入侵检测方法和装置制造方法及图纸

本发明专利技术实施例提供一种入侵检测方法和装置，涉及通信领域，能够提高入侵检测的效率及准确性。该方法包括：获取终端的数据集；数据集包括多个样本点；根据聚类算法对数据集进行聚类处理，获得约简数据集；聚类算法用于根据阈值和数据集中的代表点对数据集中除代表点外的其他样本点进行聚类处理，阈值与第一簇的样本点数量和第二簇的样本点数量有关；第一簇为代表点所在的簇，第二簇包括第一簇中的所有样本点和第一样本点，第一样本点为数据集中除第一簇中的样本点外的其他样本点；约简数据集包括多个代表点；根据约简数据集确定入侵数据集；入侵数据集包括数据集中的异常样本点。本发明专利技术用于网络入侵检测。

【技术实现步骤摘要】
入侵检测方法和装置
本专利技术涉及通信领域，尤其涉及一种入侵检测方法和装置。
技术介绍
随着计算机系统的发展，计算机系统通过互联网传递的各种工作和生活信息也越来越多。且由于互联网的发展，千兆网络、万兆网络所带来的海量数据流量对网络安全的影响也越来越重，随着海量数据流量攻击与入侵计算机系统的方式也层出不穷。确保网络安全成为计算机系统及互联网发展的一项重要任务。入侵检测技术是一种在入侵攻击对计算机系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱除入侵攻击的技术。鉴于目前互联网通信中的海量数据流量，入侵检测技术主要从网络流量表征维数进行数据挖掘，以实现降维分析目标。样本约简作为入侵检测技术的算法之一，在尽可能保障数据特性前提下来精简数据量，以满足从原始数据集中获取样本约简子集，利用样本约简子集进行入侵检测分析，有助于降低数据挖掘算法中数据处理的成本和时间。目前的数据约简算法，如快速压缩近邻算法(fastcondensednearestneighbor，FCNN)和迭代过滤算法(iterativecasefilteringalgorith本文档来自技高网...

【技术保护点】
1.一种入侵检测方法，其特征在于，包括：/n获取终端的数据集；所述数据集包括多个样本点；/n根据聚类算法对所述数据集进行聚类处理，获得约简数据集；所述聚类算法用于根据阈值和所述数据集中的代表点对所述数据集中除所述代表点外的其他样本点进行聚类处理，所述阈值与第一簇的样本点数量和第二簇的样本点数量有关；所述第一簇为所述代表点所在的簇，所述第二簇包括所述第一簇中的所有样本点和第一样本点，所述第一样本点为所述数据集中除所述第一簇中的样本点外的其他样本点；所述约简数据集包括多个所述代表点；/n根据所述约简数据集确定入侵数据集；所述入侵数据集包括所述数据集中的异常样本点。/n

【技术特征摘要】
1.一种入侵检测方法，其特征在于，包括：
获取终端的数据集；所述数据集包括多个样本点；
根据聚类算法对所述数据集进行聚类处理，获得约简数据集；所述聚类算法用于根据阈值和所述数据集中的代表点对所述数据集中除所述代表点外的其他样本点进行聚类处理，所述阈值与第一簇的样本点数量和第二簇的样本点数量有关；所述第一簇为所述代表点所在的簇，所述第二簇包括所述第一簇中的所有样本点和第一样本点，所述第一样本点为所述数据集中除所述第一簇中的样本点外的其他样本点；所述约简数据集包括多个所述代表点；
根据所述约简数据集确定入侵数据集；所述入侵数据集包括所述数据集中的异常样本点。


2.根据权利要求1所述的入侵检测方法，其特征在于，所述阈值依据下列公式确定：



其中，g为所述数据集中样本点的变化范围，Q为样本约简参数，|Ci|为所述第一簇中的样本点数量，|Cj|为所述第二簇中的样本点数量，δ为所述第一簇和所述第二簇不属于同一簇的概率。


3.根据权利要求2所述的入侵检测方法，其特征在于，所述根据聚类算法对所述数据集进行聚类处理，获得约简数据集包括：
a、确定第一代表点和第二样本点之间的第一距离，若所述第一距离小于或等于所述阈值，则将所述第二样本点聚类至所述第一代表点所在的簇；所述第二样本点、所述第一代表点为所述数据集中的不同样本点；
b、若所述第一距离大于所述阈值，则确定所述第二样本点为第二代表点；
c、确定所述第一代表点和第三样本点之间的第二距离，所述第二代表点和所述第三样本点之间的第三距离；所述第三样本点为所述数据集中的样本点；
d、若所述第二距离小于或等于所述阈值，且所述第三距离大于所述阈值，则将所述第三样本点聚类至所述第一代表点所在的簇；若所述第二距离大于所述阈值，且所述第三距离小于或等于所述阈值，则将所述第三样本点聚类至所述第二代表点所在的簇；
e、将所述数据集中的所有样本点依次迭代进行a-d的步骤，获得多个簇；
f、确定所述多个簇的代表点组成的集合为所述约简数据集。


4.根据权利要求3所述的入侵检测方法，其特征在于，所述确定所述第一代表点和第三样本点之间的第二距离，所述第二代表点和所述第三样本点之间的第三距离之后，还包括：
若所述第二距离小于或等于所述阈值，且所述第三距离小于或等于所述阈值，则根据所述第三样本点聚类至所述第一代表点所在的簇的第一概率和所述第三样本点聚类至所述第二代表点所在的簇的第二概率确定所述第三样本点聚类的簇；
若所述第一概率大于所述第二概率，则将所述第三样本点聚类至所述第一代表点所在的簇；若所述第一概率小于所述第二概率，则将所述第三样本点聚类至所述第二代表点所在的簇；
所述第一概率和所述第二概率依据下列公式确定：
di＝dist(Ci，x)；



其中，x为所述第三样本点，m为所述第三样本点与不同代表点之间的距离大于阈值的代表点的数量；Ci为所述第一代表点所在的簇，di为所述第三样本点与所述第一代表点之间的距离，或，Ci为所述第二代表点所在的簇，di为所述第三样本点与所述第二代表点之间的距离。


5.根据权利要求4所述的入侵检测方法，其特征在于，所述将所述数据集中的所有样本点依次迭代进行a-d的步骤，获得多个簇之后，还包括：
确定所述多个簇的平均值；
将多个所述平均值确定为多个中心代表点；
确定所述多个中心代表点组成的集合为所述约简数据集。


6.一种入侵检测装置，其特征在于，包括：
获取模块，用于获取终端的数据集；所述数据集包括多个样本点；
聚类模块，用于根据聚类算法对所述获取模块获取的所述数据集进行聚类处理，获得约简数据集；所述聚类算法用于根据阈值和所述数据集中的代表点...

【专利技术属性】
技术研发人员：张冬月，王光全，廖军，刘永生，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京;11