本发明专利技术涉及网络安全领域,具体涉及一种网络入侵行为检测的动态数据流聚类方法,针对网络入侵行为检测的数据对象
【技术实现步骤摘要】
一种网络入侵行为检测的动态数据流聚类方法
[0001]本专利技术涉及网络安全
,尤其涉及一种网络入侵行为检测的动态数据流聚类方法
。
技术介绍
[0002]在网络安全领域,入侵检测系统
(IDS)
是一个关键的组成部分
。
这些系统通常使用不同的方法来检测和防止网络攻击,包括恶意软件,僵尸网络,拒绝服务攻击等等
。IDS
可以基于特征或基于行为进行工作
。
特征基础的
IDS
依赖于预定义的入侵特征,例如已知的恶意软件签名
。
然而,这种方法在面对未知威胁时可能会失效
。
行为基础的
IDS
,另一方面,通过学习网络的“正常”行为,并寻找异常行为来检测入侵
。
[0003]数据聚类是一种常见的机器学习技术,用于将相似的数据点组合在一起
。
在网络安全领域,数据聚类可以用于识别异常或可疑的行为模式
。
例如,如果一个特定的
IP
地址在短时间内发送了大量的请求,这可能会被聚类算法识别为异常行为
。
[0004]然而,传统的聚类方法无法有效地处理动态的网络流量数据
。
例如,如果网络流量模式随时间变化,静态聚类方法可能无法准确地识别出新的或改变的行为模式
。
此外,静态聚类方法可能需要大量的计算资源和时间,这对于需要实时或近实时响应的网络安全应用来说可能是不切实际的/>。
[0005]近年来,用于分析网络入侵数据的聚类技术得到了广泛的研究
。
针对动态数据流提出了几种传统的聚类方法,如基于层次
、
基于密度
、
基于分区和基于模型的算法,它们通常采用局部相似性策略,使用网络入侵行为数据对象之间的欧氏距离来保留局部邻域信息,随着新集群的出现或其他集群的消失,数据流也会动态变化,这就要求聚类算法能够从大规模动态数据流中增量学习
。
因此,需要一种新的学习策略,随着时间的推移自适应地将以前学到的知识传递给当前的数据流
。
技术实现思路
[0006]本专利技术的目的在于提供一种网络入侵行为检测的动态数据流聚类方法,旨在解决传统方法在数据流发生动态变化时,需要从大规模动态数据流中增量学习的问题
。
[0007]为实现上述目的,本专利技术提供了一种网络入侵行为检测的动态数据流聚类方法,包括以下步骤:
[0008]S1
准备数据集,网络入侵行为相关的大规模动态数据流;
[0009]S2
将稀疏约束整合到网络入侵行为数据对象的表示中学习,得到稀疏矩阵;
[0010]S3
拟议字典初始化策略;
[0011]S4
基于所述稀疏矩阵采用所述字典初始化策略将知识有效地传递给当前的滑动窗口;
[0012]S5
聚类得到对网络入侵行为的检测结果
。
[0013]其中,所述稀疏矩阵被用作谱聚类的亲和矩阵
。
[0014]其中,所述字典初始化策略用于保留以前学到的知识,对当前的滑动窗口提供集群数据
。
[0015]其中,所述字典初始化策略和稀疏表示通过解决凸优化问题而迭代更新
。
[0016]其中,所述迭代更新需要引入辅助变量
。
[0017]本专利技术提出了一种网络入侵行为检测的动态数据流聚类方法,首先将稀疏约束整合到数据对象的表示中学习,得到稀疏矩阵;然后,提出一种字典初始化策略,基于稀疏矩阵将知识有效地传递给当前的滑动窗口;其中,字典初始化策略和稀疏表示通过解决凸优化问题进行迭代更新,且在更新过程中需要引入辅助变量
。
[0018]本专利技术的输入是网络入侵行为相关的大规模动态数据流,这些数据流包含各种网络活动记录,例如网络流量数据
、
网络连接日志
、
用户行为数据等
。
[0019]本专利技术的输出是对网络入侵行为的检测结果,通过动态数据流聚类,可以发现潜在的入侵模式或异常行为,以及其在数据流中的位置
。
[0020]本专利技术利用稀疏表示技术利用数据对象的内在特征,自动选择相邻数据对象的数量,保证高度相关的数据对象被表示在一起,大大丰富了数据对象之间的关系,提高了数据流的聚类性能
。
此外,通过合理的字典和滑动窗口大小,可以有效地控制计算成本
。
相较于传统方法,本专利技术的方法在处理网络入侵数据流发生动态变化时,无需从大规模网络入侵动态数据流中进行增量学习,从而解决了计算资源的消耗问题和检测效率问题
。
附图说明
[0021]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图
。
[0022]图1是本专利技术提供的一种网络入侵行为检测的动态数据流聚类方法的流程图
。
具体实施方式
[0023]下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件
。
下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制
。
[0024]请参阅图1,本专利技术提供一种网络入侵行为检测的动态数据流聚类方法,包括以下步骤:
[0025]S1
准备数据集,网络入侵行为相关的大规模动态数据流;
[0026]收集与网络入侵行为检测相关的数据集
。
使用网络流量监测工具捕获网络流量数据包,并将其保存为
pcap
文件格式
。
收集包括操作系统
、
应用程序
、
防火墙等产生的系统日志数据
。
利用入侵检测系统生成的日志数据
。
根据网络入侵行为检测的任务要求,选择与入侵行为相关的特征进行提取
。
这些特征包括网络协议
、
源
IP
地址
、
目标
IP
地址
、
端口号
、
传输协议
。
对选定的特征进行标准化处理,得到
DS。
[0027]S2
将稀疏约束整合到网络入侵行为数据对象的表示中学习,得到稀疏矩阵;
[0028]具体的,我们认为一个网络入侵数据流
DS
,是若干个网络入侵行为数据对象的序
列,每个序列代表一个滑动窗口,即让是一个网络入侵数据流的第
t
个窗口中的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种网络入侵行为检测的动态数据流聚类方法,其特征在于,包括以下步骤:
S1
准备数据集,网络入侵行为相关的大规模动态数据流;
S2
将稀疏约束整合到网络入侵行为数据对象的表示中学习,得到稀疏矩阵;
S3
拟议字典初始化策略;
S4
基于所述稀疏矩阵采用所述字典初始化策略将知识有效地传递给当前的滑动窗口;
S5
聚类得到对网络入侵行为的检测结果
。2.
如权利要求1所述的一种网络入侵行为检测的动态数...
【专利技术属性】
技术研发人员:王茂竹,杨浩,陈杰,王竹,
申请(专利权)人:四川大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。