The embodiment of the invention provides a wireless network intrusion detection method, device and electronic device, the method includes: obtaining the current characteristic value of the preset network traffic characteristic corresponding to the current data packet; calculating the similarity between the current characteristic value and the characteristic value of each clustering category trained in advance, and obtaining multiple first similarity calculation results for each clustering category Results: according to the results of the first similarity calculation, the cluster category to which the current eigenvalue belongs is determined; if the cluster category to which the current eigenvalue belongs is marked as abnormal, the wireless network is determined to be intruded. In the embodiment of the invention, when the intrusion mode is slightly changed, the first similarity between the current eigenvalue and each clustering category can also be used to determine whether the wireless network is intruded and improve the accuracy of intrusion detection.
【技术实现步骤摘要】
无线网络入侵检测方法、装置及电子设备
本专利技术涉及网络安全
,特别是涉及一种无线网络入侵检测方法、装置及电子设备。
技术介绍
随着网络技术的不断发展,无线网络的使用场景越来越广泛,越来越多的人通过无线终端访问无线网络,由于无线网络是采用射频技术进行网络连接及传输的开放式系统,任何无线信号覆盖范围内的无线终端,均可以对无线网络发起攻击,因此,进行入侵检测,保证无线网络的安全性至关重要。在进行无线网络入侵检测时,通常对待检测的数据包进行解析,然后将上述解析后的数据包和预设的异常数据包特征库的特征进行匹配,若解析后的待检测数据包与异常数据包特征库中某一特征完全匹配,即待检测的数据包具有异常数据包特征,则确定该待检测数据包为异常数据包。采用上述方法进行无线网络入侵检测时,当入侵的方式稍有变化时,就无法识别出异常数据包,因此,无线入侵检测的准确度不高。
技术实现思路
本专利技术实施例的目的在于提供一种无线网络入侵检测方法、装置及电子设备,以提高入侵检测的准确性。具体技术方案如下:第一方面,本专利技术实施例提供了一种无线网络入侵检测方法,所述方法包括:获取当前数据包对应的预设的网络流量特征的当前特征值;将所述当前特征值与预先训练的各个聚类类别的特征值进行相似度计算,获得针对所述各个聚类类别的多个第一相似度计算结果;所述各个聚类类别被标记为正常或异常;所述各个聚类类别的特征值为:在训练过程中确定的该聚类类别对应的预设的网络流量特征的特征值;根据所述多个第一...
【技术保护点】
1.一种无线网络入侵检测方法,其特征在于,所述方法包括:/n获取当前数据包对应的预设的网络流量特征的当前特征值;/n将所述当前特征值与预先训练的各个聚类类别的特征值进行相似度计算,获得针对所述各个聚类类别的多个第一相似度计算结果;所述各个聚类类别被标记为正常或异常;所述各个聚类类别的特征值为:在训练过程中确定的该聚类类别对应的预设的网络流量特征的特征值;/n根据所述多个第一相似度计算结果,确定所述当前特征值所属的聚类类别;/n若所述当前特征值所属的聚类类别被标记为异常,则确定所述无线网络被入侵。/n
【技术特征摘要】
1.一种无线网络入侵检测方法,其特征在于,所述方法包括:
获取当前数据包对应的预设的网络流量特征的当前特征值;
将所述当前特征值与预先训练的各个聚类类别的特征值进行相似度计算,获得针对所述各个聚类类别的多个第一相似度计算结果;所述各个聚类类别被标记为正常或异常;所述各个聚类类别的特征值为:在训练过程中确定的该聚类类别对应的预设的网络流量特征的特征值;
根据所述多个第一相似度计算结果,确定所述当前特征值所属的聚类类别;
若所述当前特征值所属的聚类类别被标记为异常,则确定所述无线网络被入侵。
2.根据权利要求1所述的方法,其特征在于,所述获取当前数据包对应的预设的网络流量特征的当前特征值的步骤,包括:
对所述当前数据包进行解析,获得所述当前数据包自身的数据特征的特征值;
获得在接收到所述当前数据包之前预设时间内接收到的多个数据包中,各个指定帧的统计信息,作为基于时间的第一网络流量特征的特征值;
获得在接收到所述当前数据包之前预设接入次数中各个指定接入指标的统计信息,和/或在接收到所述当前数据包之前接收到的预设个数的数据包中,重发数据包的统计信息,作为基于数量的第二网络流量特征的特征值;
将所述当前数据包自身的数据特征的特征值、所述基于时间的第一网络流量特征的特征值以及所述基于数量的第二网络流量特征的特征值作为所述当前特征值。
3.根据权利要求1所述的方法,其特征在于,所述各个聚类类别,采用如下步骤训练获得:
获取样本数据包集合中各个样本数据包对应的预设的网络流量特征的各个样本特征值,构成样本特征值集合;
基于所述各个样本特征值的相似度,对所述样本特征值集合中的各个样本特征值进行聚类,获得多个聚类类别和每个聚类类别对应的预设的网络流量特征的特征值;
将符合预设正常聚类类别条件的聚类类别标记为正常,将不符合预设正常聚类类别条件的聚类类别标记为异常。
4.根据权利要求3所述的方法,其特征在于,所述获取样本数据包集合中各个样本数据包对应的预设的网络流量特征的各个样本特征值,构成样本特征值集合的步骤,包括:
获取样本数据包集合中各个样本数据包对应的预设的网络流量特征的各个样本特征值;
对所述各个样本特征值进行归一化,构成样本特征值集合;
在所述将所述当前特征值与预先训练的各个聚类类别的特征值进行相似度计算的步骤之前,还包括:
对所述当前特征值进行归一化。
5.根据权利要求3所述的方法,其特征在于,
所述基于所述各个样本特征值的相似度,对所述样本特征值集合中的各个样本特征值进行聚类,获得多个聚类类别和每个聚类类别对应的预设的网络流量特征的特征值的步骤,包括:
逐一选择所述样本特征值集合中的一个样本特征值,分别作为当前样本特征值,执行如下步骤:
判断当前聚类集合是否为空;
如果当前聚类集合为空,则创建一个聚类类别,该聚类类别的质心记录为当前样本特征值,将该聚类类别加入所述当前聚类集合中;
如果当前聚类集合不为空,则将当前样本特征值与所述聚类集合中已有的各个聚类类别的质心进行相似度计算,获得针对所述当前聚类集合中已有的各个聚类类别的多个第二相似度计算结果;
判断各个第二相似度结果是否满足预设的相似条件;
获得第二相似度计算结果满足预设相似条件时对应的聚类类别,确定为所述当前样本特征值所属的聚类类别,将所述当前样本特征值加入所述当前样本特征值所属的聚类类别中;
如果没有第二相似度计算结果满足预设相似条件,则创建一个聚类类别,该聚类类别的质心记录为当前样本特征值,将该聚类类别加入所述当前聚类集合中;
重新计算所述当前聚类集合中每个聚类类别的质心;
在对所述样本特征值集合中的各个样本特征值聚类完成后,将聚类集合中的每个聚类类别的质心,作为每个聚类类别对应的预设的网络流量特征的特征值。
6.根据权利要求5所述的方法,其特征在于,所述将当前样本特征值与所述聚类集合中已有的各个聚类类别的质心进行相似度计算,获得针对所述当前聚类集合中已有的各个聚类类别的多个第二相似度计算结果的步骤,包括:
计算当前样本特征值与所述聚类集合中已有的各个聚类类别的质心之间的欧式距离,获得多个第二欧式距离值,作为第二相似度结果;
所述判断各个第二相似度结果是否满足预设的相似条件的步骤,包括:
判断所述各个第二欧式距离值是...
【专利技术属性】
技术研发人员:王滨,万里,叶长,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。