本发明专利技术实施例提供了一种入侵检测方法及装置,应用于服务器,方法包括:以预设修正率对待检测入侵数据进行采样,将采样得到的数据作为修正数据;对训练数据和修正数据进行聚类处理,获得分类聚类簇;对每个分类聚类簇进行分类模型训练,获得每个分类聚类簇对应的分类模型;利用获得的分类模型对剩余数据进行分类,获得剩余数据的攻击类型,并将所获得的攻击类型确定为待检测入侵数据的攻击类型,其中,剩余数据为:待检测入侵数据中除修正数据之外的数据。应用本发明专利技术实施例所提供的方案,通过将待检测入侵数据应用到分类模型的构建过程中,来获得分类模型,能够使得获得的分类模型对数据分类的结果较为准确,进而可以提高入侵检测算法的准确率。
【技术实现步骤摘要】
一种入侵检测方法及装置
本专利技术涉及检测
,特别是涉及一种入侵检测方法及装置。
技术介绍
IDS(IntrusionDetectionSystem,入侵检测系统)是一种主动的、动态的安全防护技术。它不仅可以检测到已知类型的攻击,对于未知类型攻击也有一定的检测效果。IDS基本架构分为三层:数据收集层、入侵检测层、响应处理层。其中,入侵检测层是IDS的核心,直接影响甚至决定IDS性能的好坏。入侵检测方法有:FCANN(ArtificialNeuralNetworksandFuzzyClustering,人工神经网络及模糊C均值聚类)入侵检测算法、FPANK(NeuralNetworkandK-MeansClusteringoverFeatureSelectionbyPCA,经过PCA降维后的神经网络和kmeans聚类结合算法)入侵检测算法,其中,PCA为:主成分分析(PrincipalComponentAnalysis)的缩写。应用现有技术进行入侵检测时,将待检测入侵数据输入至入侵检测算法的预先训练得到的分类模型,得到待检测入侵数据的分类结果,然后对分类结果进行聚合,得到待检测入侵数据的攻击类型,从而得到最终的检测结果。入侵检测算法为FCANN入侵检测算法时,上述预先训练得到的分类模型按照以下方式训练得到:将训练数据使用模糊C均值聚类的方式进行聚类处理,再分别对每一个聚类簇通过ANN(ArtificialNeuralNetworks,人工神经网络)方法进行分类模型训练,得到分类模型,其中,一个聚类簇对应一个分类模型。入侵检测算法为FPANK入侵检测算法时,上述预先训练得到的分类模型按照以下方式训练得到:按照PCA降维和特征选择方法对训练数据进行数据预处理,对数据预处理后的训练数据进行K-means聚类,再用神经网络算法对每个聚类簇进行分类模型训练,得到分类模型,其中,一个聚类簇对应一个分类模型。可见现有技术中,入侵检测方法大多是只对训练数据进行聚类,然后对每个聚类簇进行分类模型训练,利用训练好的分类模型对待检测入侵数据进行分类。这样的话,由于在实际应用中,待检测入侵数据可能会与训练数据有很大的不同,因此这种只对训练数据进行聚类的入侵检测方法对待检测入侵数据的分类准确率较低,进而导致检测准确率较低。
技术实现思路
本专利技术实施例的目的在于提供一种入侵检测方法及装置,以提高检测准确率。具体技术方案如下:一种入侵检测方法,应用于服务器,包括:以预设修正率对待检测入侵数据进行采样,将采样得到的数据作为修正数据;对训练数据和所述修正数据进行聚类处理,获得分类聚类簇;对每个分类聚类簇进行分类模型训练,获得每个分类聚类簇对应的分类模型;利用获得的分类模型对剩余数据进行分类,获得所述剩余数据的攻击类型,并将所获得的攻击类型确定为所述待检测入侵数据的攻击类型,其中,所述剩余数据为:所述待检测入侵数据中除所述修正数据之外的数据。可选地,对训练数据和所述修正数据进行聚类处理,获得分类聚类簇,包括:按照预设的预处理算法对所述修正数据以及所述训练数据进行数据预处理;对数据预处理后的所述训练数据和修正数据进行聚类处理,获得分类聚类簇。可选地,所述对数据预处理后的所述训练数据和修正数据进行聚类处理,获得分类聚类簇,包括:对数据预处理后的所述训练数据进行聚类处理,获得训练聚类簇和训练聚类模型;利用所述训练聚类模型对数据预处理后的所述修正数据进行聚类,获得修正聚类簇;将所述修正聚类簇和所述训练聚类簇中簇标识相同的聚类簇合并,得到第一类分类簇;将第一类微类别数据和第二类微类别数据合并,得到微类别分类簇,其中,所述第一类微类别数据为:数据预处理后的所述训练数据中的所有微类别数据,所述第二类微类别数据为:数据预处理后的所述修正数据中的所有微类别数据,所述微类别数据为:数据类别不属于预设类别,且数据数量小于预设阈值的数据;将所述微类别分类簇分别与所述第一分类簇中的分类簇合并,得到分类聚类簇。可选地,所述预处理算法包括:因子数值化、连续变量归一化和特征选择。可选地,所述利用获得的分类模型对剩余数据进行分类,获得所述剩余数据的攻击类型,包括:对剩余数据进行数据预处理,并利用所述训练聚类模型对数据预处理后的所述剩余数据进行聚类处理;利用获得的分类模型对聚类处理后的所述剩余数据进行分类,获得所述剩余数据的攻击类型。本专利技术实施例还提供了一种入侵检测装置,应用于服务器,包括:采样模块,用于以预设修正率对待检测入侵数据进行采样,将采样得到的数据作为修正数据;聚类模块,用于对训练数据和所述修正数据进行聚类处理,获得分类聚类簇;分类模块,用于对每个分类聚类簇进行分类模型训练,获得每个分类聚类簇对应的分类模型;检测模块,用于利用获得的分类模型对剩余数据进行分类,获得所述剩余数据的攻击类型,并将所获得的攻击类型确定为所述待检测入侵数据的攻击类型,其中,所述剩余数据为:所述待检测入侵数据中除所述修正数据之外的数据。可选地,所述聚类模块包括:预处理子模块,用于按照预设的预处理算法对所述修正数据以及所述训练数据进行数据预处理;聚类处理子模块,用于对数据预处理后的所述训练数据和修正数据进行聚类处理,获得分类聚类簇。可选地,所述聚类处理子模块包括:训练数据聚类单元,用于对数据预处理后的所述训练数据进行聚类处理,获得训练聚类簇和训练聚类模型;修正数据聚类单元,用于利用所述训练聚类模型对数据预处理后的所述修正数据进行聚类,获得修正聚类簇;聚类簇合并单元,用于将所述修正聚类簇和所述训练聚类簇中簇标识相同的聚类簇合并,得到第一类分类簇;微类别数据合并单元,用于将第一类微类别数据和第二类微类别数据合并,得到微类别分类簇,其中,所述第一类微类别数据为:数据预处理后的所述训练数据中的所有微类别数据,所述第二类微类别数据为:数据预处理后的所述修正数据中的所有微类别数据,所述微类别数据为:数据类别不属于预设类别,且数据数量小于预设阈值的数据;分类簇合并单元,用于将所述微类别分类簇分别与所述第一分类簇中的分类簇合并,得到分类聚类簇。可选地,所述预处理算法包括:因子数值化、连续变量归一化和特征选择。可选地,所述检测模块包括:数据预处理子模块,用于对剩余数据进行数据预处理,并利用所述训练聚类模型对数据预处理后的所述剩余数据进行聚类处理;数据分类子模块,用于利用获得的分类模型对聚类处理后的所述剩余数据进行分类,获得所述剩余数据的攻击类型。本专利技术实施例所提供的一种入侵检测方法及装置,以预设修正率对待检测入侵数据进行采样,将采样得到的数据作为修正数据;对训练数据和修正数据进行聚类处理,获得分类聚类簇;对每个分类聚类簇进行分类模型训练,获得每个分类聚类簇对应的分类模型;利用获得的分类模型对剩余数据进行分类,获得剩余数据的攻击类型,并将所获得的攻击类型确定为待检测入侵数据的攻击类型,其中,剩余数据为:待检测入侵数据中除修正数据之外的数据。通过将待检测入侵数据应用到分类模型的构建过程中来获得分类模型,能够使得获得的分类模型对数据分类的结果较为准确,进而可以提高入侵检测算法的准确率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显本文档来自技高网...
【技术保护点】
一种入侵检测方法,应用于服务器,其特征在于,包括:以预设修正率对待检测入侵数据进行采样,将采样得到的数据作为修正数据;对训练数据和所述修正数据进行聚类处理,获得分类聚类簇;对每个分类聚类簇进行分类模型训练,获得每个分类聚类簇对应的分类模型;利用获得的分类模型对剩余数据进行分类,获得所述剩余数据的攻击类型,并将所获得的攻击类型确定为所述待检测入侵数据的攻击类型,其中,所述剩余数据为:所述待检测入侵数据中除所述修正数据之外的数据。
【技术特征摘要】
1.一种入侵检测方法,应用于服务器,其特征在于,包括:以预设修正率对待检测入侵数据进行采样,将采样得到的数据作为修正数据;对训练数据和所述修正数据进行聚类处理,获得分类聚类簇;对每个分类聚类簇进行分类模型训练,获得每个分类聚类簇对应的分类模型;利用获得的分类模型对剩余数据进行分类,获得所述剩余数据的攻击类型,并将所获得的攻击类型确定为所述待检测入侵数据的攻击类型,其中,所述剩余数据为:所述待检测入侵数据中除所述修正数据之外的数据。2.根据权利要求1所述的方法,其特征在于,对训练数据和所述修正数据进行聚类处理,获得分类聚类簇,包括:按照预设的预处理算法对所述修正数据以及所述训练数据进行数据预处理;对数据预处理后的所述训练数据和修正数据进行聚类处理,获得分类聚类簇。3.根据权利要求2所述的方法,其特征在于,所述对数据预处理后的所述训练数据和修正数据进行聚类处理,获得分类聚类簇,包括:对数据预处理后的所述训练数据进行聚类处理,获得训练聚类簇和训练聚类模型;利用所述训练聚类模型对数据预处理后的所述修正数据进行聚类,获得修正聚类簇;将所述修正聚类簇和所述训练聚类簇中簇标识相同的聚类簇合并,得到第一类分类簇;将第一类微类别数据和第二类微类别数据合并,得到微类别分类簇,其中,所述第一类微类别数据为:数据预处理后的所述训练数据中的所有微类别数据,所述第二类微类别数据为:数据预处理后的所述修正数据中的所有微类别数据,所述微类别数据为:数据类别不属于预设类别,且数据数量小于预设阈值的数据;将所述微类别分类簇分别与所述第一分类簇中的分类簇合并,得到分类聚类簇。4.根据权利要求3所述的方法,其特征在于,所述预处理算法包括:因子数值化、连续变量归一化和特征选择。5.根据权利要求3或4所述的方法,其特征在于,所述利用获得的分类模型对剩余数据进行分类,获得所述剩余数据的攻击类型,包括:对剩余数据进行数据预处理,并利用所述训练聚类模型对数据预处理后的所述剩余数据进行聚类处理;利用获得的分类模型对聚类处理后的所述剩余数据进行分类,获得所述剩余数据的攻击类型。6.一种入侵检测装置,应用于服务器,其特征在于...
【专利技术属性】
技术研发人员:姚海鹏,王淇艺,章扬,张培颖,王露瑶,殷志强,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。