CN101335752A - 一种基于频繁片段规则的网络入侵检测方法 - Google Patents
一种基于频繁片段规则的网络入侵检测方法 Download PDFInfo
- Publication number
- CN101335752A CN101335752A CNA2008100446214A CN200810044621A CN101335752A CN 101335752 A CN101335752 A CN 101335752A CN A2008100446214 A CNA2008100446214 A CN A2008100446214A CN 200810044621 A CN200810044621 A CN 200810044621A CN 101335752 A CN101335752 A CN 101335752A
- Authority
- CN
- China
- Prior art keywords
- frequent
- frequent fragment
- fragment
- behavioural characteristic
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于频繁片断规则的网络入侵检测方法,属于网络安全领域,包括频繁片段规则库生成和网络入侵检测。首先对已知行为属性的数据流按照行为特征集合S-(特征1,特征2,...特征j)|T(数据流属性)的方式提取行为特征值集合G;然后将k个(2≤k≤8)相邻行为特征值集合G组合成频繁片段H;再对频繁片段H进行分类和计算置信度最终形成频繁片段规则库。检测待测数据流时,先提取其行为特征值集合G′;再组合集合G′形成频繁片段H′;最后将频繁片段H′与频繁片段规则库中的频繁片段H比对,若在库中找到一个T值为“异常”且置信度>50%的频繁片段与一个频繁片段H′相同,则认为待测数据流据流为异常数据流。本发明网络入侵检测准确,误报率低;能检测未知网络入侵行为;还可以用于恶意程序检测。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种用于网络入侵检测的方法。
背景技术
缩略语和关键术语定义:
Network Intrusion Detection System(NIDS):网络入侵检测系统
Frequent Episode Rules(FER):频繁片段规则
Intrusion Detection System(IDS):入侵检测系统
随着计算机网络的迅速普及和各种网络新业务的不断兴起,各种网络攻击开始渗透到计算机应用的许多领域,并且变得越来越严峻。
在IDS尚未出现时,网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展,FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年,70%的攻击主要来自于外部网络,另30%的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术进行研究,并提出了IDS。由干硬件发展的飞速发展,使得IDS对网络通讯可以进行实时检测和实时报等,形成目前的IDS模式。
目前网络安全领域面临着严重的向题。一方面当今社会对网络的依翰性日益增加,而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响,前者使得网络的结构,协议及应用日渐复杂,同时也造成社会对网络安全问题的可容忍程度逐步降低。对干某些行业来说,网络出现故障可能不再是一个小的事故,而是一场灾难;为了保障网络安全,各种网络入侵检测和防御技术应运而生。
现有的一种网络入侵检测技术:基于知识的入侵检测技术。
基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别,从而判断网络中是否有入侵行为的发生。这些标志主要包括:对一个敏感主机的登录失败次数;对一个数据的一些标志位的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。基于知识的入侵检侧技术具有较高的准确度,但是它的缺点就是在于对系统的性能要求高,而且只能检测到目前已知的攻击方法,对于未知的攻击方法没有检测能力。
现有的另一种网络入侵检测技术:基于关联规则的入侵检测技术。
基于关联规则的入侵检测技术主要通过利用对入侵行为的特征利用关联规则,得到其某一时刻下的某一个特征或者某几个特征能够推出该行为为入侵行为的统计信息。从而判断出该行为是否为入侵行为。该技术具有一定的检测准确性,但是该技术只能对某一时刻的特征进行分析,而不能对一个时间片段进行分析。使得关联程度不高,而导致准确性不够。
发明内容
本发明在现有的关联规则的入侵检测技术的基础上,进行改进,提供一种基于频繁片段规则的网络入侵检测方法,其网络入侵检测的准确率比基于关联规则的入侵检测技术更高。
本发明详细技术方案如下:
一种基于频繁片段规则的网络入侵检测方法,包括频繁片段规则库生成过程和网络入侵检测过程。所述频繁片段规则库生成过程具体包括以下步骤:
步骤1、选取一条具有已知行为属性(正常或者异常)的数据流D(d1d2d3Ldn),其中n表示数据流D(d1d2d3Ldn)由n个数据包构成。
步骤2、设定由2-6个不同行为特征组成的行为特征集合S-(行为特征1,行为特征2,...行为特征j)|T,其中:2≤j≤6;T表示该数据流的属性,即该数据流为正常行为数据流或异常行为数据流。
步骤3、根据步骤2所设定的行为特征集合S,对步骤1所选取的数据流D(d1d2d3Ldn)的每个数据包,提取其行为特征值集合G-(|行为特征1|,|行为特征2|,...,|行为特征j|)|T,其中:“|*|”表示行为特征“*”的具体值,当该数据包没有某个行为特征时,令该行为特征的值为“空”;当该数据包所属的数据流为正常行为数据流时,令T=1;当该数据包所属的数据流为异常行为数据流时,令T=0。这样,对于由n个数据包构成的数据流,一共可得到n个特征值集合G。
步骤4、对于步骤3产生的n个行为特征值集合G,将其中任意k个(2≤k≤8)相邻数据包所产生的k个行为特征值集合G组合在一起,得到一个频繁片段H-(G1,G2,G3,...,Gk),一共得到n-k个频繁片段。
步骤5、重复步骤1-步骤4,提取下一条已知行为属性数据流的每个数据包的行为特征值集合G并得到所有频繁片段,当已知行为属性数据流的条数m≥50时进行下一步操作。
步骤6、对步骤5所得的所有频繁片段进行分类,将所有k个行为特征值集合G完全相同的频繁片段归属于同一类频繁片段。
步骤7、经步骤6对所有频繁片段进行分类后,设所有频繁片段的数量为A,所有频繁片段的类型的数量为B,分别计算每一类型频繁片段的置信度:
某一类型频繁片段的置信度=该类型频繁片段的重复个数/(该类型频繁片段的重复个数+与该类型频繁片段相类似的频繁片段的重复个数)×100%;这里,与该类型频繁片段相类似的频繁片段指的是频繁片段的所有k个行为特征值集合G中,所有的行为特征值相同而T值相反的另一类型的频繁片段。
经上述处理之后,得到具有相应置信度的频繁片段-频繁片段规则,将所有频繁片段规则置于一个库中,形成频繁片段规则库。
经上述步骤1至步骤7得到的频繁片段规则库科实时更新,即当获取一条已知行为属性的数据流之后,对该已知行为属性的数据流进行步骤2至步骤7的操作,可得到更新的频繁片段规则库。
所述网络入侵检测过程包括以下步骤:
步骤8、输入待测数据流D′(d1d2d3Ldn)。
步骤9、对待测数据流D′(d1d2d3Ldn)的每个数据包,提取其行为特征值集合G′-(|行为特征1|,|行为特征2|,...,|行为特征j|),其中:“|*|”表示行为特征“*”的具体值,当该数据包没有某个行为特征时,令该行为特征的值为“空”;一共可得到n个特征值集合G′。
步骤10、对于步骤9产生的n个行为特征值集合G′,将其中任意k个(2≤k≤8)相邻数据包所产生的k个行为特征值集合G′组合在一起,得到一个频繁片段H′-(G1′,G2′,G3′,...,Gk′),一共得到n-k个频繁片段。
步骤11、将步骤10所得的n-k个频繁片段与步骤7所得的频繁片段规则库中的频繁片段在不考虑T值和置信度的情况下进行比对,若在频繁片段规则库中找到一个T值为“0”且置信度>50%的频繁片段规则所对应的在不考虑T值和置信度的情况下的频繁片段与步骤10所得的n-k个频繁片段中的某一个频繁片段相同,则认为步骤8所述的待测数据流据流D′(d1d2d3Ldn)为异常数据流,并进行报警;否则,认为步骤8所述的待测数据流据流D′(d1d2d3Ldn)为正常数据流,不进行报警。
本发明的有益效果是:
本发明将频繁片段规则用于入侵行为检测,提出的一种基于频繁片段的网络入侵检测方法与基于关联规则的入侵行为检测技术相比,其网络入侵检测更加准确,误报率更低。同时,本发明能够检测出未知的网络入侵行为。本发明不仅可以用于网络入侵检测,还可以用于恶意程序检测。
附图说明
图1本发明的频繁片段规则库的形成过程示意图。
图2本发明的网络入侵检测过程示意图。
具体实施方式
在此,仅对本发明技术方案中的相关参数进行说明,不再详述具体实施方式的技术方案。
步骤2中所述“2-6个不同行为特征”的“行为特征”为目的IP地址、源IP地址、目的端口号、源端口号、协议类型和数据包大小。
步骤4中的k取4为宜。
当获取一条已知行为属性的数据流之后,对该已知行为属性的数据流进行步骤2至步骤7的操作,得到更新的频繁片段规则库。更新频繁片段规则库的操作可以定时进行,也可以实时进行。
Claims (4)
1、一种基于频繁片段规则的网络入侵检测方法,包括频繁片段规则库生成过程和网络入侵检测过程;所述频繁片段规则库生成过程具体包括以下步骤:
步骤1、选取一条具有已知行为属性为正常或者异常的数据流D(d1d2d3Ldn),其中n表示数据流D(d1d2d3Ldn)由n个数据包构成;
步骤2、设定由2-6个不同行为特征组成的行为特征集合S-(行为特征1,行为特征2,...行为特征j)|T,其中:2≤j≤6;T表示该数据流的属性,即该数据流为正常行为数据流或异常行为数据流;
步骤3、根据步骤2所设定的行为特征集合S,对步骤1所选取的数据流D(d1d2d3Ldn)的每个数据包,提取其行为特征值集合G-(|行为特征1|,|行为特征2|,...,|行为特征j|)|T,其中:“|*|”表示行为特征“*”的具体值,当该数据包没有某个行为特征时,令该行为特征的值为“空”;当该数据包所属的数据流为正常行为数据流时,令T=1;当该数据包所属的数据流为异常行为数据流时,令T=0;这样,对于由n个数据包构成的数据流,一共可得到n个特征值集合G;
步骤4、对于步骤3产生的n个行为特征值集合G,将其中任意k个,2≤k≤8,相邻数据包所产生的k个行为特征值集合G组合在一起,得到一个频繁片段H-(G1,G2,G3,...,Gk),一共得到n-k个频繁片段;
步骤5、重复步骤1-步骤4,提取下一条已知行为属性数据流的每个数据包的行为特征值集合G并得到所有频繁片段,当已知行为属性数据流的条数m≥50时进行下一步操作;
步骤6、对步骤5所得的所有频繁片段进行分类,将所有k个行为特征值集合G完全相同的频繁片段归属于同一类频繁片段;
步骤7、经步骤6对所有频繁片段进行分类后,设所有频繁片段的数量为A,所有频繁片段的类型的数量为B,分别计算每一类型频繁片段的置信度:
某一类型频繁片段的置信度=该类型频繁片段的重复个数/(该类型频繁片段的重复个数+与该类型频繁片段相类似的频繁片段的重复个数)×100%;这里,与该类型频繁片段相类似的频繁片段指的是频繁片段的所有k个行为特征值集合G中,所有的行为特征值相同而T值相反的另一类型的频繁片段;
经上述处理之后,得到具有相应置信度的频繁片段-频繁片段规则,将所有频繁片段规则置于一个库中,形成频繁片段规则库;
所述网络入侵检测过程包括以下步骤:
步骤8、输入待测数据流D′(d1d2d3Ldn);
步骤9、对待测数据流D′(d1d2d3Ldn)的每个数据包,提取其行为特征值集合G′-(|行为特征1|,|行为特征2|,...,|行为特征j|),其中:“|*|”表示行为特征“*”的具体值,当该数据包没有某个行为特征时,令该行为特征的值为“空”;一共可得到n个特征值集合G′;
步骤10、对于步骤9产生的n个行为特征值集合G′,将其中任意k个,2≤k≤8,相邻数据包所产生的k个行为特征值集合G′组合在一起,得到一个频繁片段H′-(G1′,G2′,G3′,...,Gk′),一共得到n-k个频繁片段;
步骤11、将步骤10所得的n-k个频繁片段与步骤7所得的频繁片段规则库中的频繁片段在不考虑T值和置信度的情况下进行比对,若在频繁片段规则库中找到一个T值为“0”且置信度>50%的频繁片段规则所对应的在不考虑T值和置信度的情况下的频繁片段与步骤10所得的n-k个频繁片段中的某一个频繁片段相同,则认为步骤8所述的待测数据流据流D′(d1d2d3Ldn)为异常数据流,并进行报警;否则,认为步骤8所述的待测数据流据流D′(d1d2d3Ldn)为正常数据流,不进行报警。
2、根据权利要求1所述的基于频繁片段规则的网络入侵检测方法,其特征在于,步骤2中所述“2-6个不同行为特征”的“行为特征”为目的IP地址、源IP地址、目的端口号、源端口号、协议类型和数据包大小。
3、根据权利要求1所述的基于频繁片段规则的网络入侵检测方法,其特征在于,步骤4中的k取值为4。
4、根据权利要求1所述的基于频繁片段规则的网络入侵检测方法,其特征在于,当获取一条已知行为属性的数据流之后,对该已知行为属性的数据流进行步骤2至步骤7的操作,得到更新的频繁片段规则库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100446214A CN101335752B (zh) | 2008-06-03 | 2008-06-03 | 一种基于频繁片段规则的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100446214A CN101335752B (zh) | 2008-06-03 | 2008-06-03 | 一种基于频繁片段规则的网络入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101335752A true CN101335752A (zh) | 2008-12-31 |
CN101335752B CN101335752B (zh) | 2011-07-27 |
Family
ID=40198059
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100446214A Expired - Fee Related CN101335752B (zh) | 2008-06-03 | 2008-06-03 | 一种基于频繁片段规则的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101335752B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105024989A (zh) * | 2014-11-26 | 2015-11-04 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
CN106685636A (zh) * | 2017-03-22 | 2017-05-17 | 电子科技大学 | 一种结合数据局部性特征的频率分析方法 |
CN107154947A (zh) * | 2017-06-16 | 2017-09-12 | 清华大学 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
CN109754265A (zh) * | 2017-11-01 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及装置 |
CN110597232A (zh) * | 2019-09-26 | 2019-12-20 | 杭州电子科技大学 | 一种基于动态置信规则库的变频器冷却水泵故障报警方法 |
CN113836679A (zh) * | 2021-10-14 | 2021-12-24 | 国网湖南省电力有限公司 | N-k攻击模式下脆弱线路组合的识别方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477811A (zh) * | 2003-07-11 | 2004-02-25 | 北京邮电大学 | 一种网络入侵行为和正常行为的形式化描述方法 |
CN1581768A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
-
2008
- 2008-06-03 CN CN2008100446214A patent/CN101335752B/zh not_active Expired - Fee Related
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105024989A (zh) * | 2014-11-26 | 2015-11-04 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
CN106685636A (zh) * | 2017-03-22 | 2017-05-17 | 电子科技大学 | 一种结合数据局部性特征的频率分析方法 |
CN107154947A (zh) * | 2017-06-16 | 2017-09-12 | 清华大学 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
CN109754265A (zh) * | 2017-11-01 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及装置 |
CN109754265B (zh) * | 2017-11-01 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及装置 |
CN110597232A (zh) * | 2019-09-26 | 2019-12-20 | 杭州电子科技大学 | 一种基于动态置信规则库的变频器冷却水泵故障报警方法 |
CN110597232B (zh) * | 2019-09-26 | 2020-09-25 | 杭州电子科技大学 | 一种基于动态置信规则库的变频器冷却水泵故障报警方法 |
CN113836679A (zh) * | 2021-10-14 | 2021-12-24 | 国网湖南省电力有限公司 | N-k攻击模式下脆弱线路组合的识别方法及装置 |
CN113836679B (zh) * | 2021-10-14 | 2024-02-23 | 国网湖南省电力有限公司 | N-k攻击模式下脆弱线路组合的识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101335752B (zh) | 2011-07-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
CN101335752B (zh) | 一种基于频繁片段规则的网络入侵检测方法 | |
Lee et al. | Effective value of decision tree with KDD 99 intrusion detection datasets for intrusion detection system | |
CN101820413B (zh) | 一种网络安全最佳防护策略的选择方法 | |
CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN105577679A (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
CN105208037A (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN105827594A (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
CN101668012B (zh) | 安全事件检测方法及装置 | |
CN108055228B (zh) | 一种智能电网入侵检测系统及方法 | |
CN113645232A (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
CN113420802A (zh) | 基于改进谱聚类的报警数据融合方法 | |
CN115150182B (zh) | 基于流量分析的信息系统网络攻击检测方法 | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
US9727393B2 (en) | Method, apparatus and computer program for analysing events in a computer system | |
CN102111302B (zh) | 一种蠕虫检测方法 | |
CN103825875A (zh) | 一种疫苗接种策略的虚拟机检测方法 | |
Abouabdalla et al. | False positive reduction in intrusion detection system: A survey | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
CN114124834A (zh) | 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法 | |
Ying et al. | Analysis Model for Fire Accidents of Electric Bicycles Based on Principal Component Analysis | |
CN114745148B (zh) | 基于动态规划的车载网络can总线入侵检测方法及系统 | |
CN103795710A (zh) | 一种基于CloudStack云平台的入侵检测系统的构建方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110727 Termination date: 20180603 |
|
CF01 | Termination of patent right due to non-payment of annual fee |