本发明专利技术提供了一种网络入侵行为检测方法及系统,所述方法包括:得到基于网络入侵信息得到的告警信息;将所述告警信息输入预设的神经网络进行检测得到可疑告警信息;根据所述可疑告警信息确定是否存在网络攻击,若存在,向用户终端反馈存在网络攻击的预警信号,本发明专利技术可提高网络入侵行为检测的实时性和准确性。
A network intrusion detection method and system
【技术实现步骤摘要】
一种网络入侵行为检测方法及系统
本专利技术涉及网络入侵行为检测
,尤其涉及一种网络入侵行为检测方法及系统。
技术介绍
近年来,随着信息技术在社会各领域的广泛运用,网络与信息安全日显重要。由于网络入侵行为的不确定性和攻击技术的日新月异,入侵检测难度较大,导致现有的入侵检测系统误报率和虚警率居高不下。
技术实现思路
本专利技术的一个目的在于提供一种网络入侵行为检测方法,提高网络入侵行为检测的实时性和准确性。本专利技术的另一个目的在于提供一种网络入侵行为检测系统。本专利技术的再一个目的在于提供一种计算机设备。本专利技术的还一个目的在于提供一种可读介质。为了达到以上目的,本专利技术一方面公开了一种网络入侵行为检测方法,包括:得到基于网络入侵信息得到的告警信息;将所述告警信息输入预设的神经网络进行检测得到可疑告警信息;根据所述可疑告警信息确定是否存在网络攻击,若存在,向用户终端反馈存在网络攻击的预警信号。优选的,所述方法进一步包括在获取基于特征匹配得到的告警信息,之前:确定神经网络初始参数;根据历史告警信息的特征信息形成神经网络的输入向量;根据历史告警信息对应的网络攻击确定结果和输入向量训练BP神经网络得到各项参数形成所述预设的神经网络。优选的,所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。优选的,所述得到基于网络入侵信息得到的告警信息具体包括:<br>获取网络入侵信息;根据所述网络入侵信息基于特征的检测方法确定所述告警信息。优选的,所述方法进一步包括:根据确定的网络攻击和对应的告警信息形成学习样本;采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。本专利技术还公开了一种网络入侵行为检测系统,包括:告警信息确定单元,用于得到基于网络入侵信息得到的告警信息;可疑信息确定单元,用于将所述告警信息输入预设的神经网络进行检测得到可疑告警信息;预警反馈单元,用于根据所述可疑告警信息确定是否存在网络攻击,若存在,向用户终端反馈存在网络攻击的预警信号。优选的,还包括神经网络形成单元,用于确定神经网络初始参数,根据历史告警信息的特征信息形成神经网络的输入向量,根据历史告警信息对应的网络攻击确定结果和输入向量训练BP神经网络得到各项参数形成所述预设的神经网络。优选的,所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。优选的,所述告警信息确定单元具体用于获取网络入侵信息,根据所述网络入侵信息基于特征的检测方法确定所述告警信息。优选的,还包括神经网络优化单元,用于根据确定的网络攻击和对应的告警信息形成学习样本,采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。本专利技术还公开了一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述方法。本专利技术还公开了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述方法。本专利技术将基于网络入侵信息产生的大量告警信息通过预设的神经网络进一步区分,从中判别出可疑告警信息,根据判别出的可疑告警信息向用户预警。本专利技术可将大多数基于特征的检测方法产生的告警信息判定为无效告警,并不再报出,大幅度降低了入侵检测系统的误报率,提高其告警准确度,提升入侵检测系统的敏感性,也提高了运行值班人员的工作效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出本专利技术一种网络入侵行为检测方法一个具体实施例的流程图之一;图2示出本专利技术一种网络入侵行为检测方法一个具体实施例的流程图之二;图3示出本专利技术一种网络入侵行为检测方法一个具体实施例的流程图之三;图4示出本专利技术一种网络入侵行为检测方法一个具体实施例的流程图之四;图5示出本专利技术一种网络入侵行为检测系统一个具体实施例的结构图之一;图6示出本专利技术一种网络入侵行为检测系统一个具体实施例的结构图之二;图7示出本专利技术一种网络入侵行为检测系统一个具体实施例的结构图之三;图8示出适于用来实现本专利技术实施例的计算机设备的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。入侵检测系统(IntrusionDetectionSystem,IDS)是依照一定的安全策略,通过软硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为和攻击结果,以保证网络系统资源的机密性、完整性和可用性的系统。现有的网络入侵检测系统(IDS)通常采用基于特征的检测方法,即首先定义一个入侵特征模式库,包括如网络数据包的源端口、目的端口、协议等相关信息,通过检测网络中搜集到的数据特征是否在入侵模式库中出现,从而判别是否是入侵行为,并向用户反馈。在具体应用上,现有的IDS将各种网络行为直接匹配入侵特征模式库的最大集规则模板,若匹配成功则发出告警。但是,现有的IDS这种简单的网络入侵检测方式会产生大量无效告警误报率很高,影响运行值班人员的判断,降低工作效率,并可能对真正入侵行为的失去敏感性。基于现有技术中存在的问题,专利技术人发现,真正的蓄意网络攻击在IDS上的特点为:一定时间范围内,大量、集中的高级别告警报出。基于这一特点,可对所有告警信息进行进一步筛选分类,筛选出的告警称为可疑告警,其余的称为无效告警,选择基于告警流量异常的分析方法,可建立正常网络运行时告警信息的“活动规律”,将当前告警报出情况与正常网络运行时的告警信息的“活动规律”相比较,经分析发现两者不一致时,则认为可能有入侵行为。基于此,根据本专利技术的一个方面,本实施例公开了一种网络入侵行为检测方法。本实施例中,如图1所示,所述方法包括:S100:得到基于网络入侵信息得到的告警信息。S200:将所述告警信息输入预设的神经网络进行检测得到可疑告警信息。S300:根据所述可疑告警信息确定是否存在网络攻击,若存在,向用户终端反馈存在网络攻击的预警信号。本专利技术将基于网络入侵信息产生的大量告警信息通过预设的神经网络进一步区分,从中判别出可疑告警信息,根据判别出的可疑告警信息向用户预警。本专利技术可将大多数基于特征的检测方法产生的告警信息本文档来自技高网...
【技术保护点】
1.一种网络入侵行为检测方法,其特征在于,包括:/n得到基于网络入侵信息得到的告警信息;/n将所述告警信息输入预设的神经网络进行检测得到可疑告警信息;/n根据所述可疑告警信息确定是否存在网络攻击,若存在,向用户终端反馈存在网络攻击的预警信号。/n
【技术特征摘要】
1.一种网络入侵行为检测方法,其特征在于,包括:
得到基于网络入侵信息得到的告警信息;
将所述告警信息输入预设的神经网络进行检测得到可疑告警信息;
根据所述可疑告警信息确定是否存在网络攻击,若存在,向用户终端反馈存在网络攻击的预警信号。
2.根据权利要求1所述的网络入侵行为检测方法,其特征在于,所述方法进一步包括在获取基于特征匹配得到的告警信息,之前:
确定神经网络初始参数;
根据历史告警信息的特征信息形成神经网络的输入向量;
根据历史告警信息对应的网络攻击确定结果和输入向量训练BP神经网络得到各项参数形成所述预设的神经网络。
3.根据权利要求2所述的网络入侵行为检测方法,其特征在于,所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。
4.根据权利要求1所述的网络入侵行为检测方法,其特征在于,所述得到基于网络入侵信息得到的告警信息具体包括:
获取网络入侵信息;
根据所述网络入侵信息基于特征的检测方法确定所述告警信息。
5.根据权利要求1所述的网络入侵行为检测方法,其特征在于,所述方法进一步包括:
根据确定的网络攻击和对应的告警信息形成学习样本;
采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。
6.一种网络入侵行为检测系统,其特征在于,包括:
告警信息确定单元,用于得到基于网络入侵信息得到的告警信息;
可疑信息确定单元,用...
【专利技术属性】
技术研发人员:刘博,刘军娜,王长瑞,梁伟宸,李烜,
申请(专利权)人:华北电力科学研究院有限责任公司,国家电网有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。