專利名稱:一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法����。
背景技術(shù):
企業(yè)內(nèi)部網(wǎng)絡(luò)遭受攻擊的情況防不勝防,使企業(yè)深受網(wǎng)絡(luò)入侵的困擾����。盡管目前國(guó)內(nèi)已開(kāi)發(fā)了各類入侵檢測(cè)系統(tǒng),但是��,在核心算法方面���、在有效性�����、自適應(yīng)性等方面以及在檢測(cè)率方面仍存在較多的問(wèn)題第一�����,在建構(gòu)檢測(cè)器時(shí)不能決定選擇基于自體集還是異體集��,自體集一般過(guò)大導(dǎo)致不容易匹配�,會(huì)增加系統(tǒng)的運(yùn)載負(fù)荷,而異體集則缺乏檢測(cè)未知入侵的能力��;第二���,對(duì)于某些特定的防護(hù)對(duì)象需要搜集的異體集數(shù)據(jù)量比自體集還要大���;第三�����,傳統(tǒng)的自體集匹配時(shí)是基于位匹配��,這樣導(dǎo)致系統(tǒng)的計(jì)算量過(guò)大��、難以實(shí)現(xiàn)
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法�,可檢測(cè)出未知類型入侵手段,為其避免核心網(wǎng)絡(luò)遭受各類型攻擊�,極大減小數(shù)據(jù)匹配運(yùn)算量,提高自體集匹配效率��。為解決上述問(wèn)題�����,本發(fā)明采用如下技術(shù)方案一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法,所述檢測(cè)方法步驟包括a.由網(wǎng)絡(luò)數(shù)據(jù)搜集工具將對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集整理����;b.檢測(cè)器將主動(dòng)分析網(wǎng)絡(luò)數(shù)據(jù),已檢測(cè)出類型�;c.由自體集,將網(wǎng)絡(luò)數(shù)據(jù)依次流過(guò)N層多叉樹(shù)提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性并存儲(chǔ)在N層多叉樹(shù)中���,根據(jù)特征屬性網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分�����,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)文件�����,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值存儲(chǔ)在N層多叉樹(shù)結(jié)構(gòu)中�;d.將通過(guò)利用搜索匹配工具檢測(cè)出網(wǎng)絡(luò)數(shù)據(jù)的入侵類型���;e.根據(jù)測(cè)試結(jié)果判斷網(wǎng)絡(luò)是否受到入侵����。進(jìn)一步地,所述檢測(cè)器按多叉樹(shù)的各層特征屬性進(jìn)行分類�����,提取網(wǎng)絡(luò)數(shù)的特征屬性值�����。進(jìn)一步地��,所述網(wǎng)絡(luò)數(shù)據(jù)的特征屬性值按層依次跟自體集中的特征屬性值匹配����,對(duì)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常處理���,匹配成功的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入自體集的文件與文件中的數(shù)據(jù)記錄進(jìn)行匹配��,與自體集文件中的數(shù)據(jù)記錄匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)����。進(jìn)一步地����,所述自體集為多叉樹(shù)映射分類算法��、基于自體集內(nèi)容特征提取編碼算法�����、基于概率隊(duì)列的匹配尋優(yōu)機(jī)制以及自體集生存定時(shí)器的設(shè)計(jì)�����。本發(fā)明網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法的有益效果是通過(guò)上述技術(shù)方案����,其可自主檢測(cè)出未知類型入侵手段���,為其避免核心網(wǎng)絡(luò)遭受各類型攻擊�,極大減小數(shù)據(jù)匹配運(yùn)算量����,提高自體集匹配效率,從而產(chǎn)生良好的經(jīng)濟(jì)效益和社會(huì)效益���,具有較好的推廣應(yīng)用前景��。
具體實(shí)施方式
本發(fā)明一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法�,所述檢測(cè)方法步驟包括a.由網(wǎng)絡(luò)數(shù)據(jù)搜集工具將對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集整理;b.檢測(cè)器將主動(dòng)分析網(wǎng)絡(luò)數(shù)據(jù)���,已檢測(cè)出類型�;c.由自體集����,將網(wǎng)絡(luò)數(shù)據(jù)依次流過(guò)N層多叉樹(shù)提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性并存儲(chǔ)在N層多叉樹(shù)中,根據(jù)特征屬性網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分����,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)文件,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值存儲(chǔ)在N層多叉樹(shù)結(jié)構(gòu)中�;d.將通過(guò)利用搜索匹配工具檢測(cè)出網(wǎng)絡(luò)數(shù)據(jù)的入侵類型;e.根據(jù)測(cè)試結(jié)果判斷網(wǎng)絡(luò)是否受到入侵���。其中����,所述檢測(cè)器按多叉樹(shù)的各層特征屬性進(jìn)行分類��,提取網(wǎng)絡(luò)數(shù)的特征屬性值���;所述網(wǎng)絡(luò)數(shù)據(jù)的特征屬性值按層依次跟自體集中的特征屬性值匹配���,對(duì)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常處理,匹配成功的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入自體集的文件與文件中的數(shù)據(jù)記錄進(jìn)行匹配���,與自體集文件中的數(shù)據(jù)記錄匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)�����;所述自體集為多叉樹(shù)映射分類算法�、基于自體集內(nèi)容特征提取編碼算法����、基于概率隊(duì)列的匹配尋優(yōu)機(jī)制以及自體集生存定時(shí)器的設(shè)計(jì)。本發(fā)明網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法的有益效果是通過(guò)上述技術(shù)方案��,其可自主檢測(cè)出未知類型入侵手段�����,為其避免核心網(wǎng)絡(luò)遭受各類型攻擊���,極大減小數(shù)據(jù)匹配運(yùn)算量�����, 提高自體集匹配效率��,從而產(chǎn)生良好的經(jīng)濟(jì)效益和社會(huì)效益�,具有較好的推廣應(yīng)用前景。以上所述����,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�����,可輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)���。
權(quán)利要求
1.一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法�����,其特征在于所述檢測(cè)方法步驟包括 a.由網(wǎng)絡(luò)數(shù)據(jù)搜集工具將對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集整理�����; b.檢測(cè)器將主動(dòng)分析網(wǎng)絡(luò)數(shù)據(jù)����,已檢測(cè)出類型; c.由自體集�,將網(wǎng)絡(luò)數(shù)據(jù)依次流過(guò)N層多叉樹(shù)提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性并存儲(chǔ)在N層多叉樹(shù)中,根據(jù)特征屬性網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分����,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)文件,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值存儲(chǔ)在N層多叉樹(shù)結(jié)構(gòu)中���; d.將通過(guò)利用搜索匹配工具檢測(cè)出網(wǎng)絡(luò)數(shù)據(jù)的入侵類型�; e.根據(jù)測(cè)試結(jié)果判斷網(wǎng)絡(luò)是否受到入侵��。
2.根據(jù)權(quán)利要求I所述的網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法,其特征在于所述檢測(cè)器按多 叉樹(shù)的各層特征屬性進(jìn)行分類���,提取網(wǎng)絡(luò)數(shù)的特征屬性值�。
3.根據(jù)權(quán)利要求I所述的網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法�����,其特征在于所述網(wǎng)絡(luò)數(shù)據(jù)的特征屬性值按層依次跟自體集中的特征屬性值匹配�����,對(duì)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常處理��,匹配成功的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入自體集的文件與文件中的數(shù)據(jù)記錄進(jìn)行匹配�,與自體集文件中的數(shù)據(jù)記錄匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)。
4.根據(jù)權(quán)利要求I所述的網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法�,其特征在于所述自體集為多叉樹(shù)映射分類算法、基于自體集內(nèi)容特征提取編碼算法��、基于概率隊(duì)列的匹配尋優(yōu)機(jī)制以及自體集生存定時(shí)器的設(shè)計(jì)���。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)入侵檢測(cè)器的檢測(cè)方法����,所述檢測(cè)方法步驟包括a.由網(wǎng)絡(luò)數(shù)據(jù)搜集工具將對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集整理;b.檢測(cè)器將主動(dòng)分析網(wǎng)絡(luò)數(shù)據(jù)�����,已檢測(cè)出類型�;c.由自體集����,將網(wǎng)絡(luò)數(shù)據(jù)依次流過(guò)N層多叉樹(shù)提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性并存儲(chǔ)在N層多叉樹(shù)中,根據(jù)特征屬性網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分�����,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)文件��,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值存儲(chǔ)在N層多叉樹(shù)結(jié)構(gòu)中�����;d.將通過(guò)利用搜索匹配工具檢測(cè)出網(wǎng)絡(luò)數(shù)據(jù)的入侵類型��;e.根據(jù)測(cè)試結(jié)果判斷網(wǎng)絡(luò)是否受到入侵�����。本發(fā)明可自主檢測(cè)出未知類型入侵手段,為其避免核心網(wǎng)絡(luò)遭受各類型攻擊�,從而產(chǎn)生良好的經(jīng)濟(jì)效益和社會(huì)效益,具有較好的推廣應(yīng)用前景�����。
文檔編號(hào)H04L12/26GK102752287SQ20121018639
公開(kāi)日2012年10月24日 申請(qǐng)日期2012年6月5日 優(yōu)先權(quán)日2012年6月5日
發(fā)明者張劍鋒 申請(qǐng)人:廣東智華計(jì)算機(jī)科技有限公司