CN103748988B - 一种基于模糊不确定性推理的攻击检测方法 - Google Patents
一种基于模糊不确定性推理的攻击检测方法Info
- Publication number
- CN103748988B CN103748988B CN200910121549.5A CN200910121549A CN103748988B CN 103748988 B CN103748988 B CN 103748988B CN 200910121549 A CN200910121549 A CN 200910121549A CN 103748988 B CN103748988 B CN 103748988B
- Authority
- CN
- China
- Prior art keywords
- fuzzy
- attack
- membership function
- reasoning
- possibility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种基于模糊不确定性推理的攻击检测方法,属于网络信息安 全技术领域。适用于误用检测系统。本发明在提取模糊攻击特征以及建立模糊 知识模板的基础上,采用模糊推理技术对攻击发生的可能性进行检测。误用检 测系统采用本发明方法,能够有效的提高对攻击行为及其变体的检测准确率。
Description
技术领域
本发明涉及一种基于模糊不确定性推理的攻击检测方法,属于网络信息安全技术领域。适用于误用检测系统。
背景技术
网络攻击检测技术是从网络中收集可能含有攻击痕迹的日志数据,通过对数据进行分析来发现可能存在的攻击行为。从检测方法的角度可将入侵检测技术分为两类:异常检测和误用检测。误用检测技术需要事先建立攻击知识模板,再从日志数据中提炼出攻击证据,通过将攻击证据与攻击知识模板进行匹配,如果相符则认为是攻击;否则,不认为是攻击。
目前误用检测主要采用确定性推理技术,即推理过程中知识模板和匹配过程都是精确的。基于确定性推理技术的误用检测能够对某一种网络攻击进行检测,而不能对该攻击的变体进行检测,也就是说如果攻击者将攻击的过程做少许变动,就能避开误用检测。造成这一问题的原因是由于误用检测的方式是一种精确的过程。精确性包含两个方面的含义:知识模板是精确的,模板匹配也是精确的。因此如果攻击过程稍稍偏离模板定义的过程,则匹配结果就不相符,导致不能检测出相应的攻击行为。
发明内容
本发明的目的是为了克服误用检测中确定性推理技术存在的不足,提出一种基于模糊不确定性推理的攻击检测方法。本发明在提取模糊攻击特征以及建立模糊知识模板的基础上,采用模糊推理技术对攻击发生的可能性进行检测。误用检测系统采用本发明提出的方法,能够提高对攻击行为及其变体的检测准确率。
本发明的一种基于模糊不确定性推理的攻击检测方法整体框架设计流程如图1所示。具体实现步骤如下:
步骤一、建立模糊攻击知识模板
第1步:提取模糊攻击特征
通过对某一类攻击进行详细分析,提取出针对该类攻击的一组模糊特征,表示为xj(j=1,2,…,n);
第2步:建立模糊知识模板
根据领域专家的经验和知识,利用第1步提取的模糊特征建立模糊知识模板。模糊知识模板由一组IF和THEN语句组成,如下:
步骤二、建立隶属函数库
在步骤一的基础上,根据领域专家的经验和知识建立模糊知识模板中模糊集合的隶属函数,生成隶属函数库。定义模糊集合和(i=1,2,…,m,j=1,2,…,n)对应的隶属函数分别为和较佳的,隶属函数采用梯形隶属函数和三角形隶属函数。
步骤三、采集模糊证据
步骤四、模糊化
步骤五、进行模糊推理
在步骤四的基础上,进行模糊推理。具体步骤如下:
第1步:建立模糊蕴含关系的隶属函数
其中运算符∧和∨分别是逻辑“与”和逻辑“或”运算。
第2步:进行模糊推理
步骤六、去模糊化
其中,u值是一个0到1之间的数,表示通过模糊推理得到的某一攻击发生的可能性大小。
有益效果
基于模糊不确定性推理的攻击检测中,知识模板和匹配过程都是不精确的,这种不精确性使得检测过程中即使检测量在一定范围内发生了变动,同样也能够检测到相应的攻击行为,也就是说,如果攻击者将攻击的过程做少许变动,检测结果不是相符或者不相符,而是某一攻击发生的可能性发生了变化,因此,基于模糊不确定性推理的攻击检测方法能够在一定程度上对攻击及其变体进行检测。
附图说明
图1为本发明的一种基于模糊不确定性推理的攻击检测方法的整体框架设计流程图;
图2为本发明实施例的s取值模糊集合的隶属函数;
图3为本发明实施例的y取值模糊集合的隶属函数。
具体实施方式
根据上述技术方案,下面结合附图和实施例对本发明进行详细说明。
以口令暴力破解攻击为例对本发明的实施过程进行说明。
首先建立攻击的模糊知识模板,再通过模糊推理对该攻击及其变体进行检测。
口令破解一般采用暴力破解软件进行破解,其原理是从一个事先定义好的口令字典库中顺序读取口令,通过尝试的方式进行破解。破解过程中的口令字典和口令尝试的速率都可以自定义。目前对口令破解的检测方法是通过对尝试失败的次数特征进行检测,是一种基于确定性推理技术的检测方法,其规则如下:
IF在T0时间内口令尝试失败的次数x大于N0THEN攻击y是口令破解攻击。
其中T0和N0都是固定的数量值,如果在T0时间内检测到尝试失败的次数x大于N0,则认为是攻击,否则不是攻击。
针对上述检测规则,攻击者可以降低口令尝试的频率,只要在T0时间内尝试的次数小于N0都是正常的,因此攻击者可以改变攻击的方式而逃避检测。
采用本发明的检测方法具体步骤如下:
步骤一、建立模糊攻击知识模板
第1步:提取模糊攻击特征
针对口令暴力破解攻击提取的模糊特征为:时间T0内尝试的次数s。
第2步:建立模糊知识模板
利用第1步提取的模糊特征建立模糊知识模板,设T0为10分钟,模糊知识模板如下:
IF s is high THEN y is high
IF s is normal THEN y is normal
IF s is low THEN y is low
步骤二、建立隶属函数库
建立s取值的模糊集合high、normal、low以及y取值的模糊集合high、normal、low的隶属函数,分别为uhigh(s)、unormal(s)、ulow(s)和uhigh(y)、unormal(y)、ulow(y)。s的隶属函数图形如图2所示,y的隶属函数图形如图3所示。
步骤三、采集模糊证据
对10分钟内口令尝试的次数s0进行检测,进行了两次检测,结果分别为s01=7和s02=4。
步骤四、模糊化
在步骤三的基础上,将s01、s02代入隶属函数uhigh(s)、unormal(s)、ulow(s),分别得到对应的值为:unormal(s01)=1、ulow(s01)=0.2以及uhigh(s02)=0、
步骤五、进行模糊推理
根据步骤一建立的模糊知识模板建立模糊蕴含关系其隶属函数如下:
其中运算∧和∨分别是逻辑“与”和逻辑“或”运算。
第2步:进行模糊推理
步骤六、去模糊化
针对步骤五得到的攻击y发生可能性的模糊集合B1、B2,取其隶属函数曲线与横坐标轴围成面积的重心作为攻击y发生可能性的具体值,计算方法如下:
通过计算分别得到μ1=0.4982、μ2=0.4168。
也就是当在10分钟内检测到口令尝试为4次和7次时,其为口令破解攻击的可能性分别为41.68%和49.82%。
为说明本发明的效果,利用上述数据,重新用确定性推理的攻击检测方法进行测试。若确定性推理的攻击检测定义当在10分钟内检测到口令尝试小于10次,认为是合理的,则2次检测的结果都认为是合理的。
结论:基于模糊不确定性推理的攻击检测方法更优。
虽然结合附图描述了本发明的实施方式,但是对于本领域技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些也应视为属于本发明的保护范围。
Claims (2)
1.一种基于模糊不确定性推理的攻击检测方法,其特征在于:在提取模糊攻击特征以及建立模糊知识模板的基础上,采用模糊推理技术对攻击发生的可能性进行检测。具体实现步骤如下:
步骤一、建立模糊攻击知识模板
第1步:提取模糊攻击特征
通过对某一类攻击进行详细分析,提取出针对该类攻击的一组模糊特征,表示为xj(j=1,2,…,n);
第2步:建立模糊知识模板
根据领域专家的经验和知识,利用第1步提取的模糊特征建立模糊知识模板。模糊知识模板由一组IF和THEN语句组成,如下:
步骤二、建立隶属函数库
步骤三、采集模糊证据
步骤四、模糊化
步骤五、进行模糊推理
在步骤四的基础上,进行模糊推理。具体步骤如下:
第1步:建立模糊蕴含关系的隶属函数
其中运算符∧和∨分别是逻辑“与”和逻辑“或”运算。
第2步:进行模糊推理
步骤六、去模糊化
其中,u值是一个0到1之间的数,表示通过模糊推理得到的某一攻击发生的可能性大小。
2.根据权利要求1所述的一种基于模糊不确定性推理的攻击检测方法,其特征在于步骤二中的建立隶属函数库,较佳的,隶属函数采用梯形隶属函数和三角形隶属函数。
Publications (1)
Publication Number | Publication Date |
---|---|
CN103748988B true CN103748988B (zh) | 2010-10-06 |
Family
ID=
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107204965A (zh) * | 2016-03-18 | 2017-09-26 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
CN100450046C (zh) * | 2006-08-30 | 2009-01-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN100450046C (zh) * | 2006-08-30 | 2009-01-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
Non-Patent Citations (2)
Title |
---|
孙磊.基于数据融合的入侵检测模型研究.硕士学位论文. 2005,全文. * |
邹成武等.基于模糊推理信息融合的Ad Hoc入侵检测.计算机工程. 2008, 34(14)全文. * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107204965A (zh) * | 2016-03-18 | 2017-09-26 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
CN107204965B (zh) * | 2016-03-18 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11343116B2 (en) | Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy | |
US10261502B2 (en) | Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
CN106790186A (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN106341414A (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
CN104113544A (zh) | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 | |
CN109257393A (zh) | 基于机器学习的xss攻击防御方法及装置 | |
CN109347853A (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
CN114938287B (zh) | 一种融合业务特征的电力网络异常行为检测方法及装置 | |
CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
CN101286979B (zh) | 一种网络攻击检测方法 | |
CN102523579A (zh) | 基于物理不可克隆功能的无线传感器网络及其实现方法 | |
CN106156615A (zh) | 基于类可分性判距的旁路区分器方法及系统 | |
CN113687610A (zh) | 一种gan-cnn电力监测系统终端信息防护法方法 | |
CN103748988B (zh) | 一种基于模糊不确定性推理的攻击检测方法 | |
CN113361608A (zh) | 一种基于横向对比特征和神经网络的隐蔽窃电检测方法 | |
CN102164140A (zh) | 基于否定选择和信息增益的入侵检测方法 | |
CN112600828A (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
CN112468484B (zh) | 一种基于异常和信誉的物联网设备感染检测方法 | |
CN105516164A (zh) | 基于分形与自适应融合的P2P botnet检测方法 | |
Zhou et al. | Research on network security attack detection algorithm in smart grid system | |
Li et al. | Data-driven false data injection attacks on state estimation in smart grid | |
Jusas et al. | Logical filter approach for early stage cyber-attack detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR03 | Grant of secret patent right | ||
DC01 | Secret patent status has been lifted |