一种识别已知攻击和未知攻击的网络入侵检测系统

本发明公开了一种识别已知攻击和未知攻击的网络入侵检测系统，包括：流量收集模块：部署一个轻量级的流量捕获引擎，建立在tcpdump之上，实时捕获原始流量，应用控制器通过安全RESTfu lAPI发布的动态过滤策略，两阶段TS‑FGED检测模块：第一阶段：使用多高斯变分自编码MGVAE从每个网络流的初始数据包中提取特征，实现早期检测，第二阶段：对第一阶段预测为良性的流量，使用变分自编码器VAE基于完整的流级统计特征进行重新评估。本发明检测时第一阶段利用MGVAE从初始数据包中提取特征，实现对已知攻击的早期检测，第二阶段使用VAE对第一阶段预测为良性的流量进行重新评估，提高了对未知攻击的检测能力，这种设计既保证了早期检测的效率，又提高了对未知攻击的检测准确性。