本发明专利技术公开了一种面向云计算环境的认知入侵检测方法,包括数据预处理单元、数据包检测单元、数据库、认知规则库、入侵检测引擎单元事件处理单元、云认知推理机和统计分析单元,其中云认知推理学习模块采用遗传算法对特征向量进行优化,使所需的训练时间和监测时间比其他方法短,其次,实时在线的检测能力较强,最后,在云计算的环境中充分利用云计算进行大规模并行计算和大数据量处理的能力,使运算能力大大加强,使系统更加安全高效。
【技术实现步骤摘要】
一种面向云计算环境的认知入侵检测方法
本专利技术属于云计算领域,具体的是一种面向云计算环境的认知入侵检测方法。
技术介绍
云计算已经成为当前IT界关注的热点话题,但云计算的发展也面临许多关键性问题,而安全问题首当其冲,并且随着云计算的不断普及,其重要性呈现逐步上升趋势,已成为制约云计算发展的核心因素。云安全的挑战体现在3个方面:(1)数据安全,包含数据加密解密、访问控制、传输安全等;(2)服务安全,包含服务器安全、安全单点登录、身份认证、信任模型等;(3)安全监控体系,用来防御和阻止恶意入侵行为,保障所有用户的数据与隐私安全,是云安全至关重要的一环。传统的被动式防御方法不能及时判断并阻止网络攻击,缺乏识别已知或未知的安全攻击的认知能力,不具备实时性、智能性已经不能满足云计算的环境。因此,云计算环境下需要更加主动的,先验的认知入侵检测方法,以达到快速识别、预警与防护云计算环境下的安全攻击。现有技术中文献一(申请号:201510870283.X)提供了一种基于云计算的入侵检测方法,将入侵检测功能从传统的主机端转移到云端,在云端以服务形式提供。其核心入侵检测分析服务置于云端,通过云服务商专业的网络安全团队对其进行更新维护。简化了主机端的复杂性,降低了维护成本。其主要过程如图1所示。该文献是针对互联网入侵检测的一个基础性专利,对于入侵检测系统而言,基于云计算环境的入侵检测系统使系统拥有了云数据库的数据集中和共享的优点。该技术的不足是:(1)未对入侵检测引擎,入侵检测比对规则库,智能异常检测作出具体阐述;(2)对于比较得到的可能的未知类入侵行为没有识别能力,没有给出相应的解决方案,简单作为新的入侵行为,不具备对未知攻击的认知能力。文献二(申请号:201610049716.X)提供了一种云计算环境中的自主分析入侵检测方法,利用改进的BP神经网络训练入侵检测器实时对经过预处理的网络流量异常的数据包进行检测,随后对异常数据进行识别,将得到的未知入侵行为进行特征提取以下次识别出新类型的入侵行为,提出了自主分析与检测的思路,扩展率高。其主要过程如图2所示。该文献是针对互联网入侵检测的一个较为前沿的专利,对于入侵检测系统而言,基于云计算环境且能检测已知和未知类型入侵行为并及时反馈,补充云数据库,使系统检测和防御功能得到改善。该技术的不足是:未知入侵行为的特征值提取方法还有很大改进空间,来提高系统的速度和安全性。
技术实现思路
针对传统入侵检测系统(IntrusionDetectionSystem)模型的被动式防御策略不能及时判断并阻止已知或未知的安全攻击,系统的危险系数较大等问题,提出了一种面向云计算的具有认知能力的入侵检测系统,具体方案如下:一种面向云计算环境的认知入侵检测方法,包括如下步骤:步骤1,云计算环境中数据预处理单元接收到流量异常的数据包,对数据包中的数据进行规则化预处理,从而获取包含有特征向量的数据包文件,并把预处理后的数据包分别发到数据库和数据包检测单元中;步骤2,所述数据库接收并存储带有特征向量数据的数据包文件,并根据存入的数据包建立日志记录;步骤3,建立认知规则库,认知规则库中包含有已知入侵行为特征数据;步骤3,数据包检测单元根据已经建立起来的认知规则库中的信息进行规则匹配,若发现符合的匹配规则,则向入侵检测引擎单元报警,入侵检测引擎单元根据收到的报警信息向事件处理单元发送指令,事件处理单元收到指令后进行发出警报以及切断网络;步骤4,如果数据包检测单元没有发现符合的匹配规则,则表示无法识别该数据包中的攻击种类,则由数据库将该数据包的信息传给云推理学习模块做入侵可能性进行评估;步骤5,建立云规则,在无网络连接时,云认知推理机以数据库中存储的特征向量数据为训练样本建立起云规则数据库;步骤6,判断无法识别的攻击种类,网络连接时,云认知推理机接收无法识别攻击种类的数据包的特征向量数据,云认知推理机采用基于遗传算法的特征向量提取算法对征向量数据进行优化选择获得最优选的入侵特征向量,该入侵特征向量和建立的运管站数据库比对,激活多条定性云规则,通过云认知推理机进行不确定性推理,确定入侵种类,并把结果发送至入侵检测引擎单元;步骤7,所述入侵特征向量发送至原云规则化数据库中修正、更新成为型的云规则化数据库。步骤8,所述入侵特征向量发送至统计分析单元中,统计分析单元根据入侵特征向量的日志记录判断是否构成网络入侵,把判断的结果发至入侵检测引擎单元和事件处理单元,同时把该入侵特征向量的数据信息发送至认知规则库中进行更新;步骤9,所述入侵检测引擎单元接收来自云认知推理机的推理结果和来自统计分析单元的判断结果,向事件处理单元发送指令;步骤10,所述事件处理单元收到来自入侵检测引擎单元和统计分析单元的指令后进行发出警报以及切断网络。进一步所述步骤6中的基于遗传算法的特征向量提取算法的具体步骤如下:1)设定进化代数g=0,生成包含n个个体的初始化群体P(g);2)在该群体中对每个个体估值,计算各自适应度f(x);3)根据个体适应度f(x),从P(g)中选择两个个体作为父代(适应度值越大,选中的机会越大),根据交叉概率,让选出的两个个体进行交叉产生新的后代(如果交叉概率为0,即不进行交叉,则后代就是父代的完全复制),再根据变异概率,新生后代在各自基因座产生变异;重复上述步骤,产生新个体,将最后生成的个体形成新的群体P(g+1);4)将新产生的群体P(g+1)作为后续进化操作所需的群体,令进化代数g=g+1;5)若终止条件满足,则算法结束,返回在当前群体中最好的个体,即最优解6)若终止条件不满足,则跳至步骤2)继续该遗传算法。进一步所述步骤6中所述的不确定性推理具体步骤如下:Step1,经过数据预处理后的一组未知入侵特征向量(X1,X2…Xn),每个Xi根据3En原则:|Ex-Xi|<3En激活规则;Step2,每条被激活规则对应正向云发生器推理输出云滴(dropxi,yi);Step3,逆向云发生器在云滴drop(x1,y1),…(xn,yn)的基础上得到虚拟云的数值特征:Exij,Enij,Heij;Step4,再将xi代入虚拟云中得到它的确定度;Step5,对每个xi重复Step2-5过程,分别得到对应的确定度;Step6,依据最大确定度原则确定入侵类型。更进一步所述步骤8中统计分析处理单元通过在任意给定的时刻,对n个变量值进行测量,推理判断系统是否有入侵发生,每个Ni(i=1,2,···,n)变量表示系统不同方面的特征,包含SYN数据包数目、用户登录失败次数、CPU使用率及网络流量等,Mi(i=1,2,···,n)是正常情况下该数据的期望值预测,在t时刻定义的检测函数为:其中,λi>0体现了重要程度的权值,即敏感程度,F(t)越小,通信过程越接近正常情况,当F(t)超过预先设定的阀值后,就认为网络入侵发生了。和现有技术相比较本专利技术中云认知推理学习模块采用遗传算法对特征向量进行优化,使所需的训练时间和监测时间比其他方法短,其次,实时在线的检测能力较强,最后,在云计算的环境中充分利用云计算进行大规模并行计算和大数据量处理的能力,使运算能力大大加强,使系统更加安全高效。附图说明图1为文献一的基于云计算的入侵检测方法流程图;图2为文本文档来自技高网...
【技术保护点】
一种面向云计算环境的认知入侵检测方法,其特征在于,包括如下步骤:步骤1,云计算环境中数据预处理单元接收到流量异常的数据包,对数据包中的数据进行规则化预处理,从而获取包含有特征向量的数据包文件,并把预处理后的数据包分别发到数据库和数据包检测单元中;步骤2,所述数据库接收并存储带有特征向量数据的数据包文件,并根据存入的数据包建立日志记录;步骤3,建立认知规则库,认知规则库中包含有已知入侵行为特征数据;步骤3,数据包检测单元根据已经建立起来的认知规则库中的信息进行规则匹配,若发现符合的匹配规则,则向入侵检测引擎单元报警,入侵检测引擎单元根据收到的报警信息向事件处理单元发送指令,事件处理单元收到指令后进行发出警报以及切断网络;步骤4,如果数据包检测单元没有发现符合的匹配规则,则表示无法识别该数据包中的攻击种类,则由数据库将该数据包的信息传给云推理学习模块做入侵可能性进行评估;步骤5,建立云规则,在无网络连接时,云认知推理机根据数据库中的特征向量数据为训练样本建立起云规则化的数据库单元;步骤6,判断无法识别的攻击种类,网络连接时,云认知推理机接收无法识别攻击种类的数据包的特征向量数据,云认知推理机采用基于遗传算法的特征向量提取算法对征向量数据进行优化选择获得最优选的入侵特征向量,该入侵特征向量和建立的运管站数据库比对,激活多条定性云规则,通过云认知推理机进行不确定性推理,确定入侵种类,并把结果发送至入侵检测引擎单元;步骤7,所述入侵特征向量发送至原云规则化数据库中修正、更新成为型的云规则化数据库。步骤8,所述入侵特征向量发送至统计分析单元中,统计分析单元根据入侵特征向量的日志记录判断是否构成网络入侵,把判断的结果发至入侵检测引擎单元和事件处理单元,同时把该入侵特征向量的数据信息发送至认知规则库中进行更新;步骤9,所述入侵检测引擎单元接收来自云认知推理机的推理结果和来自统计分析单元的判断结果,向事件处理单元发送指令;步骤10,所述事件处理单元收到来自入侵检测引擎单元和统计分析单元的指令后进行发出警报以及切断网络。...
【技术特征摘要】
1.一种面向云计算环境的认知入侵检测方法,其特征在于,包括如下步骤:步骤1,云计算环境中数据预处理单元接收到流量异常的数据包,对数据包中的数据进行规则化预处理,从而获取包含有特征向量的数据包文件,并把预处理后的数据包分别发到数据库和数据包检测单元中;步骤2,所述数据库接收并存储带有特征向量数据的数据包文件,并根据存入的数据包建立日志记录;步骤3,建立认知规则库,认知规则库中包含有已知入侵行为特征数据;步骤3,数据包检测单元根据已经建立起来的认知规则库中的信息进行规则匹配,若发现符合的匹配规则,则向入侵检测引擎单元报警,入侵检测引擎单元根据收到的报警信息向事件处理单元发送指令,事件处理单元收到指令后进行发出警报以及切断网络;步骤4,如果数据包检测单元没有发现符合的匹配规则,则表示无法识别该数据包中的攻击种类,则由数据库将该数据包的信息传给云推理学习模块做入侵可能性进行评估;步骤5,建立云规则,在无网络连接时,云认知推理机根据数据库中的特征向量数据为训练样本建立起云规则化的数据库单元;步骤6,判断无法识别的攻击种类,网络连接时,云认知推理机接收无法识别攻击种类的数据包的特征向量数据,云认知推理机采用基于遗传算法的特征向量提取算法对征向量数据进行优化选择获得最优选的入侵特征向量,该入侵特征向量和建立的运管站数据库比对,激活多条定性云规则,通过云认知推理机进行不确定性推理,确定入侵种类,并把结果发送至入侵检测引擎单元;步骤7,所述入侵特征向量发送至原云规则化数据库中修正、更新成为型的云规则化数据库。步骤8,所述入侵特征向量发送至统计分析单元中,统计分析单元根据入侵特征向量的日志记录判断是否构成网络入侵,把判断的结果发至入侵检测引擎单元和事件处理单元,同时把该入侵特征向量的数据信息发送至认知规则库中进行更新;步骤9,所述入侵检测引擎单元接收来自云认知推理机的推理结果和来自统计分析单元的判断结果,向事件处理单元发送指令;步骤10,所述事件处理单元收到来自入侵检测引擎单元和统计分析单元的指令后进行发出警报以及切断网络。2.根据权利要求1所述的面向云计算环境的认知入侵检测方法,其特征在于,所述步骤6中的...
【专利技术属性】
技术研发人员:亓晋,孙雁飞,谭虹,郭阳,王堃,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。