一种网络入侵行为检测方法及系统与流程

本发明涉及网络入侵行为检测技术领域，尤其涉及一种网络入侵行为检测方法及系统。

背景技术：

近年来，随着信息技术在社会各领域的广泛运用，网络与信息安全日显重要。由于网络入侵行为的不确定性和攻击技术的日新月异，入侵检测难度较大，导致现有的入侵检测系统误报率和虚警率居高不下。

技术实现要素：

本发明的一个目的在于提供一种网络入侵行为检测方法，提高网络入侵行为检测的实时性和准确性。本发明的另一个目的在于提供一种网络入侵行为检测系统。本发明的再一个目的在于提供一种计算机设备。本发明的还一个目的在于提供一种可读介质。

为了达到以上目的，本发明一方面公开了一种网络入侵行为检测方法，包括：

得到基于网络入侵信息得到的告警信息；

将所述告警信息输入预设的神经网络进行检测得到可疑告警信息；

根据所述可疑告警信息确定是否存在网络攻击，若存在，向用户终端反馈存在网络攻击的预警信号。

优选的，所述方法进一步包括在获取基于特征匹配得到的告警信息，之前：

确定神经网络初始参数；

根据历史告警信息的特征信息形成神经网络的输入向量；

根据历史告警信息对应的网络攻击确定结果和输入向量训练bp神经网络得到各项参数形成所述预设的神经网络。

优选的，所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。

优选的，所述得到基于网络入侵信息得到的告警信息具体包括：

获取网络入侵信息；

根据所述网络入侵信息基于特征的检测方法确定所述告警信息。

优选的，所述方法进一步包括：

根据确定的网络攻击和对应的告警信息形成学习样本；

采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。

本发明还公开了一种网络入侵行为检测系统，包括：

告警信息确定单元，用于得到基于网络入侵信息得到的告警信息；

可疑信息确定单元，用于将所述告警信息输入预设的神经网络进行检测得到可疑告警信息；

预警反馈单元，用于根据所述可疑告警信息确定是否存在网络攻击，若存在，向用户终端反馈存在网络攻击的预警信号。

优选的，还包括神经网络形成单元，用于确定神经网络初始参数，根据历史告警信息的特征信息形成神经网络的输入向量，根据历史告警信息对应的网络攻击确定结果和输入向量训练bp神经网络得到各项参数形成所述预设的神经网络。

优选的，所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。

优选的，所述告警信息确定单元具体用于获取网络入侵信息，根据所述网络入侵信息基于特征的检测方法确定所述告警信息。

优选的，还包括神经网络优化单元，用于根据确定的网络攻击和对应的告警信息形成学习样本，采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。

本发明还公开了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，

所述处理器执行所述程序时实现如上所述方法。

本发明还公开了一种计算机可读介质，其上存储有计算机程序，

该程序被处理器执行时实现如上所述方法。

本发明将基于网络入侵信息产生的大量告警信息通过预设的神经网络进一步区分，从中判别出可疑告警信息，根据判别出的可疑告警信息向用户预警。本发明可将大多数基于特征的检测方法产生的告警信息判定为无效告警，并不再报出，大幅度降低了入侵检测系统的误报率，提高其告警准确度，提升入侵检测系统的敏感性，也提高了运行值班人员的工作效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明一种网络入侵行为检测方法一个具体实施例的流程图之一；

图2示出本发明一种网络入侵行为检测方法一个具体实施例的流程图之二；

图3示出本发明一种网络入侵行为检测方法一个具体实施例的流程图之三；

图4示出本发明一种网络入侵行为检测方法一个具体实施例的流程图之四；

图5示出本发明一种网络入侵行为检测系统一个具体实施例的结构图之一；

图6示出本发明一种网络入侵行为检测系统一个具体实施例的结构图之二；

图7示出本发明一种网络入侵行为检测系统一个具体实施例的结构图之三；

图8示出适于用来实现本发明实施例的计算机设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

入侵检测系统(intrusiondetectionsystem，ids)是依照一定的安全策略，通过软硬件对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为和攻击结果，以保证网络系统资源的机密性、完整性和可用性的系统。现有的网络入侵检测系统(ids)通常采用基于特征的检测方法，即首先定义一个入侵特征模式库，包括如网络数据包的源端口、目的端口、协议等相关信息，通过检测网络中搜集到的数据特征是否在入侵模式库中出现，从而判别是否是入侵行为，并向用户反馈。在具体应用上，现有的ids将各种网络行为直接匹配入侵特征模式库的最大集规则模板，若匹配成功则发出告警。但是，现有的ids这种简单的网络入侵检测方式会产生大量无效告警误报率很高，影响运行值班人员的判断，降低工作效率，并可能对真正入侵行为的失去敏感性。

基于现有技术中存在的问题，发明人发现，真正的蓄意网络攻击在ids上的特点为：一定时间范围内，大量、集中的高级别告警报出。基于这一特点，可对所有告警信息进行进一步筛选分类，筛选出的告警称为可疑告警，其余的称为无效告警，选择基于告警流量异常的分析方法，可建立正常网络运行时告警信息的“活动规律”，将当前告警报出情况与正常网络运行时的告警信息的“活动规律”相比较，经分析发现两者不一致时，则认为可能有入侵行为。

基于此，根据本发明的一个方面，本实施例公开了一种网络入侵行为检测方法。本实施例中，如图1所示，所述方法包括：

s100：得到基于网络入侵信息得到的告警信息。

s200：将所述告警信息输入预设的神经网络进行检测得到可疑告警信息。

s300：根据所述可疑告警信息确定是否存在网络攻击，若存在，向用户终端反馈存在网络攻击的预警信号。

本发明将基于网络入侵信息产生的大量告警信息通过预设的神经网络进一步区分，从中判别出可疑告警信息，根据判别出的可疑告警信息向用户预警。本发明可将大多数基于特征的检测方法产生的告警信息判定为无效告警，并不再报出，大幅度降低了入侵检测系统的误报率，提高其告警准确度，提升入侵检测系统的敏感性，也提高了运行值班人员的工作效率。

在优选的实施方式中，所述方法进一步可包括预先形成预设的神经网络的步骤000。具体的，如图2所示，所述s000可包括：

s010：确定神经网络初始参数。

s020：根据历史告警信息的特征信息形成神经网络的输入向量。

s030：根据历史告警信息对应的网络攻击确定结果和输入向量训练所述bp神经网络得到的各项参数形成所述预设的神经网络。

具体的，优选的，神经网络可选用bp神经网络。bp神经网络是一种按照误差逆向传播算法训练的多层前馈神经网络。神经网络的检测模型具有高维性、广泛互联性以及自适应性等优点。只要提供入侵检测系统的相关告警信息，神经网络就可通过学习从中提取正常的用户或系统活动的特征模式。在形成bp神经网络时，需先确定告警评价系统的神经网络初始参数，输入神经网络学习样本，经参数预处理后，经神经网络训练学习，形成神经网络评价知识库，得到预设的神经网络。进行实际可疑告警信息分类时，用户将实际告警信息输入到该预设的神经网络中，预设的神经网络提取实际告警信息的相关参数，并经输入模式转换后，根据神经网络进行推理分析，并将推理结果经输出模式转换后，形成告警信息评价分类结果可得到是否存在可疑告警信息。

在优选的实施方式中，所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。对于检测得到的告警信息，可提取6个维度的特征信息中的至少一个维度的特征信息加以组合得到输入向量，即经过输入模式转换得到输入向量，输入到bp神经网络中，经bp神经网络分析计算，将网络正常与异常时告警流量的特征加以区分，根据输出结果判定是否为可疑告警信息，判断网络攻击是否发生。

在优选的实施方式中，如图3所示，所述s100具体可包括：

s110：获取网络入侵信息。

s120：根据所述网络入侵信息基于特征的检测方法确定所述告警信息。

可以理解的是，本发明可先获取网络入侵信息，根据网络入侵信息采用基于特征的检测方法确定网络入侵信息的行为是否为网络攻击行为，将与预设的网络攻击行为的特征相匹配的网络入侵信息确定为告警信息，进一步通过预设的神经网络对确定的大量告警信息进行进一步的识别和筛选以确定告警信息是否为可疑告警信息，从而可防止大量的无效告警，提高告警准确率，使入侵检测的技术更加的高效和智能，以应对入侵检测的实时性、准确性的要求。

在优选的实施方式中，如图4所示，所述方法进一步包括s400：

s410：根据确定的网络攻击和对应的告警信息形成学习样本。

s420：采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。

可以理解的是，本发明进一步可将得到的告警信息的评价和筛选结果作为对应的告警信息的标签以形成新的学习样本，以进一步对预设的神经网络进行训练优化，从而不断优化预设的神经网络的评价库，提升通过预设的神经网络对告警信息进行进一步识别和筛选得到可疑告警信息的准确度。

下面通过一个具体例子在对本发明作进一步的说明，在该具体例子中，网络初始参数可包括输入层神经单元数、输出层、隐含层个数和隐含层神经单元数等参数。输入层神经单元数、输出层、隐含层个数和隐含层神经单元数的数量可选择6、1、1和4。当然，在其他实施方式中，也可根据实际情况选择其他数值，本发明对此并不作限定。其中，当选用bp神经网络时，bp算法要求各层作用函数的一阶导数处处可微，bp神经网络中的作用函数通常选择非线型sigmoid函数。

进一步的，选择学习样本，供bp神经网路学习。选取多种正常时的告警信息以及多种存在真正网络攻击时的告警信息，将其每种告警信息提取相关的输入向量作为学习样本，供神经网络学习。这些样本应尽可能地反映各种ids状态下的告警情况。神经网络的学习过程即根据数据样本确定网络的连接权值和误差反复修正的过程。其中，确定神经网络的输入向量为xp＝(x1，x2，x3，x4，x5，x6)。x1，x2，x3，x4，x5和x6分别表示报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量，x1，x2，x3，x4，x5和x6的取值在[0，1]区间内。

优选的，可以日为统计周期，以分钟为时间单位，可通过以下方式处理得到特征信息：x1报出频率：报出频率＝每日报出次数/(24h×60)，归一化：x1＝该告警报出频率/所有告警最大报出频率。x2报出时间范围占比：x2＝(该日最后一次报出时间-第一次报出时间)/(24h×60)。x3报出级别：分为低级、中级、高级三类，其中若告警为低级，则x3＝0；若告警为中级，则x3＝0.5；若告警为高级，则x3＝1。x4报出时间离散程度：以报出时间差的标准差衡量报出时间离散程度，归一化：x4＝该告警报出时间差的标准差/所有告警报出时间差的标准差的最大值。x5报出密集时间段占比：当某一时间段内若改进报出频率高于某值，则定义该时间段为报出密集时间段。x5报出密集时间段占比＝一天之内报出报出密集时间段的时间之和/(24h×60)。x6报出密集时间段数量：x6＝报出密集时间段数量/所有告警报出密集时间段数量的最大值。

通过样本学习，确定bp神经网络各层神经元的权值和输出的阈值。令z为入侵检测系统告警评价网络的输出。z>阈值，认为该类型告警为可疑告警，否则为无效告警，从而可检测大量告警信息中是否存在可疑告警信息。

基于相同原理，本实施例还公开了一种网络入侵行为检测系统。如图5所示，所述系统包括告警信息确定单元11、可疑信息确定单元12和预警反馈单元13。

其中，告警信息确定单元11用于得到基于网络入侵信息得到的告警信息。

可疑信息确定单元12用于将所述告警信息输入预设的神经网络进行检测得到可疑告警信息。

预警反馈单元13用于根据所述可疑告警信息确定是否存在网络攻击，若存在，向用户终端反馈存在网络攻击的预警信号。

在优选的实施方式中，如图6所示，所述系统还包括神经网络形成单元10。神经网络形成单元10用于确定神经网络初始参数，根据历史告警信息的特征信息形成神经网络的输入向量，根据历史告警信息对应的网络攻击确定结果和输入向量训练所述bp神经网络得到的各项参数形成所述预设的神经网络。在优选的实施方式中，所述特征信息包括报出频率、报出时间范围占比、报出级别、报出时间离散程度、报出密集时间段占比和报出密集时间段数量的至少之一。

在优选的实施方式中，所述告警信息确定单元11具体用于获取网络入侵信息，根据所述网络入侵信息基于特征的检测方法确定所述告警信息。

在优选的实施方式中，如图7所示，所述系统还包括神经网络优化单元14。神经网络优化单元14用于根据确定的网络攻击和对应的告警信息形成学习样本，采用所述学习样本对所述预设的神经网络进行训练以优化所述预设的神经网络。

由于该系统解决问题的原理与以上方法类似，因此本系统的实施可以参见方法的实施，在此不再赘述。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机设备，具体的，计算机设备例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

在一个典型的实例中计算机设备具体包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述方法。

下面参考图8，其示出了适于用来实现本申请实施例的计算机设备600的结构示意图。

如图8所示，计算机设备600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram))603中的程序而执行各种适当的工作和处理。在ram603中，还存储有系统600操作所需的各种程序和数据。cpu601、rom602、以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。

以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶反馈器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如lan卡，调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装如存储部分608。

特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包括用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。