网络安全性验证系统的制作方法
【专利摘要】本发明公开了网络安全性验证系统,包括:数据捕获模块,用于对进出系统的可疑流量和异常行为进行捕获,形成样本数据;数据预处理模块,用于对样本数据进行筛选预处理,去除样本数据中的噪声数据,然后对样本数据进行降维处理;行为分析模块,用于采用改进的K?means聚类方法对预处理后的样本数据进行聚类分析,并基于人工神经网络算法进行攻击行为检测,识别网络中潜在的未知攻击。本发明能够对已知和未知网络攻击进行检测,通过改进的K?means聚类方法对预处理后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚类分析,可以准确的将各种类型的网络攻击区分开,从而达到很高的准确率和很低的误报率。
【专利说明】
网络安全性验证系统
技术领域
[0001] 本发明涉及互联网技术领域,具体涉及网络安全性验证系统。
【背景技术】
[0002] 相关技术中,网络安全检测系统大多采用被动防御技术,例如防火墙技术和入侵 检测技术等等。防火墙技术仅过滤静态数据,并不能阻止来自网络内部的攻击;入侵检测技 术不仅不能有效的检测未知类型的攻击还有可能出现漏报和误报。
【发明内容】
[0003] 针对上述问题,本发明提供网络安全性验证系统。
[0004] 本发明的目的采用以下技术方案来实现:
[0005] 网络安全性验证系统,包括数据捕获模块、数据预处理模块、行为分析模块;所述 数据捕获模块用于对进出系统的可疑流量和异常行为进行捕获,形成样本数据;所述数据 预处理模块,用于对样本数据进行筛选预处理,去除样本数据中的噪声数据,然后对样本数 据进行降维处理;所述行为分析模块,用于采用改进的K-means聚类方法对预处理后的样本 数据进行聚类分析,并基于人工神经网络算法进行攻击行为检测,识别网络中潜在的未知 攻击。
[0006] 优选地,所述数据捕获模块使用防火墙采集进出系统的可疑流量。
[0007] 优选地,所述数据捕获模块通过使用入侵检测系统对网络传输进行实时监视来捕 获所述异常行为。
[0008] 其中,所述采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,包 括:
[0009] 1)将所述样本数据划分为n个样本,对n个样本进行向量化,通过夹角余弦函数计 算所有样本两两之间的相似度,得到相似度矩阵XS;
[0010] 2)对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似 度,设父5=[8;[111(&以」)]必 11,:[,」=1,",11,其中8;[111(&以」)表示样本&以」间的相似度,求和 公式为:
[0012] 3)按降序排列XSP,p = 1,…,n,设XSP按从大到小排列的前4个值为XSmax,XSmax-i, XSmax-2,XSmax-3,若
,选择与最大值XSmax相对应的样本作 为第一个初始的聚簇中心,否则选择与XSmax,,XSmax-2,XS max-3对应的四个样本的均值 作为第一个初始的簇中心;
[0013] 4)将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-1个最小 的元素为XS Pq,q=l,…,k-1,选择前k-1个最小的元素 XSPq相对应的样本作为剩余的k-1个 初始的聚簇中心,其中所述k值为隐藏层个数,根据多次试验确定;
[0014] 5)计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最 高的聚簇中,形成变化后的k个聚簇;
[0015] 6)计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的 聚簇中心;
[0016] 7)若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值, 停止更新,所述目标函数为:
[0018] 其中,Q表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,^为第1个聚簇的 中心。
[0019] 其中,所述设定的比例值T的取值范围为[1.4,1.8]。
[0020] 本发明的有益效果为:
[0021 ] 1、能够对已知和未知网络攻击进行检测,通过改进的K-means聚类方法对预处理 后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚类分析,可以准确的将各 种类型的网络攻击区分开,从而达到很高的准确率和很低的误报率;
[0022] 2、提供了改进的K-means聚类方法,有效避免单一采取随机抽样方法所带来的偶 然性,提高了聚类稳定性,进一步提高了网络安全性验证的准确度。
【附图说明】
[0023]利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限 制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得 其它的附图。
[0024]图1是本发明各模块的连接示意图;
[0025]图2是本发明系统运作的原理示意图。
[0026] 附图标记:
[0027]数据捕获模块1、数据预处理模块2、行为分析模块3。
【具体实施方式】
[0028] 结合以下实施例对本发明作进一步描述。
[0029] 实施例1
[0030] 参见图1、图2,本实施例的网络安全性验证系统,包括数据捕获模块1、数据预处理 模块2、行为分析模块3;所述数据捕获模块1用于对进出系统的可疑流量和异常行为进行捕 获,形成样本数据;所述数据预处理模块2,用于对样本数据进行筛选预处理,去除样本数据 中的噪声数据,然后对样本数据进行降维处理;所述行为分析模块3,用于采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,并基于人工神经网络算法进行攻击 行为检测,识别网络中潜在的未知攻击。
[0031]其中,所述数据捕获模块1使用防火墙采集进出系统的可疑流量。
[0032]其中,所述数据捕获模块1通过使用入侵检测系统对网络传输进行实时监视来捕 获所述异常行为。
[0033] 其中,所述采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,包 括:
[0034] 1)将所述样本数据划分为n个样本,对n个样本进行向量化,通过夹角余弦函数计 算所有样本两两之间的相似度,得到相似度矩阵XS;
[0035] 2)对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似 度,设父5=[8;[111(&1而)]必 11,;[,」=1,",11,其中8;[111(&而)表示样本&1,&」间的相似度,求和 公式为:
[0037] 3)按降序排列XSP,p = 1,…,n,设XSP按从大到小排列的前4个值为XSmax,XSmax-i, XSmax-2,XSmax-3,若
,选择与最大值XSmax相对应的样本作 为第一个初始的聚簇中心,否则选择与XSmax,XSmti,XSmax-2,XS max-3对应的四个样本的均值 作为第一个初始的簇中心;
[0038] 4)将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-1个最小 的元素为XS Pq,q=l,…,k-1,选择前k-1个最小的元素 XSPq相对应的样本作为剩余的k-1个 初始的聚簇中心,其中所述k值为隐藏层个数,根据多次试验确定;
[0039] 5)计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最 高的聚簇中,形成变化后的k个聚簇;
[0040] 6)计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的 聚簇中心;
[0041] 7)若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值, 停止更新,所述目标函数为:
[0043] 其中,Q表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,^为第1个聚簇的 中心。
[0044] 本实施例的有益效果为:能够对已知和未知网络攻击进行检测,通过改进的K-means聚类方法对预处理后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚 类分析,可以准确的将各种类型的网络攻击区分开,从而达到很高的准确率和很低的误报 率;提供了改进的K-means聚类方法,有效避免单一采取随机抽样方法所带来的偶然性,提 高了聚类稳定性,进一步提高了网络安全性验证的准确度,其中设定比例值T=l.4,网络安 全性验证的准确度相对提高了2%。
[0045] 实施例2
[0046]参见图1、图2,本实施例的网络安全性验证系统,包括数据捕获模块1、数据预处理 模块2、行为分析模块3;所述数据捕获模块1用于对进出系统的可疑流量和异常行为进行捕 获,形成样本数据;所述数据预处理模块2,用于对样本数据进行筛选预处理,去除样本数据 中的噪声数据,然后对样本数据进行降维处理;所述行为分析模块3,用于采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,并基于人工神经网络算法进行攻击 行为检测,识别网络中潜在的未知攻击。
[0047] 其中,所述数据捕获模块1使用防火墙采集进出系统的可疑流量。
[0048] 其中,所述数据捕获模块1通过使用入侵检测系统对网络传输进行实时监视来捕 获所述异常行为。
[0049] 其中,所述采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,包 括:
[0050] 1)将所述样本数据划分为n个样本,对n个样本进行向量化,通过夹角余弦函数计 算所有样本两两之间的相似度,得到相似度矩阵XS;
[0051] 2)对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似 度,设父5=[8;[111(&1而)]必 11,;[,」=1,",11,其中8;[111(&1而)表示样本&1,&」间的相似度,求和 公式为:
[0053] 3)按降序排列XSP,p = l,…,n,设XSP按从大到小排列的前4个值为XSm^XSmd, XSmax-2,XSmax-3,老
选择与最大值XSmax相对应的样本作 为第一个初始的聚簇中心,否则选择与XSmax,XSmti,XSmax-2,XS max-3对应的四个样本的均值 作为第一个初始的簇中心;
[0054] 4)将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-1个最小 的元素为XSPq,q=l,…,k-1,选择前k-1个最小的元素 XSPq相对应的样本作为剩余的k-1个 初始的聚簇中心,其中所述k值为隐藏层个数,根据多次试验确定;
[0055] 5)计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最 高的聚簇中,形成变化后的k个聚簇;
[0056] 6)计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的 聚簇中心;
[0057] 7)若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值, 停止更新,所述目标函数为:
[0059] 其中,Q表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,€为第1个聚簇的 中心。
[0060] 本实施例的有益效果为:能够对已知和未知网络攻击进行检测,通过改进的K-means聚类方法对预处理后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚 类分析,可以准确的将各种类型的网络攻击区分开,从而达到很高的准确率和很低的误报 率;提供了改进的K-means聚类方法,有效避免单一采取随机抽样方法所带来的偶然性,提 高了聚类稳定性进一步提高了网络安全性验证的准确度,其中设定比例值T=l.45,网络安 全性验证的准确度相对提高了2.5%。
[0061 ] 实施例3
[0062]参见图1、图2,本实施例的网络安全性验证系统,包括数据捕获模块1、数据预处理 模块2、行为分析模块3;所述数据捕获模块1用于对进出系统的可疑流量和异常行为进行捕 获,形成样本数据;所述数据预处理模块2,用于对样本数据进行筛选预处理,去除样本数据 中的噪声数据,然后对样本数据进行降维处理;所述行为分析模块3,用于采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,并基于人工神经网络算法进行攻击 行为检测,识别网络中潜在的未知攻击。
[0063]其中,所述数据捕获模块1使用防火墙采集进出系统的可疑流量。
[0064]其中,所述数据捕获模块1通过使用入侵检测系统对网络传输进行实时监视来捕 获所述异常行为。
[0065] 其中,所述采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,包 括:
[0066] 1)将所述样本数据划分为n个样本,对n个样本进行向量化,通过夹角余弦函数计 算所有样本两两之间的相似度,得到相似度矩阵XS;
[0067] 2)对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似 度,设父5=[8;[111(&1而)]必 11,;[,」=1,",11,其中8;[111(&1而)表示样本&1,&」间的相似度,求和 公式为:
[0069] 3)按降序排列XSP,p = l,…,n,设XSP按从大到小排列的前4个值为XSmax,XSmax-i, XSmax-2,XSmax-3,若
,选择与最大值XSmax相对应的样本作 为第一个初始的聚簇中心,否则选择与XSmax,XSmti,XSmax-2,XS max-3对应的四个样本的均值 作为第一个初始的簇中心;
[0070] 4)将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-1个最小 的元素为XS Pq,q=l,…,k-1,选择前k-1个最小的元素 XSPq相对应的样本作为剩余的k-1个 初始的聚簇中心,其中所述k值为隐藏层个数,根据多次试验确定;
[0071] 5)计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最 高的聚簇中,形成变化后的k个聚簇;
[0072] 6)计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的 聚簇中心;
[0073] 7)若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值, 停止更新,所述目标函数为:
[0075]其中,&表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,石[为第1个聚簇的 中心。
[0076] 本实施例的有益效果为:能够对已知和未知网络攻击进行检测,通过改进的K_ means聚类方法对预处理后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚 类分析,可以准确的将各种类型的网络攻击区分开,从而达到很高的准确率和很低的误报 率;提供了改进的K-means聚类方法,有效避免单一采取随机抽样方法所带来的偶然性,提 高了聚类稳定性,进一步提高了网络安全性验证的准确度,其中设定比例值T=l.5,网络安 全性验证的准确度相对提高了4%。
[0077] 实施例4
[0078]参见图1、图2,本实施例的网络安全性验证系统,包括数据捕获模块1、数据预处理 模块2、行为分析模块3;所述数据捕获模块1用于对进出系统的可疑流量和异常行为进行捕 获,形成样本数据;所述数据预处理模块2,用于对样本数据进行筛选预处理,去除样本数据 中的噪声数据,然后对样本数据进行降维处理;所述行为分析模块3,用于采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,并基于人工神经网络算法进行攻击 行为检测,识别网络中潜在的未知攻击。
[0079] 其中,所述数据捕获模块1使用防火墙采集进出系统的可疑流量。
[0080] 其中,所述数据捕获模块1通过使用入侵检测系统对网络传输进行实时监视来捕 获所述异常行为。
[0081] 其中,所述采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,包 括:
[0082] 1)将所述样本数据划分为n个样本,对n个样本进行向量化,通过夹角余弦函数计 算所有样本两两之间的相似度,得到相似度矩阵XS;
[0083] 2)对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似 度,设父5=[8;[111(&1而)]必 11,;[,」=1,",11,其中8;[111(&1而)表示样本&1,&」间的相似度,求和 公式为:
[0085] 3)按降序排列XSP,p = 1,…,n,设XSP按从大到小排列的前4个值为XSmax,XSmd, XSmax-2,XSmax-3,若
.选择与最大值XSmax相对应的样本作 为第一个初始的聚簇中心,否则选择与XSmax,XSmti,XSmxx-2,XS max-3对应的四个样本的均值 作为第一个初始的簇中心;
[0086] 4)将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-1个最小 的元素为XS Pq,q=l,…,k-1,选择前k-1个最小的元素 XSPq相对应的样本作为剩余的k-1个 初始的聚簇中心,其中所述k值为隐藏层个数,根据多次试验确定;
[0087] 5)计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最 高的聚簇中,形成变化后的k个聚簇;
[0088] 6)计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的 聚簇中心;
[0089] 7)若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值, 停止更新,所述目标函数为:
[0091]其中,Q表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,^为第1个聚簇的 中心。
[0092]本实施例的有益效果为:能够对已知和未知网络攻击进行检测,通过改进的K-means聚类方法对预处理后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚 类分析,可以准确的将各种类型的网络攻击区分开,从而达到很高的准确率和很低的误报 率;提供了改进的K-means聚类方法,有效避免单一采取随机抽样方法所带来的偶然性,提 高了聚类稳定性,进一步提高了网络安全性验证的准确度,其中设定比例值T=l.55,网络 安全性验证的准确度相对提高了2.8%。
[0093] 实施例5
[0094]参见图1、图2,本实施例的网络安全性验证系统,包括数据捕获模块1、数据预处理 模块2、行为分析模块3;所述数据捕获模块1用于对进出系统的可疑流量和异常行为进行捕 获,形成样本数据;所述数据预处理模块2,用于对样本数据进行筛选预处理,去除样本数据 中的噪声数据,然后对样本数据进行降维处理;所述行为分析模块3,用于采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,并基于人工神经网络算法进行攻击 行为检测,识别网络中潜在的未知攻击。
[0095] 其中,所述数据捕获模块1使用防火墙采集进出系统的可疑流量。
[0096] 其中,所述数据捕获模块1通过使用入侵检测系统对网络传输进行实时监视来捕 获所述异常行为。
[0097] 其中,所述采用改进的K-means聚类方法对预处理后的样本数据进行聚类分析,包 括:
[0098] 1)将所述样本数据划分为n个样本,对n个样本进行向量化,通过夹角余弦函数计 算所有样本两两之间的相似度,得到相似度矩阵XS;
[0099] 2)对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似 度,设父5=[8;[111(&1而)]必 11,;[,」=1,",11,其中8;[111(&1而)表示样本&1,&」间的相似度,求和 公式为:
[0101] 3)按降序排列XSP,p = 1,…,n,设XSP按从大到小排列的前4个值为XSmax,XSmax-i, XSmax-2,XSmax-3,若
选择与最大值XSmax相对应的样本作 为第一个初始的聚簇中心,否则选择与XSmax,XSmti,XSmax-2,XS max-3对应的四个样本的均值 作为第一个初始的簇中心;
[0102] 4)将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-1个最小 的元素为XSPq,q=l,…,k-1,选择前k-1个最小的元素 XSPq相对应的样本作为剩余的k-1个 初始的聚簇中心,其中所述k值为隐藏层个数,根据多次试验确定;
[0103] 5)计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最 高的聚簇中,形成变化后的k个聚簇;
[0104] 6)计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的 聚簇中心;
[0105] 7)若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值, 停止更新,所述目标函数为:
[0107] 其中,Q表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,◎为第1个聚簇的 中心。
[0108] 本实施例的有益效果为:能够对已知和未知网络攻击进行检测,通过改进的K-means聚类方法对预处理后的各种进出系统的网络可疑流量和异常行为的样本数据进行聚 类分析,可以准确的将各种类型的网络攻击区分开,从而达到很高的准确率和很低的误报 率;提供了改进的K-means聚类方法,有效避免单一采取随机抽样方法所带来的偶然性,提 高了聚类稳定性,进一步提高了网络安全性验证的准确度,其中设定比例值T=l.6,网络安 全性验证的准确度相对提高了3.2%。
[0109]最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保 护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应 当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实 质和范围。
【主权项】
1. 网络安全性验证系统,其特征在于,包括数据捕获模块、数据预处理模块、行为分析 模块; 所述数据捕获模块用于对进出系统的可疑流量和异常行为进行捕获,形成样本数据; 所述数据预处理模块,用于对样本数据进行筛选预处理,去除样本数据中的噪声数据, 然后对样本数据进行降维处理; 所述行为分析模块,用于采用改进的κ-means聚类方法对预处理后的样本数据进行聚 类分析,并基于人工神经网络算法进行攻击行为检测,识别网络中潜在的未知攻击。2. 根据权利要求1所述的网络安全性验证系统,其特征在于,所述数据捕获模块使用防 火墙采集进出系统的可疑流量。3. 根据权利要求1所述的网络安全性验证系统,其特征在于,所述数据捕获模块通过使 用入侵检测系统对网络传输进行实时监视来捕获所述异常行为。4. 根据权利要求1所述的网络安全性验证系统,其特征在于,所述采用改进的K-means 聚类方法对预处理后的样本数据进行聚类分析,包括: 1) 将所述样本数据划分为η个样本,对η个样本进行向量化,通过夹角余弦函数计算所 有样本两两之间的相似度,得到相似度矩阵XS; 2) 对相似度矩阵XS的每一行进行求和,计算出每一个样本与整个原始样本的相似度, 设XS = [sim(ai,aj)]nxn,i,j = l,…,η,其中sim(ai,aj)表示样本ai,aj间的相似度,求和公式 为:3 )技降序排列XSp,P = 1,…,Π ,设XSp技从大到小排列的如4个值为XSmax,XSmax-1,XSmax-2, XSmax-3,若选择与最大值XSmax相对应的样本作为第一 个初始的聚簇中心,否则选择与xsmax,XSmw,XSmax-2,XS max-3对应的四个样本的均值作为第 一个初始的簇中心; 4) 将最大值为XSmax对应的矩阵中行向量的元素进行升序排列,假设前k-Ι个最小的元 素为XSPq,q= 1,…,k-l,选择前k-Ι个最小的元素 XSPq相对应的样本作为剩余的k-Ι个初始 的聚簇中心,其中所述k为设定的聚类个数; 5) 计算剩余样本与各初始的聚簇中心之间的相似度,将剩余样本分发到相似度最高的 聚簇中,形成变化后的k个聚簇; 6) 计算变化后的聚簇中各样本的均值,将其作为更新后的聚簇中心代替更新前的聚簇 中心; 7) 若更新前的聚簇中心与更新后的聚簇中心相同,或者目标函数达到了最小值,停止 更新,所述目标函数为:其中,Ci表示k个聚簇中的第1个聚簇,ax为第1个聚簇中的样本,%为第1个聚簇的中 心。5.根据权利要求1所述的网络安全性验证系统,其特征在于,所述设定的比例值T的取 值范围为[1.4,1.6]。
【文档编号】H04L29/06GK105959316SQ201610540807
【公开日】2016年9月21日
【申请日】2016年7月6日
【发明人】不公告发明人
【申请人】吴本刚