(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111497385.3 (22)申请日 2021.12.09 (71)申请人 麒麟软件有限公司 地址 300450 天津市滨 海新区塘沽海 洋科 技园信安创业广场3号楼6 -8层 (72)发明人 丁紫薇　陈博翰　马桂才　杨诏钧　 魏立峰　韩光　姬一文　 (74)专利代理 机构 北京汇智英财专利代理事务 所(普通合伙) 11301 代理人 郑玉洁 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 针对容器云平台的网络入侵 检测方法 (57)摘要 本发明涉及一种针对容器云平台的网络入 侵检测方法， 包括如下步骤： 步骤S1： 获取网络流 量； 步骤S2： 对获取的网络流量进行数据预处理； 步骤S3： 将LSTM模型和CNN层按照先后顺序组合 得到入侵检测模型L ‑CNN， 利用入侵检测模型L ‑ CNN对获取的网络流量进行入侵检测， 得到检测 结果。 本发 明提供的针对容器云平台的网络入侵 检测方法， 针对容器云平台网络架构 的特点， 从 Flannel.1抓取云平台的网络流量， 更好地从南 北和东西方向对云平台进行保护； 同时， 本发明 使用LSTM ‑CNN的模型， 与其他模型相比， 本发明 使用的模型囊括特征的时间和空间特性， 并且不 需要进行额外的特征提取， 减少时间开销， 拥有 更高的精确度。 权利要求书1页 说明书4页 附图4页 CN 114205138 A 2022.03.18 CN 114205138 A 1.一种针对容器云平台的网络入侵检测方法， 其特 征在于， 包括如下步骤： 步骤S1： 获取网络流 量； 步骤S2： 对获取的网络流 量进行数据预处 理； 步骤S3： 将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L ‑CNN， 利用入侵检 测模型L‑CNN对获取的网络流 量进行入侵检测， 得到检测结果。 2.如权利要求1所述的针对容器云平台的网络入侵检测方法， 其特征在于， 所述步骤S1 中， 使用Tcpdump工具抓取 Flannel.1网桥的网络流 量。 3.如权利要求1所述的针对容器云平台的网络入侵检测方法， 其特征在于， 所述步骤S3 中， 入侵检测模 型L‑CNN中， 初始LSTM模 型对输入中的网络流量的每个标记确定一个输出标 记， CNN层使用原 始输入的更丰富的表示 查找局部图案 。 4.如权利要求1所述的针对容器云平台的网络入侵检测方法， 其特征在于， 所述入侵检 测模型L‑CNN中， LSTM层前面还设置有Embedding层， 以将输入文本转化为词向量的同时对 其进行降维处 理。权　利　要　求　书 1/1 页 2 CN 114205138 A 2针对容器云 平台的网 络入侵检测方 法 技术领域 [0001]本发明属于深度学习和网络安全相结合的技术领域， 尤其涉及 容器云平台下基于 深度学习的入侵检测方法。 背景技术 [0002]2020年国家互联网应 急中心监测发现， 我国境内云遭受大流量DDoS 攻击次数占境 内目标遭受大流量攻击次数的74.0％； 被植入后门数占境内被植入后门数的88.1％； 被篡 改网站数占境内被篡改网站数的88.6％； 由于云上承载的业务和数据越来越多， 发生在云 平台上的各类网络安全事件数量占比较高。 云平台包括基于虚拟化的云平台和容器云平 台， 而基于虚拟化的云平台满足不了云原生时代业务快速创新的需求。 容器技术拥有比传 统虚拟化方法更高的性能和效率， 利用Docker、 Kubernetes(K8S)等项目构建私有云或混合 云的容器云平台正在成为业界的主流选择。 因此容器云平台的安全问题也变得越发重要。 使用入侵检测方法对云平台的网络流量进行监控， 可以及时发现并阻止恶意网络入侵， 保 障云平台的安全。 [0003]入侵检测技术通常是通过分析网络流量来检测攻击行为， 现有技术中流量分析通 常使用机器学习算法完成。 随着计算机的计算能力的发展， 深度学习也开始被用于入侵检 测， 相较于传统的机器学习算法， 深度学习方法不需要进行复杂的特征工程， 并且可以自动 发现不同网络流 量之间的相关性。 [0004]容器云发展迅速， 使用越来越广泛， 但是目前没有很好地针对容器云的网络入侵 检测方案。 容器云和传统云平台网络结构的不同导致传统检测方法不再那么有效。 已有的 使用深度学习模型的网络入侵检测方法更多的没有考虑时序特征或者空间特征， 不够全 面； 已有考虑时序和空间特征 的网络入侵检测办法在训练前需要经过特征提取， 将网络流 量向量化， 增加时间成本 。 发明内容 [0005]为解决已有技术存在的不足， 本发明提供了一种针对容器云平台的网络入侵检测 方法， 包括如下步骤： [0006]步骤S1： 获取网络流 量； [0007]步骤S2： 对获取的网络流 量进行数据预处 理； [0008]步骤S3： 将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L ‑CNN， 利用入 侵检测模型L ‑CNN对获取的网络流 量进行入侵检测， 得到检测结果。 [0009]其中， 所述 步骤S1中， 使用Tcpdump工具抓取 Flannel.1网桥的网络流 量。 [0010]其中， 所述步骤S3中， 入侵检测模型L ‑CNN中， 初始LSTM模型对输入中的网络流量 的每个标记确定一个输出 标记， CNN层使用原 始输入的更丰富的表示 查找局部图案 。 [0011]其中， 所述入侵检测模型L ‑CNN中， LSTM层前面还设置有Embedding层， 以将输入文 本转化为词向量的同时对其进行降维处 理。说　明　书 1/4 页 3 CN 114205138 A 3