一种网络入侵检测方法及装置与流程
本发明涉及信息安全技术领域,更具体地说,涉及一种网络入侵检测方法及装置。
背景技术:
随着网络技术迅猛发展,网络信息安全已经成为当今网络信息发展的一个重要课题。NIDS(Network Intrusion Detection System,网络入侵检测系统)是继“防火墙”和“数据加密”等传统安全保护措施之后又一项重要的安保技术。
目前主流的网络入侵检测系统是误用检测系统。误用检测系统基于预先建立的入侵特征数据库对采集到的网络数据的特征值序列进行匹配,以此来检测网络数据是否存在入侵行为的。但是由于入侵特征数据库不能及时更新,这就会造成检测准确度较低。
有鉴于此,如何及时更新入侵特征数据库进而提高入侵检测准确度,是本领域技术人员亟需解决的问题。
技术实现要素:
有鉴于此,本发明提供一种网络入侵检测方法及装置,以解决现有的技术方案中由于入侵行为特征数据库不能及时更新造成的检测准确度较低的问题。技术方案如下:
一种网络入侵检测方法,包括:
依据当前入侵特征数据库对实时采集到的网络数据进行误用检测;
当判定所述网络数据存在入侵行为时,依据遗传算法对所述网络数据的特征值序列进行处理,得到各个当前特征值序列;
计算各个所述当前特征值序列的适应度值,将适应度值大于阈值的当前特征值序列存储于所述当前入侵特征数据库中,所述阈值是预先对所述当前入侵特征数据库中的至少一个训练特征值序列进行处理得到的。
优选的,所述将适应度值大于阈值的当前特征值序列存储于所述当前入侵特征数据库中,之后,还包括:
更新所述当前特征数据库。
优选的,所述依据遗传算法对所述网络数据的特征值序列进行处理,得到各个当前特征值序列,包括:
依据第一预设种群构成规则,将所述网络数据的特征值序列添加到相应种群中,其中,各个所述种群中特征值序列的数量一致;
基于预设编码规则,对各个所述种群中的全部特征值序列进行二进制编码;
在各个所述种群间随机两两配对各个编码后的所述特征值序列,并依据第一预设交叉变异规则进行交叉变异处理,得到各个当前特征值序列。
优选的,所述预先对所述当前入侵特征数据库中的至少一个训练特征值序列进行处理得到阈值的过程包括:
依据第二预设种群构成规则,将所述当前入侵特征数据库中的至少一个训练特征序列值添加到相应训练种群中,其中,各个所述训练种群中训练特征值序列的数量一致;
基于预设编码规则,对各个所述训练种群中的全部训练特征值序列进行二进制编码;
在各个所述训练种群间随机两两配对各个编码后的所述训练特征值序列,并依据第二预设交叉变异规则和最大进化代数进行交叉变异处理,得到各个当前训练特征值序列;
计算各个所述当前训练特征值序列的适应度值;
判断适应度值小于当前阈值的各个所述当前训练特征值序列是否都不在所述当前入侵特征数据库中;
若是,将所述当前阈值确定为阈值;
若否,将在所述当前入侵特征数据库中的当前训练特征值序列的最小适应度值确定为当前阈值,并返回执行所述依据预设种群构成规则,将所述当前入侵特征数据库中的至少一个训练特征序列值添加到相应训练种群中,这一步骤。
一种网络入侵检测装置,包括:误用检测模块、遗传算法处理模块和计算存储模块,所述计算存储模块还包括阈值获取模块;
所述误用检测模块,用于依据当前入侵特征数据库对实时采集到的网络数据进行误用检测;
所述遗传算法处理模块,用于当判定所述网络数据存在入侵行为时,依据遗传算法对所述网络数据的特征值序列进行处理,得到各个当前特征值序列;
所述计算存储模块,用于计算各个所述当前特征值序列的适应度值,将适应度值大于阈值的当前特征值序列存储于所述当前入侵特征数据库中;
所述阈值获取模块,用于预先对所述当前入侵特征数据库中的至少一个训练特征值序列进行处理得到所述阈值。
优选的,所述计算存储模块之后,还包括:更新模块;
所述更新模块,用于更新所述当前特征数据库。
优选的,所述遗传算法处理模块包括:种群构成单元、第一编码单元和第一交叉变异单元;
所述种群构成单元,用于依据第一预设种群构成规则,将所述网络数据的特征值序列添加到相应种群中,其中,各个所述种群中特征值序列的数量一致;
所述第一编码单元,用于基于预设编码规则,对各个所述种群中的全部特征值序列进行二进制编码;
所述第一交叉变异单元,用于在各个所述种群间随机两两配对各个编码后的所述特征值序列,并依据第一预设交叉变异规则进行交叉变异处理,得到各个当前特征值序列。
优选的,所述阈值获取模块包括:训练种群构成单元、第二编码单元、第二交叉变异单元、计算单元、判断单元、第一阈值确定单元和第二阈值确定单元;
所述训练种群构成单元,用于依据第二预设种群构成规则,将所述当前入侵特征数据库中的至少一个训练特征序列值添加到相应训练种群中,其中,各个所述训练种群中训练特征值序列的数量一致;
所述第二编码单元,用于基于预设编码规则,对各个所述训练种群中的全部训练特征值序列进行二进制编码;
第二交叉变异单元,用于在各个所述训练种群间随机两两配对各个编码后的所述训练特征值序列,并依据第二预设交叉变异规则和最大进化代数进行交叉变异处理,得到各个当前训练特征值序列;
所述计算单元,用于计算各个所述当前训练特征值序列的适应度值;
所述判断单元,用于判断适应度值小于当前阈值的各个所述当前训练特征值序列是否都不在所述当前入侵特征数据库中;若是,触发所述第一阈值确定单元;若否,触发所述第二阈值确定单元;
所述第一阈值确定单元,用于将所述当前阈值确定为阈值;
所述第二阈值确定单元,用于将在所述当前入侵特征数据库中的当前训练特征值序列的最小适应度值确定为当前阈值,并触发所述训练种群构成单元。
相较于现有技术,本发明实现的有益效果为:
本发明公开的网络入侵检测方法及装置,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例一公开的一种网络入侵检测方法流程图;
图2为本发明实施例二公开的一种网络入侵检测方法流程图;
图3为本发明实施例三公开的一种网络入侵检测方法部分流程图;
图4为本发明实施例三公开的另一种网络入侵检测方法部分流程图;
图5为本发明实施例四公开的一种网络入侵检测装置结构示意图;
图6为本发明实施例五公开的一种网络入侵检测装置结构示意图;
图7为本发明实施例六公开的一种网络入侵检测装置部分结构示意图;
图8为本发明实施例六公开的另一种网络入侵检测装置部分结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一公开了一种网络入侵检测方法,应用于网络入侵检测装置,方法流程图如图1所示,包括如下步骤:
S101,依据当前入侵特征数据库对实时采集到的网络数据进行误用检测;
在执行步骤S101的过程中,对实时采集到的网络数据进行误用检测,通过匹配网络数据的特征值序列与当前入侵特征数据库来判断该网络数据是否存在入侵行为;其中,采集的网络数据可包括至少一个预设参数数值,预设参数为当攻击行为发生时网络系统中改变最明显的特征,预设参数包括但不局限于IP源地址、IP目的地址、源端口、目的端口、IP报文标示域、TCP源端口、TCP目的端口和/或TCP确认号,可根据实际需要具体设置。
S102,当判定网络数据存在入侵行为时,依据遗传算法对网络数据的特征值序列进行处理,得到各个当前特征值序列;
在执行步骤S102的过程中,将预设时间段内采集到的至少一个存在入侵行为的网络数据的特征值序列按照遗传算法进行处理,例如,将该10S内检测出来的5个存在入侵行为的网络数据和下15S内检测出来的5个存在入侵行为的网络数据按照遗传算法进行处理。
S103,计算各个当前特征值序列的适应度值,将适应度值大于阈值的当前特征值序列存储于当前入侵特征数据库中,阈值是预先对当前入侵特征数据库中的至少一个训练特征值序列进行处理得到的。
在执行步骤S103的过程中,按照适应度计算公式计算各个当前特征值序列的适应度值,由于适应度值表示该网络数据存在入侵行为的可能性,则当适应度值越大表示存在入侵行为的可能性越大。
需要说明的是,遗传算法是计算数学中用于解决最佳化的搜索算法,是进化算法的一种。进化算法最初是借鉴了进化生物学中的一些现象而发展起来的,这些现象包括遗传、突变、自然选择以及杂交等。
本发明实施例公开的网络入侵检测方法,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
实施例二
结合上述本发明实施例一公开的网络入侵检测方法和附图1,本发明实施例二还提供一种网络入侵检测方法,方法流程图如图2所示,包括如下步骤:
S101,依据当前入侵特征数据库对实时采集到的网络数据进行误用检测;
S102,当判定网络数据存在入侵行为时,依据遗传算法对网络数据的特征值序列进行处理,得到各个当前特征值序列;
S103,计算各个当前特征值序列的适应度值,将适应度值大于阈值的当前特征值序列存储于当前入侵特征数据库中,阈值是预先对当前入侵特征数据库中的至少一个训练特征值序列进行处理得到的;
S104,更新当前特征数据库。
需要说明的是,当前入侵特征数据库可以为预先设置好的初始入侵特征数据库,也可以通过在对网络数据进行误用检测之前对初始入侵特征数据库进行更新将更新后的初始入侵特征数据库作为当前入侵特征数据库。
还需要说明的是,在本发明实施例二公开的网络入侵检测方法中,步骤S101~步骤S103的执行过程与上述实施例一公开的步骤S101~步骤S103一致,在此不再赘述,请参见本发明实施例一公开的部分。
本发明实施例公开的网络入侵检测方法,通过对特征数据库进行更新,增加了特征数据库中的特征值序列,以便将更新后的特征数据库用于执行下一次的网络数据检测过程,从而使得检测准确度不断增加。
实施例三
结合本发明实施例一和实施例二公开的网络入侵检测方法,如图1和图2所示出的步骤S102中依据遗传算法对网络数据的特征值序列进行处理,得到各个当前特征值序列的具体执行过程,如图3所示,包括如下步骤:
S301,依据第一预设种群构成规则,将网络数据的特征值序列添加到相应种群中,其中,各个种群中特征值序列的数量一致;
在执行步骤S301的过程中,可根据第一预设种群构成规则,例如,构建2个种群,每个种群中有3个特征值序列,将连续采集的网络数据的特征值序列依次添加到相应的种群中。
S302,基于预设编码规则,对各个种群中的全部特征值序列进行二进制编码;
在执行步骤S302的过程中,例如,将预设编码规则设置为入侵行为发生时发生变化的参数的特征值编码为1,其他参数的特征值编码为0;假设当前采集的网络数据包括IP源地址、IP目的地址和源端口这三个参数的数值,入侵行为发生时只有IP源地址会发生变化,那么根据预设编码规则将IP源地址特征值编码为1,IP目的地址特征值和源端口特征值均编码为0。
S303,在各个种群间随机两两配对各个编码后的特征值序列,并依据第一预设交叉变异规则进行交叉变异处理,得到各个当前特征值序列;
在执行步骤S303的过程中,例如将第一预设交叉变异规则设置为针对两两配对成功的各个编码后的特征值序列,随机选取交叉点,并将此交叉点前面三个编码值进行互换以完成交叉处理,同时,随机选取一个编码后的特征值进行变异,将0变异为1或者将1变异为0,需要说明的是,交叉和变异不存在顺序关系,在交叉变异过程中随机进行。
本发明实施例公开的网络入侵检测方法,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
结合本发明实施例一和实施例二公开的网络入侵检测方法,如图1和图2所示出的步骤S103中预先对所述当前入侵特征数据库中的至少一个训练特征值序列进行处理得到阈值的具体执行过程,如图4所示,包括如下步骤:
S401,依据第二预设种群构成规则,将当前入侵特征数据库中的至少一个训练特征序列值添加到相应训练种群中,其中,各个训练种群中训练特征值序列的数量一致;
S402,基于预设编码规则,对各个训练种群中的全部训练特征值序列进行二进制编码;
S403,在各个训练种群间随机两两配对各个编码后的训练特征值序列,并依据第二预设交叉变异规则和最大进化代数进行交叉变异处理,得到各个当前训练特征值序列;
在执行步骤S403的过程中,确定当前种群进化代数为0,同时,在各个训练种群间随机两两配对各个编码后的训练特征值序列;依据第二预设交叉变异规则进行交叉变异处理,并将当前种群进化代数加1;根据预先设置的当前阈值计算训练种群最大进化代数,并判断当前训练种群进化代数是否小于种群最大进化代数;若是,重新在各个训练种群间随机两两配对,并进行交叉变异处理,将当前种群进化代数加1,并判断当前训练种群进化代数是否小于种群最大进化代数。
S404,计算各个当前训练特征值序列的适应度值;
S405,判断适应度值小于当前阈值的各个当前训练特征值序列是否都不在当前入侵特征数据库中;若是,执行步骤S406;若否,执行步骤S407;
S406,将当前阈值确定为阈值;
S407,将在当前入侵特征数据库中的当前训练特征值序列的最小适应度值确定为当前阈值,并返回执行步骤S401。
需要说明的是,第一次训练适应度阈值时,可预先设置当前阈值。
本发明实施例公开的网络入侵检测方法,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
实施例四
基于上述各实施例公开的网络入侵检测方法,本发明实施例四则对应公开执行上述网络入侵检测方法的网络入侵检测装置,其结构示意图如图5所示,网络入侵检测装置500包括:误用检测模块501、遗传算法处理模块502和计算存储模块503,计算存储模块503还包括阈值获取模块6031;
误用检测模块501,用于依据当前入侵特征数据库对实时采集到的网络数据进行误用检测;
遗传算法处理模块502,用于当判定网络数据存在入侵行为时,依据遗传算法对网络数据的特征值序列进行处理,得到各个当前特征值序列;
计算存储模块503,用于计算各个当前特征值序列的适应度值,将适应度值大于阈值的当前特征值序列存储于当前入侵特征数据库中;
阈值获取模块5031,用于预先对当前入侵特征数据库中的至少一个训练特征值序列进行处理得到阈值。
本发明实施例公开的网络入侵检测装置,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
实施例五
结合上述本发明实施例四公开的网络入侵检测装置和附图5,本发明实施例五还提供一种网络入侵检测装置,其结构示意图如图6所示,网络入侵检测装置500包括:误用检测模块501、遗传算法处理模块502、计算存储模块503和更新模块504,计算存储模块503还包括阈值获取模块5031,
误用检测模块501,用于依据当前入侵特征数据库对实时采集到的网络数据进行误用检测;
遗传算法处理模块502,用于当判定网络数据存在入侵行为时,依据遗传算法对网络数据的特征值序列进行处理,得到各个当前特征值序列;
计算存储模块503,用于计算各个当前特征值序列的适应度值,将适应度值大于阈值的当前特征值序列存储于当前入侵特征数据库中;
阈值获取模块5031,用于预先对当前入侵特征数据库中的至少一个训练特征值序列进行处理得到阈值;
更新模块504,用于更新当前特征数据库。
本发明实施例公开的网络入侵检测装置,通过对特征数据库进行更新,增加了特征数据库中的特征值序列,以便将更新后的特征数据库用于执行下一次的网络数据检测过程,从而使得检测准确度不断增加。
实施例六
结合本发明实施例四和实施例五公开的网络入侵检测装置,如图5和图6所示出的网络入侵检测装置500中的遗传算法处理模块502,其结构示意图如图7所示,包括:种群构成单元701、第一编码单元702和第一交叉变异单元703;
种群构成单元701,用于依据第一预设种群构成规则,将网络数据的特征值序列添加到相应种群中,其中,各个种群中特征值序列的数量一致;
第一编码单元702,用于基于预设编码规则,对各个种群中的全部特征值序列进行二进制编码;
第一交叉变异单元703,用于在各个种群间随机两两配对各个编码后的特征值序列,并依据第一预设交叉变异规则进行交叉变异处理,得到各个当前特征值序列。
本发明实施例公开的网络入侵检测装置,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
结合本发明实施例四和实施例五公开的网络入侵检测装置,如图5和图6所示出的网络入侵检测装置500中的阈值获取模块5031,其结构示意图如图8所示,包括:训练种群构成单元801、第二编码单元802、第二交叉变异单元803、计算单元804、判断单元805、第一阈值确定单元806和第二阈值确定单元807;
训练种群构成单元801,用于依据第二预设种群构成规则,将当前入侵特征数据库中的至少一个训练特征序列值添加到相应训练种群中,其中,各个训练种群中训练特征值序列的数量一致;
第二编码单元802,用于基于预设编码规则,对各个训练种群中的全部训练特征值序列进行二进制编码;
第二交叉变异单元803,用于在各个训练种群间随机两两配对各个编码后的训练特征值序列,并依据第二预设交叉变异规则和最大进化代数进行交叉变异处理,得到各个当前训练特征值序列;
计算单元804,用于计算各个当前训练特征值序列的适应度值;
判断单元805,用于判断适应度值小于当前阈值的各个当前训练特征值序列是否都不在当前入侵特征数据库中;若是,触发第一阈值确定单元806;若否,触发第二阈值确定单元807;
第一阈值确定单元806,用于将当前阈值确定为阈值;
第二阈值确定单元807,用于将在当前入侵特征数据库中的当前训练特征值序列的最小适应度值确定为当前阈值,并触发训练种群构成单元。
本发明实施例公开的网络入侵检测装置,通过将误用检测与遗传算法相结合,不但实现了对网络流量数据进行检测,而且依据遗传算法可对检测出来的入侵行为进行交叉变异并通过与适应度阈值的比较来获取更多入侵行为,以实现不断更新入侵特征数据库,进而不断提高网络入侵检测的准确率。
以上对本发明所提供的一种网络入侵检测方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素,或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
- 还没有人留言评论。精彩留言会获得点赞!