CN103795595A - 一种局域网内网入侵的智能检测方法 - Google Patents

Abstract

本发明公开了一种局域网内网入侵的智能检测方法，包括数据采集步骤、数据检测分析步骤和数据显示步骤，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行：（1）采集数据的模型化处理步骤，包括如下两种方式：S202、FCM聚类过程计算；S203、智能化计算；（2）指标评价分析步骤，分析指标包括检测率和检测度，其中，检测率Dr（detection rate）：Dr=n_i/N_i；检测度：Du=m_i/M_i-F_i/S_i；（3）得出结论步骤：得到入侵数、攻击类型数和分类攻击数。本发明完善对网络入侵检测的高效和智能化，使现有的入侵检测系统的防护手段得到进一步提高。

Description

一种局域网内网入侵的智能检测方法

技术领域

本发明涉及一种智能检测方法，更具体的说，涉及一种局域网内网入侵的智能检测方法。

背景技术

随着网络技术的逐步发展，网络环境变得更加复杂，越来越多的内网系统遭到入侵攻击的威胁。为了确保网络信息的传输安全，有以下几个问题：对网络上信息的监听、对用户身份的仿冒、对网络上信息的篡改、对发出的信息予以否认、对信息进行重发。对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门、无法阻止网络内部攻击、无法实现实时入侵检测、无法有效监测拦截病毒传播等。因此很多组织致力于提出更强大的主动策略来保障网络的安全性，入侵检测作为一种积极主动的安全防护技术，成为一个有效的解决途径。入侵检测系统(IDS——Intrusion DetectionSystem)是网络防火墙的有力补充，能够为网络安全提供实时的入侵检测并采取相应的防护手段，因而，入侵检测系统技术就越来越受到重视，如何高效地检测、记录、警报、响应内网入侵检测，已成为研究热点和难点问题。

发明内容

本发明所要解决的技术问题是，克服现有技术的缺点，提供一种完善的、高效的、智能的局域网内网入侵的智能检测方法。

为了解决以上技术问题，本发明提供一种局域网内网入侵的智能检测方法，包括数据采集步骤、数据检测分析步骤和数据显示步骤，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行：

（1）采集数据的模型化处理步骤，所述采集数据的模型化处理步骤包括如下两种方式：

S202、FCM聚类过程计算，按照FCM聚类过程方法计算，得出传统方法的入侵数、攻击类型数和分类攻击数；

S203、智能化计算，采用基于智能化的FCM聚类过程方法进行计算，得出新型智能算法方法的入侵数、攻击类型数和分类攻击数；

（2）指标评价分析步骤，分析指标包括检测率和检测度，其中，

检测率Dr（detection rate）：Dr=n_i/N_i，其中n_i表示第i个数据集中被正确检测到的某一类攻击数据量，N_i表示第i个数据集中该类攻击数据总量；

检测度：Du=m_i/M_i-F_i/S_i，其中m_i表示第i个数据集中被正确检测到的入侵数据量，m_i表示第i个数据集中包含的入侵数据总量，F_i表示第i个数据集中被错误划分成入侵数据的正常数据数量，S_i表示第i个数据集中包含的正常数据总量；

（3）得出结论步骤：得到入侵数、入侵数据的检测率和检测度。

本发明技术方案的进一步限定为，步骤S202FCM聚类过程计算的具体方法为：

S301，数据采集步骤的数据集中聚类数目C，模糊加权指数m，迭代终止误差ε，最大迭代次数T，随机初始化各类中心点V，t=1；

步骤S302，计算隶属度矩阵、目标函数J和各类数据集新的中心点；

步骤S303，计算两代的目标函数差值是否在精度范围ε。

步骤S304，输出中心点V和目标函数J。

进一步地，步骤S203智能化计算的具体方法为：

步骤S401，数据采集步骤的数据集中类数目C，群体规模，差分进化初始参数；

步骤S402，进化代数计数器t=0，将样本大小为n的数据集划分为w个子集，计算FCM算法的聚类中心，得到初始种群；

步骤S403，计算目标函数，进行适应度评价；

步骤S404，通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率；

步骤S405，是否达到设计的进化代数，如果否，则执行S406，如果是则执行S407；

步骤S406，继续通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率，执行S405；

步骤S407，返回当前种群中适应度最大的个体，应用FCM聚类过程计算隶属度矩阵,计算目标函数，输出结果V，J。

本发明的有益效果是：本发明提供的一种局域网内网入侵的智能检测方法，综合了网络入侵的复杂性信息，借助了已有的模糊C均值聚类算法技术，采用了具有智能性的差分进化算法，实现并进一步完善对网络入侵检测的高效和智能化，使现有的入侵检测系统的防护手段得到进一步提高。

附图说明

图1为本发明的局域网内网入侵的智能检测装置的结构示意图；

图2为本发明的局域网内网入侵的智能检测方法的流程示意图；

图3为本发明中FCM聚类过程计算的具体方法的流程示意图；

图4为本发明中智能化计算的具体方法的流程示意图；

图5为本发明中FCM聚类过程计算的具体方法的计算结果示意；

图6为本发明中智能化计算的具体方法的计算结果示意。

具体实施方式

实施例1

本实施例提供的一种局域网内网入侵的智能检测装置，其结构如图1所示，包括信息采集器、信息检测器和信息输出器，信息采集器的入口通过网线与局域网的入口连接，信息采集器的出口通过网线与信息检测器的入口连接，信息检测器的出口通过网线与信息输出器的入口连接，上述信息采集器、信息检测器和信息输出器之间均通过WEB局域网络通信线路相互通信。

信息采集器用于采集局域网内信息，包括采集接口装置和采集微处理，采集接口装置与采集微处理通过信息通道连通，以便将所采集的数据信息发送至微处理器。信息通道包括内外网数据通信线路、计算数据通信线路和/或检测数据通信线路。

信息检测器用于对采集的信息进行检测分析并判断其是否为入侵信息。信息检测器包括信息收发装置、信息存储装置、信息处理装置、模型存储器、信息显示装置和检测信息反馈装置。

信息收发装置接收并转发所述信息采集器采集的数据，并对信息进行预处理，将各类不同信息格式转化为统一标准格式，以便后续的信息处理单元顺利进行信息处理。信息存储装置将接收的信息进行缓存，避免信息处理装置的拥堵，有利于负载均衡。信息处理装置通过预设的检测模型对信息是否为入侵信息进行处理。模型存储器用于存储检测模型的，以便将其存储的计算模型信息提供给信息处理单元。信息显示装置将检测分析结果输出及显示，检测信息反馈装置将采用的检测模型进行输出。

上述各装置的连接关系为：所述信息收发装置的入口与所述信息采集器连接，所述信息收发装置的出口与所述信息存储装置的入口连接。所述信息存储装置为高速数据缓存器，其出口与所述信息处理装置的入口连接。所述信息处理装置为ARM9S3C2440，其出口与所述信息显示装置和所述信息反馈装置的入口连接，并根据信息输出子系统输入设备发出的控制指令获取检测信息存储单元所存储的预处理的数据信息，通过通用模型接口单元获得来自模型存储单元的各类计算模型信息，并且基于该计算模型信息通过预处理的数据信息进行检测计算分析，将分析结果分别发送至信息显示装置和信息反馈装置。所述信息显示装置和所述信息反馈装置的出口分别与所述信息输出器的入口连接，信息显示装置接收来自信息处理器的检测分析结果，并且根据指令将检测分析结果通过通信总线传输到信息输出器，以显示出后检测分析结果，信息反馈装置与信息处理器相连，接收来自信息处理器的检测分析结果，并且根据指令将检测分析相关结果信息通过通信总线传输到信息输出器，供信息输出器将相关结果信息反馈给用户。所述模型存储器通过通用接口与所述信息处理装置连接。

信息输出器用于展示并输出检测分析结论，包括信息输出微处理器和信息输出设备，所述信息输出微处理的入口与所述信息显示装置和信息反馈装置的出口连接，所述信息输出微处理其的出口与所述信息输出设备连接。

上述局域网内网入侵的智能检测装置的工作方法为:

⑴数据采集，步骤S201，通过信息采集器进行数据采集，通过内外网数据信息线路采集内外网数据，所采集的数据信息均传输至信息检测器；

⑵检测计算分析，由信息检测器中的信息收发装置通过WEB局域网络通信线路接收信息采集器采集的数据信息，对数据信息进行预处理，将预处理过的数据信息存入信息存储装置，信息处理装置根据操作指令获取信息存储装置的预处理的数据信息，以及通过通用接口获取模型存储装置的各类计算模型信息，如FCM聚类过程方法计算模型（公式）、基于智能化的FCM聚类过程计算方法（公式）、评价指标计算模型（公式）等进行相关后检测计算分析具体检测计算分析步骤包括数据采集步骤、数据检测分析步骤和数据显示步骤，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行：

（1）采集数据的模型化处理步骤，所述采集数据的模型化处理步骤包括如下两种方式：

S202、FCM聚类过程计算，按照FCM聚类过程方法计算，得出传统方法的入侵数、攻击类型数和分类攻击数。

FCM聚类过程计算的具体方法为：

S301，数据采集步骤的数据集中聚类数目C，模糊加权指数m，迭代终止误差ε，最大迭代次数T，随机初始化各类中心点V，t=1；

步骤S302，计算隶属度矩阵、目标函数J和各类数据集新的中心点；

步骤S303，计算两代的目标函数差值是否在精度范围ε。

步骤S304，输出中心点V和目标函数J。

S203、智能化计算，采用基于智能化的FCM聚类过程方法进行计算，得出新型智能算法方法的入侵数、攻击类型数和分类攻击数。

将得到的入侵数据分离出来构成入侵数据集，运用聚类算法按照不同的攻击类型将入侵数据集划分为dos、probing、r2l以及u2r共4类。①dos：denial-of-service，拒绝服务攻击；本数据集中包含的具体的攻击有：back，neptune，land，pod，smurf，teardrop；②probing：surveillance and probing系统漏洞探测，端口监视或扫描。本数据集中包含的具体的攻击有：ipsweep，portsweep，satan，nmap；③r2l：unauthorized access from a remote machine toa local machine远程攻击。本数据集中包含的具体的攻击有：ftp_write，guess_passwd，imap，multihop，phf，spy，warezclient，warezmaster；④u2r：unauthorized access to local superuser privileges by a local unpivileged user本地用户权限提升攻击。

假设X={x₁,x₂,...,x_n}为待处理的数据集，x_i={x_i1,x_i2,...,x_it}为为数据集中的一个数据样本，对应于模式空间的一个点，数据集X的样本个数为n，每一个数据样本的特征（属性）数量为t，xi_j表示样本x_i

的第j个属性值。FCM算法的目标就是，根据给定的聚类个数c将数据集划分为c个模糊子集X₁,X₂,...,X_n。其目标函数为：

$J(U,V)=\underset{k=1}{\overset{\mathrm{nc}}{\mathrm{\Σ}}}\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\left(u_{\mathrm{ik}}\right)}^m{d}_{\mathrm{ik}}^2$

其中d_ik表示样本点x_i到中心点V_k的欧几里德距离，其中d_ik=||x_i-V_k||；u_k表示样本点x_i对于中心点V_k所属的分类的隶属度，U=(u_ik)为n×c维隶属度矩阵，且满足：

u_ik∈[0,1],且 $\&ForAll;i,\underset{k=1}{\overset{c}{\mathrm{\&Sigma;}}}{u}_{\mathrm{ik}}=1;\&ForAll;k,0<\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{u}_{\mathrm{ik}}<n$

目标函数J是在隶属度控制下，每个数据样本点到所有类中心的距离平方和。其中，m是模糊加权指数，它的取值范围是(1,∞)。m用来控制隶属度矩阵的模糊程度，其值需要根据实践经验选取，一般情况下，取1<m≤5。

由于V=(V₁,V₂,...,V_c)代表c个中心点的集合，运用朗格拉日乘数法求解，得到：

$V_i=\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{\left(u_{\mathrm{ik}}\right)}^m{X}_i}{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{\left(u_{\mathrm{ik}}\right)}^m}$

$u_{\mathrm{ik}}=\frac{1}{\underset{j=1}{\overset{c}{\mathrm{\&Sigma;}}}{\left(\frac{d_{\mathrm{jk}}}{d_{\mathrm{ij}}}\right)}^{\frac{2}{m-1}}}$

FCM聚类过程方法算法通过目标函数J进行迭代优化，不断调整每一类的中心点和每一个样本的隶属度，来提高聚类效果。FCM聚类过程方法算法需要4个参数：聚类数目C、模糊加权指数m、迭代终止误差ε、最大迭代次数T。

智能化计算的具体方法为：

步骤S401，数据采集步骤的数据集中类数目C，群体规模，差分进化初始参数；

步骤S402，进化代数计数器t=0，将样本大小为n的数据集划分为w个子集，计算FCM算法的聚类中心，得到初始种群；

步骤S403，计算目标函数，进行适应度评价；

步骤S404，通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率；

步骤S405，是否达到设计的进化代数，如果否，则执行S406，如果是则执行S407；

步骤S406，继续通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率，执行S405；

步骤S407，返回当前种群中适应度最大的个体，应用FCM聚类过程计算隶属度矩阵,计算目标函数，输出结果V，J。

将智能化差分进化算法应用于FCM聚类过程方法计算，具体为：数据集有n个样本，聚类数目c，每个样本均为t维向量，种群规模为w。差分进化的过程中有选择、交叉和变异操作。

该算法采用实数编码的方式，把c组表示聚类中心的参数连接起来。该算法的编码方式提高了算法的收敛速度和全局寻优能力。例如V=(V₁,V₂,...,Vc)编码后为：

{v₁₁,v₁₂,...,v_1t,…,v_c1,v_c2,...,v_ct}

其中，v_ij为V_i的第j个分量。

该算法的适应度函数为：

f=1/(1+J)

其中，f为FCM聚类过程的目标函数。

该算法在生成变异个体的过程中用到了父代种群中的多个个体。将种群中的第i个个体x_i作为目标向量，从种群中随机选出3个和目标向量不同的个体，分别记为x_r1，x_r2和x_r3，将这3个向量进行线性组合后就产生了变异向量v_i：

v_i=x_r1+F(x_r2-x_r3),i=1,2,...W

其中，{x_r1，x_r2，x_r3}是在父代种群中随机选出的三个不同的个体，且r1≠r2≠r3≠i；F为缩放因子，取值范围一般为[0，2]，它是差分进化算法的主要控制参数之一，作用是控制差分向量(x_r2-x_r3)的影响。显而易见，当x_r2与x_r3之间的差分向量越小时，它的扰动就会越小。

该算法的交叉操作是将目标向量x_i和变异向量v_i各维分量进行随机重组，其目的是为了提高种群中个体的多样性。首先确定交叉概率CR，再随机产生服从[0,1]上均匀分布的随机数randb，如果随机数randb不大于CR，则将目标向量x_i和变异向量v_i的第j维进行交叉，否则该目标向量不变。交叉向量u_i的生成方式为：

$u_{i,j}=\left\{\begin{array}{cc}{v}_{i,j},& \mathrm{randb}\&le;\mathrm{CR}\\ x_{i,j},& \mathrm{randb}>\mathrm{CR}\end{array}\right.$

其中，CR是范围在[0,1]之间的常数，CR的取值越大，发生交叉的可能就越大；randb是服从[0,1]间均匀分布的随机数。

该算法的选择操作采用的是一种“贪婪”的选择方法，当交叉和变异操作生成的新的向量个体u_i的适应度值比目标向量个体x_i更好时，新的向量个体u_i才被保存到下一代种群中；否则，目标向量个体x_i仍将继续保留在下一代种群中。对于求最小化问题，其选择方式：

（2）指标评价分析步骤，分析指标包括检测率和检测度，其中，

检测率Dr（detection rate）：Dr=n_i/N_i，其中n_i表示第i个数据集中被正确检测到的某一类攻击数据量，N_i表示第i个数据集中该类攻击数据总量；这里攻击类型有dos、probing、r2l、u2r共4种。

检测度：Du=m_i/M_i-F_i/S_i，其中m_i表示第i个数据集中被正确检测到的入侵数据量，m_i表示第i个数据集中包含的入侵数据总量，F_i表示第i个数据集中被错误划分成入侵数据的正常数据数量，S_i表示第i个数据集中包含的正常数据总量；m_i/M_i相当于入侵数据的检测率，F_i/S_i相当于误报率。显然检测率越高，误报率越低，检测度的值越大，因此本文定义的检测度能很客观的反映算法的检测性能。

（3）得出结论步骤：得到入侵数、入侵数据的检测率和检测度。

模型存储器中的检测计算模型是以最优聚类结果最小为目标函数，具体形式为：

$\mathrm{MinJ}(U,V)=\underset{k=1}{\overset{c}{\mathrm{\&Sigma;}}}\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{\left(u_{\mathrm{ik}}\right)}^m{d}_{\mathrm{ik}}^2$

其中d_ik表示样本点x_i到中心点V_k的欧几里德距离，其中d_ik=||x_i-V_k||；u_k表示样本点x_i对于中心点V_k所属的分类的隶属度，U=(u_ik)为n×c维隶属度矩阵。

图5为FCM聚类过程计算的具体方法的计算结果示意；图6为智能化计算的具体方法的计算结果示意。如图5和图6中所示，FCM聚类过程计算方法案例的检测率为0.393，智能化计算案例计算的检测率为0.634，智能性的差分进化算法方法的检测率均大于模糊C均值聚类算法方法的检测率。

除上述实施例外，本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案，均落在本发明要求的保护范围。

Claims (3)

1.一种局域网内网入侵的智能检测方法，包括数据采集步骤、数据检测分析步骤和数据显示步骤，其特征在于，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行：

（1）采集数据的模型化处理步骤，所述采集数据的模型化处理步骤包括如下两种方式：

S202、FCM聚类过程计算，按照FCM聚类过程方法计算，得出传统方法的入侵数、攻击类型数和分类攻击数；

S203、智能化计算，采用基于智能化的FCM聚类过程方法进行计算，得出新型智能算法方法的入侵数、攻击类型数和分类攻击数；

（2）指标评价分析步骤，分析指标包括检测率和检测度，其中，

检测率Dr（detection rate）：Dr=n_i/N_i，其中n_i表示第i个数据集中被正确检测到的某一类攻击数据量，N_i表示第i个数据集中该类攻击数据总量；

检测度：Du=m_i/M_i-F_i/S_i，其中m_i表示第i个数据集中被正确检测到的入侵数据量，m_i表示第i个数据集中包含的入侵数据总量，F_i表示第i个数据集中被错误划分成入侵数据的正常数据数量，S_i表示第i个数据集中包含的正常数据总量；

（3）得出结论步骤：得到入侵数、入侵数据的检测率和检测度。

2.根据权利要求1所述的一种局域网内网入侵的智能检测方法，其特征在于，步骤S202FCM聚类过程计算的具体方法为：

S301，数据采集步骤的数据集中聚类数目C，模糊加权指数m，迭代终止误差ε，最大迭代次数T，随机初始化各类中心点V，t=1；

步骤S302，计算隶属度矩阵、目标函数J和各类数据集新的中心点；

步骤S303，计算两代的目标函数差值是否在精度范围ε；

步骤S304，输出中心点V和目标函数J。

3.根据权利要求1所述的一种局域网内网入侵的智能检测方法，其特征在于，步骤S203智能化计算的具体方法为：

步骤S401，数据采集步骤的数据集中类数目C，群体规模，差分进化初始参数；

步骤S402，进化代数计数器t=0，将样本大小为n的数据集划分为w个子集，计算FCM算法的聚类中心，得到初始种群；

步骤S403，计算目标函数，进行适应度评价；

步骤S404，通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率；

步骤S405，是否达到设计的进化代数，如果否，则执行S406，如果是则执行S407；

步骤S406，继续通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率，执行S405；

步骤S407，返回当前种群中适应度最大的个体，应用FCM聚类过程计算隶属度矩阵，计算目标函数，输出结果V，J。

Images