摘" 要：在安全檢測方面，研究基于深度包檢測、智能化檢測以及可編程對抗等技術(shù)相結(jié)合的智能高級攻擊檢測技術(shù)，以實(shí)現(xiàn)更全面的安全攻擊檢測。通過DPI深度包解碼，對WEB訪問流量進(jìn)行解析得到WEB應(yīng)用層協(xié)議內(nèi)容，然后通過對深度包特征檢測、可編程插件檢測、智能檢測的研究，實(shí)現(xiàn)WEB應(yīng)用的高級威脅檢測預(yù)警及流量攔截，實(shí)現(xiàn)更全面的安全攻擊檢測，提高攻擊檢測的準(zhǔn)確性和效率。

關(guān)鍵詞：高級攻擊；深度包；可編程；智能檢測；多技術(shù)融合

中圖分類號：TP393.0" " " 文獻(xiàn)標(biāo)志碼：A" " " " " 文章編號：2095-2945（2025）05-0018-05

Abstract： In terms of security monitoring， this paper studies the intelligent advanced attack monitoring technology based on the combination of deep packet inspection， intelligent detection and programmable adversarial technologies to achieve more comprehensive security attack monitoring. Through DPI deep packet decoding， the WEB access traffic is parsed to obtain the WEB application layer protocol content， and then through the research of deep packet feature detection， programmable plug-in detection， and intelligent detection， the advanced threat detection and early warning and traffic interception of WEB applications are realized， so as to achieve more comprehensive security attack monitoring and improve the accuracy and efficiency of attack detection.

Keywords： advanced attack; deep packet; programmable; smart detection; multi-technology fusion

近年來，隨著云計(jì)算、大數(shù)據(jù)、人工智能等技術(shù)的發(fā)展，新型電力系統(tǒng)的建設(shè)業(yè)務(wù)越來越多樣化、網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，同時(shí)需要應(yīng)對的網(wǎng)絡(luò)攻擊手段也越來越多樣化，網(wǎng)絡(luò)安全面臨更大挑戰(zhàn)。目前市場上的網(wǎng)絡(luò)安全設(shè)備主要是基于規(guī)則的安全檢測和防護(hù)，存在網(wǎng)絡(luò)安全檢測不夠全面的問題，傳統(tǒng)的安全監(jiān)測技術(shù)已無法滿足日益變化的安全事件處理需求。尤其是智能高級攻擊手段，因具有高度復(fù)雜、隱蔽性強(qiáng)、目標(biāo)明確且持續(xù)時(shí)間長的特點(diǎn)往往難以被傳統(tǒng)的安全防御措施所識別和預(yù)防。

因此，本文將研究基于深度包檢測、智能化檢測以及可編程對抗等技術(shù)融合的智能高級攻擊檢測技術(shù)，有效檢測和識別智能高級攻擊，更好地應(yīng)對日益復(fù)雜多變的網(wǎng)絡(luò)安全威脅。

1nbsp; 研究方向

多技術(shù)融合的智能高級攻擊檢測技術(shù)基于深度包檢測、智能化檢測以及可編程對抗等技術(shù)相結(jié)合，實(shí)現(xiàn)更全面的安全攻擊檢測，提高攻擊檢測的準(zhǔn)確性和效率。深度包解碼技術(shù)通過對WEB訪問流量進(jìn)行深度包解碼，實(shí)現(xiàn)對HTTP、HTTPS協(xié)議的解析、識別。深度包特征檢測技術(shù)通過構(gòu)建包含多種攻擊類型的攻擊特征庫，可供深度包解碼后的PACP包所提取的特征進(jìn)行匹配查詢，識別攻擊?？删幊滩寮z測引擎技術(shù)通過構(gòu)建語言編寫的插件庫，集成于可編程插件引擎，可根據(jù)需要對攻擊檢測全過程編寫自定義/定制化插件，進(jìn)一步強(qiáng)化系統(tǒng)，為威脅檢測提供可插件化擴(kuò)展能力。智能檢測技術(shù)通過利用智能算法，對從HTTP載荷中提取的疑似可執(zhí)行代碼段，進(jìn)行訓(xùn)練及建模，實(shí)現(xiàn)SQL注入、XSS攻擊、WEBSHELL三種WEB威脅的智能化檢測模型。多技術(shù)融合可以將多種類型的數(shù)據(jù)進(jìn)行融合，從而提供更全面、更豐富的攻擊檢測。

2" 深度包解碼技術(shù)研究

DPI深度包檢測技術(shù)在傳統(tǒng)IP數(shù)據(jù)包檢測技術(shù)基礎(chǔ)上增加了對應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識別，數(shù)據(jù)包內(nèi)容檢測與深度解碼[1]。深度包解碼技術(shù)能夠?qū)崿F(xiàn)對HTTP、HTTPS等協(xié)議的數(shù)據(jù)內(nèi)容進(jìn)行精細(xì)化識別與檢測，通過對網(wǎng)絡(luò)流量的深入洞察，有效保護(hù)網(wǎng)絡(luò)免受威脅，網(wǎng)絡(luò)結(jié)構(gòu)模型如圖1所示。

2.1" 實(shí)現(xiàn)方法

2.1.1" 深度包解碼

深度包解碼技術(shù)通過對WEB訪問流量進(jìn)行深度包解碼，實(shí)現(xiàn)對HTTP、HTTPS協(xié)議的解析、識別。首先，通過網(wǎng)卡捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，將數(shù)據(jù)包記錄下來以供分析。其次，為了使管理員能夠?qū)μ囟▍f(xié)議的數(shù)據(jù)包進(jìn)行控制，通過應(yīng)用HTTP方案過濾器、URL過濾器、HTTP狀態(tài)碼過濾器和HTTP響應(yīng)體過濾器等方式對捕獲的數(shù)據(jù)包進(jìn)行過濾，實(shí)現(xiàn)管控?cái)?shù)據(jù)包傳輸，輔助分析最可能與特定事件或行為相關(guān)的數(shù)據(jù)包。再次，通過協(xié)議解碼、數(shù)據(jù)解碼、數(shù)據(jù)包重組3種方式，對過濾后的數(shù)據(jù)包進(jìn)行深度解碼。最后，針對數(shù)據(jù)包解碼以后的內(nèi)容進(jìn)行分析，分析數(shù)據(jù)包內(nèi)容的唯一標(biāo)識是HTTP指紋識別，通過在每一條規(guī)則的規(guī)則選項(xiàng)中根據(jù)需要配置/編寫的命令，以供規(guī)則調(diào)用從而實(shí)現(xiàn)分析。

2.1.2" HTTPS解密

HTTPS解密通過“無服務(wù)端私鑰解密”和“有服務(wù)端私鑰解密”實(shí)現(xiàn)。無服務(wù)端私鑰解密在獲取到服務(wù)器的CA證書、客戶端隨機(jī)數(shù)、服務(wù)端的隨機(jī)數(shù)和協(xié)商的密碼算法等參數(shù)后，即可計(jì)算出“主密鑰”。在TLS握手協(xié)議中，客戶端會使用服務(wù)器的公鑰加密預(yù)設(shè)主密鑰，然后發(fā)送給服務(wù)器。只要獲取足夠的信息，就能夠模擬客戶端的操作，解密預(yù)設(shè)主密鑰從而計(jì)算出主密鑰。有服務(wù)端私鑰解密通過服務(wù)器私鑰來解密出“預(yù)設(shè)主密鑰”，從而計(jì)算主密鑰解密。

2.2" 研究結(jié)果

深度包檢測基于業(yè)務(wù)的高層協(xié)議內(nèi)容，通過深度包解碼和HTTPS解密，結(jié)合數(shù)據(jù)包的深度特征字檢測實(shí)現(xiàn)對應(yīng)用層網(wǎng)絡(luò)協(xié)議識別。結(jié)合基于特征字的識別技術(shù)，通過識別數(shù)據(jù)報(bào)文中的指紋信息確定業(yè)務(wù)所承載的應(yīng)用，從而對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行實(shí)時(shí)檢測和分析，實(shí)現(xiàn)對已知攻擊流量檢測。基于特征字的識別技術(shù)對指紋信息進(jìn)行升級，擴(kuò)展新協(xié)議檢測，深度識別潛在威脅攻擊，提高網(wǎng)絡(luò)安全性[2]。

3" 深度包特征檢測技術(shù)研究

深度包特征檢測技術(shù)利用深度學(xué)習(xí)強(qiáng)大的表征能力和包檢測技術(shù)，對網(wǎng)絡(luò)流量進(jìn)行更精確的識別和分類。通過對各類攻擊行為特征的研究，構(gòu)建包含XSS、SQL注入、WEBSHELL攻擊的攻擊特征庫，供深度包解碼后的PACP包所提取的特征進(jìn)行匹配查詢。通過對特征庫存儲數(shù)據(jù)結(jié)構(gòu)的研究，構(gòu)建能夠通過算法進(jìn)行規(guī)則高效匹配的存儲結(jié)構(gòu)，確保規(guī)則檢測的實(shí)時(shí)性。通過對字符串匹配算法的研究，實(shí)現(xiàn)網(wǎng)絡(luò)報(bào)文與特征庫規(guī)則的快速匹配，以實(shí)現(xiàn)高效的特征檢測引擎。

3.1" 實(shí)現(xiàn)方法

3.1.1" 規(guī)則庫

規(guī)則匹配的過程發(fā)生在高級攻擊檢測引擎監(jiān)聽網(wǎng)絡(luò)流量時(shí)，通過將網(wǎng)絡(luò)數(shù)據(jù)包與特征庫規(guī)則進(jìn)行比較，可以確定是否符合規(guī)則定義的條件。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)時(shí)，高級攻擊檢測引擎將該數(shù)據(jù)包與規(guī)則集中的每個(gè)規(guī)則進(jìn)行逐一匹配。當(dāng)規(guī)則被匹配時(shí)，會執(zhí)行規(guī)則定義的觸發(fā)動(dòng)作，完成生成警報(bào)（Alert）、記錄日志（log）或者執(zhí)行其他自定義操作。一個(gè)數(shù)據(jù)包可以匹配多個(gè)規(guī)則同時(shí)觸發(fā)多個(gè)規(guī)則的動(dòng)作，生成相應(yīng)的警報(bào)。

3.1.2" 特征檢測引擎

基于XSS攻擊、SQL注入攻擊、WEBSHELL攻擊和反序列化攻擊等各類攻擊行為特征構(gòu)建攻擊特征庫，高效識別攻擊威脅。通過建立特征庫存儲數(shù)據(jù)結(jié)構(gòu)，在高級攻擊檢測運(yùn)行時(shí)實(shí)現(xiàn)將文本規(guī)則解析成樹狀結(jié)構(gòu)，生成不同的規(guī)則樹，每一個(gè)規(guī)則樹包含獨(dú)立的三維鏈表：RTN（規(guī)則頭），OTN（規(guī)則選項(xiàng)）和FUNC（指向匹配子函數(shù)的指針）[3]，以提高匹配效率。采用高效的Aho-Corasick多模式匹配算法實(shí)現(xiàn)同時(shí)匹配多個(gè)關(guān)鍵詞，并且在匹配過程中不會重復(fù)檢查文本，從而提高了匹配的速度。利用特征庫檢測技術(shù)將數(shù)據(jù)報(bào)的IP協(xié)議進(jìn)行規(guī)則樹匹配，實(shí)現(xiàn)與RTN結(jié)點(diǎn)和OTN結(jié)點(diǎn)的依次匹配。每個(gè)OTN結(jié)點(diǎn)都包含了一條規(guī)則的全部選項(xiàng)，當(dāng)檢測到數(shù)據(jù)報(bào)與某個(gè)OTN結(jié)點(diǎn)的所有條件相符合時(shí)，即判斷此數(shù)據(jù)報(bào)為攻擊報(bào)文[4]。

3.1.3" 特征檢測引擎組建

基于預(yù)處理插件、處理插件、輸出插件、規(guī)則處理模塊和日志模塊實(shí)現(xiàn)特征檢測引擎組建，全面提升檢測準(zhǔn)確性和檢測效率。預(yù)處理插件主要對HTTP流量進(jìn)行檢查，分析HTTP請求和響應(yīng)，提取URL、Cookie、User-Agent等信息，以便進(jìn)行規(guī)則匹配。處理插件實(shí)現(xiàn)對匹配到的網(wǎng)絡(luò)流量進(jìn)行處理、記錄、報(bào)警等操作。輸出插件實(shí)現(xiàn)將處理結(jié)果輸出到不同的目的地，方便進(jìn)行后續(xù)的分析、存儲和響應(yīng)。規(guī)則處理模塊實(shí)現(xiàn)解析、編譯和匹配規(guī)則，當(dāng)網(wǎng)絡(luò)流量經(jīng)過高級攻擊檢測模塊時(shí)，規(guī)則處理模塊會檢查流量是否符合規(guī)則集中定義的條件，并采取相應(yīng)的響應(yīng)措施。日志模塊實(shí)現(xiàn)記錄規(guī)則匹配結(jié)果、警報(bào)信息以及其他相關(guān)事件，以便進(jìn)行后續(xù)的分析、審計(jì)和響應(yīng)。

3.2" 研究結(jié)果

通過對各類攻擊行為特征進(jìn)行研究，構(gòu)建攻擊特征庫，特征庫中的每條規(guī)則就是一條攻擊標(biāo)識，可直接用于攻擊的識別，供深度包解碼后的PACP包所提取的特征進(jìn)行匹配查詢。通過對特征庫存儲數(shù)據(jù)結(jié)構(gòu)的研究，構(gòu)建能夠通過算法進(jìn)行規(guī)則高效匹配的存儲結(jié)構(gòu)，確保規(guī)則檢測的實(shí)時(shí)性。通過對字符串匹配算法的研究，實(shí)現(xiàn)網(wǎng)絡(luò)報(bào)文與特征庫規(guī)則的快速匹配，構(gòu)建高效的特征檢測引擎，提高檢測和防御能力。

4" 可編程插件檢測引擎技術(shù)研究

可編程插件檢測引擎技術(shù)通過采用C語言進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和處理，采用Lua語言作為可編程的基礎(chǔ)開發(fā)語言，基于HTTP協(xié)議網(wǎng)絡(luò)流量的各攻擊類型的特征信息，通過預(yù)先編寫邏輯代碼并執(zhí)行響應(yīng)的邏輯代碼，將深度包解碼后的流量特征與預(yù)定義的應(yīng)用特征進(jìn)行匹配，實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備能夠深度分析各種網(wǎng)絡(luò)安全攻擊流量，提高網(wǎng)絡(luò)安全防御水平。

4.1" 實(shí)現(xiàn)方法

4.1.1" 邏輯代碼運(yùn)行

基于流量轉(zhuǎn)發(fā)、加載單元、檢測運(yùn)行和結(jié)果輸出實(shí)現(xiàn)邏輯代碼運(yùn)行，可以根據(jù)需求和程序的設(shè)計(jì)，通過一系列的指令和邏輯判斷，完成特定的任務(wù)。流量轉(zhuǎn)發(fā)將邏輯代碼對應(yīng)的網(wǎng)絡(luò)流量作為輸入數(shù)據(jù)導(dǎo)入可編程插件檢測引擎中，系統(tǒng)將按順序讀取每一個(gè)IP數(shù)據(jù)包，對網(wǎng)絡(luò)流量進(jìn)行分析處理。加載單元將編寫的插件代碼動(dòng)態(tài)地加載到應(yīng)用程序中，使得應(yīng)用程序可以在不停止或重新編譯的情況下，增加新功能或修改現(xiàn)有功能。檢測運(yùn)行通過執(zhí)行邏輯代碼，可以獲得邏輯代碼測試運(yùn)行的結(jié)果。最后根據(jù)邏輯代碼檢測執(zhí)行情況完成執(zhí)行結(jié)果輸出。

4.1.2" 插件代碼試運(yùn)行

基于流量樣本導(dǎo)入、代碼加載、語法檢查、測試運(yùn)行和結(jié)果輸出實(shí)現(xiàn)插件代碼試運(yùn)行。首先，通過流量樣本導(dǎo)入上傳tcpdump格式的網(wǎng)絡(luò)流量樣本數(shù)據(jù)包文件，并通過代碼加載已編寫保存的代碼。其次，對加載處理后的邏輯代碼進(jìn)行語法檢查，確保代碼符合編程語言的語法規(guī)范，避免基本的語法錯(cuò)誤。根據(jù)檢查結(jié)果決定是否對邏輯代碼進(jìn)行修改。再次，對插件進(jìn)行功能性測試運(yùn)行，驗(yàn)證代碼在預(yù)期使用場景下的行為是否符合要求。最后根據(jù)邏輯代碼檢測執(zhí)行情況完成執(zhí)行結(jié)果輸出。將該運(yùn)行結(jié)果與用戶期望的效果進(jìn)行比較，如果兩者運(yùn)行結(jié)果相符，保存該邏輯代碼到測試運(yùn)行的代碼庫，如果兩者運(yùn)行結(jié)果不相符，返回修改。通過插件代碼試運(yùn)行，可以驗(yàn)證網(wǎng)絡(luò)安全插件是否按照預(yù)期實(shí)現(xiàn)了所需的安全功能，確保能夠有效識別并阻止網(wǎng)絡(luò)攻擊，準(zhǔn)確分析網(wǎng)絡(luò)流量中的異常行為等，網(wǎng)絡(luò)流量樣本處理原理如圖2所示。

4.2" 研究結(jié)果

通過采用可編程機(jī)制，使得基于多技術(shù)融合的智能高級攻擊檢測技術(shù)自身具備了橫向、縱向檢測的動(dòng)態(tài)擴(kuò)展能力。可以針對特定需求場景編寫邏輯代碼，通過語法檢查和測試運(yùn)行，確保編寫的邏輯代碼符合編寫規(guī)范，在實(shí)際應(yīng)用中能夠達(dá)到預(yù)期的執(zhí)行效果，將其存儲在可編程插件檢測引擎代碼庫中。可編程插件檢測引擎可以靈活地適應(yīng)各種網(wǎng)絡(luò)應(yīng)用，實(shí)現(xiàn)高效的安全防御。

5" 智能檢測技術(shù)研究

本研究通過引入機(jī)器學(xué)習(xí)算法，對攻擊特征進(jìn)行持續(xù)學(xué)習(xí)生成智能檢測模型。同時(shí)，通過模型庫對業(yè)務(wù)流量進(jìn)行智能攻擊檢測并進(jìn)行威脅告警。通過機(jī)器學(xué)習(xí)技術(shù)，構(gòu)建一個(gè)能夠自動(dòng)識別和防止惡意行為攻擊的檢測系統(tǒng)，全面提高WEB應(yīng)用程序的安全性。

5.1" 實(shí)現(xiàn)方法

5.1.1" 數(shù)據(jù)預(yù)處理

為確保模型訓(xùn)練數(shù)據(jù)集的質(zhì)量和可靠性，本文基于數(shù)據(jù)收集、特征提取、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)分割和分層采樣等技術(shù)實(shí)現(xiàn)對數(shù)據(jù)集的預(yù)處理。首先，數(shù)據(jù)預(yù)處理從多個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)源收集數(shù)據(jù)，包含正常請求和惡意行為的請求。通過采用TF-IDF、TF方法、IDF統(tǒng)計(jì)、Skip-Gram或CBOW等方法對文本數(shù)據(jù)進(jìn)行特征提取并輸出權(quán)重矩陣，用于進(jìn)一步的模型或分析訓(xùn)練。并為每個(gè)網(wǎng)絡(luò)請求分配標(biāo)簽，標(biāo)明其是否包含惡意行為及惡意行為的類型。然后再按照70%的訓(xùn)練集、15%的驗(yàn)證集和15%的測試集對數(shù)據(jù)進(jìn)行分割，訓(xùn)練集用于訓(xùn)練模型，驗(yàn)證集用于參數(shù)調(diào)優(yōu)和模型選擇，測試集用于評估模型的最終性能[5]。同時(shí)，為了保證分割后的數(shù)據(jù)集能夠保持原始數(shù)據(jù)集的類別分布，采用分層采樣方法進(jìn)行數(shù)據(jù)分割。

5.1.2" 模型訓(xùn)練與驗(yàn)證

為優(yōu)化模型參數(shù)，確保智能檢測模型滿足智能攻擊檢測需求。本文利用訓(xùn)練集數(shù)據(jù)訓(xùn)練模型，采用邏輯回歸、支持向量機(jī)、隨機(jī)森林和K-最近鄰算法進(jìn)行訓(xùn)練，找到能最好地?cái)M合訓(xùn)練數(shù)據(jù)的模型參數(shù)，并通過改變正則化系數(shù)、樹的數(shù)量（對于隨機(jī)森林）、近鄰數(shù)（對于K-最近鄰）調(diào)整模型的參數(shù)以優(yōu)化模型的性能。再采用交叉驗(yàn)證方法評估模型的性能，確定最優(yōu)的參數(shù)設(shè)置。

5.1.3" 性能評估

為提高模型性能，通過準(zhǔn)確率（Accuracy）、召回率（Recall）、精確率（Precision）和F1分?jǐn)?shù)（F1 Score）計(jì)算評估模型性能。

5.1.4 模型選擇

針對不同類型的網(wǎng)絡(luò)攻擊數(shù)據(jù)，支持選擇合適的機(jī)器學(xué)習(xí)模型進(jìn)行分類和檢測，對于XSS威脅數(shù)據(jù)，選擇基于Word2Vec的隨機(jī)森林分類器；對于SQL注入數(shù)據(jù)，選擇基于Word2Vec的K近鄰分類器；對于WEBSHELL數(shù)據(jù)，選擇基于Word2Vec的隨機(jī)森林分類器。

5.2 研究結(jié)果

通過對WEB流量攻擊特征反序列化攻擊、SQL注入攻擊、WEBSHELL攻擊的分析研究，引入機(jī)器學(xué)習(xí)算法，對攻擊特征進(jìn)行持續(xù)學(xué)習(xí)，生成智能檢測模型，通過模型庫對業(yè)務(wù)流量進(jìn)行智能攻擊檢測并進(jìn)行威脅告警，實(shí)現(xiàn)對潛在威脅攻擊的實(shí)時(shí)、高效識別與防御。

6 結(jié)束語

本文旨在研究基于多技術(shù)融合的智能高級攻擊檢測技術(shù)，基于DPI深度包解碼、深度包特征檢測、可編程插件檢測、智能檢測實(shí)現(xiàn)WEB應(yīng)用的高級威脅檢測預(yù)警及流量攔截。研究結(jié)果表明，基于多技術(shù)融合的智能高級攻擊檢測技術(shù)是一種有效應(yīng)對復(fù)雜和隱蔽的智能高級攻擊的方法，相比傳統(tǒng)攻擊檢測技術(shù)具有更好的性能和效果，可以有效地應(yīng)對復(fù)雜和隱蔽的智能高級攻擊手段，深度維護(hù)網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1] 康鵬，楊文忠，馬紅橋.TLS協(xié)議惡意加密流量識別研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2022，58（12）：1-11.

[2] 張鑫鑫.人工智能在網(wǎng)絡(luò)安全中的應(yīng)用[J].無線互聯(lián)科技，2023，20（6）：29-35.

[3] 任曉峰，董占球.提高Snort規(guī)則匹配速度方法的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2003（4）：59-61.

[4] 谷曉鋼，江榮安，趙銘偉.Snort的高效規(guī)則匹配算法[J].計(jì)算機(jī)工程，2006（18）：155-156，213.

[5] 黃詩敏.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測與防御系統(tǒng)設(shè)計(jì)[J].電腦編程技巧與維護(hù)，2023（8）：128-131.