一种基于自定义语法描述的网络攻击行为精准判定方法与流程

1.本发明涉及数字信号的传输、网络通信安全等技术领域，具体涉及一种基于自定义语法描述的网络攻击行为精准判定方法。


背景技术：

2.随着互联网流量的逐年增加，并且加密流量的日益增长，网络数据包存在着越来越多的网络攻击行为。如何从网络数据包准确定位网络攻击行为是一个技术难题，传统的检测网络攻击行为的手段如下：
3.1.以源ip地址、源端口、目的ip地址、目的端口、协议号进行过滤筛选定位；
4.2.以类似入侵检测系统snort入侵检测语法进行过滤筛选定位；
5.3.以复杂组合规则语法包括五元组规则、负载长度规则、应用协议规则等过滤筛选定位。
6.随着网络攻击行为手段的隐藏性和多样性，以上检测手段只能够对部分攻击行为进行筛选定位，缺少灵活性及扩展性，并且没有二次反馈进行调优的手段。


技术实现要素：

7.针对上述技术问题，本发明提供了一种基于自定义语法描述的网络攻击行为精准判定方法，能够灵活对网络攻击行为进行准确描述，采用内置的词法和语法器，对判定结果进行迭代分析以及反馈调优，实现对网络攻击行为的精准识别。
8.本发明的一种基于自定义语法描述的网络攻击行为精准判定方法，包括如下步骤：
9.步骤一、设置自定义语法集合，自定义语法包括变量获取语法、匹配规则语法、条件判断语法及组合判断语法。变量获取语法包括：获取整数协议变量、获取ip类型协议变量、获取端口类型协议变量、获取字符串类型协议变量、以及获取一个流的所有数据包。匹配规则语法包括：字符串规则匹配语法、整数特征匹配语法、负载取值匹配语法、以及计算规则匹配语法。条件判断语法包括：是否为真、以及是否为假。组合判断语法包括：与、或及非的关系。
10.步骤二、利用自定义语法集合描述已知的网络攻击行为，形成网络攻击行为描述集合。对每种网络攻击行为，采用自定义语法集合中的变量获取语法、匹配规则语法、条件判断语法及组合判断语法来进行描述。
11.步骤三、编写专用词法和语法解析器，用于对网络攻击行为描述的词法和语法进行解析。
12.步骤四、利用专用词法和语法解析器对网络攻击行为描述集合进行词法和语法解析，生成细粒度的函数集合。
13.步骤五、采集实时网络数据包，对每个网络数据包调用细粒度的函数集中各网络攻击行为的函数命令的执行，并且保存执行结果，同时保存原始的网络数据包。
14.步骤六、网络攻击行为判定模块收集细粒度的函数执行结果，根据网络攻击行为描述集合的内容，对网络攻击行为进行判定。
15.步骤七、对于判定的结果，对原始网络数据包采用人工迭代二次分析，对网络攻击行为判定模块的判定结果进行修正，对网络攻击行为描述进行修正，更新网络攻击行为描述集合；
16.获得新的网络攻击行为描述集合后，重复步骤四到步骤六，通过专用词法和语法解析器与网络攻击行为判定模块对实时网络数据包的网络攻击行为进行检测，在执行步骤七对检测结果进行人工迭代二次分析，不断更新网络攻击行为描述集合，实现对网络攻击行为的精准识别。
17.相对于现有技术，本发明的优点在于：本发明实现了一种基于自定义语法描述的网络攻击行为精准判定方法，采用多种自定义语法格式来支撑网络攻击行为的描述，能够灵活对网络攻击行为进行准确描述；通过专用词法和语法解析器及网络攻击行为判定模块，实现对网络攻击行为的精准定位；通过对判定结果二次分析，检测准确率和查全率等指标参数，不断反馈更新网络攻击行为的描述，丰富了网络攻击行为描述集合的准确性，使得网络攻击行为判定越来越准确。
附图说明
18.图1是本发明一种基于自定义语法描述的网络攻击行为精准判定方法的实现架构图。
具体实施方式
19.下面将结合附图和实施例对本发明作进一步的详细说明。
20.为了使本发明的目的、技术方案及优点更加清楚明白，下面将结合附图对本发明实施方式作进一步地详细描述。
21.如图1所示，本发明的一种基于自定义语法描述的网络攻击行为精准判定方法包括：设置自定义语法集合、网络攻击行为描述集合及细粒度函数集合；采用专用词法和语法解析器对网络攻击行为描述集合进行解析，细粒度函数集合经过执行以后，为网络攻击行为判定模块提供判断的依据；采用人工迭代分析，对网络攻击行为描述集合进行正向反馈与调整。具体本发明方法通过如下步骤101～108来说明。
22.步骤101、设置自定义语法集合。
23.为了支撑网络攻击行为的描述，首先需要自定义相关的语法，即基础语法，包括变量获取语法、匹配规则语法、条件判断语法及组合判断语法。
24.设自定义语法集合中，具体包括如下：
25.(1)定义变量获取语法集合a1；变量获取语法包括获取整数协议变量、获取ip类型协议变量、获取端口类型协议变量、获取字符串类型协议变量、获取一个流的所有数据包。
26.(2)定义匹配规则语法集合a2；匹配规则语法包括字符串规则匹配语法、整数特征匹配语法、负载取值匹配语法、计算规则匹配语法。
27.(3)定义条件判断语法集合a3；条件判断语法包括是否为真、是否为假。
28.(4)定义组合判断语法集合a4。组合判断语法包括与、或及非的关系。
29.步骤102、基于自定义语法集合定义相关的网络攻击行为，形成网络攻击行为描述集合。
30.针对已知的每种网络攻击行为，编写一个对应的网络攻击行为描述，采用自定义语法集合中的若干个变量获取语法、若干个匹配规则语法、若干个判断语法及若干个组合判断语法来描述。
31.定义初始已有经验的网络攻击行为描述集合b1，集合b1中的每个元素由如下信息组成：
32.(1)变量获取语法集合a1中的1个或者多个语法；
33.(2)匹配规则语法集合a2中的1个或者多个语法；
34.(3)条件判断语法集合a3中的1个或者多个语法；
35.(4)组合判断语法集合a4中的1个或者多个语法。
36.集合b1中的每个元素对应是一种网络攻击行为描述。每种网络攻击行为描述具有唯一的标识，通过基础语法实现对网络攻击行为的描述。
37.步骤103、编写专用词法和语法解析器，支撑对网络攻击行为描述集合进行词法和语法解析。词法和语法解析器包括对网络攻击行为描述中各种词法的解析以及各种语法的解析，采用yacc(编译器代码生成器)和lex(词法分析器)实现。
38.编写专用词法和语法解析器，具体包括如下：
39.(1)编写对基础语法集合a1、a2、a3、a4的词法和语法解析器；
40.(2)编写对网络攻击行为描述集合b1的词法和语法解析器。
41.专用词法和语法解析器是一个支撑工具，可以对集合a1、a2、a3、a4以及描述集合b1进行解析，解析为对应的词法和语法。
42.步骤104、采用专用词法和语法解析器对网络攻击行为描述集合进行词法和语法解析，生成细粒度的函数集合。
43.设专用词法和语法解析器对网络攻击行为描述集合b1中各元素进行词法和语法的解析，生成细粒度的函数集合c1。细粒度的函数集合c1中包含已知的各种网络攻击行为描述对应的细粒度的执行函数。
44.函数集合c1是集合b1中的涉及到集合a1、a2、a3、a4中的1个或者多个语法的结合，然后需要进行一定的函数运算。例如，集合b1中一个元素b存在如下2个语法：
45.(1)变量获取语法集合a1中的1个语法，利用geturl获取字符串类型协议变量；
46.(2)匹配规则语法集合a2中的1个语法，判断是否为baidu.com，这是一个字符串规则匹配语法，需要精确匹配。
47.利用专用词法和语法解析器对上面b1中元素b进行词法和语法解析，生成细粒度的函数，该函数为获取geturl之后的字符串，再与baidu.com进行精确匹配算法。
48.将集合b1中各元素解析，获得细粒度的函数集合c1。
49.步骤105、系统采集实时网络数据包，对每个网络数据包调用细粒度的函数集合c1中的各种网络攻击行为的执行函数进行执行，并且将结果保存到执行结果集合d1中，同时保存原始的网络数据包。
50.步骤106、网络攻击行为判定模块收集执行结果集合d1，采用专用词法和语法解析器的编译原理逻辑，根据网络攻击行为描述集合b1的内容，对网络攻击行为进行判定，行成
判定结果e1。
51.步骤107、对于判定结果e1，对留存的原始流量数据包进行人工迭代二次分析，修正判定结果，设修正的判定结果为e2。根据判定结果的准确率和查全率等指标参数，正向反馈至网络攻击行为描述集合，更新b1的内容，形成新的网络攻击行为描述集合b2。
52.步骤108、重复步骤104至107，多次迭代，使不断更新修正网络攻击行为描述集合，即集合b2→
集合b3，集合b3→
集合b4，
……
，集合bn→
集合b
n+1
，n为正整数，丰富了网络攻击行为描述集合的准确性，使得网络攻击行为判定越来越准确。
53.以上实施用例仅用于说明本发明而非限制。本领域的普通技术人员应当理解，对本发明修改变形或者等同替换，而不脱离本发明精神范围的，其均应涵盖在本发明的权利要求当中。

技术特征：
1.一种基于自定义语法描述的网络攻击行为精准判定方法，其特征在于，包括：步骤一、设置自定义语法集合，该集合中包括变量获取语法、匹配规则语法、条件判断语法及组合判断语法；其中，变量获取语法包括：获取整数协议变量、获取ip类型协议变量、获取端口类型协议变量、获取字符串类型协议变量、以及获取一个流的所有数据包；匹配规则语法包括：字符串规则匹配语法、整数特征匹配语法、负载取值匹配语法、以及计算规则匹配语法；条件判断语法包括：是否为真、以及是否为假；组合判断语法包括：与、或及非的关系；步骤二、利用自定义语法集合描述已知的网络攻击行为，形成网络攻击行为描述集合；对每种网络攻击行为，采用自定义语法集合中的变量获取语法、匹配规则语法、条件判断语法及组合判断语法进行描述；步骤三、编写专用词法和语法解析器，用于对网络攻击行为描述进行词法和语法解析；步骤四、利用专用词法和语法解析器对网络攻击行为描述集合进行词法和语法解析，生成细粒度的函数集合，该函数集合中包含每种网络攻击行为描述对应的执行函数；步骤五、采集实时网络数据包，对每个网络数据包执行所述细粒度的函数集合中各网络攻击行为的执行函数，保存执行结果以及原始网络数据包；步骤六、网络攻击行为判定模块收集细粒度的函数执行结果，根据网络攻击行为描述对网络攻击行为进行判定；步骤七、对原始网络数据包进行人工迭代二次分析，对网络攻击行为判定模块的判定结果进行修正，对网络攻击行为描述进行修正，更新网络攻击行为描述集合。2.根据权利要求1所述的方法，其特征在于，所述的步骤三中，专用词法和语法解析器采用词法分析器lex和编译器代码生成器yacc实现。3.根据权利要求1所述的方法，其特征在于，所述的方法，在步骤七获得新的网络攻击行为描述集合后，重复步骤四到步骤六，通过专用词法和语法解析器与网络攻击行为判定模块对实时网络数据包的网络攻击行为进行检测，对检测结果进行人工迭代二次分析，不断更新网络攻击行为描述集合。

技术总结
本发明提供了一种基于自定义语法描述的网络攻击行为精准判定方法，涉及数字信号的传输、网络通信安全等技术领域。本发明方法包括：设置自定义语法集合、网络攻击行为描述集合及细粒度函数集合；采用专用词法和语法解析器对网络攻击行为描述集合进行解析，对采集的实时网络数据包执行细粒度函数，为网络攻击行为判定模块提供判断的依据；采用人工迭代分析，对网络攻击行为描述集合进行正向反馈与调整。本发明方法能够灵活的对网络攻击行为进行准确描述，对判定结果进行迭代分析以及反馈调优，实现对网络攻击行为的精准识别。实现对网络攻击行为的精准识别。实现对网络攻击行为的精准识别。


技术研发人员：胡小勇 孙敏萍 李贵鹏 郑康田
受保护的技术使用者：北京赛思信安技术股份有限公司
技术研发日：2023.04.14
技术公布日：2023/7/12