本申请公开了一种网络系统入侵访问数据的检测方法及装置、可读存储介质,所述方法包括:获取预定时间段内目标网络系统的网络数据包;基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元;基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,所述互信息用于表征所属指定属性内数据的相关性;基于所述目标指定属性对应的空间划分单元对所述预定时间段内的网络数据包进行离群点检测,以确定所述预定时间段内离群点对应的网络数据包为所述目标网络系统的入侵访问数据。
1、大数据时代的来临,社会从原来的企业级数据存储转变为现在的海量全数据存储,现代人的生活每时每刻、随时随地都在产生数据,数据的形式也从原来的基础型数据转变为现在的复杂型数据。诸如智慧城市运营系统的网络系统,具有海量的数据,且需要高安全性运行环境,需要实时对访问网络系统的行为进行入侵检测(intrusion detection)。
2、入侵检测可根据数据来源进行划分,入侵检测系统分析数据可以是主机系统的审计记录(系统日志)、网络数据包、应用程序的日志以及其他入侵检测系统的报警信息。入侵检测定义计算机系统中的用户能够产生正常行为,通常使用聚类算法的入侵检测模型进行检测。如果聚类产生的簇的质量比较差,那么最后的检测精度也会比较低,聚类算法的选取会直接影响最后的检测结果,并且大多数聚类算法的复杂度都比较高,应用于高维数据的效果也一般。
>5、基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元;6、基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,所述互信息用于表征所属指定属性内数据的相关性;
7、基于所述目标指定属性对应的空间划分单元对所述预定时间段内的网络数据包进行离群点检测,以确定所述预定时间段内离群点对应的网络数据包为所述目标网络系统的入侵访问数据。
8、可选地,所述多个指定属性包括网络数据包的全部属性或部分属性,所述网络数据包的属性包括网络数据包的时间、网络数据包的长度和网络数据包的来源ip段。
9、可选地,所述基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元,包括:
10、确定各网络数据包对应的多个指定属性;
11、对于指定属性为网络数据包的时间,按照相同时间间隔划分各网络数据包,以将相同时间范围内的网络数据包划分到同一个空间划分单元中;
12、对于指定属性为网络数据包的长度,按照相同长度间隔划分各网络数据包,以将相同长度范围内的网络数据包划分到同一个空间划分单元中;
13、对于指定属性为网络数据包的来源ip段,按照相同ip段间隔划分各网络数据包,以将相同ip段内的网络数据包划分到同一个空间划分单元中。
14、可选地,所述基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,包括:
15、获取各指定属性对应的空间划分单元中的网络数据包的数据;
16、基于不同指定属性对应的空间划分单元中的网络数据包的数据,确定不同指定属性之间的互信息;
17、基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性。
18、可选地,所述基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性,包括:
19、将各互信息值分别与第一预设阈值进行比对;
20、确定大于所述第一预设阈值的第一互信息值;
21、将所述第一互信息值对应的指定属性确定为所述目标指定属性。
22、可选地,所述基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性,包括,包括:
23、确定最大的互信息值;
24、将所述最大的互信息值对应的指定属性确定为所述目标指定属性。
25、可选地,所述基于所述目标指定属性对应的空间划分单元对所述预定时间段内的网络数据包进行离群点检测,以确定所述预定时间段内离群点对应的网络数据包为所述目标网络系统的入侵访问数据,包括:
26、计算所述目标指定属性对应的空间划分单元中各网络数据包数据的熵离群分数;
27、如果目标数据对应的熵离群分数大于或等于0,则判断所述目标数据为离群点数据;
28、如果目标数据对应的熵离群分数小于0,则判断所述目标数据为正常数据;
29、将离群点数据对应的网络数据包确定为所述预定时间段内所述目标网络系统的入侵访问数据。
30、可选地,所述基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元之后,还包括:
31、计算目标空间划分单元中各网络数据包的熵值;
32、基于所述熵值与第二预设阈值的比对结果,判断所述目标空间划分单元对应的指定属性是否为冗余属性;
33、在判断为冗余属性时,过滤掉所述目标空间划分单元。
34、第二方面,提供了一种网络系统入侵访问数据的检测装置,包括:
35、获取模块,用于获取预定时间段内目标网络系统的网络数据包;
36、第一确定模块,用于基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元;
37、第二确定模块,用于基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,所述互信息用于表征所属指定属性内数据的相关性;
38、检测模块,用于基于所述目标指定属性对应的空间划分单元对所述预定时间段内的网络数据包进行离群点检测,以确定所述预定时间段内离群点对应的网络数据包为所述目标网络系统的入侵访问数据。
39、第三方面,提供了一种网络系统入侵访问数据的检测装置包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
40、第四方面,提供了一种可读存储介质,该可读存储介质上存储有程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。
41、在本申请实施例中,通过获取预定时间段内目标网络系统的网络数据包;基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元;基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,所述互信息用于表征所属指定属性内数据的相关性;基于所述目标指定属性对应的空间划分单元对所述预定时间段内的网络数据包进行离群点检测,以确定所述预定时间段内离群点对应的网络数据包为所述目标网络系统的入侵访问数据,由此能够有效检测出大部分的入侵访问数据,显著提高网络系统入侵访问行为的检测精度和速度,进而提高网络系统的安全性。
本文档来自技高网...
【技术保护点】
1.一种网络系统入侵访问数据的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述多个指定属性包括网络数据包的全部属性或部分属性,所述网络数据包的属性包括网络数据包的时间、网络数据包的长度和网络数据包的来源IP段。
3.根据权利要求2所述的方法,其特征在于,所述基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性,包括:
6.根据权利要求4所述的方法,其特征在于,所述基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性,包括,包括:
7.根据权利要求1所述的方法,其特征在于,所述基于所述目标指定属性对应的空间划分单元对所述预定时间段内的网络数据包进行离群点检测,以确定所述预定时间段内离群点对应的网络数据包为所述目标网络系统的入侵访问数据,包括:
8.根据权利要求1所述的方法,其特征在于,所述基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元之后,还包括:
9.一种网络系统入侵访问数据的检测装置,其特征在于,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-8中任一项所述的网络系统入侵访问数据的检测方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-8中任一项所述的网络系统入侵访问数据的检测方法的步骤。
...
【技术特征摘要】
1.一种网络系统入侵访问数据的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述多个指定属性包括网络数据包的全部属性或部分属性,所述网络数据包的属性包括网络数据包的时间、网络数据包的长度和网络数据包的来源ip段。
3.根据权利要求2所述的方法,其特征在于,所述基于网络数据包的多个指定属性,确定各指定属性对应的空间划分单元,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述基于网络数据包中各指定属性对应的互信息,确定符合相关性要求的目标指定属性,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性,包括:
6.根据权利要求4所述的方法,其特征在于,所述基于所述不同指定属性之间的互信息,确定符合相关性要求的目标指定属性,包括,...
【专利技术属性】
技术研发人员:任志杰,高光,冯国华,
申请(专利权)人:中移雄安信息通信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。