一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法
【專利摘要】本發(fā)明公開了一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法�����,包括數(shù)據(jù)采集步驟�����、數(shù)據(jù)檢測分析步驟和數(shù)據(jù)顯示步驟�,所述數(shù)據(jù)檢測分析步驟基于數(shù)據(jù)采集步驟的數(shù)據(jù)集進行����,具體按如下步驟進行:(1)采集數(shù)據(jù)的模型化處理步驟����,包括如下兩種方式:S202、FCM聚類過程計算���;S203����、智能化計算��;(2)指標(biāo)評價分析步驟�����,分析指標(biāo)包括檢測率和檢測度��,其中�,檢測率Dr(detection?rate):Dr=ni/Ni;檢測度:Du=mi/Mi-Fi/Si�����;(3)得出結(jié)論步驟:得到入侵?jǐn)?shù)、攻擊類型數(shù)和分類攻擊數(shù)�。本發(fā)明完善對網(wǎng)絡(luò)入侵檢測的高效和智能化,使現(xiàn)有的入侵檢測系統(tǒng)的防護手段得到進一步提高���。
【專利說明】—種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種智能檢測方法�,更具體的說��,涉及一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法��。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的逐步發(fā)展����,網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜���,越來越多的內(nèi)網(wǎng)系統(tǒng)遭到入侵攻擊的威脅����。為了確保網(wǎng)絡(luò)信息的傳輸安全�����,有以下幾個問題:對網(wǎng)絡(luò)上信息的監(jiān)聽、對用戶身份的仿冒��、對網(wǎng)絡(luò)上信息的篡改��、對發(fā)出的信息予以否認(rèn)�、對信息進行重發(fā)。對于網(wǎng)絡(luò)安全來說����,單純的防火墻技術(shù)暴露出明顯的不足和弱點,如無法解決安全后門�、無法阻止網(wǎng)絡(luò)內(nèi)部攻擊、無法實現(xiàn)實時入侵檢測�、無法有效監(jiān)測攔截病毒傳播等。因此很多組織致力于提出更強大的主動策略來保障網(wǎng)絡(luò)的安全性�,入侵檢測作為一種積極主動的安全防護技
術(shù),成為一個有效的解決途徑���。入侵檢測系統(tǒng)(IDS-1ntrusion Detection System)是網(wǎng)
絡(luò)防火墻的有力補充����,能夠為網(wǎng)絡(luò)安全提供實時的入侵檢測并采取相應(yīng)的防護手段�����,因而,入侵檢測系統(tǒng)技術(shù)就越來越受到重視����,如何高效地檢測、記錄�、警報、響應(yīng)內(nèi)網(wǎng)入侵檢測���,已成為研究熱點和難點問題���。
【發(fā)明內(nèi)容】
[0003]本發(fā)明所要解決的技術(shù)問題是,克服現(xiàn)有技術(shù)的缺點����,提供一種完善的�、高效的、智能的局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法�����。
[0004]為了解決以上技術(shù)問題�����,本發(fā)明提供一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法,包括數(shù)據(jù)采集步驟����、數(shù)據(jù)檢測分析步驟和數(shù)據(jù)顯示步驟,所述數(shù)據(jù)檢測分析步驟基于數(shù)據(jù)采集步驟的數(shù)據(jù)集進行����,具體按如下步驟進行:
[0005](I)采集數(shù)據(jù)的模型化處理步驟,所述采集數(shù)據(jù)的模型化處理步驟包括如下兩種方式:
[0006]S202�����、FCM聚類過程計算��,按照FCM聚類過程方法計算���,得出傳統(tǒng)方法的入侵?jǐn)?shù)��、攻擊類型數(shù)和分類攻擊數(shù)��;
[0007]S203��、智能化計算�����,采用基于智能化的FCM聚類過程方法進行計算���,得出新型智能算法方法的入侵?jǐn)?shù)�、攻擊類型數(shù)和分類攻擊數(shù)��;
[0008](2)指標(biāo)評價分析步驟���,分析指標(biāo)包括檢測率和檢測度��,其中��,
[0009]檢測率Dr (detection rate) Ar=IiiA^i,其中Iii表示第i個數(shù)據(jù)集中被正確檢測到的某一類攻擊數(shù)據(jù)量����,Ni表示第i個數(shù)據(jù)集中該類攻擊數(shù)據(jù)總量��;
[0010]檢測度Au=HIiZX-VSi,其中HIi表示第i個數(shù)據(jù)集中被正確檢測到的入侵?jǐn)?shù)據(jù)量��,Hii表示第i個數(shù)據(jù)集中包含的入侵?jǐn)?shù)據(jù)總量����,F(xiàn)i表示第i個數(shù)據(jù)集中被錯誤劃分成入侵?jǐn)?shù)據(jù)的正常數(shù)據(jù)數(shù)量�����,Si表示第i個數(shù)據(jù)集中包含的正常數(shù)據(jù)總量;
[0011](3)得出結(jié)論步驟:得到入侵?jǐn)?shù)�、入侵?jǐn)?shù)據(jù)的檢測率和檢測度。
[0012]本發(fā)明技術(shù)方案的進一步限定為�����,步驟S202FCM聚類過程計算的具體方法為:[0013]S301����,數(shù)據(jù)采集步驟的數(shù)據(jù)集中聚類數(shù)目C,模糊加權(quán)指數(shù)m����,迭代終止誤差ε,最大迭代次數(shù)Τ,隨機初始化各類中心點V, t=l ����;
[0014]步驟S302,計算隸屬度矩陣�、目標(biāo)函數(shù)J和各類數(shù)據(jù)集新的中心點;
[0015]步驟S303��,計算兩代的目標(biāo)函數(shù)差值是否在精度范圍ε�����。
[0016]步驟S304,輸出中心點V和目標(biāo)函數(shù)J�。
[0017]進一步地,步驟S203智能化計算的具體方法為:
[0018]步驟S401,數(shù)據(jù)采集步驟的數(shù)據(jù)集中類數(shù)目C���,群體規(guī)模����,差分進化初始參數(shù)��;
[0019]步驟S402����,進化代數(shù)計數(shù)器t=0,將樣本大小為η的數(shù)據(jù)集劃分為w個子集���,計算FCM算法的聚類中心�,得到初始種群�����;
[0020]步驟S403���,計算目標(biāo)函數(shù)��,進行適應(yīng)度評價�;
[0021]步驟S404����,通過選擇、交叉����、變異的方法差分進化操作,計算得到種群規(guī)模�����、進化代數(shù)�、交叉概率、變異概率�����;
[0022]步驟S405���,是否達到設(shè)計的進化代數(shù)���,如果否���,則執(zhí)行S406,如果是則執(zhí)行S407 �����;
[0023]步驟S406����,繼續(xù)通過選擇、交叉�、變異的方法差分進化操作,計算得到種群規(guī)模����、進化代數(shù)、交叉概率�、變異概率,執(zhí)行S405 �����;
[0024]步驟S407,返回當(dāng)前種群中適應(yīng)度最大的個體�����,應(yīng)用FCM聚類過程計算隸屬度矩陣���,計算目標(biāo)函數(shù),輸出結(jié)果V�,J。
[0025]本發(fā)明的有益效果是:本發(fā)明提供的一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法����,綜合了網(wǎng)絡(luò)入侵的復(fù)雜性信息,借助了已有的模糊C均值聚類算法技術(shù)�����,采用了具有智能性的差分進化算法��,實現(xiàn)并進一步完善對網(wǎng)絡(luò)入侵檢測的高效和智能化����,使現(xiàn)有的入侵檢測系統(tǒng)的防護手段得到進一步提高。
【專利附圖】
【附圖說明】
[0026]圖1為本發(fā)明的局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測裝置的結(jié)構(gòu)示意圖���;
[0027]圖2為本發(fā)明的局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法的流程示意圖�;
[0028]圖3為本發(fā)明中FCM聚類過程計算的具體方法的流程示意圖;
[0029]圖4為本發(fā)明中智能化計算的具體方法的流程示意圖����;
[0030]圖5為本發(fā)明中FCM聚類過程計算的具體方法的計算結(jié)果示意;
[0031]圖6為本發(fā)明中智能化計算的具體方法的計算結(jié)果示意����。
【具體實施方式】
[0032]實施例1
[0033]本實施例提供的一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測裝置,其結(jié)構(gòu)如圖1所示�����,包括信息采集器���、信息檢測器和信息輸出器����,信息采集器的入口通過網(wǎng)線與局域網(wǎng)的入口連接��,信息采集器的出口通過網(wǎng)線與信息檢測器的入口連接��,信息檢測器的出口通過網(wǎng)線與信息輸出器的入口連接���,上述信息采集器����、信息檢測器和信息輸出器之間均通過WEB局域網(wǎng)絡(luò)通信線路相互通信。
[0034]信息采集器用于采集局域網(wǎng)內(nèi)信息��,包括采集接口裝置和采集微處理��,采集接口裝置與采集微處理通過信息通道連通���,以便將所采集的數(shù)據(jù)信息發(fā)送至微處理器。信息通道包括內(nèi)外網(wǎng)數(shù)據(jù)通信線路��、計算數(shù)據(jù)通信線路和/或檢測數(shù)據(jù)通信線路�。
[0035]信息檢測器用于對采集的信息進行檢測分析并判斷其是否為入侵信息。信息檢測器包括信息收發(fā)裝置�����、信息存儲裝置����、信息處理裝置、模型存儲器�、信息顯示裝置和檢測信息反饋裝置��。
[0036]信息收發(fā)裝置接收并轉(zhuǎn)發(fā)所述信息采集器采集的數(shù)據(jù)�,并對信息進行預(yù)處理�,將各類不同信息格式轉(zhuǎn)化為統(tǒng)一標(biāo)準(zhǔn)格式,以便后續(xù)的信息處理單元順利進行信息處理�。信息存儲裝置將接收的信息進行緩存,避免信息處理裝置的擁堵����,有利于負(fù)載均衡。信息處理裝置通過預(yù)設(shè)的檢測模型對信息是否為入侵信息進行處理�。模型存儲器用于存儲檢測模型的,以便將其存儲的計算模型信息提供給信息處理單元�����。信息顯示裝置將檢測分析結(jié)果輸出及顯示�����,檢測信息反饋裝置將采用的檢測模型進行輸出�。
[0037]上述各裝置的連接關(guān)系為:所述信息收發(fā)裝置的入口與所述信息采集器連接,所述信息收發(fā)裝置的出口與所述信息存儲裝置的入口連接�����。所述信息存儲裝置為高速數(shù)據(jù)緩存器,其出口與所述信息處理裝置的入口連接�。所述信息處理裝置為ARM9S3C2440,其出口與所述信息顯示裝置和所述信息反饋裝置的入口連接���,并根據(jù)信息輸出子系統(tǒng)輸入設(shè)備發(fā)出的控制指令獲取檢測信息存儲單元所存儲的預(yù)處理的數(shù)據(jù)信息�,通過通用模型接口單元獲得來自模型存儲單元的各類計算模型信息����,并且基于該計算模型信息通過預(yù)處理的數(shù)據(jù)信息進行檢測計算分析,將分析結(jié)果分別發(fā)送至信息顯示裝置和信息反饋裝置��。所述信息顯示裝置和所述信息反饋裝置的出口分別與所述信息輸出器的入口連接�����,信息顯示裝置接收來自信息處理器的檢測分析結(jié)果��,并且根據(jù)指令將檢測分析結(jié)果通過通信總線傳輸?shù)叫畔⑤敵銎?�,以顯示出后檢測分析結(jié)果�����,信息反饋裝置與信息處理器相連��,接收來自信息處理器的檢測分析結(jié)果����,并且根據(jù)指令將檢測分析相關(guān)結(jié)果信息通過通信總線傳輸?shù)叫畔⑤敵銎鳎┬畔⑤敵銎鲗⑾嚓P(guān)結(jié)果信息反饋給用戶�����。所述模型存儲器通過通用接口與所述信息處理裝置連接����。
[0038]信息輸出器用于展不并輸出檢測分析結(jié)論,包括信息輸出微處理器和信息輸出設(shè)備��,所述信息輸出微處理的入口與所述信息顯示裝置和信息反饋裝置的出口連接�����,所述信息輸出微處理其的出口與所述信息輸出設(shè)備連接�。
[0039]上述局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測裝置的工作方法為:
[0040]⑴數(shù)據(jù)采集,步驟S201��,通過信息采集器進行數(shù)據(jù)采集���,通過內(nèi)外網(wǎng)數(shù)據(jù)信息線路采集內(nèi)外網(wǎng)數(shù)據(jù)����,所采集的數(shù)據(jù)信息均傳輸至信息檢測器;
[0041]⑵檢測計算分析�,由信息檢測器中的信息收發(fā)裝置通過WEB局域網(wǎng)絡(luò)通信線路接收信息采集器采集的數(shù)據(jù)信息,對數(shù)據(jù)信息進行預(yù)處理�����,將預(yù)處理過的數(shù)據(jù)信息存入信息存儲裝置�,信息處理裝置根據(jù)操作指令獲取信息存儲裝置的預(yù)處理的數(shù)據(jù)信息,以及通過通用接口獲取模型存儲裝置的各類計算模型信息�����,如FCM聚類過程方法計算模型(公式)�����、基于智能化的FCM聚類過程計算方法(公式)�、評價指標(biāo)計算模型(公式)等進行相關(guān)后檢測計算分析具體檢測計算分析步驟包括數(shù)據(jù)采集步驟��、數(shù)據(jù)檢測分析步驟和數(shù)據(jù)顯示步驟�,所述數(shù)據(jù)檢測分析步驟基于數(shù)據(jù)采集步驟的數(shù)據(jù)集進行,具體按如下步驟進行:
[0042](I)采集數(shù)據(jù)的模型化處理步驟�,所述采集數(shù)據(jù)的模型化處理步驟包括如下兩種方式:
[0043]S202���、FCM聚類過程計算,按照FCM聚類過程方法計算�����,得出傳統(tǒng)方法的入侵?jǐn)?shù)����、攻擊類型數(shù)和分類攻擊數(shù)。
[0044]FCM聚類過程計算的具體方法為:
[0045]S301����,數(shù)據(jù)采集步驟的數(shù)據(jù)集中聚類數(shù)目C,模糊加權(quán)指數(shù)m����,迭代終止誤差ε,最大迭代次數(shù)Τ,隨機初始化各類中心點V, t=l ��;
[0046]步驟S302�,計算隸屬度矩陣、目標(biāo)函數(shù)J和各類數(shù)據(jù)集新的中心點�;
[0047]步驟S303,計算兩代的目標(biāo)函數(shù)差值是否在精度范圍ε。
[0048]步驟S304�����,輸出中心點V和目標(biāo)函數(shù)J���。
[0049]S203���、智能化計算,采用基于智能化的FCM聚類過程方法進行計算�����,得出新型智能算法方法的入侵?jǐn)?shù)���、攻擊類型數(shù)和分類攻擊數(shù)��。
[0050]將得到的入侵?jǐn)?shù)據(jù)分離出來構(gòu)成入侵?jǐn)?shù)據(jù)集����,運用聚類算法按照不同的攻擊類型將入侵?jǐn)?shù)據(jù)集劃分為dos��、probing�、r21以及u2r共4類。①dos:denial_of-service,拒絕服務(wù)攻擊����;本數(shù)據(jù)集中包含的具體的攻擊有:back, neptune, land, pod, smurf, teardrop ;
②probing:surveillance and probing系統(tǒng)漏洞探測�����,端口監(jiān)視或掃描����。本數(shù)據(jù)集中包含的具體的攻擊有:ipsweep, portsweep, satan, nmap ;(3) r21:unauthorized access froma remote machine to a local machine遠程攻擊��。本數(shù)據(jù)集中包含的具體的攻擊有:ftp_write, guess_passwd, imap, multihop, phf, spy, warezclient, warezmaster ����;@ u2r:unauthorized access to local superuser privileges by a local unpivileged user本地用戶權(quán)限提升攻擊。
[0051]假設(shè)Χ={Χι���,Χ2���,...,Χη}為待處理的數(shù)據(jù)集�����,Xi= {xn, Xi2,..., XiJ為為數(shù)據(jù)集中的一個數(shù)據(jù)樣本,對應(yīng)于模式空間的一個點��,數(shù)據(jù)集X的樣本個數(shù)為η�,每一個數(shù)據(jù)樣本的特征(屬性)數(shù)量為t,Xij表示樣本Xi
[0052]的第j個屬性值����。FCM算法的目標(biāo)就是,根據(jù)給定的聚類個數(shù)c將數(shù)據(jù)集劃分為c個模糊子集X1, X2,, xn�����。其目標(biāo)函數(shù)為:
[0053]
【權(quán)利要求】
1.一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法�,包括數(shù)據(jù)采集步驟、數(shù)據(jù)檢測分析步驟和數(shù)據(jù)顯示步驟����,其特征在于,所述數(shù)據(jù)檢測分析步驟基于數(shù)據(jù)采集步驟的數(shù)據(jù)集進行���,具體按如下步驟進行: (1)采集數(shù)據(jù)的模型化處理步驟����,所述采集數(shù)據(jù)的模型化處理步驟包括如下兩種方式: 5202�����、FCM聚類過程計算��,按照FCM聚類過程方法計算��,得出傳統(tǒng)方法的入侵?jǐn)?shù)����、攻擊類型數(shù)和分類攻擊數(shù); 5203�����、智能化計算��,采用基于智能化的FCM聚類過程方法進行計算���,得出新型智能算法方法的入侵?jǐn)?shù)���、攻擊類型數(shù)和分類攻擊數(shù); (2)指標(biāo)評價分析步驟���,分析指標(biāo)包括檢測率和檢測度����,其中, 檢測率Dr (detection rate) Ar=I^Ni,其中Iii表示第i個數(shù)據(jù)集中被正確檢測到的某一類攻擊數(shù)據(jù)量�,Ni表示第i個數(shù)據(jù)集中該類攻擊數(shù)據(jù)總量; 檢測度=Du=IVM1-FiZiSi,其中Hii表示第i個數(shù)據(jù)集中被正確檢測到的入侵?jǐn)?shù)據(jù)量���,Hii表示第i個數(shù)據(jù)集中包含的入侵?jǐn)?shù)據(jù)總量�����,F(xiàn)i表示第i個數(shù)據(jù)集中被錯誤劃分成入侵?jǐn)?shù)據(jù)的正常數(shù)據(jù)數(shù)量��,Si表示第i個數(shù)據(jù)集中包含的正常數(shù)據(jù)總量����; (3)得出結(jié)論步驟:得到入侵?jǐn)?shù)����、入侵?jǐn)?shù)據(jù)的檢測率和檢測度。
2.根據(jù)權(quán)利要求1所 述的一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法�,其特征在于,步驟S202FCM聚類過程計算的具體方法為: S301�����,數(shù)據(jù)采集步驟的數(shù)據(jù)集中聚類數(shù)目C,模糊加權(quán)指數(shù)m����,迭代終止誤差ε�,最大迭代次數(shù)Τ,隨機初始化各類中心點V, t=l ; 步驟S302�,計算隸屬度矩陣、目標(biāo)函數(shù)J和各類數(shù)據(jù)集新的中心點����; 步驟S303,計算兩代的目標(biāo)函數(shù)差值是否在精度范圍ε �����; 步驟S304�����,輸出中心點V和目標(biāo)函數(shù)J����。
3.根據(jù)權(quán)利要求1所述的一種局域網(wǎng)內(nèi)網(wǎng)入侵的智能檢測方法�����,其特征在于���,步驟S203智能化計算的具體方法為: 步驟S401,數(shù)據(jù)采集步驟的數(shù)據(jù)集中類數(shù)目C����,群體規(guī)模,差分進化初始參數(shù)�����; 步驟S402��,進化代數(shù)計數(shù)器t=0��,將樣本大小為η的數(shù)據(jù)集劃分為w個子集����,計算FCM算法的聚類中心,得到初始種群��; 步驟S403����,計算目標(biāo)函數(shù)��,進行適應(yīng)度評價��; 步驟S404�����,通過選擇、交叉��、變異的方法差分進化操作���,計算得到種群規(guī)模����、進化代數(shù)���、交叉概率�、變異概率�; 步驟S405,是否達到設(shè)計的進化代數(shù)�,如果否��,則執(zhí)行S406�����,如果是則執(zhí)行S407 ��; 步驟S406���,繼續(xù)通過選擇、交叉��、變異的方法差分進化操作��,計算得到種群規(guī)模����、進化代數(shù)、交叉概率����、變異概率,執(zhí)行S405 �����; 步驟S407,返回當(dāng)前種群中適應(yīng)度最大的個體��,應(yīng)用FCM聚類過程計算隸屬度矩陣�����,計算目標(biāo)函數(shù)�,輸出結(jié)果V,J����。
【文檔編號】G06F21/56GK103795595SQ201410050657
【公開日】2014年5月14日 申請日期:2014年2月13日 優(yōu)先權(quán)日:2014年2月13日
【發(fā)明者】楊啟帆 申請人:楊啟帆