【技術實現(xiàn)步驟摘要】
本專利技術屬于網(wǎng)絡信息安全
,尤其涉及。
技術介紹
隨著網(wǎng)絡入侵和攻擊行為正朝著分布化、規(guī)模化、復雜化、間接化等趨勢發(fā)展,當前對安全產(chǎn)品技術提出更高的要求,急需一種高效的網(wǎng)絡安全告警技術來提升安全產(chǎn)品的性能。入侵檢測是對入侵行為的檢測,入侵檢測系統(tǒng)通過收集網(wǎng)絡及計算機系統(tǒng)內(nèi)所有關鍵節(jié)點的信息,檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略行為及被攻擊跡象。入侵檢測的數(shù)據(jù)來源是各種網(wǎng)絡安全設備(如防火墻、IDS、IPS等)的日志,這些設備會實時的記錄每個時間監(jiān)測點目標網(wǎng)絡的活動情況以便分析目標網(wǎng)絡的運行情況。從理論來源分析入侵檢測技術屬于模式識別中分類問題,將各種網(wǎng)絡攻擊抽象成一個已知類別,將網(wǎng)絡安全設備的歷史運行日志做為訓練樣本集使用人工智能算法通過訓練學習得到多分類模型,即入侵檢測系統(tǒng)。目前入侵檢測的解決方案,主要是利用神經(jīng)網(wǎng)絡、支持向量機等單學習機方法,而這些單分類器方法均為不穩(wěn)定分類算法,所謂不穩(wěn)定分類算法就是指訓練樣本集發(fā)生一個微小的變化,分類器的分類結(jié)果就會產(chǎn)生巨大變化。雖然經(jīng)多年研究,通過各種群智能優(yōu)化算法已使單分類器的穩(wěn)定性有所提高,但單學習機的方法誤差相對較大、運算速度偏慢、入侵檢測系統(tǒng)的泛化能力低。泛化能力是指,若某個模型只針對某類問題具有較好的效果,對于其他類別問題性能較弱,則其泛化能力有限;反之,某個模型對于多個類別問題均有較好性能,則其泛化能力較好。當前主要有兩大類入侵檢測技術,分別是基于誤用技術、基于異常技術。基于誤用技術是指,假設所有可能出現(xiàn)的網(wǎng)絡攻擊類別(“DoS”、“信息收集類攻擊”、“信息欺騙類攻擊”、“利用類攻擊”)均已知...
【技術保護點】
一種基于改進核心向量機數(shù)據(jù)融合的復合式入侵檢測方法,其特征在于,該方法包含如下步驟:步驟1:從目標網(wǎng)絡的網(wǎng)絡安全設備日志中提取誤用入侵檢測和異常入侵檢測所需要的各時間監(jiān)測點的特征數(shù)據(jù),并將所述特征數(shù)據(jù)轉(zhuǎn)換為矩陣形式的特征向量集合;所述網(wǎng)絡安全設備日志的歷史記錄中包括下述特征數(shù)據(jù):時間監(jiān)測點、x1,x2,…,xn屬性的監(jiān)測數(shù)據(jù)和已知入侵檢測結(jié)果的已知網(wǎng)絡行為;步驟2:將所述歷史記錄中的特征數(shù)據(jù)分別構(gòu)造為黑、白名單數(shù)據(jù)樣本子集;步驟3:對黑、白名單數(shù)據(jù)樣本子集進行訓練,分別得到初級誤用入侵檢測模型和初級異常檢測模型,并計算出兩種檢測模型的精度;步驟4:通過D?S證據(jù)理論結(jié)合步驟3中所述兩種檢測模型的精度,實現(xiàn)初級誤用入侵檢測模型和初級異常檢測模型的數(shù)據(jù)融合,從而得到復合入侵檢測模型以及該檢測模型的聯(lián)合置信區(qū)間;步驟5:先通過所述初級誤用入侵檢測模型和初級異常檢測模型判斷出待測網(wǎng)絡行為的類別標號,再根據(jù)所述復合入侵檢測模型判斷出最終檢測結(jié)果。
【技術特征摘要】
1.一種基于改進核心向量機數(shù)據(jù)融合的復合式入侵檢測方法,其特征在于,該方法包含如下步驟: 步驟1:從目標網(wǎng)絡的網(wǎng)絡安全設備日志中提取誤用入侵檢測和異常入侵檢測所需要的各時間監(jiān)測點的特征數(shù)據(jù),并將所述特征數(shù)據(jù)轉(zhuǎn)換為矩陣形式的特征向量集合;所述網(wǎng)絡安全設備日志的歷史記錄中包括下述特征數(shù)據(jù):時間監(jiān)測點、Xl,X2,…,Xn屬性的監(jiān)測數(shù)據(jù)和已知入侵檢測結(jié)果的已知網(wǎng)絡行為; 步驟2:將所述歷史記錄中的特征數(shù)據(jù)分別構(gòu)造為黑、白名單數(shù)據(jù)樣本子集; 步驟3:對黑、白名單數(shù)據(jù)樣本子集進行訓練,分別得到初級誤用入侵檢測模型和初級異常檢測模型,并計算出兩種檢測模型的精度; 步驟4:通過D-S證據(jù)理論結(jié)合步驟3中所述兩種檢測模型的精度,實現(xiàn)初級誤用入侵檢測模型和初級異常檢測模型的數(shù)據(jù)融合,從而得到復合入侵檢測模型以及該檢測模型的聯(lián)合置信區(qū)間; 步驟5:先通過所述初級誤用入侵檢測模型和初級異常檢測模型判斷出待測網(wǎng)絡行為的類別標號,再根據(jù)所述復合入侵檢測模型判斷出最終檢測結(jié)果。2.根據(jù)權利要求1所述的復合式入侵檢測方法,其特征在于,所述步驟I中特征向量集合的列數(shù)為n+2,行數(shù)為歷史記錄的條數(shù)。3.根據(jù)權利要求1所述的復合式入侵檢測方法,其特征在于,所述步驟2包括如下步 驟: 步驟2.1:設定各樣本子集中每條樣本均包括n+2個特征屬性,其中第一條特征屬性為該樣本的時間監(jiān)測點,第2至第n+1條特征屬性分別對應該時間監(jiān)測點的Xl,X2,…,Xn屬性的監(jiān)測數(shù)據(jù),第n+2條特征屬性對應目標網(wǎng)絡當時的已知網(wǎng)絡行為; 步驟2.2:將步驟2.1中各屬性Xl,X2,…,Xn的監(jiān)測數(shù)據(jù)按照各自的取值范圍全部歸一化到[O, I]區(qū)間; 步驟2.3:將誤用入侵檢測和異常入侵檢測中所有的已知網(wǎng)絡行為分別設定為數(shù)值型類別標號; 步驟2.4:以步驟2.2歸一化以后的各類特征X1, X2,…,Xn作為改進核心向量機的輸入量,以步驟2.3誤用入侵檢測的類別標號作為改進核心向量機的輸出量,構(gòu)造成黑名單數(shù)據(jù)樣本子集; 步驟2.5:以步驟2.2歸一化以后的各類特征X1, X2,…,Xn作為改進核心向量機的輸入量,以步驟2.3異常入侵檢測的類別標號作為改進核心向量機的輸出量,構(gòu)造成白名單數(shù)據(jù)樣本子集。4.根據(jù)權利要求3的復合式入侵檢測方法,其特征在于,所述已知網(wǎng)絡行為包括“正常”、“拒絕服務類攻擊”、“利用類攻擊”、“信息收集類攻擊”、“信息欺騙類攻擊”和“未知種類網(wǎng)絡攻擊”,將上述六種已知網(wǎng)絡行為的類別標號設定為_2、-1、0、+1、+2、+3。5.根據(jù)...
【專利技術屬性】
技術研發(fā)人員:王宇飛,鄭曉崑,徐志博,梁瀟,王志皓,白云,
申請(專利權)人:中國電力科學研究院,國家電網(wǎng)公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。