本发明专利技术实施例公开了一种自组织网络中的入侵检测方法与设备,涉及无线网络领域,能够在保证检测正确性的前提下提高检测速度。一种自组织网络中的入侵检测方法,包括:接收数据并获取所述数据的特征,并将所述特征组成原始特征集合;基于信息增益,将所述原始特征集合中的特征进行分组,得到各个特征分组;基于支持向量机的最小分类误差判决准则,采用支持向量机从所述各个特征分组中筛选最优特征子集;对所述最优特征子集进行分析,判断是否被入侵。本发明专利技术实施例可用于在保证检测正确性的前提下提高检测速度。
【技术实现步骤摘要】
本专利技术涉及无线网络领域,尤其涉及自组织网络中的入侵检测方法与设备。
技术介绍
自组织(Ad Hoc)网络与固定有线网络的差别,导致入侵检测系统(IntrusionDetection System,IDS)在Ad hoc网络中面临着不同的问题。其一,Ad hoc网络无固定基础设施,导致IDS不能很好的统计数据。在任何时间,统计的数据局限于特定无线传输范围内的通信活动,这要求IDS能基于部分的、本地的信息进行。其二,Ad hoc网络的通信链路具有低速率、有限带宽、高误码、电源能量受限等特征,断链在无线传输中是非常常见的,这就要求IDS的实现需要考虑这些因素。其三,Ad hoc网络中,正常与异常活动没有明显的差别。如被入侵的节点发送了错误的路由信息与由于节点移动导致的路由传输出错,这两种现象很难区别。此外,Ad hoc网络所处的外部环境对其网络特性和行为也有很大的影响。 对入侵检测系统的要求,首先是正确性,其次是实时性。然而,随着网络的高速提升,入侵检测系统面临的一个主要问题是检测速度低、负荷大,来不及处理网络中传输的海量数据,因此,检测速度已成为入侵检测系统实时性的一个重要指标。由于实际检测中,有些特征没有包含或者包含极少的系统状态信息,所以,特征选择,即去除冗余特征、保留能够反映系统状态的重要特征是提高检测速度的一种有效方法。图1是特征选择的一般流程。 现有Ad Hoc网络中的入侵检测系统采用的是一种基于信息增益及遗传算法的特征选择方法。首先基于特征之间的信息增益进行特征分组及筛选,然后针对经过筛选而精简的特征子集采用遗传算法进行随机搜索,并采用感知器模型的分类错误率作为评价指标,其流程如图2所示。但是,采用该方法并不能得到最高的检测率和最低的误检率,如表1和表2所示(说明特征子集(1,15,11)代表表4中的总控制发送Total control transmit,上层包吞吐量Upper layerpacket throughput,来自于目标的总回复Total relies from target这三个特征,来观察及测试网络是否异常。其他特征子集类似)。 基于以上分析,如何在保证检测正确性的前提下开发出检测速度快的轻量级入侵检测系统,是急需解决的问题。 表1现有技术各特征子集的分类正确率 表2现有技术各特征子集的检测率和误检率
技术实现思路
本专利技术实施例提供一种自组织网络中的入侵检测方法,能够在保证检测正确性的前提下提高检测速度。 为解决上述技术问题,本专利技术采用如下技术方案 一种自组织网络中的入侵检测方法,包括 接收数据并获取所述数据的特征,并将所述特征组成原始特征集合; 基于信息增益,将所述原始特征集合中的特征进行分组,得到各个特征分组; 基于支持向量机的最小分类误差判决准则,采用支持向量机从所述各个特征分组中筛选最优特征子集; 对所述最优特征子集进行分析,判断是否被入侵。 本专利技术实施例还提供一种自组织网络中的入侵检测设备,能够在保证检测正确性的前提下提高检测速度。 为解决上述技术问题,本专利技术采用如下技术方案 一种自组织网络中的入侵检测设备,包括 特征分组单元,用于接收数据并获取所述数据的特征,将所述特征组成原始特征集合,并基于信息增益,将所述原始特征集合中的特征进行分组,并将得到的各个特征分组发送给最优特征子集筛选单元; 最优特征子集筛选单元,用于接收所述特征分组单元发送的所述各个特征分组,并基于支持向量机的最小分类误差判决准则,采用支持向量机从所述各个特征分组中筛选最优特征子集,并将所述最优特征子集发送给检测单元; 检测单元,用于对所述最优特征子集进行分析,判断是否被入侵。 通过采用所述的入侵检测方法与设备,由于能够基于信息增益将原始特征集合进行特征分组,并基于支持向量机的最小分类误差判决准则,采用支持向量机筛选最优特征子集,进而采用最优特征子集进行入侵检测,所以能够在保证检测正确性的前提下提高检测速度。 附图说明 显而易见地,下面描述的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1为现有技术中特征选择的一般流程图; 图2为现有技术中基于信息增益及遗传算法的特征选择方法流程图; 图3为本专利技术实施例1自组织网络中的入侵检测方法流程图; 图4为本专利技术实施例1自组织网络中的入侵检测方法另一流程图; 图5为本专利技术实施例1自组织网络中的入侵检测方法另一流程图; 图6为本专利技术实施例2自组织网络中的入侵检测设备结构图; 图7为本专利技术实施例2自组织网络入侵检测设备中的特征分组单元的结构图; 图8为本专利技术实施例2自组织网络入侵检测设备中的最优特征子集筛选单元的结构图。 具体实施例方式 本专利技术实施例提供一种自组织网络中的入侵检测方法与设备,能够在保证检测正确率的前提下提高检测速度。 下面结合附图对本专利技术进行详细描述。所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。 实施例1 如图3所示,本专利技术实施例Ad Hoc网络中的入侵检测方法包括 S31、接收数据并获取所述数据的特征,并将所述特征组成原始特征集合; S32、基于信息增益,将所述原始特征集合中的特征进行分组,得到各个特征分组; S33、基于支持向量机的最小分类误差判决准则,采用支持向量机从所述各个特征分组中筛选最优特征子集; S34、对所述最优特征子集进行分析,判断是否被入侵。 例如,自组织网络被入侵的状况包括节点是否被截获、敌方节点可持密钥是否冒充合法节点加入了网络等。可选的,步骤S34可以参考现有技术中,通过遗传算法选择得到特征子集,判断是否被入侵的过程,在此不在赘述。 通过采用所述的入侵检测方法,由于能够基于信息增益将原始特征集合进行特征分组,并基于支持向量机的的最小分类误差判决准则,采用支持向量机筛选最优特征子集,进而采用最优特征子集进行入侵检测,所以能够在保证检测正确性的前提下提高检测速度。 特征分组是进行特征选择及降维的有效方法之一,其主要思想是基于特定的相似性度量,对特征进行分组,使得分在同一组的特征具有很强的相似性,而不同组的特征具有较大的差异,从而在一定程度上消除特征冗余,实现降维。 在本实施例中,如步骤S32所述,采用信息增益作为特征之间的相似性度量(简称相似度),下面首先给出信息增益的定义。 令X为随机变量,则X的信息熵定义为 通过观测随机变量Y,随机变量X的信息熵变为 式(2)中,P(xi)代表随机变量X的先验概率,P(xi|yj)代表观测到随机变量Y后随机变量X的后验概率。引入随机变量Y的信息后,随机变量X的信息熵H(X|Y)≤H(X),即引入Y后,X的不确定程度会变小或保持不变。若Y与X不相关,则H(X|Y)=H(X);若Y与X相关,则H(X|Y)<H(X),而差值H(X)-H(X|Y)越大,Y与X的相关性越强。因此,信息增益IG(X|Y)为H(X)与H(X|Y)的差值,反映了Y本文档来自技高网...
【技术保护点】
一种自组织网络中的入侵检测方法,其特征在于,包括: 接收数据并获取所述数据的特征,并将所述特征组成原始特征集合; 基于信息增益,将所述原始特征集合中的特征进行分组,得到各个特征分组; 基于支持向量机的最小分类误差判决准则, 采用支持向量机从所述各个特征分组中筛选最优特征子集; 对所述最优特征子集进行分析,判断是否被入侵。
【技术特征摘要】
1、一种自组织网络中的入侵检测方法,其特征在于,包括接收数据并获取所述数据的特征,并将所述特征组成原始特征集合;基于信息增益,将所述原始特征集合中的特征进行分组,得到各个特征分组;基于支持向量机的最小分类误差判决准则,采用支持向量机从所述各个特征分组中筛选最优特征子集;对所述最优特征子集进行分析,判断是否被入侵。2、根据权利要求1所述的入侵检测方法,其特征在于,所述基于信息增益,将所述原始特征集合中的特征进行分组,得到各个特征分组包括(1)计算所述原始特征集合中任意两个特征之间的信息增益;(2)查找密度最大的特征,并在所述原始特征集合中,搜索与所述密度最大的特征之间的信息增益大于指定阈值的其它特征;(3)将搜索到的其它特征与所述密度最大的特征组成一个特征分组;(4)将所述特征分组从所述原始特征集合中剔除,并将所述原始特征集合中的剩余特征组成一个新的原始特征集合;(5)判断所述新的原始特征集合是否为空或者是否只有一个特征,若为否,则返回步骤(1)。3、根据权利要求1所述的入侵检测方法,其特征在于,所述基于支持向量机的最小分类误差判决准则,采用支持向量机从所述各个特征分组中筛选最优特征子集包括(1)从所述各个特征分组中,任意各选取一个特征,基于选取的特征所对应的训练样本和检测样本,采用支持向量机,计算所述选取的特征的分类正确率,并把所述选取的特征存入预设的数组中;(2)从所述各个特征分组中,重新任意各选取一个特征,基于重新选取的特征所对应的训练样本和检测样本,采用支持向量机,计算所述重新选取的特征的分类正确率,若所述重新选取的特征的分类正确率大于上一次的分类正确率,则将所述重新选取的特征存入所述预设的数组;(3)重复步骤(2),直至达到预定的计算次数,并将所述预设的数组中的特征作为精简后的最优特征子集输出。4、根据权利要求3所述的入侵检测方法,其特征在于,所述基于选取的特征所对应的训练样本和检测样本,采用支持向量机,计算所述选取的特征的分类正确率包括将所述选取的特征所对应的训练样本在所述支持向量机中进行训练,然后把所述选取的特征所对应的检测样本放进所述支持向量机中,基于所述训练样本以及所述检测样本,计算所述选取的特征的分类正确率。5、一种自组织网络中的入侵检测设备,其特征在于,包括特征分组单元,用于接...
【专利技术属性】
技术研发人员:刘培,徐平平,殷慧琳,杨小勇,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。