云计算环境中的自主分析入侵检测方法及系统的制作方法
【技术领域】
[0001] 本发明设及一种网络入侵检测技术领域,本发明还设及一种云计算环境中的自主 分析入侵检测系统,还设及一种云计算环境中的自主分析入侵检测方法。
【背景技术】
[0002] 计算机网络信息系统是当今社会中最为重要的信息交互平台,网络技术的迅速发 展,在给人们带来高效和便捷的同时,网络入侵也越来越频繁,从而导致网络安全事件激 增。与此同时,随着大数据和云计算时代的来临,网络用户迅猛增长,网络安全问题日趋严 重,攻击方式也一直在更新,单一的W防火墙为主的被动防御方式已经无法保证系统的安 全。
[0003] 入侵检测系统(Intrusion Deteetion System,IDS)是一种主动防御的技术,可W 从网络系统中提取关键信息,并迅速的对内部或外部的网络入侵做出判断和保护。因此,网 络入侵检测系统作为一种主动安全防范措施,可W拦截各种网络入侵和攻击,一直是网络 安全研究领域的研究热点。
[0004] 然而,随着云技术的发展,网络入侵在云计算中呈现出新的特点。由于云计算所拥 有的强大计算能力和丰富的存储资源使得网络入侵在云计算中具有更强的破坏力,对于目 前的云计算而言,5日日5(5〇的*日'6-日3-日-561'¥;[。6)服务、?日日5。1日1;1!'01'111-日3-日-561'¥;[。6)月良 务及IaaSQnfrastructure as a Service)服务都还处于初期,运便使云环境中的网络入 侵有了可乘之机,运些攻击易于实施却难于防范,因此不能将已有的入侵检测技术直接应 用到云计算中,运就需要对云计算中的入侵检测技术展开专口的研究。当前,云计算环境中 的入侵检测技术也相继得到了研究和发展,人们利用贝叶斯分类器、隐马尔科夫模型、遗传 算法及神经网络等方法提出一些针对云计算环境中网络入侵的入侵检测模型,运些基于人 工智能入侵检测模型的提出其目的就是不但要检测网络中的己知攻击还要检测出未知的 网络入侵。然而上述运些研究都只是简单的将各种检测手段应用到云环境的入侵检测系统 中,并没有考虑面临海量入侵检测数据时检测系统对入侵信息的自主分析性能。当数据量 非常大时,如果系统不能实现自主检测,将会使系统对网络入侵的检测效率大大降低。
[0005] 由于网络入侵的变化性和多样性,在云计算环境中如何能实现对攻击的自主分析 和防御是网络安全的重要课题之一。由于人工神经网络具有自组织、自学习及推理的自适 应能力,可W利用大量入侵实例对其进行训练学习,从而获得检测的能力。对于一些无法识 别特征的网络入侵,神经网络可W通过已获得的样本训练网络,运样可W很好的识别未知 的攻击,提高了检测的效率。然而,由于云计算中网络入侵的不可预测性,使得已有的入侵 检测方法受到极大限制。
【发明内容】
[0006] 本发明所要解决的第一个技术问题是针对上述现有技术提供一种能够对云计算 环境中海量的入侵检测数据进行实时检测,不仅能够识别已知的网络入侵,还能对未知的 网络入侵做自主分析,检测率高、可扩展性强的自主分析入侵检测方法。
[0007] 本发明所要解决的第二个技术问题是针对上述现有技术提供一种能够对云计算 环境中的已知和未知的网络入侵进行检测,并能对网络入侵进行自主分析的入侵检测系 统。
[0008] 本发明解决上述第一个技术问题所采用的技术方案为:一种云计算环境中的自主 分析入侵检测方法,其特征在于包括如下步骤:
[0009] 步骤1、利用包含有正常网络行为数据和不同类型的已知网络入侵行为数据组成 的训练样本,采用改进的BP神经网络算法训练W获取入侵检测器,使得该入侵检测器能够 完成对已知类型的网络入侵行为的检测和识别,同时能够实现对未知类型的网络入侵行为 自动进行特征提取;
[0010] 改进的BP神经网络算法的训练过程如下:
[0011] 1.1)、改进的BP神经网络具有输入层、至少一层隐含层、输出层,初始化该改进的 BP神经网络的参数,同时设定该改进的BP神经网络的训练精度e,统计训练样本的组数N,确 定该改进的BP神经网络的初始学习率MO);
[0012] 1.2)、随机产生一组改进的BP神经网络的初始权值W(O);
[001;3]l.3)、输入层读取一组训练样本Xj=(Xjl,Xj2,...,Xji,...,Xjn)T,根据该改进的BP 神经网络的训练精度e计算获取训练样本、=(x山XW, . . .,x山...,Xw)T对应的期望输出 为dj = (dji,dj2,. . . ,djk, . . . ,dji)T;
[0014]在数据的正向传播过程中,输入层读取的训练样本经过计算最终获取的输出层的 输出为化二(Ojl, 〇j2 , . . . , Ojk, . . . ,Ojl)T;其中 j = l,2,3,... ,N;
[001引 1.4)、计算训练样本Xj=(Xjl,Xj2, . . .,Xji, . . .,Xjn)T对应的误差值Ej:
(1):
[0017] 其中,I为该改进的BP神经网络的输出层节点数;
[0018] 1.5)、判断输入层读取的训练样本数j是否达到训练样本总数N,如果是,执行步骤 1.6),如果不是,返回步骤1.3);
[0019] 1.6)、计算改进的BP神经网络本次网络训练的总误差E(S);
P);
[0021] 其中S为本次网络训练的迭代次数,s = l,2,3...;
[0022] 1.7)、判断E(S)是否大于e,如果是则执行步骤1.8),如果否则结束训练;
[0023] 1.8)、判断S-I是否等于0,如果是则执行步骤1.10),如果否则执行步骤1.9);
[0024] 1.9)、判断本次网络训练的总误差E(S)和相邻上次网络训练的总误差E(S-I)大 小,并计算下次迭代的学习率n(s+l); "X W (.V) £X.v) < £- (.V -1)
[002引 qb 十 1)二/,x?7('v) £(.s.) >£-(.、'-1) (;3), n(.v) E(S)= E(S-\)
[0026]其中,Ka<2,l<b<l;
[0027]相邻两次误差函数值的大小关系动态调整学习率;当新的总误差E(S)小于旧误差 E(S-I)时,说明误差正在减小,将学习率扩大到原来的a倍,加快收敛步伐;当新的总误差E (S)大于旧的总误差E(S-I)时,说明权重在此次迭代中被过调,应该立即缩小学习率到原来 的b倍,避免越过此梯度方向上的最佳网络权值;
[002引1.10)、计算下次迭代网络权值W(s+1);
(4);
[0030] 其中,W(S)为当次迭代的网络权值;
[0031] 1.11)、返回步骤 1.3);
[0032] 步骤2、监听网络入口端的网络流量,当网络流量产生异常时,采集自云计算环境 向网络入口端传送的网络数据包;
[0033] 步骤3、对采集的网络数据包进行规则化预处理W对网络数据包进行特征抽取,从 而获取包含有网络行为特征的网络行为特征数据集;
[0034] 步骤4、入侵检测器读取网络行为特征数据集,将偏离网络正常行为特征数据的网 络异常行为特征数据检测出来,同时对网络异常行为的网络入侵类型进行识别;
[0035] 如果入侵检测器识别为已知类型的网络入侵行为,则进行该类型入侵行为的告 警,同时做出相应的入侵响应;同时将网络正常行为特征数据和已知入侵行为特征数据送 入到数据库中W供作为训练样本使用;
[0036] 如果网络异常行为特征为入侵检测器无法识别类型的网络入侵行为,则提取该网 络入侵行为特征数据的特征值并存入到规则数据