本发明专利技术公开了一种入侵检测方法及系统,通过有标识的分组采集网络流量数据,避免了传统方法针对单个网络流量数据进行采集分析导致检测不准确的问题;将每个网络流量数据特征的分布曲线拟合成行为分布特征曲线之后再进行攻击行为的类型检测识别,将多维的网络流量数据特征的分布特征降为一维的行为分布特征,有利于网络流量数据特征与机器学习进行更好地结合,有利于提高检测结果的准确性。利用行为分布特征曲线的行为分布特征值进行机器学习训练,只需要基础的神经网络模型即可完成训练任务,避免了传统方法对机器学习神经网络的过度依赖。使得本发明专利技术提供的入侵检测方法能够更加简单、高效、准确地完成入侵检测。准确地完成入侵检测。准确地完成入侵检测。
【技术实现步骤摘要】
一种入侵检测方法及系统
[0001]本专利技术涉及网络安全入侵检测
,具体涉及一种入侵检测方法及系统。
技术介绍
[0002]根据使用的数据和检测策略,入侵检测可分为基于网络的入侵检测、基于主机的入侵检测系统、基于特征的入侵检测、基于异常的入侵检测等。这些方法基于网络流量数据、主机行为数据以及融合网络和主机数据来识别攻击或异常行为。
[0003]入侵检测领域中的现有技术对机器学习模型过度依赖。通过构建越来越复杂的机器学习模型,或利用组合机器学习模型的方法追求更好的检测性能。此外,为了能在特定数据集上得到更好的检测性能,大量的入侵检测方法会利用特征工程策略来选择能够得到更好检测性能的特征指标。这使得很多入侵检测方法不具备良好的适用性,且难部署、难使用。
[0004]现有的入侵检测方法还缺少对网络行为特征的研究,针对网络行为特征的研究不够深入,且无法与机器学习模型进行有效的结合。很多方法提出了一些特征研究后仅利用阈值信息进行异常检测。同时随着机器学习的兴起,许多研究甚至放弃了对网络行为的深入研究。
技术实现思路
[0005]有鉴于此,本专利技术提供了一种入侵检测方法及系统,能够简单、高效的完成入侵检测。
[0006]本专利技术采用的具体技术方案如下:
[0007]一种入侵检测方法,包括:
[0008]分组采集网络流量数据,获取网络流量数据特征;
[0009]分别计算获得每个网络流量数据特征的分布特征曲线;
[0010]根据所述每个网络流量数据特征的分布特征曲线,拟合获得行为分布特征曲线;
[0011]根据所述行为分布特征曲线,检测判断对应的攻击行为的类型。
[0012]进一步地,所述分组采集网络流量数据,包括:
[0013]以源IP和目的IP作为标识信息采集所述网络流量数据,并设置每组所述网络流量数据的采集下限M和采集上限N,其中,若当前行为的数据量低于所述采集下限M,则认为当前行为是无效行为,若当前行为的数据量高于所述采集上限N,则删除第一条采集数据,加入新的采集数据,维持数据量等于所述采集上限N,其中,M和N均为整数。
[0014]进一步地,所述网络流量数据特征包括:行为的持续时间、前后两个方向的包数、前后两个方向的字节数以及前后两个方向的响应时间。
[0015]进一步地,分别计算获得每个网络流量数据特征的分布特征曲线,包括:
[0016]计算每个所述网络流量数据特征的比例分布信息,获得每个所述网络流量数据特征的频域信息,将所述频域信息带入傅里叶级数实值公式获得每个所述网络流量数据特征
的分布特征曲线,其中,所述分布特征曲线用公式表示为:
[0017]F
d
(t)=∑x
n
sin(p
n
*2*π*t)
[0018]其中,x
n
是网络流量数据特征的取值,p
n
为x
n
的比例概率,t为数量参数。
[0019]进一步地,根据所述每个网络流量数据特征的分布特征曲线,拟合获得行为分布特征曲线,包括:
[0020]将所述每个网络流量数据特征的分布特征曲线的分布特征值输入至卷积自编码器,所述卷积自编码器拟合获得行为分布特征曲线。
[0021]进一步地,所述根据所述行为分布特征曲线,检测判断对应的攻击行为的类型,包括:
[0022]利用所述行为分布特征曲线的行为分布特征值进行机器学习训练,获得行为检测神经网络模型,利用所述行为检测神经网络模型检测判断对应的攻击行为的类型。
[0023]一种入侵检测系统,包括:
[0024]数据采集模块,用于分组采集网络流量数据,获取网络流量数据特征;
[0025]分布特征计算模块,用于分别计算获得每个网络流量数据特征的分布特征曲线;
[0026]分布特征拟合模块,用于根据所述每个网络流量数据特征的分布特征曲线,拟合获得行为分布特征曲线;
[0027]训练检测模块,用于根据所述行为分布特征曲线,检测判断对应的攻击行为的类型。
[0028]进一步地,在所述数据采集模块中,以源IP和目的IP作为标识信息采集所述网络流量数据,并设置每组所述网络流量数据的采集下限M和采集上限N,其中,若当前行为的数据量低于所述采集下限M,则认为当前行为是无效行为,若当前行为的数据量高于所述采集上限N,则删除第一条采集数据,加入新的采集数据,维持数据量等于所述采集上限N,其中,M和N均为整数。
[0029]进一步地,在所述分布特征计算模块中,计算每个所述网络流量数据特征的比例分布信息,获得每个所述网络流量数据特征的频域信息,将所述频域信息带入傅里叶级数实值公式获得每个所述网络流量数据特征的分布特征曲线,其中,所述分布特征曲线用公式表示为:
[0030]F
d
(t)=∑x
n
sin(p
n
*2*π*t)其中,x
n
是网络流量数据特征的取值,p
n
为x
n
的比例概率,t为数量参数。
[0031]进一步地,在所述分布特征拟合模块中,将所述每个网络流量数据特征的分布特征曲线的分布特征值输入至卷积自编码器,所述卷积自编码器拟合获得行为分布特征曲线。
[0032]有益效果:
[0033](1)一种入侵检测方法,通过分组采集网络流量数据,避免了传统方法针对单个网络流量数据进行采集分析导致检测不准确的问题;将每个网络流量数据特征的分布曲线拟合成行为分布特征曲线之后再进行攻击行为的类型检测识别,将多维的网络流量数据特征的分布特征降为一维的行为分布特征,有利于网络流量数据特征与机器学习进行更好地结合,有利于提高检测结果的准确性。
[0034](2)以源IP和目的IP作为标识信息采集所述网络流量数据,可以很好地进行行为
区分,更加有效且准确地对当前行为的类型进行检测判断,避免采集当前行为数据的时候采集到其他行为的数据,影响了检测结果的准确性。设置每组网络流量数据的采集下限和采集上限,可以规避无效行为的采集造成资源浪费和效率降低。
[0035](3)若当前行为的数据量高于采集上限,则删除第一条采集数据,加入新的采集数据,维持数据量等于采集上限,可以维持当前行为采集的数据的统一程度和准确性,避免因为无限度采集大量数据,导致行为演化干扰检测结果。
[0036](4)采用最基本的网络流量数据特征作为数据计算指标,可以提高本专利技术入侵检测方法的适用性。
[0037](5)利用行为分布特征曲线的行为分布特征值进行机器学习训练,只需要基础的神经网络模型即可完成训练任务,避免了传统方法对机器学习神经网络的过度依赖。
附图说明
[0038]图1是根据本专利技术实施例的入侵检测方法的流程图;
[0039]图2是根据本专利技术实施例的行为与网络流量数据特征的嵌入关系示意图;
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种入侵检测方法,其特征在于,包括:分组采集网络流量数据,获取网络流量数据特征;分别计算获得每个所述网络流量数据特征的分布特征曲线;根据所述每个网络流量数据特征的分布特征曲线,拟合获得行为分布特征曲线;根据所述行为分布特征曲线,检测判断对应的攻击行为的类型。2.如权利要求1所述的方法,其特征在于,所述分组采集网络流量数据,包括:以源IP和目的IP作为标识信息采集所述网络流量数据,并设置每组所述网络流量数据的采集下限M和采集上限N,其中,若当前行为的数据量低于所述采集下限M,则认为当前行为是无效行为,若当前行为的数据量高于所述采集上限N,则删除第一条采集数据,加入新的采集数据,维持数据量等于所述采集上限N,其中,M和N均为整数。3.如权利要求2所述的方法,其特征在于,所述网络流量数据特征包括:行为的持续时间、前后两个方向的包数、前后两个方向的字节数以及前后两个方向的响应时间。4.如权利要求1所述的方法,其特征在于,分别计算获得每个网络流量数据特征的分布特征曲线,包括:计算每个所述网络流量数据特征的比例分布信息,获得每个所述网络流量数据特征的频域信息,将所述频域信息带入傅里叶级数实值公式获得每个所述网络流量数据特征的分布特征曲线,其中,所述分布特征曲线用公式表示为:F
d
(t)=∑x
n
sin(p
n
*2*π*t)其中,x
n
是网络流量数据特征的取值,p
n
为x
n
的比例概率,t为数量参数。5.如权利要求1所述的方法,其特征在于,根据所述每个网络流量数据特征的分布特征曲线,拟合获得行为分布特征曲线,包括:将所述每个网络流量数据特征的分布特征曲线的分布特征值输入至卷积自编码器,所述卷积自编码器拟合获得行为分布特征曲线。6.如权利要求1所述的方法,其特征在于,所述根据所述行为分...
【专利技术属性】
技术研发人员:单纯,刘臻,胡昌振,周彥哲,彭哲恒,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。