本发明涉及网络安全领域,特别涉及一种入侵检测方法及入侵检测检测装置。
背景技术
随着intcmet在企业应用的不断深化,利用建立在intemet架构的应用系统平台来实现电子商务、在线交易、网上银行、业务集团化管理等应用已经成为企业发展的重要方向。与此同时,安全问题导致的经济损失也不断涌现。在网络安全问题日益突出的今天,如何迅速、有效地发现各类新的入侵行为,对于保证系统和网络资源的安全显得十分重要。入侵检测技术(intrusiondetection,id)是继“防火墙”、“数据加密”等传统安全保护措施后新一代安全保障技术,是网络安全的核心技术之一,它扩展了系统管理员的安全管理能力,提高了系统安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门。因此,研究入侵检测系统具有极其重要的意义。
随着大数据技术以及机器学习技术的迅速发展,目前现有技术提出了许多基于聚类分析、svm、决策树或者神经网络算法的入侵检测技术,这些入侵检测技术在现有技术中设计的特定测试环境下一般都能够取得比较好的效果,但是一旦将这些入侵检测技术用于日常网络安全,那么这些技术一般存在以下缺陷:1、采用的基础算法单一(也即单一的使用聚类算法、神经网络算法等等),而众所周知的是,每一种基础算法都有其自身的适用范围,单一的使用一种基础算法,很容易出现待测试行为超出适用范围的情况,一旦出现超出适用范围的情况,就意味着判断结果极易出现错误。2、对于聚类算法而言,缺乏一种比较好的选择聚类个数的方法,一般而言,对于选择聚类个数而言,现有技术的方法就是最普通的试错法,但是这种方法效率低,并且实际上没有有效利用历史经验。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
技术实现要素:
本发明的目的在于提供一种入侵检测方法及入侵检测检测装置,从而克服现有技术的缺点。
为实现上述目的,本发明提供了一种入侵检测方法,包括:获取网络中的数据流;从所获取的数据流中获得网络连接行为;提取网络连接行为的特征信息;将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;基于训练数据集对支持向量机进行训练,其中,对支持向量机进行训练包括如下步骤:对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;基于多个数据类的成员数据,分别训练对应的多个支持向量机;判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类,如果第一向量属于多个数据类中的第一数据类,则执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。
优选地,上述技术方案中,如果第一向量不属于多个数据类中的任何一个数据类,则在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。
优选地,上述技术方案中,第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且第二安全动作只包括报警动作。
优选地,上述技术方案中,对训练数据集进行聚类分析进一步包括:统计训练数据集中的向量个数;基于向量个数生成第一数据类个数;将训练数据集按照第一数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,确定数据类个数是否正确。
优选地,上述技术方案中,第一数据类个数基于以下公式生成:
n=√(n/3)
其中,n为第一数据类个数,n是训练集中的向量个数。
本发明还提供了一种入侵检测装置,包括:数据流获取单元,其用于获取网络中的数据流;网络连接行为获取单元,其用于从所获取的数据流中获得网络连接行为;特征提取单元,其用于提取网络连接行为的特征信息;数据预处理单元,其用于将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;向量机训练单元,其用于基于训练数据集对支持向量机进行训练,其中,向量机训练单元还包括:聚类分析单元,其用于对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;向量机训练子单元,其用于基于多个数据类的成员数据,分别训练对应的多个支持向量机;判断单元,其用于判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类;第一动作单元,其用于在第一向量属于多个数据类中的第一数据类的情况下,执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。
优选地,上述技术方案中,装置还包括第二动作单元:其用于当第一向量不属于多个数据类中的任何一个数据类时,在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。
优选地,上述技术方案中,第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且第二安全动作只包括报警动作。
优选地,上述技术方案中,聚类分析单元进一步包括:统计单元,其用于统计训练数据集中的向量个数;生成单元,其用于基于向量个数生成第一数据类个数;分析单元,其用于将训练数据集按照第一数据类个数进行聚类;距离计算单元,其用于计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离,并对距离求和,得到距离和;以及第二判断单元,其用于基于距离和,确定数据类个数是否正确。
优选地,上述技术方案中,第一数据类个数基于以下公式生成:
n=√(n/3)
其中,n为第一数据类个数,n是训练集中的向量个数。
与现有技术相比,本发明具有如下有益效果:1、采用了聚类分析和svm联用的技术,在训练支持向量机时,先将大量数据进行分类,生成聚类之后的多个数据类,其中每个数据类具有相似的特征,然后再针对每一个聚类之后的数据类生成一个对应的支持向量机,这样的设计防止将非常不同的两种行为作为训练样本来训练svm,造成svm出现过拟合的问题;2、利用历史经验设计了聚类效果评判标准,防止使用简单的试错法造成的低效率问题。
附图说明
图1是根据本发明的实施例的入侵检测方法的流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。本发明的墙体与保温层的具体制造方法是本领域公知的方法。各层胶黏剂层例如可以是环氧树脂胶黏剂。
如图1所示,本发明的方法可以包括:
步骤101:获取网络中的数据流;
步骤102:从所获取的数据流中获得网络连接行为;
步骤103:提取网络连接行为的特征信息;
步骤104:将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;
步骤105:基于训练数据集对支持向量机进行训练,其中,对支持向量机进行训练包括如下步骤:对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;基于多个数据类的成员数据,分别训练对应的多个支持向量机;
步骤106:判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类,如果第一向量属于多个数据类中的第一数据类,则执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。
其中,需要说明的是网络连接行为包括多个特征,例如访问时间、ip地址、访问类型、数据分组大小、访问频率等等。数据预处理包括将上述所有特征转化数值形式,如果某些数值的取值范围过大的话,还需要进行数值范围归一化,上述内容是本领域公知的内容,不再赘述。本发明实际上是先对预处理之后的整个训练数据集进行聚类分析,得到数个聚类,然后使用每个聚类中的子训练集分别训练对应的支持向量机。再具体而言,例如通过聚类算法,将训练集分为10个数据类,然后使用10个数据类中的训练样本分别训练对应的10个支持向量机,例如:对于第1个数据类,使用第1个数据类中的样本训练第1个svm,对于第2个数据类,使用第2个数据类中的样本训练第2个svm,依此类推。当完成训练之后,则开始使用训练好的各个svm对行为进行判别。为了更好的实现本发明的目的,当然需要对每个但预测行为判断所属聚类,假设待预测行为属于第1个聚类,那么就将该待预测行为发送给第1个svm进行判别。判断所属聚类的方法可以是任意本领域已知的方法,例如基于欧式距离或者曼哈顿距离的判断方法。使用这种方法的优点在于:如果直接使用信息量非常大、各类向量之间差异又非常明显的训练集来训练svm,那么很可能导致svm出现过拟合的问题,这实际上是一个非常难以克服的缺陷,而使用本发明的方法之后,针对每个svm而言,数据信息量降低,并且所有训练集都具有统计意义上的相似性,这样一来,过拟合的概率将大大降低。入侵检测的稳定性将得到提高。
优选的,本发明的方法还可以包括:如果第一向量不属于多个数据类中的任何一个数据类,则在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。在该情况下,相当于接收到了一种“新类型”的网络访问行为,这种行为与原来的所有行为都不同,在所使用的训练数据集是权威数据集的情况下,这种情况比较少见。为了保证网络安全,以及方便用户,本发明设计了在这种情况下,直接执行第二动作,第二动作具体可以是对用户进行提醒(报警),提醒用户对该网络访问行为进行手动判断,由于这种行为不经常发生,所以用户实际上可以比较简单的判断这种行为究竟是正常的访问行为还是入侵行为。第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且第二安全动作只包括报警动作。
为了得到正确的分类个数,以保证最终检测效果,需要进一步设计聚类算法。本发明的对训练数据集进行聚类分析进一步包括:统计训练数据集中的向量个数;基于向量个数生成第一数据类个数;将训练数据集按照第一数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,确定数据类个数是否正确,进一步而言基于距离和,确定数据类个数是否正确可以是:判断距离和是否大于某个门限值,该门限值可以由经验获得,如果距离和大于某个门限值,则确定数据类个数不正确。本发明的方法还可以包括:如果确定数据类个数不正确,则生成第二数据类个数,第二数据类个数可以是第一数据类个数加1或者减1,或者加2或者减2等等。随后,将训练数据集按照第二数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,再次确定数据类个数是否正确,如果距离和大于某个门限值,则确定数据类个数不正确,此时,本发明的方法还可以包括:如果确定数据类个数不正确,则生成第三数据类个数,第三数据类个数可以是第二数据类个数加1或者减1,或者加2或者减2等等。随后,将训练数据集按照第三数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,再次确定数据类个数是否正确,如果距离和大于某个门限值,则确定数据类个数不正确,此时,不再自动调整数据类个数,而是将数据类个数不正确消息发送给用户,此时用户可以进行入侵检测策略的手动设置,可以根据用户手动设置的入侵检测策略来确定对应的数据类个数,入侵检测策略与数据类个数的对应关系是预先生成的。当然在根据用户手动设置的入侵检测策略来确定对应的数据类个数之后,则不再进行数据类个数是否正确的判断。第一数据类个数基于以下公式生成:n=√(n/3),其中,n为第一数据类个数,n是训练集中的向量个数。发明人发现,基于该公式得到的数据类个数通常是合适的,并且通常是可以成功进行入侵检测。
本发明还提供了一种入侵检测装置,包括:数据流获取单元,其用于获取网络中的数据流;网络连接行为获取单元,其用于从所获取的数据流中获得网络连接行为;特征提取单元,其用于提取网络连接行为的特征信息;数据预处理单元,其用于将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;向量机训练单元,其用于基于训练数据集对支持向量机进行训练,其中,向量机训练单元还包括:聚类分析单元,其用于对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;向量机训练子单元,其用于基于多个数据类的成员数据,分别训练对应的多个支持向量机;判断单元,其用于判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类;第一动作单元,其用于在第一向量属于多个数据类中的第一数据类的情况下,执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。装置还包括第二动作单元:其用于当第一向量不属于多个数据类中的任何一个数据类时,在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。聚类分析单元进一步包括:统计单元,其用于统计训练数据集中的向量个数;生成单元,其用于基于向量个数生成第一数据类个数;分析单元,其用于将训练数据集按照第一数据类个数进行聚类;距离计算单元,其用于计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离,并对距离求和,得到距离和;以及第二判断单元,其用于基于距离和,确定数据类个数是否正确。
结合本发明描述的各种模块和电路可以用被设计为执行本发明所描述的功能的通用处理器、专用集成电路、现场可编程门阵列或者分立门或晶体管逻辑电路、分立硬件组件或其任何组合来实现。通用处理器可以是微处理器,处理器可以是任何商业上可得到的处理器、控制器、微控制器或状态机。处理器可以负责管理总线和一般处理,包括执行存储在机器可读介质上的软件。处理器可以用一个或多个通用和/或专用处理器实现。无论被称为软件、固件、中间件、微代码、硬件描述语言还是其他,软件应被宽泛地解释为意指指令、数据或其任何组合。作为示例,机器可读介质可以包括ram、闪存、rom、prom、eprom、eeprom、寄存器、磁盘、光盘或其任何组合。在硬件实现中,机器可读介质可以是与处理器分离的处理系统的一部分。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。