本发明专利技术属于网络安全领域,具体涉及一种基于自体集规模约束的网络入侵免疫检测方法。其包括步骤:首先构建自体集,搜集网络数据提取网络数据的N个特征属性;将网络数据内容切分获得N个不等长数据段存储到文件,提取对应的特征属性值存在N层多叉树结构中,形成系统的自体集;然后对网络数据进行入侵免疫检测,将网络数据包按多叉树的各层特征属性进行分类,提取特征属性值并按层依次跟自体集的特征属性值匹配,匹配不成功则进行异常处理,匹配成功则进入自体集文件中进行匹配,匹配不成功的网络数据即为入侵数据。本发明专利技术规范自体集存储结构,优化自体集匹配制,提高网络流量包与自体数据的匹配速率,完成自体集自主更新,实现自体集的规模约束。
【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种。
技术介绍
企业内部网络遭受攻击的情况防不胜防,使企业深受网络入侵的困扰。尽管目前国内外已开发了各类入侵检测系统,但是,在核心算法方面、在有效性、自适应性等方面以及在检测率方面仍存在较多的问题,这也是国内外专家仍然不懈地致力于开拓新思路的主要原因。基于生物免疫的人工免疫系统在近几年得到迅速发展,由于它具有的分布性、多样性、鲁棒性、适应性和特异识别等特性,正是入侵检测系统所希望具有的特性,因此一些免疫机制和免疫算法被用来实现入侵检测。人工免疫系统是基于对生物免疫系统的研究而建立起来的一种仿生模型,生物免疫系统与入侵检测的功能非常相似。生物免疫系统的功能是保护肌体免受病毒的侵害,入侵检测系统的目的是保护计算机或网络系统免受计算机病毒的侵害。从信息处理的角度来看,生物免疫系统具备强大的识别、学习和记忆的能力及分布式、自组织和多样性特性,这些显著的特性使得人工免疫理论具有很大的魅力。国内外的著名学者对此进行了研究并发表了大量论著,提出了很多算法,建立了很多基于人工免疫算法的网络入侵检测模型。目前的免疫算法主要包括克隆选择算法、阴性选择算法、免疫遗传算法,在此基础产生了很多改进的算法。虽然人工免疫在应用于入侵检测系统的研究中已经提出了很多理论成果及研究方法,但到目前为止还没有相关的基于人工免疫的入侵检测产品,这是由于自体集用于入侵检测系统的局限性导致的第一,在建构检测器时不能决定选择基于自体集还是异体集, 自体集一般过大导致不容易匹配,会增加系统的运载负荷,而异体集则缺乏检测未知入侵的能力;第二,对于某些特定的防护对象需要搜集的异体集数据量比自体集还要大;第三, 传统的自体集匹配时是基于位匹配,这样导致系统的计算量过大,难以实现。
技术实现思路
本专利技术解决的技术问题是克服现有技术的不足,提供了一种能够减小自体集规模,极大减小数据匹配运算量,提高自体集匹配速率的。为解决上述技术问题,本专利技术的技术方案如下一种,包括如下步骤(I)构建自体集,其具体步骤包括(II)搜集网络数据,将网络数据依次流过N层多叉树提取网络数据的N个特征属性并存储在N层多叉树中;(12)根据特征属性将网络数据内容进行切分,获得N个不等长数据段作为N个数据记录存储到文件,提取各个数据段对应的特征属性值Κ。存储在N层多叉树结构中,其中,0 0 ^ j < Ji, Ji为第i层特征属性的个数,不等长数据段在文件中的地址和特征属性值在多叉树结构中的地址进行映射,形成系统的自体集; (2)对网络数据进行入侵免疫检测,其具体步骤包括(21)将网络数据包按多叉树的各层特征属性进行分类,提取网络数据包的特征属性值;(22)将网络数据包的特征属性值按按层依次跟自体集中的特征属性值匹配,对匹配不成功的网络数据包进行异常处理,匹配成功的网络数据包进入自体集的文件中与文件中的数据记录进行匹配,与自体集文件中的数据记录匹配不成功的网络数据即为入侵数据。本专利技术在构建自体集时将大规模网络数据按特征属性分成N个不等长的小块数据段,将这N个特征属性和数据段对应的特征属性值提取出来并映射到N层多叉树中,网络数据进行匹配时按N个特征属性层层匹配,减少系统的运算量,实现网络流量包的快速定位。上述方案中,所述步骤(11)中利用抓包工具搜集网络数据,通过提取网络数据的有用字段获得N个特征属性。上述方案中,多叉树中特征属性和特征属性值的具体存储方式为将1 N个特征属性分别对应到多叉树的1 N层,在多叉树的0层设定一个根结点, 特征属性值以指针数组的形式存储在多叉树结构中,设定第一类特征属性值Ku作为根结点的子结点,在Κ。中,0彡j<Ji ;第二类特征属性值K。又分别作为J1AKu的子节点, 在K2」中,0彡j < J2 ;依次类推,第N个特征属性值、分别作为JN_i个的子节点,在 KN,j中,0 < j < Jn ;自体集文件的首个存储地址映射到多叉树第N层指针数组Kn,」。本专利技术将多叉树结构与指针数组的存储方法相结合,克服了传统算法中使用链表因遍历造成的时间冗余,实现网络流量包的快速定位。上述方案中,所述方法还对所述步骤(12)中的N个不等长数据段进行编码压缩, 具体为将N个不等长数据段作为一个文本信息进行填充; 将填充后的数据段进行切分获得N个字符串小组;对每个字符串小组进行不可逆的字符串变换,获得唯一的具有固定长度的小信息摘要;将所述小信息摘要代替不等长数据段作为自体集数据记录存储到文件中。本专利技术将N个不等长数据段作为一个大文本信息进行填充切分获得字符串小组, 将各个字符串小组通过m轮的非线性循环预算进行不可逆的字符串变换获得小信息摘要, 极大减少了自体集的存储空间,进一步减少了网络数据进行匹配时的一次匹配量,使系统的计算负荷减轻的同时又不影响自体集的数据匹配速率。而且由于获得的小信息摘要具有固定的长度,使得自体集中存储的数据规范化,便于自体集的存储管理,方便自体集的查找匹配,进一步提高系统匹配速率。上述方案中,所述步骤(2)还包括执行基于概率队列的匹配寻优机制当网络数据包内容与自体集文件中的数据记录匹配成功后,启动寻优机制,自动将所述数据记录置入文件的首个存储地址,位于所述数据记录之前的数据记录依次向后移动一个存储单元。本专利技术根据网络数据的集中性设置了所述寻优机制,网络数据集中性即网络中的数据总是相伴而来,一个网络数据到达后,下一个即将到达的网络数据与前一个网络数据相似的概率很大。若即将到达的网络数据与前一个网络数据一样,仍按前一个网络数据的路径一路匹配必然会导致系统重复计算,造成系统资源浪费。本专利技术提出上述基于概率队列的匹配寻优机制这一机制能保证命中匹配率高的数据记录首先进行数据匹配,而几乎不会命中匹配的数据记录排在文件的最后,几乎不需要访问。网络中出现的数据能够在队列中率先找到可以匹配的数据,因此可以避免重复计算,不仅减少了系统的运算量,还节约了匹配时间,提高了自体集的匹配速率。上述方案中,所述步骤(2)还包括执行阈值机制 设定自体集的数据不匹配阈值;当一个网络数据连续出现并与自体集文件中的数据记录匹配失败时,对所述网络数据累加连续记录次数;当所述网络数据的连续记录次数达到数据不匹配阈值时,则将所述网络数据按特征属性切分后添加到自体集文件中。本专利技术为应对千变万化的网络形势,需要对自体集进行不断地更新,对自体集设置了上述阈值机制不断对自体集中的数据记录进行更新,使自体集能与不断变化的网络保持同步。上述方案中,所述步骤(2)还包括执行定时机制在自体集中设置定时器,对自体集文件中的每条数据记录分别计时; 当自体集文件中的数据记录一经被匹配,所述数据记录的计时清零并重新计时; 当自体集文件中的数据记录的计时达到定时器设定的定时时间,则启动清除命令,将所述数据记录从自体集中清除。本专利技术通过上述定时机制在一定时间范围内淘汰久置无用的数据,不仅能应对网络数据的复杂性和多变性,又能有效控制自体集规模,避免自体集由于阈值机制不断更新使得其数据容量越来越大,而过大数据量的自体集会减缓匹配的速率。与现有技术相比,本专利技术技术方案的有益效果是(1)本专利技术利用多叉树结构以及将多叉树结构和指针数组的存储方法相结合对大规模网络数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于自体集规模约束的网络入侵免疫检测方法,其特征在于,包括如下步骤(1)构建自体集,其具体步骤包括(11)搜集网络数据,将网络数据依次流过N层多叉树提取网络数据的N个特征属性并存储在N层多叉树中;(12)根据特征属性将网络数据内容进行切分,获得N个不等长数据段作为N个数据记录存储到文件,提取各个数据段对应的特征属性值Κ。存储在N层多叉树结构中,其中,00 ^ j < Ji, Ji为第i层特征属性的个数,不等长数据段在文件中的地址和特征属性值在多叉树结构中的地址进行映射,形成系统的自体集;(2)对网络数据进行入侵免疫检测,其具体步骤包括(21)将网络数据包按多叉树的各层特征属性进行分类,提取网络数据包的特征属性值;(22)将网络数据包的特征属性值按层依次跟自体集中的特征属性值匹配,对匹配不成功的网络数据包进行异常处理,匹配成功的网络数据包进入自体集的文件中与文件中的数据记录进行匹配,与自体集文件中的数据记录匹配不成功的网络数据即为入侵数据。2.根据权利要求1所述的基于自体集规模约束的网络入侵免疫检测方法,其特征在于,所述步骤(11)中利用抓包工具搜集网络数据,通过提取网络数据的有用字段获得N个特征属性。3.根据权利要求1所述的基于自体集规模约束的网络入侵免疫检测方法,其特征在于,多叉树中特征属性和特征属性值的具体存储方式为将1 N个特征属性分别对应到多叉树的1 N层,在多叉树的0层设定一个根结点, 特征属性值以指针数组的形式存储在多叉树结构中,设定第一类特征属性值Κ。作为根结点的子结点,在Κ。中,0彡j<Ji ;第二类特征属性值K。又分别作为J1AKu的子节点, 在K2」中,0彡j < J2 ;依次类推,第N个特征属性值、分别作为JN_i个的...
【专利技术属性】
技术研发人员:张清华,秦勇,杨忠明,沈岩,康启超,高苗粉,申林,黄广文,
申请(专利权)人:广东石油化工学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。