本发明专利技术涉及基于特征的三阶段神经网络入侵检测方法和系统。提供了一种用于检测网络入侵的系统和方法。该系统包括用于确定对应于输入数据的多个矢量的第一多个权重值的第一神经网络(104)。该系统也包括用于基于输入数据的多个矢量将从第一神经网络(104)接收的第一多个权重值更新到第二多个权重值的第二神经网络(106)。该系统也具有用于基于输入数据的多个矢量将从第二神经网络(106)接收的第二多个权重值更新到第三多个权重值的第三神经网络(108)。公开的系统还包括用于基于从第三神经网络(108)接收的第三多个权重值在多个入侵中的至少一个下分类多个矢量的分类模块(110)。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及基于特征的三阶段神经网络入侵检测方法和系统。提供了一种用于检测网络入侵的系统和方法。该系统包括用于确定对应于输入数据的多个矢量的第一多个权重值的第一神经网络(104)。该系统也包括用于基于输入数据的多个矢量将从第一神经网络(104)接收的第一多个权重值更新到第二多个权重值的第二神经网络(106)。该系统也具有用于基于输入数据的多个矢量将从第二神经网络(106)接收的第二多个权重值更新到第三多个权重值的第三神经网络(108)。公开的系统还包括用于基于从第三神经网络(108)接收的第三多个权重值在多个入侵中的至少一个下分类多个矢量的分类模块(110)。【专利说明】基于特征的三阶段神经网络入侵检测方法和系统
本专利技术涉及一种用于入侵检测的方法和系统,并且更特别地涉及一种用于基于特 征的三阶段神经网络入侵检测的方法和系统。
技术介绍
在现在的世界中,大部分组织具有用于组织内通信的局域网(LAN)。组织的服务器 与这些LAN连接,并且通过这些网络传送所有组织相关的数据。为与卖方、消费者和其他组 织通信,这些LAN连接到诸如因特网的广域网(WAN)。与WAN的这样的连接使得LAN易受入 侵的攻击。入侵对组织内部数据造成严重的安全风险。由入侵引起的损害是系统文件、用 户文件或涉及组织的任何其他信息的未经授权的修改。入侵可以使公司付出巨大量的金钱 和时间。因此,在它们引起对网络的任何损害之前来检测和防止入侵变得非常重要。 在本领域的当前状态中存在已知的各种入侵检测方法和系统。按照定义,入侵检 测是检测、防止在网络上运行的系统上的入侵和可能地对在网络上运行的系统上的入侵起 反应的任务。在本领域的当前状态中已知的大部分入侵检测技术基于误用检测。误用检测 是通过将当前的活动针对照入侵者的预期的动作进行比较来尝试标识入侵的实例的过程。 主要使用某些形式的模式匹配来完成误用检测。针对误用入侵检测的最大的挑战之一是能 够从先前观察的行为,即正常的或恶意的行为进行归纳以识别类似种类的未来的行为。异 常检测是该挑战的答案。 基于异常的入侵检测系统观察在网络上显著地偏离建立的正常使用简档的活动 作为可能是入侵的异常。在异常检测中,对网络的正常行为建模,并且如果网络的任何行为 与建模的正常活动不匹配则提出警报。例如,在网络上的用户的简档可以包含在他或她的 记录会话期间的某些系统命令的平均的频率。如果那些系统命令的频率在被监视的用户的 记录会话期间显著地变化,则将提出异常警报。 异常检测是用于检测未知入侵的有效的技术,因为其不需要关于入侵的任何知 识。但是该检测技术的主要缺点是高的假警报率。高的假警报率是因为不论在网络中发生 的事件的类型,即正常或异常,如果检测的事件的频率不同于与被监视的用户的简档相关 联的平均频率,则将提出警报。针对高的假警报率的具体原因是由软件错误、被破坏的数据 包等等生成的坏的包。由于高的假警报率,真的入侵通常被错失或忽视。 按照上述的讨论,显然存在针对在各种网络上入侵检测的改进的方法和系统的需 要。 因此,本专利技术的目的是提供具有较少的假警报率的针对网络的有效的入侵检测方 法和系统。
技术实现思路
通过提供根据权利要求1的用于检测网络入侵的方法和根据权利要求14的用于 检测网络入侵的系统来实现该目的。本专利技术的进一步的实施例在从属权利要求中阐述。 在本专利技术的第一方面中,公开了一种用于通过使用多个神经网络来检测网络入侵 的方法。根据所述方法,数据集最初被接收为输入,并且然后在多个神经网络中的第一神经 网络处确定对应于输入数据的多个矢量的第一多个权重值。然后第一多个权重值被多个神 经网络中的第二神经网络接收并更新到第二多个权重值。然后,第二多个权重值在多个神 经网络的第三神经网络处被更新到第三多个权重值。在所述方法的最后步骤处,基于第三 多个权重值在多个入侵中的至少一个下分类多个矢量。 根据本专利技术的第一方面,多个神经网络被训练来通过使用训练数据检测网络入 侵。 根据本专利技术的第一方面,使用训练数据形成第一神经网络的分类映射。 根据本专利技术的第一方面,在第一神经网络的分类映射上映射多个矢量。 根据本专利技术的第一方面,第一多个权重值与第一神经网络的分类映射相关联。 根据本专利技术的第一方面,基于训练数据定义多个入侵。 根据本专利技术的第一方面,在将第一多个权重值更新到第二多个权重值之前在第二 神经网络处根据第一多个权重值和多个矢量确定第二多个权重值。 根据本专利技术的第一方面,在将第二多个权重值更新到第三多个权重值之前在第三 神经网络处根据第二多个权重值和多个矢量确定第三多个权重值。 在本专利技术的第二方面中,公开了一种用于根据数据集的多个特征标识入侵检测特 征的方法。根据所述方法,最初确定数据集的多个特征中的特征的一个或多个值。然后,基 于特征的一个或多个值将数据集分成一个或多个数据子集。在下一方法步骤处,根据一个 或多个值和针对一个或多个数据子集的特征的预定义的类确定特征的熵。特征的熵被用于 在下一方法步骤处确定针对特征的信息增益。然后在公开的方法的最后步骤处,将特征的 信息增益与信息增益的预定义的值比较。 根据本专利技术的第二方面,针对多个特征中的特征确定预定义的类。 在本专利技术的第三方面中,公开了通过使用多个神经网络的网络入侵检测系统。所 述系统包括用于确定对应于输入数据的多个矢量的第一多个权重值的第一神经网络。所述 系统还包括用于基于输入数据的多个矢量将从第一神经网络接收的第一多个权重值更新 到第二多个权重值的第二神经网络。在本专利技术中公开的系统也具有用于基于输入数据的多 个矢量将从第二神经网络接收的第二多个权重值更新到第三多个权重值的第三神经网络。 公开的系统的最后的操作块是用于基于从第三神经网络接收的第三多个权重值将多个矢 量分类到多个入侵中的至少一个下的分类模块。 根据本专利技术的第三方面,所述系统还包括用于根据输入数据的多个特征标识至少 一个入侵检测特征的特征检测器。 【专利附图】【附图说明】 在下文中参考在附图中示出的图示的实施例进一步地描述本专利技术,其中。 图1图示了根据本专利技术的实施例的基于特征的三阶段神经网络入侵检测系统的 框图,以及 图2图示了用于根据本专利技术的实施例的三阶段神经网络入侵检测方法的流程图。 参考图描述了各种实施例,其中通篇使用类似的参考标号来表示类似的元素。在 下文的描述中,出于解释的目的,记载了许多具体细节以便提供对一个或多个实施例的彻 底的理解。明显可以在没有这些具体细节的情况下实现这样的实施例。 【具体实施方式】 图1图示了根据本专利技术的实施例的基于特征的三阶段神经网络入侵检测系统100 的框图。 如在图1中示出的那样,网络入侵检测系统100包括特征检测器102、自组织特征 映射(S0FM)神经网络104、多层前馈(MLFF)神经网络106、Elman后向传播(ELBP)神经网 络108和分类模块110。特征检测器102接收输入数据。输入数据包含所有数据特征以及 与每个数据特征相关联的类。数据特征的类可以是连续的、离散的或者符号的(symbolic)。 特本文档来自技高网...
【技术保护点】
一种用于使用多个神经网络检测网络入侵的方法,所述方法包括:‑在多个神经网络中的第一神经网络(104)处确定对应于输入数据的多个矢量的第一多个权重值;‑在多个神经网络中的第二神经网络(106)处将第一多个权重值更新到第二多个权重值;‑在多个神经网络中的第三神经网络(108)处将第二多个权重值更新到第三多个权重值;以及‑基于第三多个权重值在多个入侵中的至少一个之下分类多个矢量。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:B阿思马纳塔恩,S卡姆塔尼亚,
申请(专利权)人:西门子公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。