基于云模型的入侵检测数据划分方法技术

本发明专利技术提供一种基于云模型的入侵检测数据划分方法。技术方案包括5个步骤：步骤①：建立云模型数据；步骤②：计算云模型特征；步骤③：输入待检测入侵检测数据；步骤④：计算数据属性隶属度；步骤⑤：划分信号类别。本发明专利技术的有益效果：在进行入侵检测数据属性判断时，改变了以往依靠主观经验对数据的信号含义进行划分的方式，通过入侵检测数据属性隶属度的定量分析来划分信号含义；在后续的DCA异常检测中，提高了入侵检测的检测率，降低了虚警率，具备计算量小，实时性好等优点。

【技术实现步骤摘要】
基于云模型的入侵检测数据划分方法
本专利技术属于信息安全
，涉及一种在网络中利用云模型来判断入侵检测数据中危险属性从而进行信号划分的方法。
技术介绍
IDS(IntrusionDetectionSystem,入侵检测系统)是人们试图解决网络入侵的一个途径，研究人员开发出不同的IDS来识别和阻止入侵事件的发生。目前，有些IDS的原理是通过模拟人工免疫系统的免疫过程来解决入侵检测领域的问题，这种IDS具有快速、准确的免疫识别特性，能够对正常的计算机行为和入侵的有害行为进行有效划分，同时具有的鲁棒性、自适应性和自学习性等多种特性，这也正是现代入侵检测技术所追求的。异常检测是入侵检测的一种类型。基于危险理论的异常检测方法中最典型的一种算法是DCA(DendriticCellAlgorithm,树突状细胞方法)，该方法作为危险理论的实现方法，不需要额外的检测器训练时间，方法计算量小，占用的计算资源也非常少。DCA首先将入侵检测数据划分成三种信号再进行后续处理，目前划分信号的主要做法是对监测到的入侵检测数据属性从主观经验上根据信号含义进行划分，这种做法只能定性地描述三种信号的含义，不能从定量的角度进行更细致的描述划分。云模型是一种建立在模糊集理论和概率论的基础上，将定性概念转变成定量表示的数学工具。由于云模型能准确的用语言值反应出事物的不确定性，目前已经成功用于数据挖掘、知识发现、网络安全预测以及入侵检测等领域。由于入侵检测数据是对多个对象和属性进行监控和检测，对实时性的要求很高，而云模型则可以以较小的计算量完成对定性概念和定量表示之间的转换，符合入侵检测实时性的需求。云模型从数据处理的角度解决了入侵检测数据多维性、难处理以及计算量大等难点，为人工免疫理论在入侵检测上的应用铺平了道路。因此，本专利技术将云模型引入入侵检测
，提高了入侵检测的准确性和实时性。
技术实现思路
本专利技术提供一种基于云模型的入侵检测数据划分方法，该方法的输出作为DCA的三种输入信号，实现了对入侵检测数据的定性划分，提高了DCA后续异常检测的准确性。本专利技术的技术方案是：一种基于云模型的入侵检测数据划分方法，其特征在于，包括下述步骤：步骤①：建立云模型数据。从入侵检测标准数据集中选取N个正常数据存入矩阵X＝[xij]N×M中形成云模型数据，其中N的大小根据所需云模型的规模确定，M代表标准数据集的属性数。步骤②：计算云模型特征。利用下列公式计算云模型第j属性的期望Exj、熵Enj、超熵Hej、卡方值CSj和权重因子Pj，j＝1,2,…,M：(公式一)(公式二)(公式三)(公式四)(公式五)步骤③：输入待检测入侵检测数据。将K个待检测入侵检测数据存入矩阵Z＝[zi′j]K×M,从云模型数据中随机选取K个正常数据存入矩阵Y＝[yi′j]K×M，其中K<N。步骤④：计算数据属性隶属度。利用下列公式分别计算正常数据的第j属性隶属度μj和待检测入侵检测数据的第j属性隶属度μ′j：(公式六)(公式七)上述公式中，En′是以Enj为均值、Hej为标准差的正态随机数。步骤⑤：划分信号类别。DCA的输入信号分为PAMPS(PathogenAssociatedMolecularPatternSignal,病原相关分析模式信号)、DS(DangerSignal,危险信号)和SS(SafeSignal,安全信号)三类。PAMPS表明组织发生异常，DS表示存在异常可能性较大，SS表明机体健康。当系统由正常状态进入异常状态，PAMPS信号的隶属度应该变大，并保持较为平稳状态，DS信号的隶属度会增大，但并不确定，SS信号的隶属度则相对较低。针对待检测入侵检测数据，依据以下情况划分信号：若Eμ′j＞Eμj，将K个待检测入侵检测数据划分为DS；若Eμ′j＞Eμj且Varμ′j＜Varμj，将K个待检测入侵检测数据划分为PAMPS；若Eμ′j≤Eμj，将K个待检测入侵检测数据划分为SS。其中，将上述K个待检测的入侵检测数据，以及上述信号类别划分结果输入DCA，利用DCA算法即可完成入侵数据的异常检测。本专利技术的有益效果：在进行入侵检测数据属性判断时，改变了以往依靠主观经验对数据的信号含义进行划分的方式，通过入侵检测数据属性隶属度的定量分析来划分信号含义；在后续的DCA异常检测中，提高了入侵检测的检测率，降低了虚警率，具备计算量小，实时性好等优点。附图说明图1是基于云模型的入侵检测数据划分方法示意图；图2是利用本专利技术统计KDDCUP99数据集属性23的隶属度变化情况；图3是利用本专利技术统计KDDCUP99数据集属性33的隶属度变化情况；图4是利用本专利技术改进信号分类后的DCA检测率；图5是利用本专利技术改进信号分类后的DCA虚警率。具体实施方式下面结合附图对本专利技术进行详细说明。图1是基于云模型的入侵检测数据划分方法示意图，该方法包含5个步骤：步骤①：建立云模型数据。步骤②：计算云模型特征。步骤③：输入待检测入侵检测数据。步骤④：计算数据属性隶属度。步骤⑤：划分信号类别。图2是利用本专利技术统计KDDCUP99数据集(即入侵检测标准数据集)属性23的隶属度变化情况。实验在KDDCUP99数据集中选取N＝50000个正常数据建立云模型数据，并随机选取K＝1000个正常数据，分别和1000个smurf攻击数据、1000个satan攻击数据以及1000个wareclient攻击数据构成待检测入侵检测数据。属性23代表的特征含义为与当前连接具有相同目标主机的连接数，由于smurf攻击数据属于DOS(DenialofService,拒绝服务)攻击类型，连接数很高，远远超出正常情况，隶属度很低，接近于0；satan攻击数据属于Probe(端口)攻击类型，所以连接数很稳定，隶属度基本保持不变，而wareclient攻击数据属于R2L(RemotetoLogin,远程到本地)攻击类型，连接数基本保持为1，隶属度很低，因此都可以反映出系统的异常情况。图3是利用本专利技术统计KDDCUP99数据集属性33的隶属度变化情况。实验在KDDCUP99数据集中选取N＝50000个正常数据建立云模型数据，并随机选取K＝1000个正常数据，分别和1000个smurf攻击数据、1000个satan攻击数据以及1000个wareclient攻击数据构成待检测入侵检测数据。属性33代表的特征含义为前100个连接与当前连接具有相同目标主机但服务类型不同的连接数，由于smurf攻击数据属于DOS攻击类型，所以服务类型为TCP协议，隶属度会趋于稳定，而普通状态下相同目标主机，服务类型会各有不同，所以隶属度会随机变化；satan攻击数据属于Probe攻击类型，是基于探测服务端口和协议的，所以隶属度会呈逐渐上升到慢慢稳定的状态，显示系统的攻击类型；wareclient攻击数据属于R2L攻击类型，所以对目标主机的不同服务类型进行连接，当连接成功后，就再次到达稳定状态进行下一次R2L攻击。图4是利用本专利技术改进信号分类后的DCA检测率。图中横坐标为测试数据集个数，纵坐标为DCA检测率。实验以DOS攻击为测试环境，测试数据集分别选取正常数据和异常数据，图中对比了原始信号分类下的DCA检测率和改进信号分类后的DCA检测率。带星号的曲线表示原本文档来自技高网...

【技术保护点】
一种基于云模型的入侵检测数据划分方法，其特征在于，包括下述步骤：步骤①：建立云模型数据：从入侵检测标准数据集中选取N个正常数据存入矩阵X＝[xij]N×M中形成云模型数据，其中N的大小根据所需云模型的规模确定，M代表标准数据集的属性数：步骤②：计算云模型特征：利用下列公式计算云模型第j属性的期望Exj、熵Enj、超熵Hej、卡方值CSj和权重因子Pj，j＝1,2,…,M：Exj=Σi=1NxijN]]>  (公式一)Enj=π2×Σi=1N|xij-Exj|N]]>  (公式二)Hej=Σi=1N(xij-Exj)2N-1-Enj2]]>  (公式三)CSj=Σi=1N(xij-Exj)Exj]]>  (公式四)Pj=CSjΣj=1MCSj]]>  (公式五)步骤③：输入待检测入侵检测数据：将K个待检测入侵检测数据存入矩阵Z＝[zi′j]K×M,从云模型数据中随机选取K个正常数据存入矩阵Y＝[yi′j]K×M，其中K<N；步骤④：计算数据属性隶属度。利用下列公式分别计算正常数据的第j属性隶属度μj和待检测入侵检测数据的第j属性隶属度μ′j：μj=exp[-(Eyj-Exj)22En′2]]]>  (公式六)μj′=exp[-(Ezj-Exj)22En′2]]]>  (公式七)上述公式中，En′是以Enj为均值、Hej为标准差的正态随机数；步骤⑤：划分信号类别：针对待检测入侵检测数据，依据以下情况划分信号：若Eμ′j＞Eμj，将K个待检测入侵检测数据划分为DS危险信号；若Eμ′j＞Eμj且Varμ′j＜Varμj，将K个待检测入侵检测数据划分为PAMPS病原相关分析模式信号；若Eμ′j≤Eμj，将K个待检测入侵检测数据划分为SS安全信号；其中，Eμj′=Σj=1Mμj′N,]]>Eμj=Σj=1MμjN,]]>Varμj′=Σj=1M(μj′-Eμj′)2N,]]>Varμj=Σj=1M(μj-Eμj)2N.]]>...

【技术特征摘要】
1.一种基于云模型的入侵检测数据划分方法，其特征在于，包括下述步骤：步骤①：建立云模型数据：从入侵检测标准数据集中选取N个正常数据存入矩阵X＝[xij]N×M中形成云模型数据，其中N的大小根据所需云模型的规模确定，M代表标准数据集的属性数；步骤②：计算云模型特征：利用下列公式计算云模型第j属性的期望Exj、熵Enj、超熵Hej、卡方值CSj和权重因子Pj，j＝1,2,…,M,步骤③：输入待检测入侵检测数据：将K个待检测入侵检测数据存入矩阵Z＝[zi′j]K×M,从云模型数据中随机选取K个正常数据存入矩阵Y＝[yi′j...

【专利技术属性】
技术研发人员：张琛，王文浩，
申请(专利权)人：中国人民解放军国防科学技术大学，
类型：发明
国别省市：湖南;43