【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体涉及一种动态调整门限的网络入侵检测方法。
技术介绍
1、随着信息技术的飞速发展,互联网已深度嵌入人类社会,成为支撑人类社会正常运行的重要部分。然而在互联网为我们工作生活带来便利的同时,针对计算机网络的攻击也层出不穷。网络入侵是未经授权的个人或组织利用目标网络的漏洞,通过网络通信协议非法访问计算机网络的行为。
2、入侵检测技术可以有效提高网络面对网络入侵的防范能力,保证网络的安全运行。现有的网络入侵检测技术大多基于机器学习和深度学习技术,使用经过标注的网络流训练分类模型,进而用于网络的入侵检测。然而在实际应用中,现有技术仍然存在着瓶颈。主要问题是:训练机器学习和深度学习模型需要大量经过标注的网络流数据,而使用人工对数据进行标注效率低下,因此难以获得大量高质量的训练数据。此外,面对日益复杂的网络环境,这些依赖规则库和训练数据的检测方法难以识别新的入侵方法。
技术实现思路
1、为解决上述现有技术中存在的问题,本专利技术提供了一种动态调整门限的网络入侵检测方法,从空间域与时域角度分析待检测数据与历史信息数据的差异程度,生成该检测数据的异常值,并对网络是否发生入侵进行判定。本专利技术不需要使用已标注数据训练模型,并且可以识别零日攻击,提高了入侵检测系统的检测准确性,且更具备现实可操作性。本专利技术通过以下技术方案实现。
2、一种动态调整门限的网络入侵检测方法,包括如下步骤:
3、步骤1:网络数据采集与处理;在目标网络上持续采
4、步骤2:构建入侵告警函数;所述入侵告警函数为
5、;其中, x为经过预处理的网络协议数据样本,为基于pca算法计算出的数据空间域异常值,为基于holt-winters算法计算出的数据时域异常值,为威胁因子,用以衡量待检测数据中时空域角度的异常程度,由入侵告警函数计算出的值为异常值;
6、步骤3:构建告警门限函数;所述告警门限函数为,其中为由历史信息数据的异常值组成的序列;
7、步骤4:计算告警门限;输入步骤1中采集的历史信息数据到步骤2所得的入侵告警函数中得到历史信息数据的异常值序列;将异常值序列输入步骤3中得到的告警门限函数,计算得到当前告警门限值;
8、步骤5:网络入侵持续性检测;输入步骤1所采集的待检测数据到步骤2所得的入侵告警函数中得到当前数据的异常值,并与告警门限值比较;当数据异常值小于或等于告警门限值时,数据正常,将当前数据存入历史信息中,并重复进行步骤1、步骤2、步骤3、步骤4,当数据异常值大于告警门限值时,向网络管理员发出告警。
9、传统网络入侵检测方法依赖于规则库与训练数据,尽管检测已有攻击能力较强,但规则库与训练数据更新的滞后性导致难以识别新的入侵方法。本专利技术并未使用传统入侵检测方法采取的训练数据训练模型的方式,而是在目标网络上持续采集网络协议数据包。持续采集的网络协议数据包具有实时性和动态更新性,能准确反映当前网络安全态势。并通过多次测试确定了可长期使用的在深层包含表征网络流量数据类型特征的网络协议数据包数据信息并在本专利技术中予以公开。为本专利技术后续提取网络协议数据深层特征,判定数据类型做好前置工作。进一步,本专利技术分析网络流异常数据与当前网络正常数据之间的差异情况并设定入侵告警门限进行数据异常判定,通过判别入侵方法与正常流量之间的数据差异的方法,实现了入侵行为的检测并避免了网络入侵检测方法对零日攻击的漏判。同时,本专利技术在提取网络协议数据特征时并未简单地从单一角度分析数据,而是利用pca算法和holt-winters算法分别从空间域和时间域多维度分析网络流数据异常信息。pca算法和holt-winters算法是机器学习领域常用的数据分析方法,特点是算法简单,运算量低,可以快速提取网络流数据异常特征,计算数据异常分数,充分适配网络入侵检测方法对实时性的要求,避免了出现因消耗过多算力,数据判别结果计算滞后而导致入侵行为检测不及时的情况。再进一步而言,本专利技术利用上述算法计算产生的数据异常值构建了入侵告警函数对网络数据类型进行判定,在入侵告警函数中,被检测过的网络数据的异常分数并未被抛弃,而是以历史信息的形式参与构建入侵告警门限的设定,从而实现入侵告警门限跟随网络环境动态调整的功能,能够有效的应用到工程实践中。
本文档来自技高网...【技术保护点】
1.一种动态调整门限的网络入侵检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于PCA算法计算待检测数据空间域异常值的过程具体包括如下步骤:
3.根据权利要求2所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于PCA算法计算待检测数据空间域异常值的过程具体包括如下步骤:
4.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于holt-winters算法计算待检测数据时域异常值的过程具体包括如下步骤:
5.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤1中,预处理网络协议数据包的过程至少包括:字符型编码、缺失值补零、max-min方法归一化处理。
6.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤1中,通过流量采集器持续采集目标网络上的网络协议数据包,生成原始数据集,根据TCP/IP协议簇标准对原始数据集进行解析与统计,形成可分析
7.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤3中,
...【技术特征摘要】
1.一种动态调整门限的网络入侵检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于pca算法计算待检测数据空间域异常值的过程具体包括如下步骤:
3.根据权利要求2所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于pca算法计算待检测数据空间域异常值的过程具体包括如下步骤:
4.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于holt-winters算法计算待检测数据时域异常值的过程具体包括如下步骤:
5.根据权利要求1所述的一种动态调整门限的网络入侵...
【专利技术属性】
技术研发人员:王殊,王晨飞,张虎,李慧芹,张郁颀,李永刚,
申请(专利权)人:国家电网有限公司客户服务中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。