基于模糊隐条件随机场模型的网络入侵检测方法及系统的制作方法
【专利摘要】本发明公开了一种基于模糊隐条件随机场模型的网络入侵检测方法,解决的技术问题是改善现有网络入侵检测的效果。本发明利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集,实例之间相互独立。利用训练数据集建立网络入侵检测的模糊隐条件随机场模型,将实际运行中的网络实例输入建立的检测模型,输出对应的入侵检测效果,对网络实例进行实时地、准确地检测。本发明可以准确快速的检测出未知类型网络入侵行为,具有较好的实际推广应用前景。
【专利说明】基于模糊隐条件随机场模型的网络入侵检测方法及系统
【技术领域】
[0001] 本发明涉及一种网络入侵检测方法,特别涉及一种基于模糊隐条件随机场模型的 网络入侵检测方法及系统。
【背景技术】
[0002] 在互联网建设早期,网络结构和攻击手段都相对简单,网络安全体系主要是以防 护为主体,依靠防火墙、加密和身份认证等手段来实现。随着互联网技术的高速发展以及应 用地逐步广泛,黑客攻击手段也日趋复杂多样,仅仅依靠传统的操作系统加固和单纯防火 墙策略等静态安全防御技术已经远达不到现代高安全网络的需要。因此,以网络安全立体 纵深、多层次防御的角度为立足点,设计出行之有效的入侵检测方法成为了当务之急。
[0003] 现有的网络入侵检测方法有:(1)基于隐马尔科夫模型的网络入侵检测方法,该 方法的最大缺点是没有充分地考虑相邻时刻特征之间的相关性和标记之间的相关性,忽略 了这些相关性会严重影响入侵检测效果,导致入侵检测效率低等问题的出现;(2)基于朴 素贝叶斯分类器模型的网络入侵检测方法,该方法不能处理基于特征组合所产生的变化结 果,并且在目标分类的问题中容易产生较大的错误率;(3)基于数据挖掘模型的网络入侵 检测方法,由于该方法是对大量的历史数据进行处理,因此,在学习和评价阶段的计算成本 高,实时性实施困难;(4)基于最大熵马尔可夫模型的网络入侵检测方法,该方法对状态序 列的计算是局部的,会产生标记偏见等问题;(5)基于条件随机场模型的网络入侵检测方 法,该方法不能捕获含隐状态变量的间接结构,要达到较高的检测率,需要有庞大的训练数 据集,训练速度慢,影响整体入侵检测效率。
[0004] 因此,急需一种具有训练速度快、检测效果好、较好推广应用前景等优点的网络入 侵检测方法及系统。
【发明内容】
[0005] 有鉴于此,本发明所要解决的技术问题是提供一种基于模糊隐条件随机场模型的 网络入侵检测方法。该方法针对网络攻击的特点和现有网络入侵检测方法存在的问题,为 了对网络入侵行为做出准确的检测,解决由于不精确和模糊的信息造成的观察序列不确定 性和长距离相关性等问题,并实现在训练数据集较小的情况下,提高检测率和训练速度,保 证网络入侵检测的较好效果。
[0006] 本发明的目的之一是提出一种基于模糊隐条件随机场模型的网络入侵检测方法; 本发明的目的之二是提出一种基于模糊隐条件随机场模型的网络入侵检测系统。
[0007] 本发明的目的之一是通过以下技术方案来实现的:
[0008] 本发明提供的基于模糊隐条件随机场模型的网络入侵检测方法,包括以下步骤:
[0009] 步骤一:利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网 络实例作为模糊隐条件随机场模型的训练数据集;
[0010] 步骤二:对收集的网络实例进行预处理;
[0011] 步骤三:将预处理后的网络实例进行特征选择;
[0012] 步骤四:模糊隐条件随机场模型利用所选特征训练生成检测模型;
[0013] 步骤五:利用步骤四中生成的检测模型对实际运行中的网络实例进行检测;
[0014] 步骤六:对网络入侵检测做相应处理,当检测为异常网络实例时,阻止网络实例; 当检测为正常网络实例时,允许网络实例运行。
[0015] 进一步,所述网络实例预处理,在对模糊隐条件随机场模型训练、检测前利用以下 模糊函数对数据进行模糊化处理:
[0016] sigmf (X,[A,C]) = 1/(1+EXP(_AX (χ-C)));
[0017] 其中,sigmf ()表示模糊化处理函数;A和C为模糊函数的控制参数;x表示训练数 据中特征的实际数值。
[0018] 进一步,步骤三中,针对网络攻击类型的特点,依据多次试验结果和理论分析,对 每一类攻击进行特征选择;步骤四中,模糊隐条件随机场利用每种攻击所选择的特征进行 训练,得到模糊隐条件随机场各参数的值,从而建立攻击类型所对应的检测模型。
[0019] 进一步,在给定观察序列η的条件下,运用模糊隐条件随机场模型根据观察序列η 及定义在其上的隐状态集合Η和标签m建立如下联合概率模型:
[0020]
【权利要求】
1. 基于模糊隐条件随机场模型的网络入侵检测方法,其特征在于:包括以下步骤: 步骤一:利用网络数据采集工具收集网络实例,随机选取正常网络实例和异常网络实 例作为模糊隐条件随机场模型的训练数据集; 步骤二:对收集的网络实例进行预处理; 步骤三:将预处理后的网络实例进行特征选择; 步骤四:模糊隐条件随机场模型利用所选特征训练生成检测模型; 步骤五:利用步骤四中生成的检测模型对实际运行中的网络实例进行检测; 步骤六:对网络入侵检测做相应处理,当检测为异常网络实例时,阻止网络实例;当检 测为正常网络实例时,允许网络实例运行。
2. 根据权利要求书1所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:所述网络实例预处理,在对模糊隐条件随机场模型训练、检测前利用以下模糊函数对 数据进行模糊化处理: sigmf(x, [A, C]) = 1/(1+EXP(-AX (χ-C))); 其中,sigmf ()表示模糊化处理函数;A和C为模糊函数的控制参数;x表示训练数据中 特征的实际数值。
3. 根据权利要求书1所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:步骤三中,针对网络攻击类型的特点,依据多次试验结果和理论分析,对每一类攻击 进行特征选择;步骤四中,模糊隐条件随机场利用每种攻击所选择的特征进行训练,得到模 糊隐条件随机场各参数的值,从而建立攻击类型所对应的检测模型。
4. 根据权利要求书4所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:在给定观察序列η的条件下,运用模糊隐条件随机场模型根据观察序列η及定义在其 上的隐状态集合Η和标签m建立如下联合概率模型:
其中,η表示所选特征组成的特征向量; Θ为模型的特征权重参数,需要从训练数据中估计得到; Η表示隐状态集合; m表示某个标签,m'在累加计算中依次表示各个标签; Ψ (m,Η,η ; Θ )为模糊势函数,表示如下:
其中,隐变量{氏,…,HJ属于图模型中的顶点, E是图模型中边的集合,Sv为点的模糊特征集,\为边的模糊特征集; a (i,m,氏,η)和Mi,j,m,氏,%,η)分别为顶点和边所对应的模糊特征函数; <和九2分别为模型的特征权重参数的分量; i和j取值都是(l_t); t表示隐变量的个数; 所属标签m的概率P (m I η ; θ )为:
5. 根据权利要求书4所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:步骤五中,对待检测序列进行检测时,标签m倾向于满足以η为条件的最大全局条件 概率: m* = argmaxP(m|η ; θ); 其中,nf表示检测结果,即预测的标签。
6. 根据权利要求书4所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:步骤四中,利用Quasi-Newton方法在训练数据集中估计模型的特征权重参数Θ # = argmaxU Θ ),在训练的过程中,第k个训练实例的似然估计Lk( Θ )为:
(6) 所述当似然估计Lk( Θ )值的收敛精度达到预设阈值而停止迭代训练时得到模型的特 征权重参数。
7. 根据权利要求书5所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:所述单个隐状态变量的模糊特征函数α α,πι,!^ η)的特征权重参数< 的梯度推导 为:
(7) 其中,P(Hi = c |mk, nk, Θ )和p(Hi = c, m' |nk, Θ )通过bp神经网络算法计算出来。
8. 根据权利要求书5所述的基于模糊隐条件随机场模型的网络入侵检测方法,其特征 在于:所述两个隐状态变量氏和&的模糊特征函数β (i,j,m,氏,&,η),相应特征权重参数 <的梯度推导为:
(8) 其中,P (? = c, Η』=d |mk, nk, Θ )和 p (? = c, Η』=d, m' | nk, Θ )通过 bp 神经网络算 法计算出来。
9. 基于模糊隐条件随机场模型的网络入侵检测系统,其特征在于:包括训练数据集模 块、预处理模块、特征选择模块、检测模型生成模块、实例检测模块和结果处理模块; 所述训练数据集模块,用于利用网络数据采集工具收集网络实例,随机选取正常网络 实例和异常网络实例作为模糊隐条件随机场模型的训练数据集; 所述预处理模块,用于对收集的网络实例进行预处理; 所述特征选择模块,用于将预处理后的网络实例进行特征选择; 所述检测模型生成模块,用于模糊隐条件随机场模型利用所选特征训练生成检测模 型; 所述实例检测模块,用于利用步骤四中生成的检测模型对实际运行中的网络实例进行 检测; 所述结果处理模块,用于对网络入侵检测结果做相应处理,当检测为异常网络实例时, 阻止网络实例;当检测为正常网络实例时,允许网络实例运行。
10. 根据权利要求书9所述的基于模糊隐条件随机场模型的网络入侵检测系统,其特 征在于:所述网络实例预处理,在对模糊隐条件随机场模型训练、检测前利用以下模糊函数 对数据进行模糊化处理: sigmf(x, [A, C]) = 1/(1+EXP(-AX (χ-C))); 其中,sigmf ()表示模糊化处理函数;A和C为模糊函数的控制参数;x表示训练数据中 特征的实际数值。
【文档编号】H04L12/26GK104113544SQ201410345007
【公开日】2014年10月22日 申请日期:2014年7月18日 优先权日:2014年7月18日
【发明者】罗钧, 李义军, 高增辉 申请人:重庆大学