基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法�,解決的技術(shù)問題是改善現(xiàn)有網(wǎng)絡(luò)入侵檢測的效果��。本發(fā)明利用網(wǎng)絡(luò)數(shù)據(jù)采集工具收集網(wǎng)絡(luò)實例�,隨機(jī)選取正常網(wǎng)絡(luò)實例和異常網(wǎng)絡(luò)實例作為模糊隱條件隨機(jī)場模型的訓(xùn)練數(shù)據(jù)集����,實例之間相互獨立。利用訓(xùn)練數(shù)據(jù)集建立網(wǎng)絡(luò)入侵檢測的模糊隱條件隨機(jī)場模型��,將實際運行中的網(wǎng)絡(luò)實例輸入建立的檢測模型�����,輸出對應(yīng)的入侵檢測效果,對網(wǎng)絡(luò)實例進(jìn)行實時地、準(zhǔn)確地檢測����。本發(fā)明可以準(zhǔn)確快速的檢測出未知類型網(wǎng)絡(luò)入侵行為����,具有較好的實際推廣應(yīng)用前景�����。
【專利說明】基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種網(wǎng)絡(luò)入侵檢測方法����,特別涉及一種基于模糊隱條件隨機(jī)場模型的 網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)���。
【背景技術(shù)】
[0002] 在互聯(lián)網(wǎng)建設(shè)早期,網(wǎng)絡(luò)結(jié)構(gòu)和攻擊手段都相對簡單����,網(wǎng)絡(luò)安全體系主要是以防 護(hù)為主體,依靠防火墻�、加密和身份認(rèn)證等手段來實現(xiàn)。隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展以及應(yīng) 用地逐步廣泛�,黑客攻擊手段也日趨復(fù)雜多樣,僅僅依靠傳統(tǒng)的操作系統(tǒng)加固和單純防火 墻策略等靜態(tài)安全防御技術(shù)已經(jīng)遠(yuǎn)達(dá)不到現(xiàn)代高安全網(wǎng)絡(luò)的需要�。因此,以網(wǎng)絡(luò)安全立體 縱深���、多層次防御的角度為立足點,設(shè)計出行之有效的入侵檢測方法成為了當(dāng)務(wù)之急�。
[0003] 現(xiàn)有的網(wǎng)絡(luò)入侵檢測方法有:(1)基于隱馬爾科夫模型的網(wǎng)絡(luò)入侵檢測方法,該 方法的最大缺點是沒有充分地考慮相鄰時刻特征之間的相關(guān)性和標(biāo)記之間的相關(guān)性�����,忽略 了這些相關(guān)性會嚴(yán)重影響入侵檢測效果���,導(dǎo)致入侵檢測效率低等問題的出現(xiàn)�����;(2)基于樸 素貝葉斯分類器模型的網(wǎng)絡(luò)入侵檢測方法��,該方法不能處理基于特征組合所產(chǎn)生的變化結(jié) 果���,并且在目標(biāo)分類的問題中容易產(chǎn)生較大的錯誤率���;(3)基于數(shù)據(jù)挖掘模型的網(wǎng)絡(luò)入侵 檢測方法,由于該方法是對大量的歷史數(shù)據(jù)進(jìn)行處理�����,因此����,在學(xué)習(xí)和評價階段的計算成本 高,實時性實施困難��;(4)基于最大熵馬爾可夫模型的網(wǎng)絡(luò)入侵檢測方法����,該方法對狀態(tài)序 列的計算是局部的�,會產(chǎn)生標(biāo)記偏見等問題�;(5)基于條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方 法,該方法不能捕獲含隱狀態(tài)變量的間接結(jié)構(gòu)��,要達(dá)到較高的檢測率��,需要有龐大的訓(xùn)練數(shù) 據(jù)集����,訓(xùn)練速度慢,影響整體入侵檢測效率����。
[0004] 因此,急需一種具有訓(xùn)練速度快��、檢測效果好��、較好推廣應(yīng)用前景等優(yōu)點的網(wǎng)絡(luò)入 侵檢測方法及系統(tǒng)���。
【發(fā)明內(nèi)容】
[0005] 有鑒于此,本發(fā)明所要解決的技術(shù)問題是提供一種基于模糊隱條件隨機(jī)場模型的 網(wǎng)絡(luò)入侵檢測方法����。該方法針對網(wǎng)絡(luò)攻擊的特點和現(xiàn)有網(wǎng)絡(luò)入侵檢測方法存在的問題�����,為 了對網(wǎng)絡(luò)入侵行為做出準(zhǔn)確的檢測�,解決由于不精確和模糊的信息造成的觀察序列不確定 性和長距離相關(guān)性等問題�����,并實現(xiàn)在訓(xùn)練數(shù)據(jù)集較小的情況下���,提高檢測率和訓(xùn)練速度����,保 證網(wǎng)絡(luò)入侵檢測的較好效果��。
[0006] 本發(fā)明的目的之一是提出一種基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法�; 本發(fā)明的目的之二是提出一種基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測系統(tǒng)。
[0007] 本發(fā)明的目的之一是通過以下技術(shù)方案來實現(xiàn)的:
[0008] 本發(fā)明提供的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法���,包括以下步驟:
[0009] 步驟一:利用網(wǎng)絡(luò)數(shù)據(jù)采集工具收集網(wǎng)絡(luò)實例�����,隨機(jī)選取正常網(wǎng)絡(luò)實例和異常網(wǎng) 絡(luò)實例作為模糊隱條件隨機(jī)場模型的訓(xùn)練數(shù)據(jù)集�;
[0010] 步驟二:對收集的網(wǎng)絡(luò)實例進(jìn)行預(yù)處理;
[0011] 步驟三:將預(yù)處理后的網(wǎng)絡(luò)實例進(jìn)行特征選擇�;
[0012] 步驟四:模糊隱條件隨機(jī)場模型利用所選特征訓(xùn)練生成檢測模型;
[0013] 步驟五:利用步驟四中生成的檢測模型對實際運行中的網(wǎng)絡(luò)實例進(jìn)行檢測����;
[0014] 步驟六:對網(wǎng)絡(luò)入侵檢測做相應(yīng)處理,當(dāng)檢測為異常網(wǎng)絡(luò)實例時�,阻止網(wǎng)絡(luò)實例; 當(dāng)檢測為正常網(wǎng)絡(luò)實例時�����,允許網(wǎng)絡(luò)實例運行�����。
[0015] 進(jìn)一步�,所述網(wǎng)絡(luò)實例預(yù)處理,在對模糊隱條件隨機(jī)場模型訓(xùn)練�、檢測前利用以下 模糊函數(shù)對數(shù)據(jù)進(jìn)行模糊化處理:
[0016] sigmf (X,[A���,C]) = 1/(1+EXP(_AX (χ-C)));
[0017] 其中,sigmf ()表示模糊化處理函數(shù);A和C為模糊函數(shù)的控制參數(shù);x表示訓(xùn)練數(shù) 據(jù)中特征的實際數(shù)值��。
[0018] 進(jìn)一步��,步驟三中�,針對網(wǎng)絡(luò)攻擊類型的特點,依據(jù)多次試驗結(jié)果和理論分析���,對 每一類攻擊進(jìn)行特征選擇�����;步驟四中�����,模糊隱條件隨機(jī)場利用每種攻擊所選擇的特征進(jìn)行 訓(xùn)練����,得到模糊隱條件隨機(jī)場各參數(shù)的值��,從而建立攻擊類型所對應(yīng)的檢測模型��。
[0019] 進(jìn)一步��,在給定觀察序列η的條件下,運用模糊隱條件隨機(jī)場模型根據(jù)觀察序列η 及定義在其上的隱狀態(tài)集合Η和標(biāo)簽m建立如下聯(lián)合概率模型:
[0020]
【權(quán)利要求】
1. 基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法����,其特征在于:包括以下步驟: 步驟一:利用網(wǎng)絡(luò)數(shù)據(jù)采集工具收集網(wǎng)絡(luò)實例,隨機(jī)選取正常網(wǎng)絡(luò)實例和異常網(wǎng)絡(luò)實 例作為模糊隱條件隨機(jī)場模型的訓(xùn)練數(shù)據(jù)集���; 步驟二:對收集的網(wǎng)絡(luò)實例進(jìn)行預(yù)處理���; 步驟三:將預(yù)處理后的網(wǎng)絡(luò)實例進(jìn)行特征選擇; 步驟四:模糊隱條件隨機(jī)場模型利用所選特征訓(xùn)練生成檢測模型���; 步驟五:利用步驟四中生成的檢測模型對實際運行中的網(wǎng)絡(luò)實例進(jìn)行檢測���; 步驟六:對網(wǎng)絡(luò)入侵檢測做相應(yīng)處理,當(dāng)檢測為異常網(wǎng)絡(luò)實例時��,阻止網(wǎng)絡(luò)實例��;當(dāng)檢 測為正常網(wǎng)絡(luò)實例時�����,允許網(wǎng)絡(luò)實例運行�。
2. 根據(jù)權(quán)利要求書1所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法��,其特征 在于:所述網(wǎng)絡(luò)實例預(yù)處理�,在對模糊隱條件隨機(jī)場模型訓(xùn)練��、檢測前利用以下模糊函數(shù)對 數(shù)據(jù)進(jìn)行模糊化處理: sigmf(x, [A, C]) = 1/(1+EXP(-AX (χ-C)))����; 其中�����,sigmf ()表示模糊化處理函數(shù);A和C為模糊函數(shù)的控制參數(shù)����;x表示訓(xùn)練數(shù)據(jù)中 特征的實際數(shù)值。
3. 根據(jù)權(quán)利要求書1所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法�����,其特征 在于:步驟三中�,針對網(wǎng)絡(luò)攻擊類型的特點,依據(jù)多次試驗結(jié)果和理論分析��,對每一類攻擊 進(jìn)行特征選擇���;步驟四中��,模糊隱條件隨機(jī)場利用每種攻擊所選擇的特征進(jìn)行訓(xùn)練��,得到模 糊隱條件隨機(jī)場各參數(shù)的值�����,從而建立攻擊類型所對應(yīng)的檢測模型�。
4. 根據(jù)權(quán)利要求書4所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法,其特征 在于:在給定觀察序列η的條件下��,運用模糊隱條件隨機(jī)場模型根據(jù)觀察序列η及定義在其 上的隱狀態(tài)集合Η和標(biāo)簽m建立如下聯(lián)合概率模型:
其中��,η表示所選特征組成的特征向量����; Θ為模型的特征權(quán)重參數(shù),需要從訓(xùn)練數(shù)據(jù)中估計得到��; Η表示隱狀態(tài)集合����; m表示某個標(biāo)簽,m'在累加計算中依次表示各個標(biāo)簽�����; Ψ (m,Η�����,η ; Θ )為模糊勢函數(shù)��,表示如下:
其中���,隱變量{氏,…�����,HJ屬于圖模型中的頂點����, E是圖模型中邊的集合,Sv為點的模糊特征集�����,\為邊的模糊特征集��; a (i,m��,氏��,η)和Mi�����,j�,m,氏���,%���,η)分別為頂點和邊所對應(yīng)的模糊特征函數(shù); <和九2分別為模型的特征權(quán)重參數(shù)的分量�; i和j取值都是(l_t); t表示隱變量的個數(shù); 所屬標(biāo)簽m的概率P (m I η ; θ )為:
5. 根據(jù)權(quán)利要求書4所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法��,其特征 在于:步驟五中����,對待檢測序列進(jìn)行檢測時,標(biāo)簽m傾向于滿足以η為條件的最大全局條件 概率: m* = argmaxP(m|η ; θ)��; 其中����,nf表示檢測結(jié)果,即預(yù)測的標(biāo)簽���。
6. 根據(jù)權(quán)利要求書4所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法�����,其特征 在于:步驟四中,利用Quasi-Newton方法在訓(xùn)練數(shù)據(jù)集中估計模型的特征權(quán)重參數(shù)Θ # = argmaxU Θ )���,在訓(xùn)練的過程中�����,第k個訓(xùn)練實例的似然估計Lk( Θ )為:
(6) 所述當(dāng)似然估計Lk( Θ )值的收斂精度達(dá)到預(yù)設(shè)閾值而停止迭代訓(xùn)練時得到模型的特 征權(quán)重參數(shù)����。
7. 根據(jù)權(quán)利要求書5所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法�,其特征 在于:所述單個隱狀態(tài)變量的模糊特征函數(shù)α α,πι,!^ η)的特征權(quán)重參數(shù)< 的梯度推導(dǎo) 為:
(7) 其中,P(Hi = c |mk, nk, Θ )和p(Hi = c, m' |nk, Θ )通過bp神經(jīng)網(wǎng)絡(luò)算法計算出來����。
8. 根據(jù)權(quán)利要求書5所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測方法,其特征 在于:所述兩個隱狀態(tài)變量氏和&的模糊特征函數(shù)β (i���,j�����,m����,氏�,&,η)�����,相應(yīng)特征權(quán)重參數(shù) <的梯度推導(dǎo)為:
(8) 其中�,P (? = c, Η』=d |mk, nk, Θ )和 p (? = c, Η』=d, m' | nk, Θ )通過 bp 神經(jīng)網(wǎng)絡(luò)算 法計算出來。
9. 基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測系統(tǒng)�,其特征在于:包括訓(xùn)練數(shù)據(jù)集模 塊、預(yù)處理模塊���、特征選擇模塊�、檢測模型生成模塊、實例檢測模塊和結(jié)果處理模塊�����; 所述訓(xùn)練數(shù)據(jù)集模塊��,用于利用網(wǎng)絡(luò)數(shù)據(jù)采集工具收集網(wǎng)絡(luò)實例����,隨機(jī)選取正常網(wǎng)絡(luò) 實例和異常網(wǎng)絡(luò)實例作為模糊隱條件隨機(jī)場模型的訓(xùn)練數(shù)據(jù)集; 所述預(yù)處理模塊��,用于對收集的網(wǎng)絡(luò)實例進(jìn)行預(yù)處理�; 所述特征選擇模塊,用于將預(yù)處理后的網(wǎng)絡(luò)實例進(jìn)行特征選擇��; 所述檢測模型生成模塊���,用于模糊隱條件隨機(jī)場模型利用所選特征訓(xùn)練生成檢測模 型; 所述實例檢測模塊����,用于利用步驟四中生成的檢測模型對實際運行中的網(wǎng)絡(luò)實例進(jìn)行 檢測; 所述結(jié)果處理模塊,用于對網(wǎng)絡(luò)入侵檢測結(jié)果做相應(yīng)處理����,當(dāng)檢測為異常網(wǎng)絡(luò)實例時, 阻止網(wǎng)絡(luò)實例�����;當(dāng)檢測為正常網(wǎng)絡(luò)實例時����,允許網(wǎng)絡(luò)實例運行。
10. 根據(jù)權(quán)利要求書9所述的基于模糊隱條件隨機(jī)場模型的網(wǎng)絡(luò)入侵檢測系統(tǒng)��,其特 征在于:所述網(wǎng)絡(luò)實例預(yù)處理�,在對模糊隱條件隨機(jī)場模型訓(xùn)練、檢測前利用以下模糊函數(shù) 對數(shù)據(jù)進(jìn)行模糊化處理: sigmf(x, [A, C]) = 1/(1+EXP(-AX (χ-C)))�; 其中,sigmf ()表示模糊化處理函數(shù);A和C為模糊函數(shù)的控制參數(shù)�����;x表示訓(xùn)練數(shù)據(jù)中 特征的實際數(shù)值�。
【文檔編號】H04L12/26GK104113544SQ201410345007
【公開日】2014年10月22日 申請日期:2014年7月18日 優(yōu)先權(quán)日:2014年7月18日
【發(fā)明者】羅鈞, 李義軍, 高增輝 申請人:重慶大學(xué)