CN104239785B - 基于云模型的入侵检测数据划分方法 - Google Patents

基于云模型的入侵检测数据划分方法 Download PDF

Info

Publication number
CN104239785B
CN104239785B CN201410520551.0A CN201410520551A CN104239785B CN 104239785 B CN104239785 B CN 104239785B CN 201410520551 A CN201410520551 A CN 201410520551A CN 104239785 B CN104239785 B CN 104239785B
Authority
CN
China
Prior art keywords
data
intrusion detection
cloud model
detection data
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410520551.0A
Other languages
English (en)
Other versions
CN104239785A (zh
Inventor
张琛
王文浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN201410520551.0A priority Critical patent/CN104239785B/zh
Publication of CN104239785A publication Critical patent/CN104239785A/zh
Application granted granted Critical
Publication of CN104239785B publication Critical patent/CN104239785B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明提供一种基于云模型的入侵检测数据划分方法。技术方案包括5个步骤:步骤①:建立云模型数据;步骤②:计算云模型特征;步骤③:输入待检测入侵检测数据;步骤④:计算数据属性隶属度;步骤⑤:划分信号类别。本发明的有益效果:在进行入侵检测数据属性判断时,改变了以往依靠主观经验对数据的信号含义进行划分的方式,通过入侵检测数据属性隶属度的定量分析来划分信号含义;在后续的DCA异常检测中,提高了入侵检测的检测率,降低了虚警率,具备计算量小,实时性好等优点。

Description

基于云模型的入侵检测数据划分方法
技术领域
本发明属于信息安全技术领域,涉及一种在网络中利用云模型来判断入侵检测数据中危险属性从而进行信号划分的方法。
背景技术
IDS(Intrusion Detection System,入侵检测系统)是人们试图解决网络入侵的一个途径,研究人员开发出不同的IDS来识别和阻止入侵事件的发生。目前,有些IDS的原理是通过模拟人工免疫系统的免疫过程来解决入侵检测领域的问题,这种IDS具有快速、准确的免疫识别特性,能够对正常的计算机行为和入侵的有害行为进行有效划分,同时具有的鲁棒性、自适应性和自学习性等多种特性,这也正是现代入侵检测技术所追求的。
异常检测是入侵检测的一种类型。基于危险理论的异常检测方法中最典型的一种算法是DCA(Dendritic Cell Algorithm,树突状细胞方法),该方法作为危险理论的实现方法,不需要额外的检测器训练时间,方法计算量小,占用的计算资源也非常少。DCA首先将入侵检测数据划分成三种信号再进行后续处理,目前划分信号的主要做法是对监测到的入侵检测数据属性从主观经验上根据信号含义进行划分,这种做法只能定性地描述三种信号的含义,不能从定量的角度进行更细致的描述划分。
云模型是一种建立在模糊集理论和概率论的基础上,将定性概念转变成定量表示的数学工具。由于云模型能准确的用语言值反应出事物的不确定性,目前已经成功用于数据挖掘、知识发现、网络安全预测以及入侵检测等领域。由于入侵检测数据是对多个对象和属性进行监控和检测,对实时性的要求很高,而云模型则可以以较小的计算量完成对定性概念和定量表示之间的转换,符合入侵检测实时性的需求。云模型从数据处理的角度解决了入侵检测数据多维性、难处理以及计算量大等难点,为人工免疫理论在入侵检测上的应用铺平了道路。因此,本发明将云模型引入入侵检测技术领域,提高了入侵检测的准确性和实时性。
发明内容
本发明提供一种基于云模型的入侵检测数据划分方法,该方法的输出作为DCA的三种输入信号,实现了对入侵检测数据的定性划分,提高了DCA后续异常检测的准确性。
本发明的技术方案是:一种基于云模型的入侵检测数据划分方法,其特征在于,包括下述步骤:
步骤①:建立云模型数据。
从入侵检测标准数据集中选取N个正常数据存入矩阵X=[xij]N×M中形成云模型数据,其中N的大小根据所需云模型的规模确定,M代表标准数据集的属性数。
步骤②:计算云模型特征。
利用下列公式计算云模型第j属性的期望Exj、熵Enj、超熵Hej、卡方值CSj和权重因子Pj,j=1,2,…,M:
(公式一)
(公式二)
(公式三)
(公式四)
(公式五)
步骤③:输入待检测入侵检测数据。
将K个待检测入侵检测数据存入矩阵Z=[zi′j]K×M,从云模型数据中随机选取K个正常数据存入矩阵Y=[yi′j]K×M,其中K<N。
步骤④:计算数据属性隶属度。
利用下列公式分别计算正常数据的第j属性隶属度μj和待检测入侵检测数据的第j属性隶属度μ′j
(公式六)
(公式七)
上述公式中,En′是以Enj为均值、Hej为标准差的正态随机数。
步骤⑤:划分信号类别。
DCA的输入信号分为PAMPS(Pathogen Associated Molecular Pattern Signal,病原相关分析模式信号)、DS(Danger Signal,危险信号)和SS(Safe Signal,安全信号)三类。PAMPS表明组织发生异常,DS表示存在异常可能性较大,SS表明机体健康。当系统由正常状态进入异常状态,PAMPS信号的隶属度应该变大,并保持较为平稳状态,DS信号的隶属度会增大,但并不确定,SS信号的隶属度则相对较低。针对待检测入侵检测数据,依据以下情况划分信号:
若Eμ′j>Eμj,将K个待检测入侵检测数据划分为DS;
若Eμ′j>Eμj且Varμ′j<Varμj,将K个待检测入侵检测数据划分为PAMPS;
若Eμ′j≤Eμj,将K个待检测入侵检测数据划分为SS。
其中,
将上述K个待检测的入侵检测数据,以及上述信号类别划分结果输入DCA,利用DCA算法即可完成入侵数据的异常检测。
本发明的有益效果:在进行入侵检测数据属性判断时,改变了以往依靠主观经验对数据的信号含义进行划分的方式,通过入侵检测数据属性隶属度的定量分析来划分信号含义;在后续的DCA异常检测中,提高了入侵检测的检测率,降低了虚警率,具备计算量小,实时性好等优点。
附图说明
图1是基于云模型的入侵检测数据划分方法示意图;
图2是利用本发明统计KDDCUP99数据集属性23的隶属度变化情况;
图3是利用本发明统计KDDCUP99数据集属性33的隶属度变化情况;
图4是利用本发明改进信号分类后的DCA检测率;
图5是利用本发明改进信号分类后的DCA虚警率。
具体实施方式
下面结合附图对本发明进行详细说明。
图1是基于云模型的入侵检测数据划分方法示意图,该方法包含5个步骤:
步骤①:建立云模型数据。步骤②:计算云模型特征。步骤③:输入待检测入侵检测数据。步骤④:计算数据属性隶属度。步骤⑤:划分信号类别。
图2是利用本发明统计KDDCUP99数据集(即入侵检测标准数据集)属性23的隶属度变化情况。实验在KDDCUP99数据集中选取N=50000个正常数据建立云模型数据,并随机选取K=1000个正常数据,分别和1000个smurf攻击数据、1000个satan攻击数据以及1000个wareclient攻击数据构成待检测入侵检测数据。属性23代表的特征含义为与当前连接具有相同目标主机的连接数,由于smurf攻击数据属于DOS(Denial of Service,拒绝服务)攻击类型,连接数很高,远远超出正常情况,隶属度很低,接近于0;satan攻击数据属于Probe(端口)攻击类型,所以连接数很稳定,隶属度基本保持不变,而wareclient攻击数据属于R2L(Remote to Login,远程到本地)攻击类型,连接数基本保持为1,隶属度很低,因此都可以反映出系统的异常情况。
图3是利用本发明统计KDDCUP99数据集属性33的隶属度变化情况。实验在KDDCUP99数据集中选取N=50000个正常数据建立云模型数据,并随机选取K=1000个正常数据,分别和1000个smurf攻击数据、1000个satan攻击数据以及1000个wareclient攻击数据构成待检测入侵检测数据。属性33代表的特征含义为前100个连接与当前连接具有相同目标主机但服务类型不同的连接数,由于smurf攻击数据属于DOS攻击类型,所以服务类型为TCP协议,隶属度会趋于稳定,而普通状态下相同目标主机,服务类型会各有不同,所以隶属度会随机变化;satan攻击数据属于Probe攻击类型,是基于探测服务端口和协议的,所以隶属度会呈逐渐上升到慢慢稳定的状态,显示系统的攻击类型;wareclient攻击数据属于R2L攻击类型,所以对目标主机的不同服务类型进行连接,当连接成功后,就再次到达稳定状态进行下一次R2L攻击。
图4是利用本发明改进信号分类后的DCA检测率。图中横坐标为测试数据集个数,纵坐标为DCA检测率。实验以DOS攻击为测试环境,测试数据集分别选取正常数据和异常数据,图中对比了原始信号分类下的DCA检测率和改进信号分类后的DCA检测率。带星号的曲线表示原始信号分类下的DCA检测率,带圆圈的曲线表示改进信号分类后的DCA检测率。由图4可以看出,采用本发明改进信号分类后的DCA检测率有效提高,增强了DCA异常检测能力。
图5是利用本发明改进信号分类后的DCA虚警率。图中横坐标为测试数据集个数,纵坐标为DCA虚警率。实验以DOS攻击为测试环境,测试数据集分别选取正常数据和异常数据,图中对比了原始信号分类下的DCA虚警率和改进信号分类后的DCA虚警率。带星号的曲线表示原始信号分类下的DCA虚警率,带圆圈的曲线表示改进信号分类后的DCA虚警率。由图5可以看出,采用本发明改进信号分类后的DCA虚警率大幅下降,提高了系统的入侵检测性能。

Claims (1)

1.一种基于云模型的入侵检测数据划分方法,其特征在于,包括下述步骤:
步骤①:建立云模型数据:
从入侵检测标准数据集中选取N个正常数据存入矩阵X=[xij]N×M中形成云模型数据,其中N的大小根据所需云模型的规模确定,M代表标准数据集的属性数;
步骤②:计算云模型特征:
利用下列公式计算云模型第j属性的期望Exj、熵Enj、超熵Hej、卡方值CSj和权重因子Pj,j=1,2,…,M,
步骤③:输入待检测入侵检测数据:
将K个待检测入侵检测数据存入矩阵Z=[zi′j]K×M,从云模型数据中随机选取K个正常数据存入矩阵Y=[yi′j]K×M,其中K<N;
步骤④:计算数据属性隶属度:
利用下列公式分别计算正常数据的第j属性隶属度μj和待检测入侵检测数据的第j属性隶属度μ′j
上述公式中,En′是以Enj为均值、Hej为标准差的正态随机数;
步骤⑤:划分信号类别:
针对待检测入侵检测数据,依据以下情况划分信号:
若Eμ′j>Eμj,将K个待检测入侵检测数据划分为DS危险信号;
若Eμ′j>Eμj且Varμ′j<Varμj,将K个待检测入侵检测数据划分为PAMPS病原相关分析模式信号;
若Eμ′j≤Eμj,将K个待检测入侵检测数据划分为SS安全信号;
其中,
CN201410520551.0A 2014-09-30 2014-09-30 基于云模型的入侵检测数据划分方法 Active CN104239785B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410520551.0A CN104239785B (zh) 2014-09-30 2014-09-30 基于云模型的入侵检测数据划分方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410520551.0A CN104239785B (zh) 2014-09-30 2014-09-30 基于云模型的入侵检测数据划分方法

Publications (2)

Publication Number Publication Date
CN104239785A CN104239785A (zh) 2014-12-24
CN104239785B true CN104239785B (zh) 2017-02-15

Family

ID=52227829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410520551.0A Active CN104239785B (zh) 2014-09-30 2014-09-30 基于云模型的入侵检测数据划分方法

Country Status (1)

Country Link
CN (1) CN104239785B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108520272B (zh) * 2018-03-22 2020-09-04 江南大学 一种改进苍狼算法的半监督入侵检测方法
CN109450957A (zh) * 2019-01-03 2019-03-08 湖南大学 一种基于云模型的低速拒绝服务攻击检测方法
CN111046926B (zh) * 2019-11-26 2023-09-19 山东浪潮科学研究院有限公司 一种计算机视觉图像分类集成学习方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123062A (zh) * 2011-04-22 2011-07-13 西安电子科技大学 基于树突细胞算法的网络数据异常检测方法
CN103679025A (zh) * 2013-11-26 2014-03-26 南京邮电大学 一种基于树突细胞算法的恶意代码检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123062A (zh) * 2011-04-22 2011-07-13 西安电子科技大学 基于树突细胞算法的网络数据异常检测方法
CN103679025A (zh) * 2013-11-26 2014-03-26 南京邮电大学 一种基于树突细胞算法的恶意代码检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种面向入侵检测的云模型树突状细胞算法;王文浩等;《计算机科学》;20130831;第40卷(第10期);第406-409、417页 *
基于危险理论树突状细胞算法的入侵检测模型;王慧;《广西民族大学学报 (自然科学版 )》;20110531;第17卷(第2期);第42-44页 *

Also Published As

Publication number Publication date
CN104239785A (zh) 2014-12-24

Similar Documents

Publication Publication Date Title
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Peng et al. Network intrusion detection based on deep learning
CN103581186B (zh) 一种网络安全态势感知方法及系统
CN106341414A (zh) 一种基于贝叶斯网络的多步攻击安全态势评估方法
CN102098306A (zh) 基于关联矩阵的网络攻击路径分析方法
CN105208040A (zh) 一种网络攻击检测方法及装置
CN101242278A (zh) 网络多步攻击意图在线识别方法
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN108595655A (zh) 一种基于会话特征相似性模糊聚类的异常用户检测方法
CN108076060A (zh) 基于动态k-means聚类的神经网络态势预测方法
CN104239785B (zh) 基于云模型的入侵检测数据划分方法
CN103957203A (zh) 一种网络安全防御系统
CN110493260A (zh) 一种网络洪范攻击行为检测方法
CN108156114A (zh) 电力信息物理系统网络攻击图的关键节点确定方法及装置
Thapngam et al. DDoS discrimination by linear discriminant analysis (LDA)
CN107895171A (zh) 一种基于k均值与深度置信网络的入侵检测方法
CN102281163A (zh) 一种网络入侵检测报警的方法
CN110022293A (zh) 一种电网信息物理融合系统风险评估方法
CN109951420A (zh) 一种基于熵和动态线性关系的多级流量异常检测方法
CN105391694A (zh) 一种多源态势信息融合方法
CN115643108B (zh) 面向工业互联网边缘计算平台安全评估方法、系统及产品
Xue Research on network security intrusion detection with an extreme learning machine algorithm
Deshpande Layered Intrusion Detection System Model for The Attack Detection with The Multi-Class Ensemble Classifier
Selim et al. Intrusion detection using multi-stage neural network
CN113132414B (zh) 一种多步攻击模式挖掘方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant