本发明专利技术公开了一种基于模糊隐条件随机场模型的网络入侵检测方法,解决的技术问题是改善现有网络入侵检测的效果。本发明专利技术利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集,实例之间相互独立。利用训练数据集建立网络入侵检测的模糊隐条件随机场模型,将实际运行中的网络实例输入建立的检测模型,输出对应的入侵检测效果,对网络实例进行实时地、准确地检测。本发明专利技术可以准确快速的检测出未知类型网络入侵行为,具有较好的实际推广应用前景。
【技术实现步骤摘要】
基于模糊隐条件随机场模型的网络入侵检测方法及系统
本专利技术涉及一种网络入侵检测方法,特别涉及一种基于模糊隐条件随机场模型的网络入侵检测方法及系统。
技术介绍
在互联网建设早期,网络结构和攻击手段都相对简单,网络安全体系主要是以防护为主体,依靠防火墙、加密和身份认证等手段来实现。随着互联网技术的高速发展以及应用地逐步广泛,黑客攻击手段也日趋复杂多样,仅仅依靠传统的操作系统加固和单纯防火墙策略等静态安全防御技术已经远达不到现代高安全网络的需要。因此,以网络安全立体纵深、多层次防御的角度为立足点,设计出行之有效的入侵检测方法成为了当务之急。现有的网络入侵检测方法有:(1)基于隐马尔科夫模型的网络入侵检测方法,该方法的最大缺点是没有充分地考虑相邻时刻特征之间的相关性和标记之间的相关性,忽略了这些相关性会严重影响入侵检测效果,导致入侵检测效率低等问题的出现;(2)基于朴素贝叶斯分类器模型的网络入侵检测方法,该方法不能处理基于特征组合所产生的变化结果,并且在目标分类的问题中容易产生较大的错误率;(3)基于数据挖掘模型的网络入侵检测方法,由于该方法是对大量的历史数据进行处理,因此,在学习和评价阶段的计算成本高,实时性实施困难;(4)基于最大熵马尔可夫模型的网络入侵检测方法,该方法对状态序列的计算是局部的,会产生标记偏见等问题;(5)基于条件随机场模型的网络入侵检测方法,该方法不能捕获含隐状态变量的间接结构,要达到较高的检测率,需要有庞大的训练数据集,训练速度慢,影响整体入侵检测效率。因此,急需一种具有训练速度快、检测效果好、较好推广应用前景等优点的网络入侵检测方法及系统。
技术实现思路
有鉴于此,本专利技术所要解决的技术问题是提供一种基于模糊隐条件随机场模型的网络入侵检测方法。该方法针对网络攻击的特点和现有网络入侵检测方法存在的问题,为了对网络入侵行为做出准确的检测,解决由于不精确和模糊的信息造成的观察序列不确定性和长距离相关性等问题,并实现在训练数据集较小的情况下,提高检测率和训练速度,保证网络入侵检测的较好效果。本专利技术的目的之一是提出一种基于模糊隐条件随机场模型的网络入侵检测方法;本专利技术的目的之二是提出一种基于模糊隐条件随机场模型的网络入侵检测系统。本专利技术的目的之一是通过以下技术方案来实现的:本专利技术提供的基于模糊隐条件随机场模型的网络入侵检测方法,包括以下步骤:步骤一:利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集;步骤二:对收集的网络实例进行预处理;步骤三:将预处理后的网络实例进行特征选择;步骤四:模糊隐条件随机场模型利用所选特征训练生成检测模型;步骤五:利用步骤四中生成的检测模型对实际运行中的网络实例进行检测;步骤六:对网络入侵检测做相应处理,当检测为异常网络实例时,阻止网络实例;当检测为正常网络实例时,允许网络实例运行。进一步,所述网络实例预处理,在对模糊隐条件随机场模型训练、检测前利用以下模糊函数对数据进行模糊化处理:sigmf(x,[A,C])=1/(1+EXP(-A×(x-C)));其中,sigmf()表示模糊化处理函数;A和C为模糊函数的控制参数;x表示训练数据中特征的实际数值。进一步,步骤三中,针对网络攻击类型的特点,依据多次试验结果和理论分析,对每一类攻击进行特征选择;步骤四中,模糊隐条件随机场利用每种攻击所选择的特征进行训练,得到模糊隐条件随机场各参数的值,从而建立攻击类型所对应的检测模型。进一步,在给定观察序列n的条件下,运用模糊隐条件随机场模型根据观察序列n及定义在其上的隐状态集合H和标签m建立如下联合概率模型:其中,n表示所选特征组成的特征向量;θ为模型的特征权重参数,需要从训练数据中估计得到;H表示隐状态集合;m表示某个标签,m'在累加计算中依次表示各个标签;ψ(m,H,n;θ)为模糊势函数,表示如下:其中,隐变量{H1,…,Ht}属于图模型中的顶点,E是图模型中边的集合,Sv为点的模糊特征集,Se为边的模糊特征集;α(i,m,Hi,n)和β(i,j,m,Hi,Hj,n)分别为顶点和边所对应的模糊特征函数;和分别为模型的特征权重参数的分量;i和j取值都是(1-t);t表示隐变量的个数;所属标签m的概率P(m|n;θ)为:进一步,步骤五中,对待检测序列进行检测时,标签m倾向于满足以n为条件的最大全局条件概率:m*=argmaxP(m|n;θ);其中,m*表示检测结果,即预测的标签。进一步,步骤四中,利用Quasi-Newton方法在训练数据集中估计模型的特征权重参数θ*=argmaxL(θ),在训练的过程中,第k个训练实例的似然估计Lk(θ)为:所述当似然估计Lk(θ)值的收敛精度达到预设阈值而停止迭代训练时得到模型的特征权重参数。进一步,所述模型中单个隐状态变量的模糊特征函数α(i,m,Hi,n)的特征权重参数的梯度推导为:其中,P(Hi=c|mk,nk,θ)和P(Hi=c,m'|nk,θ)通过bp神经网络算法计算出来。进一步,所述模型中两个隐状态变量Hi和Hj的模糊特征函数β(i,j,m,Hi,Hj,n),相应特征权重参数的梯度推导为:其中,P(Hi=c,Hj=d|mk,nk,θ)和P(Hi=c,Hj=d,m'|nk,θ)通过bp神经网络算法计算出来。本专利技术的目的之二是通过以下技术方案来实现的:本专利技术提供的基于模糊隐条件随机场模型的网络入侵检测系统,包括训练数据集模块、预处理模块、特征选择模块、检测模型生成模块、实例检测模块和结果处理模块;所述训练数据集模块,用于利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集;所述预处理模块,用于对收集的网络实例进行预处理;所述特征选择模块,用于将预处理后的网络实例进行特征选择;所述检测模型生成模块,用于模糊隐条件随机场模型利用所选特征训练生成检测模型;所述实例检测模块,用于利用步骤四中生成的检测模型对实际运行中的网络实例进行检测;所述结果处理模块,用于对网络入侵检测结果做相应处理,当检测为异常网络实例时,阻止网络实例;当检测为正常网络实例时,允许网络实例运行。进一步,所述网络实例预处理,在对模糊隐条件随机场模型训练、检测前利用以下模糊函数对数据进行模糊化处理:sigmf(x,[A,C])=1/(1+EXP(-A×(x-C)));其中,sigmf()表示模糊化处理函数;A和C为模糊函数的控制参数;x表示训练数据中特征的实际数值。针对网络攻击类型的特点,依据多次试验结果和理论分析,对每一类攻击进行特征选择;模糊隐条件随机场利用每种攻击所选择的特征进行训练,得到模糊隐条件随机场各参数的值,从而建立攻击类型所对应的检测模型。本专利技术的优点在于:本专利技术采用基于模糊隐条件随机场(FHCRFs)模型的网络入侵检测方法,通过建立网络状态与网络实例特征之间的FHCRFs模型,对网络入侵行为进行准确的判断,从而达到较好的入侵检测效果。本专利技术基于模糊隐条件随机场模型的网络入侵检测方法中,网络实例预处理,就是在对模糊隐条件随机场模型训练、检测前利用模糊函数对数据进行模糊化处理,减小属性数目,提高训练速度及泛化能力。并针对网络攻击类型特点,依据多次试验结果本文档来自技高网...
【技术保护点】
基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:包括以下步骤:步骤一:利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集;步骤二:对收集的网络实例进行预处理;步骤三:将预处理后的网络实例进行特征选择;步骤四:模糊隐条件随机场模型利用所选特征训练生成检测模型;步骤五:利用步骤四中生成的检测模型对实际运行中的网络实例进行检测;步骤六:对网络入侵检测做相应处理,当检测为异常网络实例时,阻止网络实例;当检测为正常网络实例时,允许网络实例运行。
【技术特征摘要】
1.基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:包括以下步骤:步骤一:利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集;步骤二:对收集的网络实例进行预处理;步骤三:将预处理后的网络实例进行特征选择;步骤四:模糊隐条件随机场模型利用所选特征训练生成检测模型;步骤五:利用步骤四中生成的检测模型对实际运行中的网络实例进行检测;步骤六:对网络入侵检测做相应处理,当检测为异常网络实例时,阻止网络实例;当检测为正常网络实例时,允许网络实例运行;所述网络实例预处理,在对模糊隐条件随机场模型训练、检测前利用以下模糊函数对数据进行模糊化处理:sigmf(x,[A,C])=1/(1+EXP(-A×(x-C)));其中,sigmf()表示模糊化处理函数;A和C为模糊函数的控制参数;x表示训练数据中特征的实际数值;在给定观察序列n的条件下,运用模糊隐条件随机场模型根据观察序列n及定义在其上的隐状态集合H和标签m建立如下联合概率模型:其中,n表示所选特征组成的特征向量;θ为模型的特征权重参数,需要从训练数据中估计得到;H表示隐状态集合;m表示某个标签,m'在累加计算中依次表示各个标签;ψ(m,H,n;θ)为模糊势函数,表示如下:其中,隐变量{H1,…,Ht}属于图模型中的顶点,E是图模型中边的集合,Sv为点的模糊特征集,Se为边的模糊特征集;α(i,m,Hi,n)和β(i,j,m,Hi,Hj,n)分别为顶点和边所对应的模糊特征函数;和分别为模型的特征权重参数的分量;i和j取值都是(1-t);t表示隐变量的个数;所属标签m的概率P(m|n;θ)为:2.根据权利要求书1所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:步骤三中,针对网络攻击类型的特点,依据多次试验结果和理论分析,对每一类攻击进行特征选择;步骤四中,模糊隐条件随机场利用每种攻击所选择的特征进行训练,得到模糊隐条件随机场各参数的值,从而建立攻击类型所对应的检测模型。3.根据权利要求书2所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:步骤五中,对待检测序列进行检测时,标签m倾向于满足以n为条件的最大全局条件概率:m*=argmaxP(m|n;θ);其中,m*表示检测结果,即预测的标签。4.根据权利要求书3述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:步骤四中,利用Quasi-Newton方法在训练数据集中估计模型的特征权重参数θ*=argmaxL(θ),在训练的过程中,第k个训练实例的似然估计Lk(θ)为:当似然估计Lk(θ)值的收敛精度达到预设阈值而停止迭代训练时得到模型的特征权重参数。5.根据权利要求书4所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:所述顶点所对应的模糊特征函数α(i,m,Hi,n)的特征权重参数的梯度推导为:
【专利技术属性】
技术研发人员:罗钧,李义军,高增辉,
申请(专利权)人:重庆大学,
类型:发明
国别省市:重庆;85
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。