一种入侵检测方法及系统技术方案

本发明专利技术提供了一种入侵检测方法，对于当前传输到用户计算机网络的网络数据，通过将所述网络数据的目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配的方式，确定所述网络数据的分类，所述预先建立的决策树由网络入侵数据的训练数据经过处理生成，其各个节点对应的分类对应不同的入侵类型。本发明专利技术中依据所述分类对网络数据是否为入侵数据进行判断，进而实现了对网络数据的入侵检测，检测过程更加有效，能够更好的对用户的计算机网络进行保护。

Intrusion detection method and system

The present invention provides a method for intrusion detection, the network data transmission to the user of the computer network, the test attribute of each node of decision tree target attributes of the network data and pre established in traverse matching method, determine the classification of the network data, the decision tree built in advance by the network intrusion data processing to generate training data after classification, corresponding to the nodes corresponding to different types of intrusion. In the invention, according to the classification of network data to determine whether the intrusion data, and then realize the intrusion of network data detection, the detection process more effectively, to computer network users to better protect.

【技术实现步骤摘要】

本专利技术涉及网络安全
，特别涉及一种入侵检测方法及系统。
技术介绍
随着信息技术的迅猛发展，计算机网络在生活和工作中的各个领域得到了广泛应用。人们可以应用计算机网络进行网络通信、游戏以及购物等多种日常活动，从一定程度上讲，计算机网络已经成为人们生活中不可或缺的一部分。随着计算机网络应用的普及化，计算机网络安全也成为人们必须要面对的一个问题。网络黑客会利用网络协议的一些安全漏洞，编写相应的网络数据，入侵到用户的计算机网络，窃取用户的相关信息，对用户的利益造成损失。专利技术人经过多次的实践研究发现，现有还未有有效的网络数据入侵检测方法，对传输到用户计算机网络的网络数据进行检测，进而无法有效保护用户的计算机网络安全。
技术实现思路
本专利技术所要解决的技术问题是提供一种入侵检测方法，能够有效的对传输到用户计算机网络的网络数据进行检测，从而保护用户的计算机网络安全。本专利技术还提供一种入侵检测系统，用以保证上述方法在实际中的实现及应用。一种入侵检测方法，包括：确定当前传输的网络数据的目标属性；将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配；确定与所述目标属性相匹配的测试属性所在的决策树节点，并将该节点对应的属性分类作为所述网络数据的分类；依据所述网络数据的分类判断所述网络数据是否为入侵数据，以完成对所述网络数据的入侵检测。上述的方法，优选的，所述确定当前传输的网络数据的目标属性包括：对所述网络数据进行格式转换，将所述网络数据转换为预设定格式；解析所述经过格式转换的网络数据中的各个属性；将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。上述的方法，优选的，所述预先建立决策树的过程包括：对已存储的训练数据进行处理，生成所述训练数据对应的二维表；所述二维表中包含有所述训练数据的各个属性信息；分别计算所述每一个属性信息的信息增益；将信息增益最大的属性信息作为决策树的根节点；按预设的分裂规则，对所述根节点进行逐级分裂划分，形成最终的决策树。上述的方法，优选的，所述将目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配包括：将所述目标属性的属性值与所述决策树的根节点的各个分支值进行匹配；若未匹配成功，则结束匹配，将所述根节点的默认最优分类匹配给所述网络数据；若匹配成功，则延所述匹配成功的分支值所在的决策树分支继续进行匹配，直至匹配至所述决策树分支的叶节点，将所述叶节点对应的分类匹配给所述网络数据。上述的方法，优选的，还包括：当判断所述网络数据为入侵数据时，触发告警。一种入侵检测系统，包括：第一确定单元，用于确定当前传输的网络数据的目标属性；匹配单元，用于将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配；第二确定单元，用于确定与所述目标属性相匹配的测试属性所在的决策树节点，并将该节点对应的属性分类作为所述网络数据的分类；判断单元，用于依据所述网络数据的分类判断所述网络数据是否为入侵数据，以完成对所述网络数据的入侵检测。上述的系统，优选的，所述第一确定单元包括：转换子单元，用于对所述网络数据进行格式转换，将所述网络数据转换为预设定格式；解析子单元，用于解析所述经过格式转换的网络数据中的各个属性；第一确定子单元，用于将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。上述的系统，优选的，还包括：建立单元，用于预先建立决策树。上述的系统，优选的，所述建立单元包括：处理子单元，用于对已存储的训练数据进行处理，生成所述训练数据对应的二维表；所述二维表中包含有所述训练数据的各个属性信息；计算子单元，用于分别计算所述每一个属性信息的信息增益；第二确定子单元，用于将信息增益最大的属性信息作为决策树的根节点；划分子单元，用于按预设的分裂规则，对所述根节点进行逐级分裂划分，形成最终的决策树。上述的系统，优选的，还包括：告警单元，用于当判断所述网络数据为入侵数据时，触发告警。与现有技术相比，本专利技术包括以下优点：本专利技术提供了一种入侵检测方法，确定当前传输的网络数据的目标属性；将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配；确定与所述目标属性相匹配的测试属性所在的决策树节点，并将该节点对应的属性分类作为所述网络数据的分类；依据所述网络数据的分类判断所述网络数据是否为入侵数据，以完成对所述网络数据的入侵检测。本专利技术提供的入侵检测方法，对于当前传输到用户计算机网络的网络数据，通过将所述网络数据的目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配的方式，确定所述网络数据的分类，所述预先建立的决策树由网络入侵数据的训练数据经过处理生成，其各个节点对应的分类对应不同的入侵类型。本专利技术中依据所述分类对网络数据是否为入侵数据进行判断，进而实现了对网络数据的入侵检测，检测过程更加有效，能够更好的对用户的计算机网络进行保护。当然，实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种入侵检测方法的方法流程图；图2为本专利技术提供的一种入侵检测方法的又一方法流程图；图3为本专利技术提供的一种入侵检测方法的又一方法流程图；图4为本专利技术提供的一种入侵检测方法的一实例图；图5为本专利技术提供的一种入侵检测方法的一实例图；图6为本专利技术提供的一种入侵检测方法的一实例图；图7为本专利技术提供的一种入侵检测方法的一实例图；图8为本专利技术提供的一种入侵检测方法的一实例图；图9为本专利技术提供的一种入侵检测方法的一实例图；图10为本专利技术提供的一种入侵检测方法的一实例图；图11为本专利技术提供的一种入侵检测方法的一实例图；图12为本专利技术提供的一种入侵检测方法的一实例图；图13为本专利技术提供的一种入侵检测方法的一实例图；图14为本专利技术提供的一种决策树生成的方法流程图；图15为本专利技术提供的一种入侵检测系统的结构示意图；图16为本专利技术提供的一种入侵检测系统的又一结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术可用于众多通用或专用的计算装置环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。本专利技术提供了一种入侵检测方法，其执行主体也可以是用户计算机的处理器，也可以是用户计算机所处网络中设置的任何一个网络节点。图1示出了该入侵检测方法的方法流程图，包括步骤：步骤S101：确定当前传输的网络数据的目标属性；本专利技术实施例中，对于当前传输至用户计算机网络的网络数据，在该网络数据进入用户的计算机网络时，确定所述网络数据的目标属性；所述目标属性为所述网络数据的多个属性中的其中一个，用以表征所述网络数据的数据特性。步骤S102：将所述目本文档来自技高网...

【技术保护点】
一种入侵检测方法，其特征在于，包括：确定当前传输的网络数据的目标属性；将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配；确定与所述目标属性相匹配的测试属性所在的决策树节点，并将该节点对应的属性分类作为所述网络数据的分类；依据所述网络数据的分类判断所述网络数据是否为入侵数据，以完成对所述网络数据的入侵检测。

【技术特征摘要】
1.一种入侵检测方法，其特征在于，包括：确定当前传输的网络数据的目标属性；将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配；确定与所述目标属性相匹配的测试属性所在的决策树节点，并将该节点对应的属性分类作为所述网络数据的分类；依据所述网络数据的分类判断所述网络数据是否为入侵数据，以完成对所述网络数据的入侵检测。2.根据权利要求1所述的方法，其特征在于，所述确定当前传输的网络数据的目标属性包括：对所述网络数据进行格式转换，将所述网络数据转换为预设定格式；解析所述经过格式转换的网络数据中的各个属性；将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。3.根据权利要求1所述的方法，其特征在于，所述预先建立决策树的过程包括：对已存储的训练数据进行处理，生成所述训练数据对应的二维表；所述二维表中包含有所述训练数据的各个属性信息；分别计算所述每一个属性信息的信息增益；将信息增益最大的属性信息作为决策树的根节点；按预设的分裂规则，对所述根节点进行逐级分裂划分，形成最终的决策树。4.根据权利要求1所述的方法，其特征在于，所述将目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配包括：将所述目标属性的属性值与所述决策树的根节点的各个分支值进行匹配；若未匹配成功，则结束匹配，将所述根节点的默认最优分类匹配给所述网络数据；若匹配成功，则延所述匹配成功的分支值所在的决策树分支继续进行匹配，直至匹配至所述决策树分支的叶节点，将所述叶节点对应的分类匹配给所述网络数据。5.根据权利要求1所...

【专利技术属性】
技术研发人员：翟建军，钟金鑫，齐志彬，陈青民，李周，丁晓，
申请(专利权)人：北京安信天行科技有限公司，
类型：发明
国别省市：北京;11