入侵檢測方法及系統技術方案
Intrusion detection method and system
The present invention discloses a kind of intrusion detection method and system, collection of test samples by cluster analysis of graph partitioning method, and then use the training set to determine the test sample set by cluster analysis obtained by cluster behavior categories, in order to achieve the set of test samples determine the behavioral categories. The process of determining set of the test sample behavior category is not totally dependent on the training set contains the training samples belonging to the behavior category, thus provided by the embodiment of the invention scheme can find new types of behavior.
【技術實現步驟摘要】
入侵檢測方法及系統
本專利技術涉及入侵檢測
,尤其涉及一種入侵檢測方法及系統。
技術介紹
Internet為資源的共享與信息的交流提供了高效而便捷的全新方式,但同時它也被占有、偷竊、甚至毀壞他人的計算機信息系統資源的入侵者所利用,使得網絡中的信息資源面臨著嚴重的安全威脅。為了保證網絡信息系統的安全,人們從很多方面都采取了一定的措施,該些措施共同構成了網絡安全防御體系。入侵檢測(IntrusionDetection)技術是網絡安全防御體系的一種核心技術。它通過運用一些自治和智能的工具對計算機系統或計算機網絡中的若干關鍵點信息進行收集和分析,并檢測其中是否有違反安全策略的攻擊企圖、攻擊行為或攻擊結果,從而實現對系統或網絡資源的實時保護。該技術是由靜態防護轉化為動態防護的關鍵,也是強制執行安全策略的有力工具。傳統的入侵檢測大多基于數據挖掘及機器學習方法,大致有以下幾種基本思想:一種是把入侵檢測看作是一個模式識別問題,即根據網絡流量特征(目的地址、源地址、目的端口號、源端口號、傳輸協議、發送字節數、TCP選項等)和主機審計記錄(CPU利用率、I/O利用率、文件訪問、用戶命令調用序列)等來區分系統的正常行為和異常行為,即可以看做是一個典型的分類問題。特別地,在訓練樣本是不均衡的未標定數據集時,入侵檢測又可視為一個孤立點發現或樣本密度估計問題。統計機器學習理論為解決這類問題提供了大量的方法,如k近鄰算法、聚類、模式匹配、支持向量機、神經網絡等。另一種則是把入侵檢測視為一個知識表示和規則提取問題。在用于實現入侵檢測的入侵檢測系統中,實際的數據源往往具有多變性、不同...
【技術保護點】
一種入侵檢測方法,其特征在于,包括:入侵檢測系統獲得輸入的入侵檢測數據集合,其中,所述入侵檢測數據集合由訓練樣本集合和測試樣本集合構成,所述訓練樣本集合由分別對應于不同行為類別的訓練樣本簇構成,所述測試樣本集合由待檢測樣本構成;基于圖劃分方法,確定所述測試樣本集合所包含的由待檢測樣本構成的各個聚簇;針對每個所述聚簇,執行下述操作:確定用于表征該聚簇與不同訓練樣本簇之間的相對互連程度的各相對互連度值和用于表征該聚簇與不同訓練樣本簇之間的相對緊密程度的各相對緊密度值;入侵檢測系統根據所述訓練樣本集合,確定相對互連度閾值和相對緊密度閾值;比較總個數和數目;并在比較得到所述總個數不大于所述數目時,分別確定各訓練樣本簇和該聚簇之間的相對互連度值和相應的相對緊密度值的乘積,并根據最大的所述乘積對應的訓練樣本簇的行為類別確定該聚簇的行為類別是否為入侵行為類別;在比較得到所述總個數大于所述數目時,判斷是否存在滿足預定判決條件的訓練樣本簇;在判斷結果為是時,根據滿足所述條件的訓練樣本簇的行為類別確定該聚簇的行為類別是否為入侵行為類別;在判斷結果為否時,確定該聚簇的行為類別為不同于任意所述訓練樣本簇所屬行...
【技術特征摘要】
1.一種入侵檢測方法,其特征在于,包括:入侵檢測系統獲得輸入的入侵檢測數據集合,其中,所述入侵檢測數據集合由訓練樣本集合和測試樣本集合構成,所述訓練樣本集合由分別對應于不同行為類別的訓練樣本簇構成,所述測試樣本集合由待檢測樣本構成;基于圖劃分方法,確定所述測試樣本集合所包含的由待檢測樣本構成的各個聚簇;針對每個所述聚簇,執行下述操作:確定用于表征該聚簇與不同訓練樣本簇之間的相對互連程度的各相對互連度值和用于表征該聚簇與不同訓練樣本簇之間的相對緊密程度的各相對緊密度值;入侵檢測系統根據所述訓練樣本集合,確定相對互連度閾值和相對緊密度閾值;比較總個數和數目;并在比較得到所述總個數不大于所述數目時,分別確定各訓練樣本簇和該聚簇之間的相對互連度值和相應的相對緊密度值的乘積,并根據最大的所述乘積對應的訓練樣本簇的行為類別確定該聚簇的行為類別是否為入侵行為類別;在比較得到所述總個數大于所述數目時,判斷是否存在滿足預定判決條件的訓練樣本簇;在判斷結果為是時,根據滿足所述條件的訓練樣本簇的行為類別確定該聚簇的行為類別是否為入侵行為類別;在判斷結果為否時,確定該聚簇的行為類別為不同于任意所述訓練樣本簇所屬行為類別的新的行為類別;其中,所述預定判決條件包括:訓練樣本簇與該聚簇之間的相對互連度值和相對緊密度值分別不小于所述相對互連度閾值和所述相對緊密度閾值。2.如權利要求1所述的方法,其特征在于,根據所述訓練樣本集合,確定相對互連度閾值和相對緊密度閾值,具體包括:確定所述入侵檢測數據集合所包含的潛在主題的個數、所述入侵檢測數據集合中的每個待檢測樣本所包含的潛在主題的分布概率值和每個潛在主題所包含的屬性特征的分布概率值;根據確定的所述潛在主題的分布概率值和所述屬性特征的分布概率值,分別確定每個潛在主題所包含的屬性特征的重要度值;根據確定出的各重要度值,從所述潛在主題所包含的屬性特征中選取屬性特征;根據選取的屬性特征和所述訓練樣本集合,確定用于表征所述訓練樣本集合中包含的各個訓練樣本的鄰接圖,并根據所述鄰接圖中作為鄰接圖節點的不同訓練樣本之間的距離,確定不同訓練樣本簇之間的相對互連度值和相對緊密度值;根據確定出的各相對互連度值和相對緊密度值,確定相對互連度閾值和相對緊密度閾值。3.如權利要求2所述的方法,其特征在于,確定所述入侵檢測數據集合所包含的潛在主題的個數、所述入侵檢測數據集合中的每個待檢測樣本所包含的潛在主題的分布概率值和每個潛在主題所包含的屬性特征的分布概率值,具體包括:根據LDA模型混亂度分析技術,確定所述入侵檢測數據集合所包含的潛在主題的個數;基于指定的超參數α和β,Gibbs抽樣估計技術以及確定出的所述入侵檢測數據集合所包含的潛在主題的個數,確定所述入侵檢測數據集合中的每個待檢測樣本所包含的潛在主題的分布概率值和每個潛在主題所包含的屬性特征的分布概率值。4.如權利要求1所述的方法,其特征在于,基于圖劃分方法,確定所述測試樣本集合所包含的由待檢測樣本構成的各個聚簇,具體包括:根據預先規定的相似節點個數,確定用于表征所述測試樣本集合中包含的待檢測樣本的最近鄰圖;針對所述最近鄰圖中由待檢測樣本所表征的最近鄰圖節點構成的最大集合循環執行第一指定操作,直至確定出對所述最大集合進行劃分而得到的子集合均符合劃分結束條件時,以符合劃分結束條件的各子集合分別作為聚簇循環執行第二指定操作,直至對聚簇進行合并而得到的聚簇滿足合并結束條件時,循環執行第三指定操作,直至聚簇的總個數不大于預設個數閾值;所述預設個數閾值是根據所述測試樣本集合所包含的潛在主題的數目、所述訓練樣本集合所包含的潛在主題的數目,以及所述訓練樣本集合所包含的訓練樣本簇對應的行為類別的數目而確定的;所述第一指定操作包括:基于對所述最大集合劃分成兩個子集合時所需要截斷的最近鄰圖節點之間的連線的加權和最小的劃分原則,將所述最大集合劃分成兩個子集合;判斷劃分得到的子集合是否均符合劃分結束條件;在判斷結果為否時,將不符合所述劃分結束條件的子集合作為所述最大集合;所述劃分結束條件包括:劃分得到的子集合中的最近鄰圖節點彼此之間的連線數小于所述最近鄰圖包含的最近鄰圖節點總數乘以指定比例值所得的積;所述第二指定操作包括:針對每個聚簇,從除該聚簇外的其他聚簇中,確定是否存在不滿足所述合并結束條件的聚簇;在確定存在時,將該聚簇與不滿足所述合并結束條件的一個聚簇合并為一個聚簇;所述合并結束條件包括:與該聚簇的相對互連性值小于所述相對互連性閾值,或與該聚簇的相對緊密度值小于所述相對緊密度閾值;所述第三指定操作包括:比較所述合并而得到的聚簇的總個數與預設個數閾值,在比較出所述合并而得到的聚簇的總個數大于預設個數閾值時,針對所述合并而得到的每個聚簇執行:針對每個所述合并而得到的聚簇,從除該聚簇外的所述合并而得到的每個聚簇中,選取與該聚簇的相對互連性值和相對緊密度值的乘積最大的聚簇,并將該聚簇與選取的聚簇合并為一個合并而得到的聚簇。5.一種入侵檢測系統,其特征在于,包括:數據集合獲得單元,用于獲得輸入的入侵檢測數...
【專利技術屬性】
技術研發人員:王強,鞠康,展俊云,
申請(專利權)人:中國移動通信集團山東有限公司,
類型:發明
國別省市:山東,37
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。