基于偏最小二乘的网络入侵检测方法及系统技术方案

本发明专利技术提供的基于偏最小二乘的网络入侵检测方法，包括根据偏最小二乘回归方程建立网络数据的异常检测模型；对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为；本发明专利技术利用当网络遭受来外部的入侵时，入侵数据可以视为叠加在正常网络流量上的一个非线性扰动，其扰动强度受入侵时间，入侵数据流量大小的影响，通过非线性理论，建立这种网络非线性数据的异常检测模型，通过参数拟合发现异常的数据流，利用回归分析和预测理论中的偏最小二乘方法，进行入侵行为检测，并对偏最小二乘方法的收敛条件采用了Kullback Leibler散度作为正常和异常行为的判别依据，从而使网络中的入侵行为检测更加准确快速。

Network intrusion detection method and system based on partial least squares

Network intrusion detection method based on partial least squares regression is provided, including anomaly detection model based on partial least square regression equation of network data; attribute domain mapping of the unlabeled data set, anomaly detection model for data classification using the received access behavior takes different types; the invention uses when the network invasion to the outside, the intrusion data can be regarded as the superposition of a nonlinear disturbance in the normal network traffic, the disturbance intensity by the invasion of time, influence of intrusion data flow, through the nonlinear theory, the anomaly detection model of the nonlinear network data, the parameter fitting abnormal data stream, using partial least squares method regression analysis and prediction theory, for intrusion detection, and the convergence of a partial least square method A criterion of using Kullback Leibler divergence as normal and abnormal behavior, so that intrusion detection in networks more accurately and quickly.

【技术实现步骤摘要】

本专利技术涉及计算机网络安全领域，尤其涉及一种基于偏最小二乘的网络入侵检测方法及系统。
技术介绍
互联网(internet)是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协议相连，形成逻辑上的单一巨大国际网络。这种将计算机网络互相联接在一起的方法可称作“网络互联”，在这基础上发展出覆盖全世界的全球性互联网络称互联网，即是互相连接一起的网络结构。中国互联网已经形成规模，互联网应用走向多元化。互联网越来越深刻地改变着人们的学习、工作以及生活方式，甚至影响着整个社会进程。截至2011年12月底，中国网民数量突破5亿，达到5.13亿。随着宽带的发展，以及全球化程度的不断加深，中国互联网的业务应用同国际主流的业务应用发展基本一致，各种基于互联网的技术广泛地应用各个行业，带来生产力的极大提高，通过互联网能够相互交流，相互沟通，相互参与的互动平台。因此互联网安全问题，也成为了重中之重，网络安全问题存在已久，往往让人防不胜防，一旦发生，常常措手不及，造成极大的损失。因此人们在享受网络带来的便利高效的同时，也要留意各种潜在的威胁危害着网络通信的安全。由于网络设计之初，主要关注数据传输的高效和通信的便捷，对网络协议的安全性考虑比较少。很多网络协议都缺乏安全的通信机制，因此基于这些网络协议的互联网络自然存在大量的安全漏洞。虽然随着电子商务、电子政务这些对安全性要求颇高的业务的开展，也出现各种基于网络的安全通信协议，但这协议都是基于TCP/IP架构的，而这种架构从基础的通信层次来看是一种不安全的开放体系。而且现有的攻击手段和技术也随着安全技术的提升而不断的发展，因此在无法避免各种网络威胁的情况下，及时正确地检测出安全威胁并采取恰当的处理方式以减少网络攻击造成的损失是目前从事网络安全研究的一个热点，针对目前的网络安全形势，迫切需求一种新的网络检测方法。
技术实现思路
有鉴于此，本专利技术提供一种基于偏最小二乘的网络入侵检测方法及系统。本专利技术提供的基于偏最小二乘的网络入侵检测方法，包括b.根据偏最小二乘回归方程建立网络数据的异常检测模型；c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。进一步，所述步骤b具体包括：从变量X’中选取表示原数据信息的综合变量作为主要特征信息F，将网络协议数据包的各个字段作为自变量，检测结果作为因变量，并采用偏最小二乘方法进行回归分析，获取协议字段变量与检测结果的回归系数。进一步，利用Kullback-Leibler散度表示偏最小二乘的残差，并通过迭代计算缩小自变量集与抽取特征向量之间的差异，当达到预设的阈值时，自变量集近似拟合了因变量，拟合系数即为回归系数。进一步，所述偏最小二乘回归方程为：y^*=α1x1*α2x2*+...+αjxj*]]>其中，为预测值，a1。。。aj为的回归系数；回归系数越大，表示入侵行为的特征向量越明显，通过比较预设阈值与预测值，进行二元判别。进一步，定义两个概率分布函数p(x)和q(x)的KullbackLeibler散度如下：D(p||q)=Σx∈Xp(x)log2p(x)q(x)]]>其中，X表示所有可能事件的集合，p(x)和q(x)表示概率密度函数，分别对应自变量子集和因变量子集，D表示p(x)和q(x)的kullbackLeibler散度。进一步，所述残差表示为Ei+1=D(Ei||ti+1pi+1T)=Σx∈XEilog2||Ei||F||ti+1pi+1T||F]]>Fi+1=D(Fi||ti+1ri+1)=Σx∈XFilog2||Fi||F||ti+1ri+1||F]]>其中，i为样本数据的数目，t1＝E0×w1,||w1||＝1，t1表示因变量的标准变化量抽取的成分，D表示kullbackLeibler散度通过最终偏最小二乘回归方程获取回归系数：αj=Σn=1mrhwhj*=Fh-1Tth||th||FWhj*]]>其中aj是回归系数，是的第j个分量，进一步，在步骤b之前还包括a.对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理。进一步，对异常入侵的访问行为进行阻断并报警。本专利技术还提供一种基于偏最小二乘的网络入侵检测系统，包括数据捕获模块，用于获取各种类型协议数据包；异常检测模块，用于根据偏最小二乘回归方程建立网络数据的异常检测模型，对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。进一步，还包括预处理模块，用于对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理；报警模块，用于对异常入侵的访问行为进行报警输出；主动阻断模块，用于根据检测模型的检测结果执行阻塞或丢弃操作。本专利技术的有益效果：本专利技术利用当网络遭受来外部的入侵时，入侵数据可以视为叠加在正常网络流量上的一个非线性扰动，其扰动强度受入侵时间，入侵数据流量大小的影响，通过非线性理论和模型，建立这种网络非线性数据的模型，通过参数拟合发现异常的数据流，利用回归分析和预测理论中的偏最小二乘方法，进行入侵行为检测，并对偏最小二乘方法的收敛条件采用了KullbackLeibler散度作为正常和异常行为的判别依据，从而使网络中的入侵行为检测更加准确快速。附图说明下面结合附图和实施例对本专利技术作进一步描述：图1是本专利技术的原理示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步描述：图1是本专利技术的原理示意图。如图1所示，本实施例中的基于偏最小二乘的网络入侵检测方法，包括a.对原始数据集进行预处理，所述预处理包括将每个非数值属性转化为数值，并做归一化处理。b.根据偏最小二乘回归方程建立网络数据的异常检测模型；c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。在本实施例中，当网络遭受来外部的入侵时，入侵数据可以视为叠加在正常网络流量上的一个非线性扰动，其扰动强度受入侵时间，入侵数据流量大小影响，利用非线性理论和模型，建立异常检测模型，通过参数拟合发现异常的数据流。本实施例在网络入侵检测中，引入了一种非线性回归方法—偏最小二乘，来预测网络行为。本实施例中的步骤b具体包括：从变量X’中选取表示原数据信息的综合变量作为主要特征本文档来自技高网...

【技术保护点】
一种基于偏最小二乘的网络入侵检测方法，其特征在于：包括b.根据偏最小二乘回归方程建立网络数据的异常检测模型；c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取不同类型的访问行为。

【技术特征摘要】
1.一种基于偏最小二乘的网络入侵检测方法，其特征在于：包括
b.根据偏最小二乘回归方程建立网络数据的异常检测模型；
c.对未标记的数据集进行属性域映射，利用所述异常检测模型对数据进行分类，获取
不同类型的访问行为。
2.根据权利要求1所述的基于偏最小二乘的网络入侵检测方法，其特征在于：所述步骤
b具体包括：
从变量X’中选取表示原数据信息的综合变量作为主要特征信息F，
将网络协议数据包的各个字段作为自变量，检测结果作为因变量，并采用偏最小二乘
方法进行回归分析，获取协议字段变量与检测结果的回归系数。
3.根据权利要求2所述的基于偏最小二乘的网络入侵检测方法，其特征在于：利用
Kullback-Leibler散度表示偏最小二乘的残差，并通过迭代计算缩小自变量集与抽取特征
向量之间的差异，当达到预设的阈值时，自变量集近似拟合了因变量，拟合系数即为回归系
数。
4.根据权利要求3所述的基于偏最小二乘的网络入侵检测方法，其特征在于：所述偏最
小二乘回归方程为：
y^*=α1x1*+α2x2*+...+αjxj*]]>其中，为预测值，a1。。。aj为的回归系数；
回归系数越大，表示入侵行为的特征向量越明显，通过比较预设的阈值与预测值，进行
二元判别。
5.根据权利要求3所述的基于偏最小二乘的网络入侵检测方法，其特征在于：定义两个
概率分布函数p(x)和q(x)的KullbackLeibler散度如下：
D(p||q)=Σx∈Xp(x)log2p(x)q(x)]]>其中，X表示所以可能事件的集合，p(x)和q(x)表示概率密度函数，分别对应自变量子
集和因变量子集，D表示p(x)和q(x)的kullbackLeibler散度。
6.根据权利要求5所述的基于偏最小二乘的网络入侵检测方法，...

【专利技术属性】
技术研发人员：陈善雄，于显平，熊海灵，彭喜化，
申请(专利权)人：西南大学，
类型：发明
国别省市：重庆;50