基于形式概念分析的入侵检测方法、系统与电子设备技术方案

本发明专利技术公开了基于形式概念分析的入侵检测方法，包括如下技术内容：收集网络入侵连接信息；对所述网络入侵连接信息进行单值化预处理，得到网络入侵数据表，基于所述网络入侵数据表，构建网络攻击概念库，所述网络攻击概念库包括任意一种网络攻击类型的网络连接属性的集合，记为采集被保护系统中的当前网络连接信息，基于所述当前网络连接数据表中的属性构建当前属性集B

【技术实现步骤摘要】
基于形式概念分析的入侵检测方法、系统与电子设备


[0001]本专利技术涉及互联网
，尤其涉及一种基于形式概念分析的入侵检测方法，本专利技术还涉及一种基于形式概念分析的入侵检测系统与电子设备。

技术介绍

[0002]随着物联网的高速发展，越来越多的涉及人民生活和国家安全的产业变得难以与互联网脱离，网络空间中充斥这大量以窃取数据或破坏网络系统为目的的网络攻击，如何识别这些网络攻击并作出相应防御决策是当前网络安全领域一个重要的研究课题。入侵检测技术，作为网络攻击识别的重要技术，一直被网络安全领域的学者广泛研究。入侵检测技术以网络流量数据集为基础，利用机器学习或深度学习的方法，训练出入侵检测模型。利用入侵检测模型检测进出被保护网络的流量，发现可疑攻击，确定可疑攻击类型，并采取相应的防御决策。
[0003]现有的入侵检测主要是基于机器学习和深度学习，这样的训练方法不符合人类的认知习惯，相关从业人员难以从模型中获取关于对应网络攻击的知识，不利于攻击溯源，也难以从模型中得到不同网络攻击之间的关联，面对不同的网络攻击，难以制定统一的防御方案；另一方面，机器学习和深度学习容易出现过拟合现象，导致模型的泛用性降低。
[0004]因此，如何提供一种问题解决方案，其能够快速查找出当前网络中的网络入侵连接，提高网络的安全性，已经成为本领域技术人员亟待完成的目标。

技术实现思路

[0005]为解决上述技术问题，本专利技术的主要目的在于提供一种基于形式概念分析的入侵检测方法，能够快速查找出当前网络中的网络入侵连接，提高网络的安全性，此外，本专利技术还提供一种基于形式概念分析的入侵检测系统与电子设备，同样具有上述有益效果。
[0006]为实现上述目的，本专利技术提供一种基于形式概念分析的入侵检测方法，该方法包括：收集网络入侵连接信息，所述网络入侵连接信息包括网络连接数据、属性、网络攻击类型；对所述网络入侵连接信息进行单值化预处理，得到网络入侵数据表，所述网络入侵数据表包括：网络连接数据、属性、网络攻击类型；基于所述网络入侵数据表，构建网络攻击概念库，所述网络攻击概念库包括任一种网络攻击类型的所有网络连接数据的公共属性的集合，记为i＝1,2,3,
…
,N，其中N是数据中包含的网络攻击类型个数；采集被保护系统中的当前网络连接信息，对所述当前网络连接信息进行所述单值化预处理，得到当前网络连接数据表，所述当前网络连接数据表包括：网络连接数据、属性，基于所述当前网络连接数据表中的属性构建当前属性集B
test
，若则判定当前网络连接信息中存在第i类网络攻击。
[0007]进一步地，在本专利技术提供的基于形式概念分析的入侵检测方法中，该方法还包括：
[0008]结合所述当前属性集B
test
和所述得到归属度σ
i
，
[0009][0010]当所述归属度σ
i
大于第一阈值时，则判定当前网络连接信息中存在第i类网络攻击；
[0011]对外输出归属度σ
i
。
[0012]进一步地，在本专利技术提供的基于形式概念分析的入侵检测方法中，所述任意一种网络攻击类型的所有网络连接的共有属性的集合i＝1,2,3,
…
,N；的构建方式为：
[0013]所述网络入侵数据表中，每一个所述网络连接数据具有一个或多个所述属性；每个所述属性与一个或多个所述网络连接数据对应；
[0014]设所述所有网络攻击类型的网络连接数据的集合为D＝{D
i
|i＝1,2,3,
…
,N}；D
i
是某一种网络攻击类型对应的所有网络连接数据的集合；
[0015]则所述任意一种网络攻击类型的所有网络连接的共有属性的集合表示为
[0016]则与对应的所有网络连接的集合表示为
[0017]进一步地，在本专利技术提供的基于形式概念分析的入侵检测方法中，该方法还包括：
[0018]构建攻击概念集H，包括以下步骤：
[0019]定义2
D
是集合D的幂集，对|F|≥2，若则(F
**
,F
*
)为一个网络攻击概念的超概念；
[0020]找到所有网络攻击概念的超概念，将网络攻击概念和超概念融合得到攻击概念集H，所述攻击概念集H满足，(A2,B2)∈H，若且则(A1,B1)≤(A2,B2)；
[0021]当满足且则将i、j两种网络攻击类型归为一类。
[0022]需要说明的是，将i、j两种网络攻击类型归为一类后，对所述i、j两种网络攻击类型可采用统一的防御策略。本申请提供的技术方案，提供了一个网络攻击的分类方法，同一类的网络攻击可以寻求统一的防御策略。
[0023]进一步地，在本专利技术提供的基于形式概念分析的入侵检测方法中，所述“对所述网络入侵连接信息进行单值化预处理”包括以下步骤：
[0024]将所述网络入侵连接信息中的每个网络连接数据作为一行，按行进行排列，得到网络入侵数据表；其中，每个所述网络连接数据称为一个对象，并放在所述网络入侵数据表的第一列，将第一列和最后一列之间的列标签称为属性，最后一列的列标签为网络攻击类型。
[0025]进一步地，在本专利技术提供的基于形式概念分析的入侵检测方法中，所述“对所述网络入侵连接信息进行单值化预处理”还包括以下步骤：
[0026]将所述网络连接数据的所有属性变为单值属性，并填入所述网络入侵数据表中。
[0027]进一步地，在本专利技术提供的基于形式概念分析的入侵检测方法中，所述“将所述网络连接数据的所有属性变为单值属性”具体为：
[0028]对于属性值只有两种取值的属性，将属性值标记为{0,1}；
[0029]对于分立值属性a，若其取值范围为{a1,a2,a3,
…
,a
n
}，则用n个单值属性代替多值属性a，n个单值属性构成的属性集为：
[0030]{a＝a1,a＝a2,a＝a3,
…
,a＝a
n
}
[0031]若a＝a
i
,i＝1,2,3,
…
,n，则属性a＝a
i
的取值为1，其余n
‑
1个单值属性取值为0；
[0032]对于连续值属性b,若其取值范围为[b
min
,b
max
]，则将取值范围分为m份，即：
[0033][0034]用m个单值属性代替连续多值属性b，m个单值属性构成的属性集为
[0035][0036]若对于某一对象多值属性b的取值为
[0037][0038]则：
[0039]单值属性的取值为0，
[0040]单值属性的取值为1；
[0041]对于分段连续的属性，先按照分立多值属性处理，再按连续多值属性处理；
[0042]对于数值型的分立多值属性本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于形式概念分析的入侵检测方法，其特征在于，包括步骤：收集网络入侵连接信息，所述网络入侵连接信息包括网络连接数据、属性、网络攻击类型；对所述网络入侵连接信息进行单值化预处理，得到网络入侵数据表，所述网络入侵数据表包括：网络连接数据、属性、网络攻击类型；基于所述网络入侵数据表，构建网络攻击概念库，所述网络攻击概念库包括任意一种网络攻击类型的所有网络连接的共有属性的集合，记为其中N是数据中包含的网络攻击类型个数；采集被保护系统中的当前网络连接信息，对所述当前网络连接信息进行所述单值化预处理，得到当前网络连接数据表，所述当前网络连接数据表包括：网络连接数据、属性；基于所述当前网络连接数据表中的属性构建当前属性集B
test
，若则判定当前网络连接信息中存在第i类网络攻击。2.根据权利要求1所述的基于形式概念分析的入侵检测方法，其特征在于，该方法还包括步骤：结合所述当前属性集B
test
和所述得到归属度σ
i
，当所述归属度σ
i
大于第一阈值时，则判定当前网络连接信息中存在第i类网络攻击；对外输出归属度σ
i
。3.根据权利要求1或2所述的基于形式概念分析的入侵检测方法，其特征在于，所述任意一种网络攻击类型的网络连接属性的集合意一种网络攻击类型的网络连接属性的集合的构建方式为：所述网络入侵数据表中，每一个所述网络连接数据具有一个或多个所述属性；每个所述属性与一个或多个所述网络连接数据对应；设所述任意一种网络攻击类型的网络连接的集合为D＝{D
i
|i＝1,2,3,
…
,N}；D
i
是某一种网络攻击类型对应的所有网络连接数据的集合；则所述任意一种网络攻击类型的所有网络连接的共有属性的集合表示为则与任意一种网络攻击类型的网络连接属性对应的所有网络连接的集合表示为4.根据权利要求3所述的基于形式概念分析的入侵检测方法，其特征在于，该方法还包括：构建攻击概念集H，包括以下步骤：定义2
D
是集合D的幂集，对|F|≥2，若则(F
**
,F
*
)为一个网络攻击概念的超概念；找到所有网络攻击概念的超概念，将网络攻击概念和超概念融合得到攻击概念集H，所述攻击概念集H满足，若且则(A1,B1)≤(A2,B2)；
当满足且则将i、j两种网络攻击类型归为一类。5.根据权利要求4中任意一项所述的基于形式概念分析的入侵检测方法，其特征在于，所述“对所述网络入侵连接信息进行单值化预处理”包括以下步骤：将所述网络入侵连接信息中的每个网络连接数据作为一行，按行进行排列，得到网络入侵数据表；其中，每个所...

【专利技术属性】
技术研发人员：戚建淮，刁润，宋晶，周杰，杜玲禧，张莉，
申请(专利权)人：深圳市永达电子信息股份有限公司，
类型：发明
国别省市：