专利名称:一种基于整合相关性分析与分级聚类的入侵检测方法
一种基于整合相关性分析与分级聚类的入侵检测方法技术领域
本发明属于信息安全技术领域,尤其涉及一种整合相关性分析与分级聚类 (hierarchical clustering)的入侵检测方法,主要应用于信息安全管理系统。
背景技术:
随着计算机网络的普及,网络信息安全问题日益突出。入侵检测系统(IDS)作为 信息安全保障中的一个重要环节,采用主动防御策略,在不影响网络性能的前提下对网络 进行监测,通过对从计算机网络或计算机系统中的若干关键点收集的信息进行分析,从中 发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测从技术上分为误 用检测和异常检测两类,前者通过特征匹配检测是否发生入侵,对已知入侵的检测准确、快 速,但不能检测未知入侵类型;后者则是在建立正常模型的基础上,将实际行为与之比较, 通过分析是否存在偏离来判断入侵行为,该方法不仅能检测出已知入侵,还能检测未知入 侵。目前异常检测已成为当前入侵检测系统研究的热点之一。
聚类分析又称群分析,是研究(样品或指标)分类问题的一种多元统计方法,所谓 类足指相似元素的集合。而聚类就是按照一定的要求和规律对事物进行区分和分类的过 程,在这一过程中没有任何关于类分的先验知识,没有教师指导,仅靠事物间的相似性作为 类属划分的准则,即同一聚类之间最小化,而不同聚类之间数据最大化。分层聚类方法将数 据集按不同层次逐层分割。在此,入侵检测模型能否高效、准确地辨析海量的用户行为数 据,是判断一个入侵检测系统成功与否的标志,因此,如何使分层聚类方法能高效地从存储 在数据库、数据仓库或其它信息库中的大量数据中发现有用知识的过程,减小聚类处理时 间是一个亟待解决的问题。
分级聚类算法突破了非系统聚类法的很多限制,比如说生物学家用系统分类法 来划分数据,动物和植物首先被分成种species,进一步的聚合成属classe,科order,目 family,纲genera,门phyla。每一个分类水平都聚合了前一个水平的几个成员,如
图1所 示,属 classell22 聚合了种 speciesll221 和 11222 等,科 orderll2 聚合了属 classell21 和 1122 等,目 family 11 聚合了 orderlll 和 112,纲 general 聚合了 目 family 11 和 12,纲 genera2聚合了 family21和22,门phyla聚合了纲general和2,系统聚类法就是从这个思 想上发展而来的。发明内容
本发明的目的在于提供一种能解决入侵检测聚类分析中海量运算和有效实施数 据聚类的入侵检测方法。
本发明采用的技术方案为一种基于整合相关性分析与分级聚类的入侵检测方 法,包括以下步骤
步骤1建立入侵检测数据库的特征数据向量;
步骤2 进行相关性分析计算计算机网络上的用户行为数据向量集中的每个特征数据向量和其余特征数据向量间的最大相关系数,排除与其余特征向量的最大相关系数 小于一相关系数阈值的特征数据向量;
步骤3 对经相关系数阈值选取后保留下来的特征数据向量进行分级聚类,分级聚类中采用的两个特征数据向量之间的距离量度
权利要求
1.一种基于整合相关性分析与分级聚类的入侵检测方法,其特征在于,包括以下步骤, 步骤1建立入侵检测数据库的特征数据向量;步骤2 进行相关性分析计算计算机网络上的用户行为数据向量集中的每个特征数 据向量和其余特征数据向量间的最大相关系数,排除与其余特征向量的最大相关系数小于 一相关系数阈值的特征数据向量;步骤3 对经相关系数阈值选取后保留下来的特征数据向量进行分级聚类,分级聚类中采用的两个特征数据向量之间的距离量度
2.根据权利要求1所述的入侵检测方法,其特征在于,步骤2在确定相关系数阈值的方 法为首先通过bootstrap自助统计法拟合出所有特征数据向量的最大相关系数的正态分 布,并获得得到的正态分布的平均值mean和标准差std ;再通过正态累积分布的求逆函数 求出对应于统计检验值的相关系数阈值。
3.根据权利要求2所述的入侵检测方法,其特征在于,所述统计检验值小于等于0.05。
4.根据权利要求2所述的入侵检测方法,其特征在于,所述特征数据向量包括一个时 间窗口内目标主机是与当前连接相同的连接次数、出现SYN错误的连接在所述一个时间窗 口内目标主机是与当前连接相同的连接次数中所占的百分比、目标端口相同的连接所占的 百分比、目标端口不同的连接所占的百分比、目标端口与当前连接相同的连接次数、出现 SYN错误的连接在所述目标端口与当前连接相同的连接次数中所占的百分比和目标主机不 同的连接所占的百分比中的至少一个数据。
5.根据权利要求1至4中任一项所述的入侵检测方法,其特征在于,步骤3中进行分级 聚类的方法为用距离量度dST指定的方法计算用户行为数据向量集中的各特征数据向量 之间的距离向量;再利用最短距离法计算所述距离向量的系统聚类树;最后,根据系统聚 类树创建分类。
全文摘要
本发明公开了一种基于整合相关性分析与分级聚类的入侵检测方法,属于信息安全技术领域,该方法首先建立入侵检测数据库的特征数据向量;步骤2再计算计算机网络上的用户行为数据向量集中的每个特征数据向量和其余特征数据向量间的最大相关系数,排除与其余特征向量的最大相关系数小于一相关系数阈值的特征数据向量;最后,对经相关系数阈值选取后保留下来的特征数据向量进行分级聚类,分级聚类中采用的两个特征数据向量之间的距离量度其中,corr(vi,vj)是特征数据向量vi和vj间的相关系数,‖vi-vj‖为特征数据向量vi和vj间的欧拉距离。本发明的方法能降低入侵检测聚类分析中的海量运算,有效提高入侵检测数据的聚类分析的有效性。
文档编号H04L29/06GK102045358SQ20101061117
公开日2011年5月4日 申请日期2010年12月29日 优先权日2010年12月29日
发明者张江, 戚建淮 申请人:深圳市永达电子股份有限公司