本申请实施例提供了一种网络入侵检测的协同推演方法及装置、存储介质,根据不同主机之间的通信关系图构建目标元胞自动机,相比于传统的元胞自动机,目标元胞自动机的每个元胞配置有元胞数据属性,因此能够根据元胞数据属性对目标元胞自动机的所有元胞进行入侵检测,并且结合了模式匹配算法和隐马尔可夫模型基于元胞自身状态的时序关系和邻居元胞状态的空间关系进行协同推理预测,可以基于对目标元胞自动机上进行的状态计算和状态推理演化而实现入侵检测协同推演,不仅能够检测入侵攻击还能够预测入侵攻击的发展趋势,有利于提高网络入侵的攻击检测效率,从而为防御方的防御工作提供帮助。作提供帮助。作提供帮助。
【技术实现步骤摘要】
网络入侵检测的协同推演方法及装置、存储介质
[0001]本申请涉及人工智能
,尤其涉及一种网络入侵检测的协同推演方法及装置、计算机可读存储介质。
技术介绍
[0002]目前,现有研究者提出的网络入侵检测技术一大部分都是采用单一方法进行入侵检测,例如基于原始数据做入侵检测的方法,这割裂了数据之间的相关性,存在攻击检测效率低的问题,而另一些现有的方法,例如结合卡方方法的一种图入侵检测分析模型,充分考虑了每条数据之间的关联性,基于主机关联性构建关系连通图并通过关系推理实现动态分析攻击行为,然而该方法仅考虑到数据之间的关联性而忽视了数据本身的特征,也存在攻击检测效率低的问题。因此,如何提高网络入侵的攻击检测效率,成为了亟待解决的技术问题。
技术实现思路
[0003]本申请实施例的主要目的在于提出一种网络入侵检测的协同推演方法及装置、计算机可读存储介质,旨在提高网络入侵的攻击检测效率。
[0004]为实现上述目的,本申请实施例的第一方面提出了一种网络入侵检测的协同推演方法,包括:
[0005]根据不同主机之间的通信关系图构建目标元胞自动机,其中,每个所述主机对应于所述目标元胞自动机的一个元胞;
[0006]分别为所述目标元胞自动机的每个所述元胞添加元胞数据属性;
[0007]根据所有所述元胞数据属性对所述目标元胞自动机的所有所述元胞进行入侵检测,得到所有所述元胞的历史状态信息;
[0008]对于所述目标元胞自动机的每个所述元胞,通过预配置的隐马尔可夫模型根据所述元胞的历史状态信息,得到所述元胞在下一时刻的第一状态信息,以及,基于预配置的模式匹配算法根据目标元胞的所述历史状态信息,确定所述元胞在下一时刻的第二状态信息,其中,所述目标元胞为所述元胞在所述目标元胞自动机中的所有邻居元胞;
[0009]根据所有所述第一状态信息和所有所述第二状态信息进行状态预测,得到各个所述元胞在下一时刻的预测状态信息;
[0010]根据各个所述元胞在下一时刻的预测状态信息,生成对于所述目标元胞自动机的协同推演结果。
[0011]在一些实施例中,每个所述元胞的所述元胞数据属性为所述元胞对应的所述主机在每个时刻的流量数据和日志数据。
[0012]在一些实施例中,所述根据所有所述元胞数据属性对所述目标元胞自动机的所有所述元胞进行入侵检测,得到所有所述元胞的历史状态信息,包括:
[0013]对于所述目标元胞自动机的每个所述元胞,对所有所述流量数据进行知识抽取,
得到第一知识,以及,对所有所述日志数据进行知识抽取,得到第二知识;
[0014]将所述第一知识和所述第二知识进行知识融合,得到融合数据;
[0015]根据所述融合数据对所述元胞进行入侵检测,得到所述元胞的历史状态信息。
[0016]在一些实施例中,所述根据所述融合数据对所述元胞进行入侵检测,包括:
[0017]基于BP神经网络算法根据所述融合数据对所述元胞进行入侵检测。
[0018]在一些实施例中,所述邻居元胞为所述目标元胞自动机中与所述元胞具有通信关系的至少一个其余的所述元胞。
[0019]在一些实施例中,所述根据所有所述第一状态信息和所有所述第二状态信息进行状态预测,得到各个所述元胞在下一时刻的预测状态信息,包括:
[0020]根据所有所述第一状态信息和所有所述第二状态信息确定预测攻击事件;
[0021]根据所述模式匹配算法对应的攻击链规则与所述预测攻击事件之间的匹配性,得到各个所述元胞在下一时刻的预测状态信息。
[0022]在一些实施例中,所述根据所述模式匹配算法对应的攻击链规则与所述预测攻击事件之间的匹配性,得到各个所述元胞在下一时刻的预测状态信息,包括:
[0023]对于所述目标元胞自动机的每个所述元胞,当所述模式匹配算法对应的攻击链规则与所述预测攻击事件匹配,以所述元胞在下一时刻的第二状态信息作为所述元胞在下一时刻的预测状态信息;
[0024]或者,
[0025]对于所述目标元胞自动机的每个所述元胞,当所述模式匹配算法对应的攻击链规则与所述预测攻击事件未匹配,以所述元胞在下一时刻的第一状态信息作为所述元胞在下一时刻的预测状态信息。
[0026]在一些实施例中,所述方法还包括:
[0027]根据对于所述目标元胞自动机的协同推演结果,生成对应于所述协同推演结果的网络防御策略。
[0028]为实现上述目的,本申请实施例的第二方面提出了一种网络入侵检测的协同推演装置,包括至少一个处理器和用于与所述至少一个处理器通信连接的存储器;所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述第一方面所述的网络入侵检测的协同推演方法。
[0029]为实现上述目的,本申请实施例的第三方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如上述第一方面所述的网络入侵检测的协同推演方法。
[0030]本申请提出的网络入侵检测的协同推演方法及装置、存储介质,根据不同主机之间的通信关系图构建目标元胞自动机,相比于传统的元胞自动机,目标元胞自动机的每个元胞配置有元胞数据属性,因此能够根据元胞数据属性对目标元胞自动机的所有元胞进行入侵检测,并且结合了模式匹配算法和隐马尔可夫模型基于元胞自身状态的时序关系和邻居元胞状态的空间关系进行协同推理预测,可以基于对目标元胞自动机上进行的状态计算和状态推理演化而实现入侵检测协同推演,不仅能够检测入侵攻击还能够预测入侵攻击的发展趋势,有利于提高网络入侵的攻击检测效率,从而为防御方的防御工作提供帮助。
附图说明
[0031]图1是本申请一个实施例提供的网络入侵检测的协同推演方法的流程图;
[0032]图2是传统的元胞自动机与本申请一个实施例提供的目标元胞自动机的对比示意图;
[0033]图3是图1中的步骤S103的流程图;
[0034]图4是图3中的步骤S201至S203的执行流程示意图;
[0035]图5是图3中的步骤S203的流程图;
[0036]图6是图1中的步骤S105的流程图;
[0037]图7是本申请另一个实施例提供的网络入侵检测的协同推演方法的流程图;
[0038]图8是本申请一个实施例提供的网络入侵检测的协同推演装置的硬件结构示意图。
具体实施方式
[0039]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
[0040]需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以用不同于装置中的模块划分,或流程图中的顺序执行所示或描述的步骤。说明书和权利要求书及上述附图中的术语“第一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络入侵检测的协同推演方法,其特征在于,包括:根据不同主机之间的通信关系图构建目标元胞自动机,其中,每个所述主机对应于所述目标元胞自动机的一个元胞;分别为所述目标元胞自动机的每个所述元胞添加元胞数据属性;根据所有所述元胞数据属性对所述目标元胞自动机的所有所述元胞进行入侵检测,得到所有所述元胞的历史状态信息;对于所述目标元胞自动机的每个所述元胞,通过预配置的隐马尔可夫模型根据所述元胞的历史状态信息,得到所述元胞在下一时刻的第一状态信息,以及,基于预配置的模式匹配算法根据目标元胞的所述历史状态信息,确定所述元胞在下一时刻的第二状态信息,其中,所述目标元胞为所述元胞在所述目标元胞自动机中的所有邻居元胞;根据所有所述第一状态信息和所有所述第二状态信息进行状态预测,得到各个所述元胞在下一时刻的预测状态信息;根据各个所述元胞在下一时刻的预测状态信息,生成对于所述目标元胞自动机的协同推演结果。2.根据权利要求1所述的网络入侵检测的协同推演方法,其特征在于,每个所述元胞的所述元胞数据属性为所述元胞对应的所述主机在每个时刻的流量数据和日志数据。3.根据权利要求2所述的网络入侵检测的协同推演方法,其特征在于,所述根据所有所述元胞数据属性对所述目标元胞自动机的所有所述元胞进行入侵检测,得到所有所述元胞的历史状态信息,包括:对于所述目标元胞自动机的每个所述元胞,对所有所述流量数据进行知识抽取,得到第一知识,以及,对所有所述日志数据进行知识抽取,得到第二知识;将所述第一知识和所述第二知识进行知识融合,得到融合数据;根据所述融合数据对所述元胞进行入侵检测,得到所述元胞的历史状态信息。4.根据权利要求3所述的网络入侵检测的协同推演方法,其特征在于,所述根据所述融合数据对所述元胞进行入侵检测,包括:基于BP神经网络算法根据所述融合数据对所述元胞进行入侵检测。5.根据权利要求1所述的网络入侵检测的协同推演方法,其特征在...
【专利技术属性】
技术研发人员:王乐,张志强,顾钊铨,邓建宇,刘云晖,谭灏南,罗翠,周可,陈元,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。