摘要
本发明公开了一种识别已知攻击和未知攻击的网络入侵检测系统,包括:流量收集模块:部署一个轻量级的流量捕获引擎,建立在tcpdump之上,实时捕获原始流量,应用控制器通过安全RESTfu lAPI发布的动态过滤策略,两阶段TS‑FGED检测模块:第一阶段:使用多高斯变分自编码MGVAE从每个网络流的初始数据包中提取特征,实现早期检测,第二阶段:对第一阶段预测为良性的流量,使用变分自编码器VAE基于完整的流级统计特征进行重新评估。本发明检测时第一阶段利用MGVAE从初始数据包中提取特征,实现对已知攻击的早期检测,第二阶段使用VAE对第一阶段预测为良性的流量进行重新评估,提高了对未知攻击的检测能力,这种设计既保证了早期检测的效率,又提高了对未知攻击的检测准确性。
