法持續(xù)學(xué)習(xí)攻擊特征，生成智能檢測模型，利用模型庫對業(yè)務(wù)流量進行智能攻擊檢測，以提升Web應(yīng)用程序的安全性[9]。

2.4.1" 模型設(shè)計

模式設(shè)計方法如下：

1）數(shù)據(jù)預(yù)處理方法：收集包含正常請求和惡意行為（如Webshell、反序列化攻擊、SQL注入和XSS攻擊）請求的網(wǎng)絡(luò)流量數(shù)據(jù)。采用TF-IDF和Word2Vec特征提取技術(shù)，捕獲文本數(shù)據(jù)中的核心信息和語義[10]。為每個網(wǎng)絡(luò)請求分配標(biāo)簽，標(biāo)明其是否包含惡意行為（0表示不包含，1表示包含）。按照70%作為訓(xùn)練集、15%作為驗證集和15%作為測試集的比例對預(yù)處理后的數(shù)據(jù)進行劃分訓(xùn)練，并結(jié)合采樣和欠采樣方法處理不平衡數(shù)據(jù)。

2）模型選擇方法：通過比較各類型惡意數(shù)據(jù)在邏輯回歸、支持向量機、隨機森林和K-最近鄰算法中的性能，并結(jié)合k折交叉驗證和超參數(shù)優(yōu)化等過程完成各模型的選擇。

3）模型訓(xùn)練方法：通過使用盡可能多的訓(xùn)練數(shù)據(jù)，確保模型學(xué)習(xí)到每個細(xì)節(jié)，并引入“早?！辈呗员苊膺^度訓(xùn)練，完成模型最佳狀態(tài)的訓(xùn)練。

4）模型評估：留出一個與訓(xùn)練無關(guān)的測試集，確保評估結(jié)果公正且真實反映模型在未知數(shù)據(jù)上的性能，同時通過準(zhǔn)確率、召回率、精確度和F1分?jǐn)?shù)等關(guān)鍵指標(biāo)進行綜合性能評估。

2.4.2" 模型驗證

在Webshell模型的驗證過程中，使用了包含8 634個正類樣本和8 671個負(fù)類樣本的平衡訓(xùn)練數(shù)據(jù)集。測試數(shù)據(jù)集同樣保持了良好的平衡性，包含2 145個負(fù)類樣本（占比49.57%）和2 182個正類樣本（占比50.43%）。通過對比多種分類算法，發(fā)現(xiàn)基于Word2Vec的隨機森林分類器在測試集上表現(xiàn)最佳，達到了驚人的準(zhǔn)確率（99.93%）、召回率（100.00%）和F1分?jǐn)?shù)（99.93%）。這一結(jié)果表明，該模型能夠非常準(zhǔn)確地識別出Webshell攻擊，同時保持了極低的誤報率和漏報率。此外，該模型的平均推理速度也非?？?，僅為1.52×10-5秒，這在實際應(yīng)用中意味著能夠快速響應(yīng)并處理大量數(shù)據(jù)。

在SQL注入模型的驗證過程中，保證了訓(xùn)練數(shù)據(jù)在正類和負(fù)類之間的平衡，每類均包含9 106個樣本。測試數(shù)據(jù)集包含3 908個負(fù)類樣本（占比63.20%）和2 276個正類樣本（占比36.80%）。在多種分類算法中，基于Word2Vec的K近鄰分類器表現(xiàn)突出，其準(zhǔn)確率達到99.56%，召回率為99.08%，F(xiàn)1分?jǐn)?shù)為99.40%。這表明該模型在識別SQL注入攻擊方面性能出色，盡管測試數(shù)據(jù)集的類別分布存在一定傾斜，但模型仍能保持較高的準(zhǔn)確率和召回率。同時，該模型的推理速度相對較快，為3.64×10-4秒，適合用于實時檢測場景。

在XSS威脅模型的驗證中，使用了平衡的訓(xùn)練數(shù)據(jù)集，每類包含5 898個樣本。測試數(shù)據(jù)集則包含1 263個負(fù)類樣本（占比46.13%）和1 475個正類樣本（占比53.87%）。經(jīng)過對比測試，基于Word2Vec的隨機森林分類器在測試集上表現(xiàn)最佳，準(zhǔn)確率為99.53%，召回率為99.53%，F(xiàn)1分?jǐn)?shù)為99.56%。這一結(jié)果證明了該模型在識別XSS攻擊方面的卓越性能，能夠準(zhǔn)確區(qū)分正常請求和惡意請求。同時，該模型的推理速度也非?？?，為1.75×10-5秒，有助于提升系統(tǒng)的整體響應(yīng)速度。

在反序列攻擊模型的驗證中，同樣采用了平衡的訓(xùn)練數(shù)據(jù)集，每類包含8 000個樣本。測試數(shù)據(jù)集也保持了平衡，包含2 000個負(fù)類樣本（占比50%）和2 000個正類樣本（占比50%）。在多種分類算法中，基于Word2Vec的邏輯分類器表現(xiàn)最佳，盡管其準(zhǔn)確率（78.62%）相比其他模型略低，但其召回率達到了100%，F(xiàn)1分?jǐn)?shù)為82.25%。這表明該模型在識別反序列攻擊方面具有很高的敏感性，能夠確保不漏報任何潛在的威脅。同時，該模型的推理速度極快，為4.07×10-7秒，這對于需要快速響應(yīng)的安全系統(tǒng)來說至關(guān)重要。

上述4個攻擊類型的最佳模型驗證結(jié)論如表5所示。

3" 結(jié)" 論

在安全監(jiān)測領(lǐng)域，借助深度包解碼技術(shù)，并結(jié)合基于特征字的識別技術(shù)，對網(wǎng)絡(luò)數(shù)據(jù)包展開實時監(jiān)測與分析，從而實現(xiàn)對已知攻擊流量的檢測。同時，融合人工智能和機器學(xué)習(xí)技術(shù)，構(gòu)建基于機器學(xué)習(xí)的智能化安全監(jiān)測功能，以此達成對未知攻擊流量的監(jiān)測。此外，利用可編程插件的擴展化特性，滿足不同安全防護場景的定制化需求，實現(xiàn)靈活且目標(biāo)性強的攻擊檢測。通過構(gòu)建基于深度包檢測、智能化檢測以及可編程插件檢測等多技術(shù)融合的智能化高級攻擊監(jiān)測技術(shù)體系，為網(wǎng)絡(luò)安全攻擊監(jiān)測提供更為全面的手段。

參考文獻：

[1] 許佳，周丹平，顧海東.APT攻擊及其檢測技術(shù)綜述 [J].保密科學(xué)技術(shù)，2014（1）：34-40.

[2] 張哲暢.深度包檢測系統(tǒng)漏洞挖掘框架研究 [D].武漢：華中科技大學(xué)，2023.

[3] 張亮，屈剛，李慧星，等.智能電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知平臺關(guān)鍵技術(shù)研究及應(yīng)用 [J].上海交通大學(xué)學(xué)報，2021，55（S2）：103-109.

[4] 吳盼盼，俞嘉雯，韓冰青.淺談基于HTTP數(shù)據(jù)包的Web安全邏輯漏洞挖掘思路 [J].計算機時代，202 （9）：24-28.

[5] 周穎杰，焦程波，陳慧楠，等.基于流量行為特征的DoSamp;DDoS攻擊檢測與異常流識別 [J].計算機應(yīng)用，2013，33（10）：2838-2841+2845.

[6] 林松.基于機器學(xué)習(xí)的網(wǎng)絡(luò)流量分類和異常檢測技術(shù)研究與實現(xiàn) [D].南京：南京郵電大學(xué)，2023.

[7] 何能芳.基于圖神經(jīng)網(wǎng)絡(luò)的Python程序漏洞檢測插件設(shè)計與實現(xiàn) [D].貴陽：貴州大學(xué)，2021.

[8] 任曉峰，董占球.提高Snort規(guī)則匹配速度方法的研究與實現(xiàn) [J].計算機應(yīng)用，2003（4）：59-61.

[9] 胡睿，徐芹寶，王昌達.SDN中一種基于機器學(xué)習(xí)的DDoS入侵檢測與防御方法 [J].計算機與數(shù)字工程，2023 ，51 （7）：1590-1596+1610.

[10 ] 梁松林，林偉，王玨，等.面向后滲透攻擊行為的網(wǎng)絡(luò)惡意流量檢測研究 [J].計算機工程，2024，50（5）：128-138.

作者簡介：劉玉婷（1987.10—），女，漢族，云南昭通人，工程師，碩士研究生，研究方向：信息安全；杭菲璐（1984.01—），男，漢族，云南昭通人，正高級工程師，碩士研究生，研究方向：信息安全、網(wǎng)絡(luò)安全對抗；謝林江（1985.08—），男，漢族，云南曲靖人，正高級工程師，本科，研究方向：信息安全、網(wǎng)絡(luò)安全對抗。