CN103312703B - 基于模式识别的网络入侵检测方法及系统 - Google Patents
基于模式识别的网络入侵检测方法及系统 Download PDFInfo
- Publication number
- CN103312703B CN103312703B CN201310213066.4A CN201310213066A CN103312703B CN 103312703 B CN103312703 B CN 103312703B CN 201310213066 A CN201310213066 A CN 201310213066A CN 103312703 B CN103312703 B CN 103312703B
- Authority
- CN
- China
- Prior art keywords
- data
- identified
- network
- characteristic
- network data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明提供了一种基于模式识别的网络入侵检测方法及系统,可以实现高效、实时的网络入侵检测。其中方法包括:采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据;采用预先建立的网络入侵检测模型对所述特征数据进行检测,以识别所述待识别网络数据的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于模式识别的网络入侵检测方法及系统。
背景技术
近年来,网络已经渐渐融入了我们生活的方方面面,我们在享受网络带来的便捷、高效的服务的同时,也遭受着各种来自网络的入侵行为。一方面,这是由于在网络设计之初,主要关注的是数据传输的高效性和便捷性,而忽略了网络安全性的问题;另一方面,随着网络安全技术的发展,入侵技术也在不断的自我发展和完善。因此,在已无法避免各种入侵行为的情况下,急时的发现入侵行为,并采取合理的补救措施以降低入侵行为造成的影响就显得格外的重要。可喜的是,我们看到,自从Sandeep Kumar博士将模式识别技术引入到网络入侵检测中以来,采用模式识别的入侵检测技术以其检测准确度高、能识别大量新型攻击等优点而被广泛研究,得到了迅猛的发展。但是,入侵检测面对的是海量的网络数据,当采用模式识别的入侵检测方式需要获取和处理这些海量的网络数据时,直接导致其处理效率低、难以适应实时入侵检测的要求。
发明内容
有鉴于此,本发明提供了一种基于模式识别的网络入侵检测方法及系统。可以实现高效、实时的网络入侵检测。
一方面,本发明提供的一种基于模式识别的网络入侵检测方法,包括:
采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据;
采用预先建立的网络入侵检测模型对所述特征数据进行检测,以识别所述待识别网络数据的安全性。
进一步,所述采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据,包括:
将所述待识别网络数据转化为向量形式的待识别网络数据;
采用测量矩阵对所述向量形式的待识别网络数据进行压缩采样,得到特征数据,或者,采用测量矩阵与稀疏基对所述向量形式的待识别网络数据进行压缩采样,得到特征数据。
进一步,所述测量矩阵包括:高斯随机矩阵、随机贝努利矩阵、局部哈达玛测量矩阵、托普利兹测量矩阵、结构随机矩阵或Chirp测量矩阵;所述稀疏基包括:单位矩阵。
进一步,所述采用预先建立的网络入侵检测模型对所述特征数据进行检测,以识别所述待识别网络数据的安全性之后,还包括:
当所述待识别网络数据为安全数据时,采用重构算法将所述特征数据还原为所述待识别网络数据;
当所述待识别网络数据为异常数据时,执行异常处理流程。
进一步,所述重构算法包括:匹配追踪算法、正交匹配追踪算法、正则化的正交匹配追踪算法、子空间追踪算法或迭代硬阈值算法。
进一步,所述采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据之前,还包括:
采用采样矩阵对训练数据进行压缩采样,得到所述训练数据的特征数据;
将所述训练数据的特征数据输入分类器进行训练,以建立所述网络入侵检测模型。
另一方面,本发明提供的一种基于模式识别的网络入侵检测系统,包括:
压缩感知模块,用于采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据;
安全性识别模块,用于采用预先建立的网络入侵检测模型对所述压缩感知模块得到的特征数据进行检测,以识别所述待识别网络数据的安全性。
进一步,所述压缩感知模块,包括:
预处理单元,用于将所述待识别网络数据转化为向量形式的待识别网络数据;
压缩采样单元,用于采用测量矩阵对所述预处理单元得到的向量形式的待识别网络数据进行压缩采样,得到特征数据,或者,采用测量矩阵与稀疏基对所述预处理单元得到的向量形式的待识别网络数据进行压缩采样,得到特征数据。
进一步,还包括:处理模块,用于当所述识别模块识别到所述待识别网络数据为安全数据时,采用重构算法将所述特征数据还原为所述待识别网络数据,当识别到所述待识别网络数据为异常数据时,执行异常处理。
进一步,还包括:训练模块,用于采用采样矩阵对训练数据进行压缩采样,得到所述训练数据的特征数据,以及将所述训练数据的特征数据输入分类器进行训练,以建立所述网络入侵检测模型。
本发明的有益效果:
本发明实施例在面对海量网络数据的时候,利用压缩感知法对待识别网络数据进行压缩采样,由于压缩感知法具有对数据欠采样并完美恢复的特性,因此这样做可以避开对大量网络数据的处理,直接获取待识别网络数据的特征数据,从而提高数据的处理效率,满足实时性网络入侵检测的要求。
附图说明
下面结合附图和实施例对本发明作进一步描述:
图1是本发明提供的基于模式识别的网络入侵检测方法的第一实施例的流程示意图。
图2是本发明提供的基于模式识别的网络入侵检测方法的第二实施例的流程示意图。
图3是本发明提供的基于模式识别的网络入侵检测方法的第三实施例的流程示意图。
图4是本发明提供的基于模式识别的网络入侵检测方法的第四实施例的流程示意图。
图5(a)至(c)分别是压缩感知和非压缩感知下入侵检测的正确率、检测率和误报率的示意图。
图6是本发明提供的基于模式识别的网络入侵检测系统的第一实施例的结构示意图。
图7是本发明提供的基于模式识别的网络入侵检测系统的第二实施例的结构示意图。
图8是本发明提供的基于模式识别的网络入侵检测系统的第三实施例的结构示意图。
图9是本发明提供的基于模式识别的网络入侵检测系统的第四实施例的结构示意图。
具体实施方式
请参考图1,是本发明提供的基于模式识别的网络入侵检测方法的第一实施例的流程示意图。其包括:
步骤S11、采用压缩感知法对待识别网络数据进行压缩采样,得到待识别网络数据的特征数据。
步骤S12、采用预先建立的网络入侵检测模型对步骤S11得到的特征数据进行检测,以识别待识别网络数据的安全性。
其中,步骤S11所涉及的压缩感知方法在图像处理领域被广泛的应用,而未见其应用于网络安全领域。在步骤S11中,待识别网络数据包括:应用层协议数据、TCP/UDP封装数据、系统调用数据和各种攻击方式产生的数据。在步骤S11中,得到的特征数据是指能有效表示网络访问的那些主要数据,其特点在于用较少的统计特征表示整个数据流的行为。步骤S12主要是基于模式识别的思想对特征数据进行分析,以判断待识别网络数据是否安全。
本实施例,由于步骤S11中采用压缩感知方法对待识别网络数据进行压缩采样,因此可以避免大量数据的处理,可以提高数据处理效率,降低待识别网络数据的安全性的检测流程所耗时间,满足实时性入侵检测的要求。
请参考图2,是本发明提供的基于模式识别的网络入侵检测方法的第二实施例的流程示意图。其包括:
步骤S21、将待识别网络数据转化为向量形式的待识别网络数据。
步骤S22、采用测量矩阵对步骤S21得到的向量形式的待识别网络数据进行压缩采样,得到的特征数据。
步骤S23、采用预先建立的网络入侵检测模型对步骤S22得到的特征数据进行检测,以识别待识别网络数据的安全性。
其中,由于压缩感知方法直接面向的对象需为向量形式的数据,因此首先通过步骤S21将待识别网络数据的转化为向量形式,这过程主要包括:依次执行的数据捕获、数值转化、尺度约减和规范化操作。
具体的,步骤S21可以借助于数据捕获器获取各种类型的协议数据包,得到每种协议的连接记录。这些协议数据包在传输层包括TCP、UDP、ICMP,而在应用层包含的协议较多,如HTTP、FTP、SNMP、SMTP和TELNETD,等等。得到的每条连接记录构成了一个向量,且每条连接记录均包含有协议的字段值。
由于压缩感知方法要求每个非数值属性必须转化为数值。因此,为了简便,本实施例采用数值直接替换连接记录的类别属性。另外,由于采集的数据集中的数据有多维特征,其包含的数据类型分为连续型和离散型两大类;因此对于连续型数据,将其映射到一个区间,进行离散化处理,而对于离散数据如果是字符类的则进行直接字符与数值的替换。
在进行数值化转换之后,为了避免较大值的属性值掩盖掉较小值的属性值和减少数值计算的工作量,需要对数据尺度进行约减。本实施例,通过将涉及的每个属性的值除以该属性的最大值将每个属性的值线性约减到[0,1]之间。
继续的,为了消除特征量纲的影响,可以对连续型数据进行规范化操作。规范化操作可以通过下述公式执行:S={sij|i=1,...,N,j=1,...D}是输入数据,N是样本数据的数目,D是样本数据的特征位数,μ是均值,σ是样本的标准差。因此对样本数据归一化表达式为:其中,
其中,压缩感知进行数据采样的基本原理是:
在适当选择的基上具有K稀疏描述的N维采样信号x∈RN,可以通过它在另一组非相干基上的M(K≤M<<N)次线性投影获得精确重建。即:y=Φx=ΦΨa。
其中,Φ为测量基,ΦΨ称为传感系统(感知矩阵),y为测量向量,a为原始的数据向量,测量基Φ构成M×N维测量矩阵。为了方便起见,这里假设稀疏基Ψ由单位向量构成,故我们的目标是通过M(M<<N)维测量向量y去精确重建或者逼近原始数据x。
由于网络数据本身具有稀疏性特点,因此这里可以不选择稀疏基,只选择测量矩阵;或者稀疏基用单位阵即可。其中可供选择的测量矩阵包括:高斯随机矩阵,随机贝努利矩阵,局部哈达玛测量矩阵,托普利兹测量矩阵,结构随机矩阵和Chirp测量矩阵。这里选择对噪声不敏感,恢复速度较快的托普利兹矩阵。一个k×n的托普利兹矩阵形式如下:
这里元素是服从独立同分布的(i.i.d),因此用托普利兹矩阵构建的测量矩阵很大程度上是满足3m阶RIP条件的,RIP条件是Donoho、E.Candes及华裔科学家T.Tao提出的用于压缩采样的矩阵能确保精确还原的限定性条件。且其3m阶等距约束常数δ3m∈(0,1/3),稀疏度k≥const·m3ln(n/m)。经过实验发现,虽然托普利兹矩阵的自由度的约减在压缩感知中会增加测量次数,但在托普利兹矩阵采样下去恢复稀疏的网络数据的精度和准确度好于其他矩阵。
请参考图3,是本发明提供的基于模式识别的网络入侵检测方法的第三实施例的流程示意图。其包括:
步骤S31、采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据。
步骤S32、采用预先建立的网络入侵检测模型对步骤S11得到的特征数据进行检测,以识别待识别网络数据的安全性。
步骤S33、当步骤S32识别到待识别网络数据为安全数据时,采用重构算法将特征数据还原为待识别网络数据。
其中,步骤S33中所用的重构算法的性能决定了是否能有效地恢复出原始的数据,目前有许多已知的重构算法可供选择,如匹配追踪算法、正交匹配追踪算法、正则化的正交匹配追踪算法、子空间追踪算法、迭代硬阈值算法,等等。
需要说明的是,在已知的网络入侵检测方法中,对于由误操作导致产生的少量的噪声数据,一般将其认定为入侵行为。但是,这些噪声数据从访问行为上看并不属于入侵行为,其本身也不具备危害性,因此将其认定为入侵行为是不恰当的;但是,对其置之不顾,也有可能造成隐患。由于本发明在网络入侵检测中引入了压缩感知的方法,因此一方面本发明将这种由误操作导致产生的少量的噪声数据不认定为入侵行为,另一方面,在步骤S33中采用对噪声数据的过滤能力较强的正交匹配追踪算法重构待识别网络数据,以滤除这些少量的噪声数据,而不影响整个数据流的访问行为。
具体的,正交匹配追踪算法重构待识别网络数据的过程包括:
a、初始化冗余向量r0=y,索引集合迭代计数t=1。
b、找到索引λt使得M={1,2,…M}M-Λt表示集合M中去掉Λt中的元素。
c、令Λt=Λt-1∪{λt}。
d、计算新的近似其中Φ⊥表示Φ的伪逆,Φ⊥=(ΦTΦ)-1ΦT。
e、更新冗余向量
f、如果满足||rt-rt-1||2<εor N=Λt,则停止否则t=t+1转步骤(b)。
其中,上述流程的输入:感知矩阵Φ,检测为正常访问的数据向量y,误差阈值ε;输出为:x为还原的网络访问记录,重建误差r。执行完上述中之后,就可以得到向量x,他就是一条完整的网络数据记录,该记录与压缩采样前的数据应该是一致的。
步骤S34、当步骤S42识别到待识别网络数据为异常数据时,执行异常处理流程。
其中,异常处理流程一般包括:阻止该网络数据、对用户进行报警等操作。
请参考图4是本发明提供的基于模式识别的网络入侵检测方法的第四实施例的流程示意图。其包括:
步骤S41、采用采样矩阵对训练数据进行压缩采样,得到训练数据的特征数据。
步骤S42、将训练数据的特征数据输入分类器进行训练,以建立网络入侵检测模型。
步骤S43、采用压缩感知法对待识别网络数据进行压缩采样,得到待识别网络数据的特征数据。
步骤S44、采用预先建立的网络入侵检测模型对步骤S53得到的特征数据进行检测,以识别待识别网络数据的安全性。
其中,步骤S41和步骤S42主要是利用压缩感知的思想建立网络入侵检测模型,其与前述的的对待识别网络数据进行压缩采样,得到待识别网络数据的特征数据的过程相似。其中,步骤S41中的采样矩阵类似于前述的测量矩阵,甚至可以直接为测量矩阵。
步骤S42得到特征数据之后,将其输入分类器进行训练,以建立网络入侵检测模型。具体的,可以利用支持向量机进行训练,在训练阶段,分析训练数据集中数据记录的特征属性,为每种类型标识生成精确的分类规则描述。具体过程为:首先输入训练数据集,该数据是压缩采样后得到的,其数据特征维度大大约减,但是攻击类型这一属性不能压缩掉;然后通过支持向量机的训练,找到其最优分类超平面,即最能精确判别攻击类别的划分;最后生成训练数据与输出的判别的攻击类型的对应关系,如训练集标记的攻击类型,与模型判别的攻击类型有较大差异,则调整学习参数,重新训练。
在图1-5的实施例中,对本发明进行了详细的说明,为了进一步说明本发明优于传统的入侵检测技术,本方案进行了如下的仿真实验。
为了便于比较实验结果,本仿真实验采用了著名的开放数据集,即美国新墨西哥大学(University of New Mexico,UNM)的Sendmail和lpr数据集,如表一所示。CERTSendmail数据共包含两组,数据集名称为sendmail.daemon.int.gz和Sendmail.int.gz。数据中共有19,526条系统调用,总计147条进程。异常数据是通过使用syslogd攻击采集得到的,其中包括syslog-locall,syslog-local2,syslog-remotel,和syslog-remote2。这4个攻击产生了共计23个进程。本仿真实验选取了100条正常进程作为训练数据,其他做测试数据。MIT lpr数据中总共包含2703个正常进程和1001个入侵进程。这里使用前600个正常进程和前300个入侵进程作为实验数据。基于压缩感知的数据采样的关键是对采样数据的压缩率。通常情况下压缩率越高,其后期进行训练和检测的速度越快,但较高的压缩率由会影响检测的精度。因此为了分析压缩率对检测效果的影响,我们研究了测量矩阵的维度与检测能力的关系(这里主要是通过选择测量矩阵的行数来控制压缩采样率)。由于使用数据量较大,我们采用分批进行压缩采样的方式,每次进行采样的数据量为1000个系统调用,对应测量矩阵为1000列,而压缩程度取决于采样矩阵行数,我们选择行数分别300,400,…900,1000。当为1000时就是非压缩采样模式。
表一:
为了可以更加清晰、明了地观测实验结果,本仿真实验引入了如下几个检测性能指标:
正确率TR(True Rate):测试集中正确加标签的数据个数与测试集中数据总个数的比值。
检测率DR(Detection Rate):测试集中已检测出的正确的攻击数据的个数与实际总的攻击数据个数的比值。
误报率FPR(False Positive Rate):测试集经算法检测后,被误认为是攻击数据的个数与检测出的攻击数据总数的比值。
实验比较采用压缩感知方式获取数据,与传统的不压缩的数据获取方式下以支持向量机作为分类器进行分类检测的效果。通过实验对比,本仿真实验进一步分析基于压缩感知的入侵检测的优势。图5(a)至(c)展示了用Sendmail作为实验数据,在两种方式进行入侵检测的正确率(TR)、检测率(DR)和误报率(FPR)。
从图5可以看出,采用压缩感知的方法在低采样次数下,正确率(TR)、检测率(DR)都比较低,误报率较高。随着采样次数的增加,性能明显得到提升,特别是采样次数为650-700之间时,正确率(TR)、检测率(DR)和误报率(FPR)趋于稳定,达到和传统的非压缩采样的方式同等的效果。由于采用压缩感知的方式对网络数据进行了压缩采样,使得数据处理的维度大大减少,输入分类器训练和检测的时间也相应地减少。表二展示压缩感知方法和非压缩感知的传统方法下,用支持向量机构成的分类器进行训练和检测的时间。
表二:
其中,TTT即Traditional train time(s),传统方法的训练时间。CTT即Compressed train time(s),压缩采样后的训练时间。TDT即Traditional detection time(s),传统方法检测时间。CTT即Compressed train time,压缩采样后检测时间。
从表二中可以看出,采样压缩感知的方法进行入侵检测,无论是训练时间还测试时间都大为减少。因此可以得出基于压缩感知的入侵检测,在确保检测精度的情况下,能有效地减少训练和检测的时间,这有利于实现网络检测的实时性。
请参考图6,是本发明提供的基于模式识别的网络入侵检测系统的第一实施例的结构示意图。其包括:
压缩感知模块1,用于采用压缩感知法对待识别网络数据进行压缩采样,得到待识别网络数据的特征数据。
安全性识别模块2,用于采用预先建立的网络入侵检测模型对压缩感知模块1得到的特征数据进行检测,以识别待识别网络数据的安全性。
本实施例,由于压缩感知模块1中采用压缩感知方法对待识别网络数据进行压缩采样,因此可以避免大量数据的处理,可以提高数据处理效率,降低待识别网络数据的安全性的检测流程所耗时间,满足实时性入侵检测的要求。
请参考图7,是本发明提供的基于模式识别的网络入侵检测系统的第二实施例的结构示意图。图7与图6的主要区别在于,压缩感知模块1包括:
预处理单元11,用于将待识别网络数据转化为向量形式的待识别网络数据。
压缩采样单元12,用于采用测量矩阵对预处理单元11得到的向量形式的待识别网络数据进行压缩采样,得到特征数据。
其中,由于压缩感知方法直接面向的对象需为向量形式的数据,因此预处理单元11需要将待识别网络数据的转化为向量形式,这过程主要包括:数据捕获、数值转化、尺度约减和规范化操作。
其中,由于网络数据本身具有稀疏性特点,因此压缩采样单元12在压缩采样时可以不选择稀疏基,只选择测量矩阵;或者稀疏基用单位阵即可。其中可供压缩采样单元12选择的测量矩阵包括:高斯随机矩阵,随机贝努利矩阵,局部哈达玛测量矩阵,托普利兹测量矩阵,结构随机矩阵和Chirp测量矩阵。优选的,选择对噪声不敏感,恢复速度较快的托普利兹矩阵。
请参考图8,是本发明提供的基于模式识别的网络入侵检测系统的第三实施例的结构示意图。图8与图7的主要区别在于,图8还包括:
处理模块3,用于当安全性识别模块2识别到待识别网络数据为安全数据时,采用重构算法将特征数据还原为待识别网络数据,当安全性识别模块2识别到待识别网络数据为异常数据时,执行异常处理。
其中,处理模块3所用的重构算法的性能决定了是否能有效地恢复出原始的数据,目前有许多已知的重构算法可供选择。这里,优先选择正交匹配追踪算法重构待识别网络数据。异常处理流程一般包括:阻止该网络数据、对用户进行报警等操作。
请参考图9是本发明提供的基于模式识别的网络入侵检测系统的第四实施例的结构示意图。图9与图7的主要区别在于,还包括:
训练模块4,用于采用采样矩阵对训练数据进行压缩采样,得到训练数据的特征数据,以及将训练数据的特征数据输入分类器进行训练,以建立网络入侵检测模型。
其中,训练模块4主要是利用压缩感知的思想对训练数据进行处理,得到训练数据的特征数据,这过程与前述中的对待识别网络数据进行压缩采样,得到待识别网络数据的特征数据的过程相似。
训练模块4得到特征数据之后,将其输入分类器进行训练,以建立网络入侵检测模型。具体的,可以利用支持向量机进行训练,在训练阶段,分析训练数据集中数据记录的特征属性,为每种类型标识生成精确的分类规则描述。具体过程为:首先输入训练数据集,该数据是压缩采样后得到的,其数据特征维度大大约减,但是攻击类型这一属性不能压缩掉;然后通过支持向量机的训练,找到其最优分类超平面,即最能精确判别攻击类别的划分;最后生成训练数据与输出的判别的攻击类型的对应关系,如训练集标记的攻击类型,与模型判别的攻击类型有较大差异,则调整学习参数,重新训练。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种基于模式识别的网络入侵检测方法,其特征在于:包括:
采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据;
采用预先建立的网络入侵检测模型对所述特征数据进行检测,以识别所述待识别网络数据的安全性;
所述采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据,包括:
将所述待识别网络数据转化为向量形式的待识别网络数据;通过数据捕获器获取各种类型的协议数据包,得到每种协议的连接记录,得到的每条连接记录构成一个向量,且每条连接记录均包含有协议的字段值,采用数值直接替换连接记录的类别属性,数据类型包括连续型和离散型,对于连续型数据,将其映射到一个区间,进行离散化处理,对于离散型数据如果是字符类的则进行直接字符与数值的替换;
采用测量矩阵对所述向量形式的待识别网络数据进行压缩采样,得到特征数据,或者,采用测量矩阵与稀疏基对所述向量形式的待识别网络数据进行压缩采样,得到特征数据。
2.如权利要求1所述的基于模式识别的网络入侵检测方法,其特征在于:所述测量矩阵包括:高斯随机矩阵、随机贝努利矩阵、局部哈达玛测量矩阵、托普利兹测量矩阵、结构随机矩阵或Chirp测量矩阵;所述稀疏基包括:单位矩阵。
3.如权利要求1-2中任一项所述的基于模式识别的网络入侵检测方法,其特征在于:所述采用预先建立的网络入侵检测模型对所述特征数据进行检测,以识别所述待识别网络数据的安全性之后,还包括:
当所述待识别网络数据为安全数据时,采用重构算法将所述特征数据还原为所述待识别网络数据;
当所述待识别网络数据为异常数据时,执行异常处理流程。
4.如权利要求3所述的基于模式识别的网络入侵检测方法,其特征在于:所述重构算法包括:匹配追踪算法、正交匹配追踪算法、正则化的正交匹配追踪算法、子空间追踪算法或迭代硬阈值算法。
5.如权利要求4中任一项所述的基于模式识别的网络入侵检测方法,其特征在于:所述采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据之前,还包括:
采用采样矩阵对训练数据进行压缩采样,得到所述训练数据的特征数据;
将所述训练数据的特征数据输入分类器进行训练,以建立所述网络入侵检测模型。
6.一种基于模式识别的网络入侵检测系统,其特征在于:包括:
压缩感知模块,用于采用压缩感知法对待识别网络数据进行压缩采样,得到所述待识别网络数据的特征数据;
安全性识别模块,用于采用预先建立的网络入侵检测模型对所述压缩感知模块得到的特征数据进行检测,以识别所述待识别网络数据的安全性;
预处理单元,用于将所述待识别网络数据转化为向量形式的待识别网络数据;通过数据捕获器获取各种类型的协议数据包,得到每种协议的连接记录,得到的每条连接记录构成一个向量,且每条连接记录均包含有协议的字段值,采用数值直接替换连接记录的类别属性,数据类型包括连续型和离散型,对于连续型数据,将其映射到一个区间,进行离散化处理,对于离散型数据如果是字符类的则进行直接字符与数值的替换;
压缩采样单元,用于采用测量矩阵对所述预处理单元得到的向量形式的待识别网络数据进行压缩采样,得到特征数据,或者,采用测量矩阵与稀疏基对所述预处理单元得到的向量形式的待识别网络数据进行压缩采样,得到特征数据。
7.如权利要求6所述的基于模式识别的网络入侵检测系统,其特征在于:还包括:
处理模块,用于当所述识别模块识别到所述待识别网络数据为安全数据时,采用重构算法将所述特征数据还原为所述待识别网络数据,当识别到所述待识别网络数据为异常数据时,执行异常处理。
8.如权利要求6-7中任一项所述的基于模式识别的网络入侵检测系统,其特征在于:还包括:
训练模块,用于采用采样矩阵对训练数据进行压缩采样,得到所述训练数据的特征数据,以及将所述训练数据的特征数据输入分类器进行训练,以建立所述网络入侵检测模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310213066.4A CN103312703B (zh) | 2013-05-31 | 2013-05-31 | 基于模式识别的网络入侵检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310213066.4A CN103312703B (zh) | 2013-05-31 | 2013-05-31 | 基于模式识别的网络入侵检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103312703A CN103312703A (zh) | 2013-09-18 |
CN103312703B true CN103312703B (zh) | 2017-03-15 |
Family
ID=49137488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310213066.4A Expired - Fee Related CN103312703B (zh) | 2013-05-31 | 2013-05-31 | 基于模式识别的网络入侵检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103312703B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104265577B (zh) * | 2014-04-16 | 2017-05-10 | 湘潭大学 | 一种基于压缩感知的风力发电机组异常检测方法 |
CN105306469B (zh) * | 2015-11-02 | 2018-06-15 | 国网江西省电力有限公司电力科学研究院 | 一种无线网络入侵检测方法 |
CN105516206A (zh) * | 2016-01-28 | 2016-04-20 | 西南大学 | 基于偏最小二乘的网络入侵检测方法及系统 |
CN106973038B (zh) * | 2017-02-27 | 2019-12-27 | 同济大学 | 基于遗传算法过采样支持向量机的网络入侵检测方法 |
CN108055276B (zh) * | 2017-12-25 | 2020-10-20 | 南京南邮信息产业技术研究院有限公司 | 面向大数据应用平台的入侵检测实时分析系统 |
CN108306864B (zh) * | 2018-01-12 | 2021-02-26 | 深圳壹账通智能科技有限公司 | 网络数据检测方法、装置、计算机设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101499064A (zh) * | 2008-02-01 | 2009-08-05 | 华为技术有限公司 | 建立模式匹配状态机的方法及装置 |
WO2009121289A1 (zh) * | 2008-03-31 | 2009-10-08 | 华为技术有限公司 | 一种建立模式匹配状态机、模式识别的方法和装置 |
CN101685502A (zh) * | 2008-09-24 | 2010-03-31 | 华为技术有限公司 | 模式匹配方法及装置 |
-
2013
- 2013-05-31 CN CN201310213066.4A patent/CN103312703B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101499064A (zh) * | 2008-02-01 | 2009-08-05 | 华为技术有限公司 | 建立模式匹配状态机的方法及装置 |
WO2009121289A1 (zh) * | 2008-03-31 | 2009-10-08 | 华为技术有限公司 | 一种建立模式匹配状态机、模式识别的方法和装置 |
CN101685502A (zh) * | 2008-09-24 | 2010-03-31 | 华为技术有限公司 | 模式匹配方法及装置 |
Non-Patent Citations (1)
Title |
---|
稀疏表示在入侵检测中的应用;崔振等;《计算机工程》;20120430;第38卷(第7期);102-103 * |
Also Published As
Publication number | Publication date |
---|---|
CN103312703A (zh) | 2013-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103312703B (zh) | 基于模式识别的网络入侵检测方法及系统 | |
Raghavendra et al. | Robust scheme for iris presentation attack detection using multiscale binarized statistical image features | |
US8245301B2 (en) | Network intrusion detection visualization | |
CN106649831A (zh) | 一种数据过滤方法及装置 | |
CN107862687A (zh) | 一种用于监测农业病虫害的预警系统 | |
CN107422232A (zh) | 一种配电网终端设备的数字式带电检测工具 | |
CN110351291A (zh) | 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 | |
CN109827652A (zh) | 一种针对光纤传感振动信号识别方法与系统 | |
CN110808995B (zh) | 安全防护方法和装置 | |
CN112631896A (zh) | 设备性能测试方法、装置、存储介质及电子设备 | |
CN103093243A (zh) | 高分辨率全色遥感图像云判方法 | |
CN107169334B (zh) | 用于手部可穿戴设备的基于直拳动作检测的用户认证方法 | |
CN103839072B (zh) | 一种基于朴素贝叶斯分类器的假指纹检测方法 | |
CN114465678A (zh) | 一种基于深度学习的复杂活动wifi感知方法 | |
CN112565164A (zh) | 危险ip的识别方法、装置和计算机可读存储介质 | |
CN110865866A (zh) | 一种基于自省技术的虚拟机安全检测方法 | |
CN113343228A (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
CN113919389A (zh) | 一种基于声纹成像的gis故障诊断方法及系统 | |
US20150150132A1 (en) | Intrusion detection system false positive detection apparatus and method | |
KR102316799B1 (ko) | 객체 및 상황 인지 방법 및 시스템 | |
CN112257076A (zh) | 一种基于随机探测算法和信息聚合的漏洞检测方法 | |
Malik et al. | Performance Evaluation of Classification Algorithms for Intrusion Detection on NSL-KDD Using Rapid Miner | |
CN115205541A (zh) | 泄漏检测方法及相关装置、电子设备和存储介质 | |
KR20150056268A (ko) | 공장 운영 장애에 대한 분석용 어플리케이션 및 분석 방법 | |
CN117235650B (zh) | 一种高空作业状态检测方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170315 Termination date: 20190531 |
|
CF01 | Termination of patent right due to non-payment of annual fee |