基于数据包的入侵检测方法、装置及存储介质制造方法及图纸

本发明专利技术实施例公开了一种基于数据包的入侵检测方法、装置及存储介质，涉及网络安全领域。本发明专利技术的方法包括：在入侵检测过程中，将数据流划分为数据包；基于所述数据包生成训练包样本集和测试包样本集，其中，所述训练包样本集中包括至少一个训练样本，测试包样本集中包括至少一个测试包样本；将所述训练包样本集作为输入，训练得到强分类器，所述强分类器由多个基分类器构成；基于所述强分类器，构建入侵检测模型；将所述测试包样本集作为输入，对所述入侵检测模型进行测试，并得到测试结果，所述测试结果包括正常状态和异常状态。本发明专利技术能够提高入侵检测的性能。

Intrusion Detection Method, Device and Storage Medium Based on Packet

The embodiment of the invention discloses an intrusion detection method, device and storage medium based on data packet, which relates to the field of network security. The method of the present invention includes: dividing data stream into data packets in the process of intrusion detection; generating training package sample set and test package sample set based on the data packet, in which the training package sample set includes at least one training sample and the test package sample set includes at least one test package sample; training the training package sample set as input to obtain a strong classifier. The strong classifier is composed of several base classifiers; an intrusion detection model is constructed based on the strong classifier; the test package sample set is used as input to test the intrusion detection model, and the test results are obtained. The test results include normal state and abnormal state. The invention can improve the performance of intrusion detection.

【技术实现步骤摘要】
基于数据包的入侵检测方法、装置及存储介质
本专利技术涉及网络安全领域，尤其涉及一种基于数据包的入侵检测方法、装置及存储介质。
技术介绍
随时网络安全技术的发展，入侵检测成为日益关注的问题。现有的入侵检测方法大多是基于单个数据流的检测，但是将这些方法直接应用于持续性攻击行为(连续多条异常流量)的检测中，并不能准确实时的反映网络安全状况。比如对DDOS攻击进行检测，仅仅对某一条数据流进行分析并不能检测出入侵行为。并且对于持续攻击行为的检测，利用单条数据流进行逐条连续检测方法在一定程度上也降低了算法的性能。
技术实现思路
本专利技术的实施例提供一种于数据包的入侵检测方法、装置及存储介质，能够解决入侵检测性能低的问题。为达到上述目的，本专利技术的实施例采用如下技术方案：第一方面，本专利技术的实施例提供一种基于数据包的入侵检测方法，包括：在入侵检测过程中，将数据流划分为数据包；基于所述数据包生成训练包样本集和测试包样本集，其中，所述训练包样本集中包括至少一个训练样本，测试包样本集中包括至少一个测试包样本；将所述训练包样本集作为输入，训练得到强分类器，所述强分类器由多个基分类器构成；基于所述强分类器，构建入侵检测模型；将所述测试包样本集作为输入，对所述入侵检测模型进行测试，并得到测试结果，所述测试结果包括正常状态和异常状态。结合第一方面，在第一方面的第一种可能的实现方式中，所述基于所述数据包生成训练包样本集和测试包样本集包括：对所述数据包中的各样本特征进行特征归一化处理，其中，所述数据包中包括多个样本，每个所述样本中包括多个样本特征；对各归一化处理后的样本特征进行距离变换；对距离变换后的各样本特征进行映射处理，得到各所述样本分别对应的特征向量；基于各所述样本分别对应的特征向量，在各所述样本中选择多个样本作为训练包样本，得到所述训练包样本集；并在各所述样本中选择多个样本作为测试包样本，得到所述测试包样本集。结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述对所述数据包中的各样本特征进行特征归一化处理，包括：根据公式得到数据包矩阵，其中，所述数据包由m个样本构成，每个样本由n个特征构成，xi＝(xi1,xi2,…,xin),i＝1,…,m为每个样本的特征向量,xlk为第l个样本的第k个特征；根据公式对数据包矩阵进行特征归一化变换，其中，X为归一化处理后的样本特征，中所有元素为[0,1]之间的值。结合第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述对各归一化处理后的样本特征进行距离变换，包括：根据公式进行距离变换，为xak和xbka之间的特征距离函数，xak和xbk为矩阵X中第a个样本和第b样本的第k个特征，τ＝{D1,D2,…,Dn}为每个样本的n个特征的距离矩阵。结合第一方面的第一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述对距离变换后的各样本特征进行映射处理，得到各所述样本分别对应的特征向量，包括：构建1×r维向量其中根据公式进行特征映射，其中，p是z的维数0≤i≤b-1。结合第一方面，在第一方面的第五种可能的实现方式中，所述将所述训练包样本集作为输入，训练得到强分类器包括：基于Bagging方式，进行采样操作；基于Adaboost迭代算法，调整采样得到的样本数量；根据采样得到的所述样本数量对应的各样本，训练得到所述强分类器。第二方面，本专利技术的实施例提供一种基于数据包的入侵检测装置，包括：划分模块，用于在入侵检测过程中，将数据流划分为数据包；生成模块，用于基于所述数据包生成训练包样本集和测试包样本集，其中，所述训练包样本集中包括至少一个训练样本，测试包样本集中包括至少一个测试包样本；训练模块，用于将所述训练包样本集作为输入，训练得到强分类器，所述强分类器由多个基分类器构成；构建模块，用于基于所述强分类器，构建入侵检测模型；测试模块，用于将所述测试包样本集作为输入，对所述入侵检测模型进行测试，并得到测试结果，所述测试结果包括正常状态和异常状态。结合第二方面，在第二方面的第一种可能的实现方式中，所述生成模块包括：归一化处理子模块，用于对所述数据包中的各样本特征进行特征归一化处理，其中，所述数据包中包括多个样本，每个所述样本中包括多个样本特征；距离变换子模块，用于对各归一化处理后的样本特征进行距离变换；映射子模块，用于对距离变换后的各样本特征进行映射处理，得到各所述样本分别对应的特征向量；选择子模块，用于基于各所述样本分别对应的特征向量，在各所述样本中选择多个样本作为训练包样本，得到所述训练包样本集；并在各所述样本中选择多个样本作为测试包样本，得到所述测试包样本集。结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述归一化处理子模块，用于根据公式得到数据包矩阵，其中，所述数据包由m个样本构成，每个样本由n个特征构成，xi＝(xi1,xi2,…,xin),i＝1,…,m为每个样本的特征向量,xlk为第l个样本的第k个特征；根据公式对数据包矩阵进行特征归一化变换，其中，X为归一化处理后的样本特征，中所有元素为[0,1]之间的值。结合第二方面的第一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述距离变换子模块，用于根据公式进行距离变换，为xak和xbka之间的特征距离函数，xak和xbk为矩阵X中第a个样本和第b样本的第k个特征，τ＝{D1,D2,…,Dn}为每个样本的n个特征的距离矩阵。结合第二方面的第一种可能的实现方式，在第二方面的第四种可能的实现方式中，所述映射子模块，用于构建1×r维向量其中根据公式进行特征映射，其中，p是z的维数0≤i≤b-1。结合第二方面，在第二方面的第五种可能的实现方式中，采样子模块，用于基于Bagging方式，进行采样操作；调整子模块，用于基于Adaboost迭代算法，调整采样得到的样本数量；训练子模块，用于根据采样得到的所述样本数量对应的各样本，训练得到所述强分类器。第三方面，本专利技术的实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现第一方面提供的方法的步骤。本专利技术实施例提供的基于数据包的入侵检测方法、装置及存储介质，通过在入侵检测过程中，将数据流划分为数据包；基于所述数据包生成训练包样本集和测试包样本集，其中，所述训练包样本集中包括至少一个训练样本，测试包样本集中包括至少一个测试包样本；将所述训练包样本集作为输入，训练得到强分类器，所述强分类器由多个基分类器构成；基于所述强分类器，构建入侵检测模型；将所述测试包样本集作为输入，对所述入侵检测模型进行测试，并得到测试结果，所述测试结果包括正常状态和异常状态。能够提高入侵检测的精度、提高入侵检测过程中的召回率、提高入侵检测过程中的的得分值、降低FPR(FalsePositiveRate，假正率)，从而可以提高入侵检测的性能。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1是本专利技术实施例的基于数据包的入侵检测方法的流程示本文档来自技高网...

【技术保护点】
1.一种基于数据包的入侵检测方法，其特征在于，包括：在入侵检测过程中，将数据流划分为数据包；基于所述数据包生成训练包样本集和测试包样本集，其中，所述训练包样本集中包括至少一个训练样本，测试包样本集中包括至少一个测试包样本；将所述训练包样本集作为输入，训练得到强分类器，所述强分类器由多个基分类器构成；基于所述强分类器，构建入侵检测模型；将所述测试包样本集作为输入，对所述入侵检测模型进行测试，并得到测试结果，所述测试结果包括正常状态和异常状态。

【技术特征摘要】
2018.07.23 CN 201810809761X1.一种基于数据包的入侵检测方法，其特征在于，包括：在入侵检测过程中，将数据流划分为数据包；基于所述数据包生成训练包样本集和测试包样本集，其中，所述训练包样本集中包括至少一个训练样本，测试包样本集中包括至少一个测试包样本；将所述训练包样本集作为输入，训练得到强分类器，所述强分类器由多个基分类器构成；基于所述强分类器，构建入侵检测模型；将所述测试包样本集作为输入，对所述入侵检测模型进行测试，并得到测试结果，所述测试结果包括正常状态和异常状态。2.根据权利要求1所述的基于数据包的入侵检测方法，其特征在于，所述基于所述数据包生成训练包样本集和测试包样本集包括：对所述数据包中的各样本特征进行特征归一化处理，其中，所述数据包中包括多个样本，每个所述样本中包括多个样本特征；对各归一化处理后的样本特征进行距离变换；对距离变换后的各样本特征进行映射处理，得到各所述样本分别对应的特征向量；基于各所述样本分别对应的特征向量，在各所述样本中选择多个样本作为训练包样本，得到所述训练包样本集；并在各所述样本中选择多个样本作为测试包样本，得到所述测试包样本集。3.根据权利要求2所述的基于数据包的入侵检测方法，其特征在于，所述对所述数据包中的各样本特征进行特征归一化处理，包括：根据公式得到数据包矩阵，其中，所述数据包由m个样本构成，每个样本由n个特征构成，xi＝(xi1，xi2，…，xin)，i＝1，…，m为每个样本的特征向量，xlk为第l个样本的第k个特征；根据公式对数据包矩阵进行特征归一化变换，其中，X为归一化处理后的样本特征，中所有元素为[0，1]之间的值。4.根据权利要求2所述的基于数据包的入侵检测方法，其特征在于，所述对各归一化处理后的样本特征进行距离变换，包括：根据公式进行距离变换，为xak和xbka之间的特征距离函数，xak和xbk为矩阵X中第a个样本和第b样本的第k个特征，τ＝{D1，D2，…，Dn}为每个样本的n个特征的距离矩阵。5.根据权利要求2所述的基于数据包的入侵检测方法，其特征在于，所述对距离变换后的各样本特征进行映射处理，得到各所述样本分别对应的特征向量，包括：构建1×r维向量其中根据公式进行特征映射，其中，p是z的维数0≤i≤b-1。6.根据权利要求1所述的基于数据包的入侵检测方法，其特征在于，所述将所述训练包样本集作为输入，训练得到强分类器包括：基于Bagging方式，进行采样操作；基于Adaboost迭代算法，调整采样得到的样本数量；根据采样得到的所述样本数量对应的各样本，训练得到所述强分类器。7.一种基...

【专利技术属性】
技术研发人员：龙春，魏金侠，赵静，杨帆，
申请(专利权)人：中国科学院计算机网络信息中心，
类型：发明
国别省市：北京,11