CN102611713B - 基于熵运算的网络入侵检测方法和装置 - Google Patents

Abstract

本发明实施例公开了一种基于熵运算的网络入侵检测方法，包括：捕获网络节点数据包，经预处理后得到目标数据；利用目标数据构建关系图；计算所有网络节点的交叉熵；对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点；本发明实施例还公开了一种基于熵运算的网络入侵检测装置；本发明将网络结构转化为图结构，并根据图中网络节点的属性特征，利用图熵理论找出网络节点在图结构中的影响大小，并以此作排序，可以很容易得到活跃度最大的关键网络节点，以便于进一步对网络节点信息分析，以确定是否发生网络入侵行为，或者采取相应的措施。

Description

基于熵运算的网络入侵检测方法和装置

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种基于熵运算的网络入侵检测方法。

背景技术

随着网络的开放性、共享性及互联程度的扩大，特别是因特网的出现，网络的重要性以及对社会的影响也越来越大。互联网Internet是一种开放的面向所有用户的技术，资源共享和信息安全是一对矛盾。互联网在提供信息共享并给我们带来极大便利的同时，其自身的安全问题也日益突显。根据计算机紧急情况响应组(Computer Emergency Response Teen，简称CERT)的统计数字显示，随着互联网的发展，安全事件数量不断上升。尤其是近两三年，出现了成倍增长的急剧上升趋势。根据粗略的统计，目前攻击手段大约有两三千种之多，常见的攻击手段有：后门程序、木马、缓冲区溢出攻击、扫描、密码破解攻击、拒绝服务攻击、分布式拒绝服务攻击、FINGER、FTP服务攻击、TELNET服务攻击、RPC服务攻击、DNS服务攻击、ICMP协议攻击、WEB服务攻击等等。以上这些只是部分常见攻击类型，每种攻击类型又包括了很多种不同的攻击方法，例如拒绝服务攻击就包括Syn-Flood、UDP-Flood、Ping-Flood、Land-based-Attack、Smurf Attack、Ping Of Death等多种攻击方法。由于Internet的开放互联性、网络协议自身的缺陷以及操作系统漏洞、系统应用程序漏洞等多方面因素导致了网络环境下的计算机系统存在很多的安全问题。网络安全问题主要源于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞、网络内部的攻击等几个方面。为了尽量保障计算机和网络系统特别是关键部门的信息安全，市场上涌现出了各种安全技术和产品，包括防火墙、安全路由器、身份认证系统、VPN设备等，这些技术和产品对系统有一定的保护作用，但都属于静态安全技术范畴，不能主动跟踪入侵者，也不能积极有效地防止来自网络内部的非法行为。为了确保网络的安全，网络系统中拥有的网络安全性分析系统应该能对系统进行漏洞扫描，同时还要能对网络安全进行实时监控、攻击与反攻击，因而，入侵检测应运而生，入侵检测的诞生是网络安全需求发展的必然，它的出现给计算机安全领域注入了新的活力。

入侵检测是一种通过收集和分析计算机系统或网络中关键点的信息，以检查计算机或网络中是否存在违反安全策略的行为和被攻击的迹象，并对此做出反应，从而保护网络和主机安全的系统。通过入侵检测能识别外部对计算机或者网络资源的恶意企图和行为，以及内部合法用户超越使用权限的非法行为入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。

常规入侵检测方法首先收集系统和网络中的信息，然后对收集到的数据进行分析，并采取相应处置措施，其总体上包括以下三个步骤，如图1所示：

1)信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为，而且需要在计算机网络的若干关键网络节点(如不同网段和不同主机)收集信息。这除了要尽可能扩大收集范围以外，还要对来自不同源的信息进行综合分析，比较之后得出问题的关键所在。收集信息的可靠性和正确性对入侵检测系统非常重要。入侵检测利用的信息来自系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行等方面。

2)信息分析

信息分析是对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，通过一定的技术手段进行分析，如常用的模式匹配、统计分析和完整性分析等。其中，前两种方法常用于实时的入侵检测，而完整性检测常用于事后分析。入侵检测是一个典型的数据处理过程，它通过对大量的收集到的数据进行分析，来判断被监控的系统或网络是否被入侵。系统的检测机制，起始就是一个系统主体行为的分类系统，它需要把对系统具有恶意的行为从大量的系统行为中辨别出来，而解决问题的关键就是如何从已知数据中获得系统的正常行为模式和有关入侵行为模式(如何定义、描述系统的行为)。

3)结果处理

结果处理指控制台根据报警产生预定义的响应，采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的报警。

而根据数据源的不同，可以将入侵检测系统分为三类：基于主机的检测系统、基于网络(Network-Based)的检测系统和混合型检测系统。本发明入侵检测主要是针对基于网络的检测系统进行的。基于网络的入侵检测模型如图2，其所针对的数据主要是来自网络上的数据包，以原始的网络数据作为数据源，通过分析流过网络适配器的数据包来实时地监视并分析通过网络进行传输的所有通信业务。

近年来，为适应网络规模的伸缩性，各种各样的新技术不断被应用到基于网络的入侵检测领域，免疫原理的应用提高了入侵检测系统的适应能力，自治代理的应用提高了入侵检测的可伸缩性、可维护性、效率和容错性。但随着网络环境的日益复杂化，导致现有入侵检测方法计算量大、计算过程复杂、误报率高，不能及时发现关键网络节点，不能满足入侵检测要求。

发明内容

本发明针对网络环境的日益复杂以及现有的入侵检测技术计算量大、计算过程复杂、误报率高，不能及时发现关键网络节点等问题，提出基于图熵的网络入侵检测方法和装置。

本发明基于熵运算的网络入侵检测方法，包括：捕获网络节点数据包，经预处理后得到目标数据；利用目标数据构建关系图；计算所有网络节点的交叉熵；对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点；所述网络节点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合。

所述捕获网络节点数据包采用普通网卡并结合Libpcap软件，所述Libpcap软件提供了一整套数据包捕获函数库。

所述预处理包括数据清洗，数据格式转换，数据集成中的任意一种或任意几种操作的组合。

所述利用目标数据构建关系图包括：通过提取数据特定片段，包括网络节点的源IP地址IP_S，目标IP地址IP_D以及网关信息，建立IP_S与IP_D之间的关系图，即将IP地址为IP_S的网络节点和IP地址为IP_D的网络节点之间存在的关系用图的方式描述。

所述计算所有网络节点的交叉熵，包括：

203-1、计算每个网络节点i的熵；

$E\left(i\right)=p\left(i\right)\log \frac{1}{p\left(i\right)}$

其中，p(i)表示网络节点i在整个图中的概率分布；

203-2、丢弃网络节点i，以及与网络节点i相连的所有的边，计算去除网络节点i后的关系图的图熵：

$H(G,p)=\underset{j=1,j\≠i}{\overset{\left|V\right|-1}{\mathrm{\Σ}}}p\left(j\right)\log \frac{1}{p\left(j\right)}$

式中|V|表示图中节点个数，j表示网络节点序号；

203-3、计算网络节点i的交叉熵；

$\mathrm{Effect}\left(i\right)=\frac{E\left(i\right)}{\log \frac{H(G,p)}{E\left(i\right)}}$

E(i)是网络节点i的熵，H(G，p)是去除网络节点i后的关系图的图熵。

203-4、判断是否所有网络节点都已计算，若是，则得到所有网络节点的交叉熵，否则，重复步骤203-1至步骤203-4。

本发明基于熵运算的网络入侵检测装置，包括：

目标数据获取模块50，用于捕获网络节点数据包，对网络节点数据包进行预处理，得到目标数据；

关系图构建模块60，用于利用目标数据构建关系图；

交叉熵计算模块70，用于计算所有网络节点的交叉熵；

关键网络节点检测模块80，用于对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点。

优选的，目标数据获取模块(50)所述捕获网络节点数据包采用普通网卡并结合Libpcap软件，所述Libpcap软件提供了一整套数据包捕获函数库；所述预处理包括数据清洗，数据格式转换，数据集成中的任意一种或任意几种操作的组合。

交叉熵计算模块70所述计算所有网络节点的交叉熵，包括：

203-1、计算每个网络节点i的熵；

$E\left(i\right)=p\left(i\right)\log \frac{1}{p\left(i\right)}$

其中，p(i)表示网络节点i在整个图中的概率分布；

203-2、丢弃网络节点i，以及与网络节点i相连的所有边，计算去除网络节点i后的关系图的图熵：

$H(G,p)=\underset{j=1,j\≠i}{\overset{\left|V\right|-1}{\mathrm{\Σ}}}p\left(j\right)\log \frac{1}{p\left(j\right)}$

式中|V|表示图中节点个数，j表示网络节点序号；

203-3、计算网络节点i的交叉熵；

$\mathrm{Effect}\left(i\right)=\frac{E\left(i\right)}{\log \frac{H(G,p)}{E\left(i\right)}}$

E(i)是网络节点i的熵，H(G，p)是去除网络节点i后的关系图的图熵

203-4、判断是否所有网络节点都已计算，若是，则得到所有网络节点的交叉熵，否则，重复步骤203-1至步骤203-4。

本发明将网络结构转化为图结构，并根据图中网络节点的属性特征，利用图熵理论找出网络节点在图结构中的影响大小，并以此作排序，可以很容易得到活跃度最大的关键网络节点。以便于进一步对网络节点信息分析，以确定是否发生网络入侵行为，或者采取相应的措施。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是常规网络入侵检测总体步骤

图2是基于网络的入侵检测系统框架；

图3是本发明实施例构建的网络环境拓扑结构图；

图4是本发明实施例基于熵运算的网络入侵检测方法流程示意图；

图5是本发明实施例网络节点交叉熵计算流程示意图；

图6是本发明实施例基于熵运算的网络入侵检测装置结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份而不是全部的实施例。应当理解，所描述的具体实施方式或者实施例仅用以解释本发明，并不用于限定本发明，并且基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

为便于理解本发明，作为一个特例，构建一个网络环境，如图3所示，图中包括三个PC机(PC₁、PC₂和PC₃)，三个路由器(L₁、L₂和L₃)以及五台服务器(S₁、S₂、S₃、S₄、和S₅)。(本发明所述网络节点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合，所述终端包括不限于PC机、手持式移动终端、笔记本终端等，所述路由设备是指具有路由功能的网络设备，如路由器、交换机、集线器等，本实施例中，图3中路由器、服务器和PC机均是网络节点)。路由器记录所有与之相连的PC机和服务器的路由信息，其中，L₁与S₁、S₃连接，L₂与PC₂、S₁、S₃、S₄、L₃连接，L₃与S₂、S₅、L₂连接。应当理解，以上作为特例构建的网络环境仅用以解释本发明，并不用于限定本发明。

本发明基于熵运算的网络入侵检测方法，优选实施例，如图4所示，包括。

步骤201、捕获网络节点数据包，经预处理后得到目标数据

从网络捕获数据包是入侵检测实现中非常重要的一环，它是入侵检测的基础，而实现网络数据包捕获的一个最基本的条件就是要能够接收某个范围网络上所有的数据包。可以采用以下两种方法之一从网络中捕获数据包，一种是采用网络数据采集专用设备，另一种是利用普通计算机与网络连接的通用硬件网络适配器，即网卡，由软件来完成数据包捕获。虽然由普通网卡来捕获数据包的方法在性能上比不上专用硬件，但其实现成本相对更低，且易于修改和更新。

本实施例中，作为一种可实现方式，采用普通网卡并结合Libpcap软件来捕获数据，所述Libpcap软件提供了一整套数据包捕获函数库，非常适用网络数据包的抓取。这里，我们主要是抓取某范围内网络交换点(一般是路由器)的数据包。

如图3中，抓取时间段T内路由器L₁的路由表信息。所述时间段T为采取数据的周期，例如15-60分钟，本实施例为30分钟，即每30分钟采集一次数据进行处理。

例如，抓取的路由信息表主要内容如下表所示：

表1：抓取时间段T内路由器L₁的路由表信息

	网络地址	网络掩码	网关	接口	跃点数
						1	192.168.1.0	255.255.255.0	192.168.1.6	192.168.1.6	30
...	...	...	...	...	...
						10	244.0.0.0	244.0.0.0	192.168.1.6	192.168.1.6	30

其中，网络地址(Network Destination)和网络掩码(Netmask)相与的结果用于定义本地计算机可以到达的网络目的地址范围。这里的一个网络地址就代表网络中的一个节点(可能是PC机、服务器等)。

网关(Gateway，又称为下一跳服务器)：在发送IP数据包时，网关定义了针对特定的网络目的地址，数据包发送到的下一跳服务器。如果是本地计算机直接连接到的网络，网关通常是本地计算机对应的网络接口，但是此时接口必须和网关一致；如果是远程网络或默认路由，网关通常是本地计算机所连接到的网络上的某个服务器或路由器。

接口(Interface)：接口定义了针对特定的网络目的地址，本地计算机用于发送数据包的网络接口。

跃点数(Metric)：跃点数用于指出路由的成本，通常情况下代表到达目标地址所需要经过的跃点数量，一个跃点代表经过一个路由器。

对采集的数据进行预处理生成目标数据，所述预处理包括数据清洗，数据格式转换，数据集成等操作，这些操作根据数据类型不一样，采用不同的操作，即选用其中任意一种或任意几种操作的组合。

所述数据清洗就是按照规则过滤掉不符合要求的数据，不符合要求的数据主要包括不完整的数据、错误的数据、重复的数据三大类。

所述不完整的数据主要是一些应该有的信息缺失，如供应商的名称、分公司的名称、客户的区域信息缺失、业务系统中主表与明细表不能匹配等。

所述错误的数据是业务系统不够健全，在接收输入后没有进行判断直接写入后台数据库造成的，比如数值数据输成全角数字字符、字符串数据后面有一个回车操作、日期格式不正确、日期越界等。

所述重复的数据就是数据的字面量相同的数据(相同值的数字、文字)。

所述数据格式转换主要是对数据进行规格化操作，包含以下处理内容：

(1)平滑处理，帮助除去数据中的噪声。

(2)合计处理，对数据进行总结或合计操作。

(3)数据泛化处理，所谓泛化处理就是用更抽象(或更高层次)的概念来取代低层次或数据层的数据对象。

(4)规格化，规格化就是将有关属性数据按比例投射到特定小范围之中，以消除数值型属性因大小不一而造成挖掘结果的偏差。

(5)属性构造，根据已有属性集构造新的属性，以帮助数据分析过程。

所述数据集成主要考虑以下几个问题：

(1)模式集成问题，即如何使来自多个数据源的现实世界的实体互匹配，这其中就涉及到实体识别问题。

(2)冗余问题，这是数据集成中经常发生的另一个问题。

(3)数据值冲突检测与消除，对于一个现实世界实体，其来自不同数据源的属性值或许不同。产生这样问题原因可能是表示的差异、比例尺度不同、或编码的差异等。

步骤202、利用目标数据构建关系图

利用上步得到的目标数据构建关系图，这些数据包括服务器日志，路由表信息，当采用Libpcap时，还包括Libpcap数据报文等。通过提取目标数据特定片段，包括网络节点的源IP(Internet protocol)地址(IP_S)，目标IP地址(IP_D)以及网关信息，建立IP_S与IP_D之间的关系图，即IP地址为IP_S的网络节点和IP地址为IP_D的网络节点之间存在关系，将这种关系用图的方式来描述，即在图中这两个节点相互连接。本实施例仅考虑利用路由表信息构建网络图。

本实施例中，在图3所示构建网络环境拓扑结构中，为表述简单起见，这里仅考虑关于PC机网络节点的关系图。

网络图表示为G(V，E)，V表示网络节点(这里代表网络PC机)，E表示网络节点之间的边。假设图3中，在某段时间内通过对路由器L₁，路由器L₂以及路由路L₃的信息抓取并处理后，得到关于PC₁的路由信息如表2所示，为计算简单起见，这里我们只取前10条记录。

表2：在某段时间内PC₁的路由信息

	网络地址	网络掩码	网关	接口	跃点数
						1	192.168.1.0	255.255.255.0	192.168.1.6	192.168.1.6	30
...	...	...	...	...	...
						10	192.168.1.0	255.255.255.0	192.168.1.102	192.168.1.02	30

这里，PC₁(网络IP地址为192.168.1.0)在这段时间内都访问了PC₂(网络IP地址为192.168.1.6)，PC₃(网络IP地址为192.168.1.102)等网络节点。网络图以矩阵的形式表示，若PC₁访问了PC₂，则矩阵中的关联值为1，否则为0，本实例中得到的矩阵是一个对角矩阵(自身与自身关联值为1)。

如此进行，可得到某段时间内，某个范围所有网络节点之间的网络关系图。

步骤203、计算所有网络节点的交叉熵Effect(i)

熵的特点在于，它可以给出一个网络节点集在完全图下的影响大小，并以此做排序列表，可以很容易找出一个图中对其他网络节点影响最大的网络节点。对于图熵H，目前较为常用的是Korner对图熵的定义：

$H(G,p)={\mathrm{Min}}_{x\∈\mathrm{StableSet}\left(G\right)}\underset{i\∈V\left(G\right)}{\mathrm{\Σ}}p\left(i\right)\log p\left(i\right)---\left(1\right)$

式(1)中，图熵H为G和p的函数，StableSet(G)表示的是一个网络节点稳定集的簇，稳定集是图中网络节点集的子集，稳定集中的网络节点必须没有任何边的联系。G表示关于网络节点的完全图(也称为目标数据构建的关系图)，p表示网络节点集V(G)(有限集)的概率分布，p(i)表示网络节点i在图中的概率分布。因为稳定集是个NP(Non-deterministic Polynomia，非确定性多项式)问题，很难在实际中加以运用，本发明对图熵进行扩展和重新解释。

$H(G,p)=\underset{i=1}{\overset{\left|V\right|}{\mathrm{\Σ}}}p\left(i\right)\log \frac{1}{p\left(i\right)}---\left(2\right)$

式中|V|表示图中节点个数，其他参数含义同式(1)。

本实施例，所述计算关系图中网络节点的交叉熵，如图5所示，具体包括：203-1、计算每个网络节点i的熵

$E\left(i\right)=p\left(i\right)\log \frac{1}{p\left(i\right)}---\left(3\right)$

式(3)中，p(i)表示网络节点i在整个图中的概率分布。即，若在步骤202构建的网络关系图中共有网络节点20个，其中PC₁有4个，则p(PC₁)＝4/20＝0.2，E(PC₁)＝0.14。

203-2、丢弃网络节点i，以及与网络节点i相连的所有的边，计算去除网络节点i后的关系图的图熵。

本实施例中，去掉PC₁以及与PC₁相连的所有的边，在矩阵中表现为：

则去除网络节点i后的关系图的图熵为：

$H(G,p)=\underset{j=1,j\≠i}{\overset{\left|V\right|-1}{\mathrm{\Σ}}}p\left(j\right)\log \frac{1}{p\left(j\right)}---\left(4\right)$

式(4)中，j表示网络节点序号，j≠i表示网络节点i已被删除。也就是计算除网络节点i之外的其他网络节点的熵的和。

利用上步假设，共有网络节点20个，则|V|＝20，去除PC₁后，计算剩余19个网络节点的熵的和，这里假设为3，即H(G，p)＝3。

203-3、计算网络节点i的交叉熵

$\mathrm{Effect}\left(i\right)=\frac{E\left(i\right)}{\log \frac{H(G,p)}{E\left(i\right)}}---\left(5\right)$

本实例中，得到Effect(PC₁)＝0.18。

203-4、判断是否所有网络节点都已计算，若是，则得到所有网络节点的交叉熵，转至步骤204，否则重复步骤203-1至步骤203-4，即针对另一个网络节点，计算其熵，计算去掉此网络节点后的图的图熵，以及交叉熵，直到处理完所有的网络节点，得到所有网络节点的交叉熵Effect(i)。

步骤204、对所有网络节点的交叉熵Effect(i)进行排序，找出活跃度高的关键网络节点。

作为一种优选实施方式，对所有网络节点的交叉熵Effect(i)进行从大到小排序，交叉熵Effect(i)大的一个或者几个网络节点为活跃度高的关键网络节点，

或者，作为另一种优选实施方式，对所有网络节点的交叉熵Effect(i)进行比较，交叉熵Effect(i)最大的网络节点即为活跃度高的关键网络节点，活跃度高的网络节点对图的影响较大，更有可能发生网络入侵行为。

本实例中，假设经过计算网络节点PC₁的Effect(i)＝0.18最大，则PC₁为这段时间内，活跃度最高的关键网络节点。一旦发生网络入侵行为，可首先切断此点的网络连接，防止事态恶化，然后再做进一步处理。

本发明基于熵运算的网络入侵检测装置，如图6所示，包括：

目标数据获取模块50，用于捕获网络节点数据包，对网络节点数据包进行预处理，得到目标数据；

所述目标数据获取模块50进一步包括，侦听模块51，用于捕获网络节点数据包；数据预处理模块52，用于对网络节点数据包进行预处理得到目标数据。

从网络捕获数据包是入侵检测实现中非常重要的一环，它是入侵检测的基础，而实现网络数据包捕获的一个最基本的条件就是要能够接收某个范围网络上所有的数据包。所述侦听模块51可以采用以下两种方法之一从网络中捕获数据包，一种是采用网络数据采集专用设备，另一种是利用普通计算机与网络连接的通用硬件网络适配器，即网卡，由软件来完成数据包的捕获。虽然由普通网卡来捕获数据包的方法在性能上比不上专用硬件，但其实现成本相对更低，且易于修改和更新。

本实施例中，作为一种可实现方式，所述侦听模块51采用普通网卡并结合Libpcap软件来捕获获网络节点数据包，所述Libpcap软件提供了一整套数据包捕获函数库，非常适用网络数据包的抓取。这里，我们主要是抓取某范围内网络交换点(一般是路由器)的数据包。

对采集的网络节点数据包进行预处理生成目标数据，包括数据清洗，数据格式转换，数据集成等操作，采用与步骤201相同方式，不再累述。这些操作根据数据类型不一样，采用不同的操作，即选用其中任意一种或任意几种操作的组合。

关系图构建模块60，用于利用目标数据构建关系图；

交叉熵计算模块70，用于计算所有网络节点的交叉熵

本实施例，所述计算关系图中每个网络节点的交叉熵，采用步骤203-1至步骤203-4相同的方式，不再详述。

关键网络节点检测模块80，用于对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点。

作为一种优选实施方式，对所有网络节点的交叉熵进行从大到小排序，交叉熵大的一个或者几个网络节点为活跃度高的关键网络节点，

或者，作为另一种优选实施方式，对所有网络节点的交叉熵进行比较，交叉熵最大的网络节点即为活跃度高的关键网络节点，活跃度高的网络节点对图的影响较大，更有可能发生网络入侵行为。

上述步骤执行完毕，得到的结果存储在数据仓库中。

本发明将监控范围内的网络状况映射到完全图中，然后利用图熵理论以及熵算法，通过计算图中各网络节点的交叉熵找出图中活跃度最高的一个或几个网络节点，一旦发生入侵事件，可首先及时切断这些网络节点与网络的链接，掌控事态的发展。该方法克服了以往入侵检测方法计算量大、计算过程复杂、误报率高等问题，能够及时发现关键网络节点，大大提高了网络入侵的检测能力，能更好的维护网络安全。

值得注意的是，上述装置实施例中，所包括的各个模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能模块的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

另外，本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成，相应的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (8)

1.基于熵运算的网络入侵检测方法，其特征在于：包括：捕获网络节点数据包，经预处理后得到目标数据；利用目标数据构建关系图；计算所有网络节点的交叉熵；对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点；所述网络节点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合； 

所述计算所有网络节点的交叉熵，包括： 

203-1、计算每个网络节点i的熵； 

其中，p(i)表示网络节点i在整个关系图中的概率分布； 

203-2、丢弃网络节点i，以及与网络节点i相连的所有的边，计算去除网络节点i后的关系图的图熵： 

式中，图熵H为关系图G和概率分布p的函数，|V|表示图中节点个数，j表示网络节点序号； 

203-3、计算网络节点i的交叉熵； 

203-4、判断是否所有网络节点都已计算，若是，则得到所有网络节点的交叉熵，否则，重复步骤203-1至步骤203-4。 

2.根据权利要求1所述的基于熵运算的网络入侵检测方法，其特征在于：所述捕获网络节点数据包采用普通网卡并结合Libpcap软件，所述Libpcap软件提供了一整套数据包捕获函数库。 

3.根据权利要求1所述的基于熵运算的网络入侵检测方法，其特征在于：所述预处理包括数据清洗，数据格式转换，数据集成中的任意一种或任意几种操作的组合。 

4.根据权利要求1所述的基于熵运算的网络入侵检测方法，其特征在于：所述利用目标数据构建关系图包括：通过提取数据特定片段，包括网络节点的源IP地址IP_S，目标IP地址IP_D以及网关信息，建立IP_S与IP_D之间的关系图，即将IP地址为IP_S的网络节点和IP地址为IP_D的网络节点之间存在的关系用图的方式描述。 

5.根据权利要求1所述的基于熵运算的网络入侵检测方法，其特征在于：所述对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点为：对所有网络节点的交叉熵进行从大到小排序，交叉熵大的一个或者几个网络节点为活跃度高的关键网络节点。 

6.根据权利要求1所述的基于熵运算的网络入侵检测方法，其特征在于：所述对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点为：对所 有网络节点的交叉熵进行比较，交叉熵最大的网络节点即为活跃度高的关键网络节点。 

7.基于熵运算的网络入侵检测装置，其特征在于：包括： 

目标数据获取模块(50)，用于捕获网络节点数据包，对网络节点数据包进行预处理，得到目标数据； 

关系图构建模块(60)，用于利用目标数据构建关系图； 

交叉熵计算模块(70)，用于计算所有网络节点的交叉熵，包括： 

203-1、计算每个网络节点i的熵； 

其中，p(i)表示网络节点i在整个图中的概率分布； 

203-2、丢弃网络节点i，以及与网络节点i相连的所有边，计算去除网络节点i后的关系图的图熵： 

式中，图熵H为关系图G和概率分布p的函数，|V|表示图中节点个数，j表示网络节点序号； 

203-3、计算网络节点i的交叉熵； 

E(i)是网络节点i的熵，H(G，p)是去除网络节点i后的关系图的图熵；

203-4、判断是否所有网络节点都已计算，若是，则得到所有网络节点的交叉熵，否则，重复步骤203-1至步骤203-4； 

关键网络节点检测模块(80)，用于对所有网络节点的交叉熵进行排序，找出活跃度高的关键网络节点； 

所述网络节点为受监控的服务器、终端、或者路由设备中的任意一种或者任意几种的组合。 

8.根据权利要求7所述的基于熵运算的网络入侵检测装置，其特征在于：目标数据获取模块(50)所述捕获网络节点数据包采用普通网卡并结合Libpcap软件，所述Libpcap软件提供了一整套数据包捕获函数库；所述预处理包括数据清洗，数据格式转换，数据集成中的任意一种或任意几种操作的组合。