(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210890816.0 (22)申请日 2022.07.27 (71)申请人 北京国瑞数智技 术有限公司 地址 100032 北京市西城区阜成门外大街 31号6层6 07A (72)发明人 侯小超　周瑞红　刘玉佳　 (74)专利代理 机构 北京秉文同创知识产权代理 事务所(普通 合伙) 11859 专利代理师 孙富利　张文武 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/04(2022.01) H04L 43/08(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01)G06N 3/08(2006.01) (54)发明名称 一种基于双向报文 入侵检测的方法和系统 (57)摘要 本发明提供一种基于双向报文入侵检测的 方法和系统， 通过提取出报文数据的时序特征和 空间特征， 进行随机森林分类， 可 以全方面检测 并快速突出所需的特征向量， 利用整合的不同的 分类能力， 克服了现有技术恶意代码借用加密流 量规避基于端口或载荷关键词的入侵检测的问 题； 通过双向报文携带的时间戳计算传输用时， 计算其与信道测量估计的预计用时的偏差， 判断 客户端的报文数据是否被恶意篡改， 以此引入其 他检测角度来辅助， 有助于提高检测的精确度。 权利要求书2页 说明书6页 附图1页 CN 115333801 A 2022.11.11 CN 115333801 A 1.一种基于双向报文入侵检测的方法， 其特 征在于， 所述方法包括： 获取客户端的报文数据， 以会话为单位将所述网络报文数据划分为不同的会话报文， 提取所述会话报文的特 征向量， 分别输入时序特 征模块和空间特 征模块； 所述时序特征模块包括若干隐藏层神经元， 所述 隐藏层神经元分为两组， 一组为前向 反馈线路， 另一组为反向反馈线路， 由此 组成双向反馈环， 每个反馈线路中的当前神经元接 收上一个神经元传递来的隐藏层信息， 以及接收所述上一个神经元相 邻的邻居神经元传递 来的状态信息， 输出当前时刻的隐藏层信息和当前神经元更新后的状态信息， 输出至所述 时序特征模块的累加单 元进行向量元 素对位相加； 所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中， 捕 获不同报文 载荷之间的时间序列关系， 得到向量之 间数据的长距离依赖关系， 赋予向量不同的权重值， 组成不同的权 重矩阵Q、 K、 V， 并行对所述权 重矩阵Q、 K、 V进行线性变换， 合并输出全局特 征； 提取所述时序特征模块和 空间特征模块的全连接神经网络的中间层输出作为所述会 话报文的新的时序特征和空间特征， 将所述新的时序特征和空间特征拼接在一起得到所述 会话报文的混合特 征向量； 将所述混合特征向量传输到服务器的随机森林中进行分类， 随机森林进行n轮抽取， 得 到n个训练集， 使用抽取的n个训练集由列采样随机使用指 定量特征值训练得到n棵决策树， 所述n棵决策树按照投票的方式得到分类结果； 所述客户端的报文数据中携带有发送的第 一时间戳， 服务器在返回给客户端的响应报 文中携带有返回的第二时间戳， 根据所述第一时间戳和第二时间戳计算得到报文传输的用 时； 对信道进行测量估计， 根据所述测量估计的结果得到报文传输的预计用时， 判断所述 报文传输的用时与所述预计用时的偏差是否在预设范围内， 如果是则继续判断所述分类结 果， 反之则认定所述 客户端的报文数据被恶意篡改； 根据所述分类结果判断所述客户端的报文数据中是否有恶意代码， 当所述客户端的报 文数据中存在恶意代码， 则服 务器终止TLS1.3握 手过程。 2.根据权利要求1所述的方法， 其特征在于： 所述提取所述会话报文的特征向量后， 还 包括： 判断所述特征向量是否包括业务载荷， 以及判断握手信息是否完整， 包括： 如果会话 报文的特征向量不包括业务载荷， 则认定该会话报文与业务无关， 是恶意代码篡改 的结果； 如果会话报文的握 手信息不完整， 则认定该会话报文是恶意代码篡改的结果。 3.根据权利要求1所述的方法， 其特征在于： 所述每棵决策树的分类能力具有针对性， 所述指定量特征值是根据不同分类得出的， 将同一个特征向量矩阵通过决策树按照不同的 角度进行分类， 即完成针对不同分类能力的整合功能。 4.根据权利要求2或3任一项所述的方法， 其特征在于： 所述投票的方式包括将每棵决 策树的输出 结果进行加权累加。 5.一种基于双向报文入侵检测的系统， 其特 征在于， 所述系统包括： 预处理模块， 用于获取客户端的报文数据， 以会话为单位将所述网络报文数据划分为 不同的会话报文， 提取 所述会话报文的特 征向量， 分别输入时序特 征模块和空间特 征模块； 时序特征模块， 包括若干隐藏层神经元， 所述隐藏层神经元分为两组， 一组为前向反馈 线路， 另一组为反向反馈线路， 由此 组成双向反馈环， 每个反馈线路中的当前神经元接收上权　利　要　求　书 1/2 页 2 CN 115333801 A 2一个神经元传递来的 隐藏层信息， 以及接收所述上一个神经元相 邻的邻居神经元传递来的 状态信息， 输出当前时刻的隐藏层信息和当前神经元更新后的状态信息， 输出至所述时序 特征模块的累加单 元进行向量元 素对位相加； 空间特征模块， 包括将全局的特征向量保存在多个局部特征矩阵中， 捕获不同报文载 荷之间的时间序列关系， 得到向量之间数据的长距离依赖 关系， 赋予向量不同的权重值， 组 成不同的权 重矩阵Q、 K、 V， 并行对所述权 重矩阵Q、 K、 V进行线性变换， 合并输出全局特 征； 分类模块， 用于提取所述 时序特征模块和空间特征模块的全连接神经网络的中间层输 出作为所述会话报文的新的时序特征和空间特征， 将所述新的时序特征和空间特征拼接在 一起得到所述会话报文的混合特征向量； 将所述混合特征向量传输到服务器的随机森林中 进行分类， 随机森林进行n轮抽取， 得到n个训练集， 使用抽取的n个训练集由列采样随机使 用指定量特 征值训练得到n棵决策树， 所述 n棵决策树按照投票的方式得到分类结果； 双向报文判断模块， 用于利用所述客户端的报文数据中携带有发送的第一时间戳， 服 务器在返回给客户端的响应报文中携带有返回的第二时间戳， 根据所述第一时间戳和 第二 时间戳计算得到报文传输的用时； 对信道进行测量估计， 根据所述测量估计的结果得到报 文传输的预计用时， 判断所述报文传输的用时与所述预计用时的偏差是否在预设范围内， 如果是则继续判断所述分类结果， 反 之则认定所述 客户端的报文数据被恶意篡改； 执行模块， 用于根据所述分类结果判断所述客户端的报文数据中是否有恶意代码， 当 所述客户端的报文数据中存在恶意代码， 则服 务器终止TLS1.3握 手过程。 6.一种基于双向报文入侵检测的系统， 其特 征在于， 所述系统包括处 理器以及存 储器： 所述存储器用于存 储程序代码， 并将所述 程序代码传输给 所述处理器； 所述处理器用于根据所述程序代码中的指令执行实现权利要求1 ‑4任一项所述的方 法。 7.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执 行实现权利要求1 ‑4任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115333801 A 3