CN106453404B

CN106453404B - 一种网络入侵检测方法及装置

Info

Publication number: CN106453404B
Application number: CN201611044331.0A
Authority: CN
Inventors: 徐国爱; 孙博文; 李祺
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2016-11-23
Filing date: 2016-11-23
Publication date: 2019-09-10
Anticipated expiration: 2036-11-23
Also published as: CN106453404A

Abstract

本发明提供了一种网络入侵检测方法及装置，其中，该方法包括：从无线传感器网络中采集感知数据和网络流量数据；根据感知数据和预设感知阈值，对网络流量数据进行修正；根据预先建立的行为模型和修正后的网络流量数据，检测当前无线传感器网络中是否存在网络入侵。本发明实施例在获取网络流量数据的同时获取了感知数据，根据感知数据和预设感知阈值，对网络流量数据进行了修正，考虑了网络流量数据随感知环境变化而变化的因素，通过修正后的网络流量数据和行为模型来进行网络入侵检测，大大提高了网络入侵检测的准确性。

Description

一种网络入侵检测方法及装置

技术领域

本发明涉及网络空间安全技术领域，具体而言，涉及一种网络入侵检测方法及装置。

背景技术

无线传感器网络是物联网感知层的重要组成部分，对数据安全性要求很高，一旦无线传感器网络遭到入侵，将破坏全网感知数据的安全性，且危害到信息传输层乃至信息处理层数据的安全性，给整个物联网带来无法预知的损害。因此，需要对无线传感器网络进行网络入侵检测。

网络入侵检测是指通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行检测操作，检测到对系统的闯入行为或闯入企图，网络入侵检测技术是保障网络安全的基础，是网络安全方向的研究重点。

现有技术中，对无线传感器网络的入侵检测，通常只对无线传感器网络中的网络流量数据进行分析，以确定是否存在入侵行为。但是网络流量数据会随着感知环境的变化而有所不同，仅分析网络流量数据来进行网络入侵检测，将导致网络入侵检测的准确性很低。

发明内容

有鉴于此，本发明实施例的目的在于提供一种网络入侵检测方法及装置，根据感知数据和预设感知阈值，对网络流量数据进行了修正，通过修正后的网络流量数据和行为模型来进行网络入侵检测，考虑了网络流量数据随感知环境变化而变化的因素，大大提高了网络入侵检测的准确性。

第一方面，本发明实施例提供了一种网络入侵检测方法，所述方法包括：

从无线传感器网络中采集感知数据和网络流量数据；

根据所述感知数据和预设感知阈值，对所述网络流量数据进行修正；

根据预先建立的行为模型和修正后的所述网络流量数据，检测当前所述无线传感器网络中是否存在网络入侵。

结合第一方面，本发明实施例提供了上述第一方面的第一种可能的实现方式，其中，所述根据所述感知数据和预设感知阈值，对所述网络流量数据进行修正，包括：

计算所述感知数据中每种标量数据在预设时间段内的方差；

根据所述每种标量数据在预设时间段内的方差，计算所述感知数据的平均感知方差；

根据所述平均感知方差和预设感知阈值，修正所述网络流量数据。

结合第一方面的第一种可能的实现方式，本发明实施例提供了上述第一方面的第二种可能的实现方式，其中，所述网络流量数据包括环境紧耦合数据和环境松耦合数据；所述根据所述平均感知方差和预设感知阈值，修正所述网络流量数据，包括：

判断所述平均感知方差是否小于预设感知阈值；

如果是，则保持所述网络流量数据不变；

如果否，则根据所述平均感知方差、所述环境紧耦合数据、所述环境松耦合数据和所述预设感知阈值，通过公式(1)修正所述网络流量数据；

在公式(1)中，i为数据的种类序号，X_i′为修正后的第i种网络流量数据，D′为所述平均感知方差，TH为所述预设感知阈值，T_i为第i种环境紧耦合数据，L_i为第i种环境松耦合数据。

结合第一方面，本发明实施例提供了上述第一方面的第三种可能的实现方式，其中，所述根据预先建立的行为模型和修正后的所述网络流量数据，检测当前所述无线传感器网络中是否存在网络入侵之前，还包括：

获取历史网络流量数据及所述历史网络流量数据对应的历史入侵判定值；

根据所述历史网络流量数据和所述历史入侵判定值，通过如下公式(2)建立行为模型；

在公式(2)中，y为入侵判定值，i为数据的种类序号，X_i为第i种网络流量数据，W_i为第i种网络流量数据对应的入侵权重值，θ为异常阈值。

结合第一方面，本发明实施例提供了上述第一方面的第四种可能的实现方式，其中，所述根据预先建立的行为模型和修正后的所述网络流量数据，检测当前所述无线传感器网络中是否存在网络入侵，包括：

将修正后的所述网络流量数据代入预先建立的行为模型，计算当前的入侵判定值；

判断所述入侵判定值是否大于零，如果是，则确定当前所述无线传感器网络中存在网络入侵行为；如果否，则确定当前所述无线传感器网络中不存在网络入侵行为。

第二方面，本发明实施例提供了一种网络入侵检测装置，所述装置包括：

采集模块，用于从无线传感器网络中采集感知数据和网络流量数据；

修正模块，用于根据所述感知数据和预设感知阈值，对所述网络流量数据进行修正；

检测模块，用于根据预先建立的行为模型和修正后的所述网络流量数据，检测当前所述无线传感器网络中是否存在网络入侵。

结合第二方面，本发明实施例提供了上述第二方面的第一种可能的实现方式，其中，所述修正模块包括：

第一计算单元，用于计算所述感知数据中每种标量数据在预设时间段内的方差；根据所述每种标量数据在预设时间段内的方差，计算所述感知数据的平均感知方差；

修正单元，用于根据所述平均感知方差和预设感知阈值，修正所述网络流量数据。

结合第二方面的第一种可能的实现方式，本发明实施例提供了上述第二方面的第二种可能的实现方式，其中，所述网络流量数据包括环境紧耦合数据和环境松耦合数据；所述修正单元包括：

判断子单元，用于判断所述平均感知方差是否小于预设感知阈值；

保持子单元，用于当所述判断子单元判断所述平均感知方差小于预设感知阈值时，保持所述网络流量数据不变；

修正子单元，用于当所述判断子单元判断所述平均感知方差不小于预设感知阈值时，根据所述平均感知方差、所述环境紧耦合数据、所述环境松耦合数据和所述预设感知阈值，通过公式(1)修正所述网络流量数据；

结合第二方面，本发明实施例提供了上述第二方面的第三种可能的实现方式，其中，所述装置还包括：

行为模型建立模块，用于获取历史网络流量数据及所述历史网络流量数据对应的历史入侵判定值；根据所述历史网络流量数据和所述历史入侵判定值，通过如下公式(2)建立行为模型；

结合第二方面，本发明实施例提供了上述第二方面的第四种可能的实现方式，其中，所述检测模块包括：

第二计算单元，用于将修正后的所述网络流量数据代入预先建立的行为模型，计算当前的入侵判定值；

判断单元，用于判断所述入侵判定值是否大于零，如果是，则确定当前所述无线传感器网络中存在网络入侵行为；如果否，则确定当前所述无线传感器网络中不存在网络入侵行为。

在本发明实施例提供的方法及装置中，从无线传感器网络中采集感知数据和网络流量数据；根据感知数据和预设感知阈值，对网络流量数据进行修正；根据预先建立的行为模型和修正后的网络流量数据，检测当前无线传感器网络中是否存在网络入侵。本发明实施例在获取网络流量数据的同时获取了感知数据，根据感知数据和预设感知阈值，对网络流量数据进行了修正，考虑了网络流量数据随感知环境变化而变化的因素，通过修正后的网络流量数据和行为模型来进行网络入侵检测，大大提高了网络入侵检测的准确性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明实施例1所提供的一种网络入侵检测方法的流程图；

图2示出了本发明实施例1所提供的一种网络入侵检测的流程示意图；

图3示出了本发明实施例2所提供的一种网络入侵检测装置的结构示意图；

图4示出了本发明实施例2所提供的另一种网络入侵检测装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

考虑到现有技术中对无线传感器网络的入侵检测时，只对无线传感器网络中的网络流量数据进行分析，以确定是否存在入侵行为。但是网络流量数据会随着感知环境的变化而有所不同，仅分析网络流量数据来进行网络入侵检测，将导致网络入侵检测的准确性很低。基于此，本发明实施例提供了一种网络入侵检测方法及装置，下面通过实施例进行描述。

实施例1

本发明实施例提供了一种网络入侵检测方法。

在进行线上的网络入侵检测之前，首先采用离线训练方式，通过如下操作为网络入侵行为建立行为模型，具体建立过程包括：

获取历史网络流量数据及历史网络流量数据对应的历史入侵判定值；根据历史网络流量数据和历史入侵判定值，通过如下公式(2)建立行为模型；

在建立行为模型之前，采集大量样本数据，即从过去的网络入侵检测系统中获取大量的历史网络流量数据和历史入侵判定值。其中，网络流量数据包括数据包、数据包大小及数据包来源等多种流量数据。将获取的大量的历史网络流量数据及其对应的历史入侵判定值代入上述公式(2)所示的行为模型公式中，通过神经网络对行为模型进行训练，得到各种网络流量数据对应的入侵权重值及异常阈值。

通过上述方式获得各种网络流量数据对应的入侵权重值及异常阈值之后，就完成了网络入侵行为的行为模型的建立，建立的行为模型公式如上述公式(2)所示，此时公式(2)中，网络流量数据对应的入侵权重值W_i及异常阈值θ是已知的，当在线对无线传感器网络进行网络入侵检测时，只需要将无线传感器网络中的网络流量数据X_i代入行为模型中，即可获得无线传感器网络的入侵判定值。

参见图1，利用上述预先建立的行为模型进行在线网络入侵检测的方法具体包括以下步骤：

步骤101：从无线传感器网络中采集感知数据和网络流量数据。

无线传感器网络中包括大量的无线传感器、路由器、网关及服务器等设备。本发明实施例的执行主体可以为无线传感器网络中的服务器或除无线传感器以外的终端设备，也可以在无线传感器中新增专门用于网络入侵检测的检测终端。

在进行网络入侵检测时，从无线传感器网络中的各个无线传感器中采集感知数据，由于无线传感器网络中存在温度传感器、湿度传感器及音量传感器等多种传感器，所以本步骤采集到的感知数据中包括温度、湿度和音量等多种标量数据。

本发明实施例中，网络流量数据是从无线传感器网络中的路由器及网关等数据传输节点中采集的。采集的网络流量数据分为环境紧耦合数据和环境松耦合数据。其中，环境紧耦合数据包括数据包大小、数据包数量、数据包、数据包持续时间及同一节点数据包连接数等多种流量数据。环境松耦合数据包括数据包来源、数据包协议、数据包服务、端口号、访问服务类型及同一来源数据包连接请求数等多种流量数据。由环境紧耦合数据和环境松耦合数据所包含的数据种类可知，环境紧耦合数据受感知环境变化的影响很大，而环境松耦合数据受感知环境变化的影响很小。

为了便于描述，本发明实施例用E表示感知数据，用T表示环境紧耦合数据，用L表示环境松耦合数据。其中，E＝{e₁,e₂,…,e_i，…,e_n}，e_i表示采集到的第i种标量数据。T＝{t₁,t₂,…,t_i，…,t_m},t_i表示采集到的第i种环境紧耦合数据。L＝{l₁,l₂,…,l_i，…,l_k},l_i表示采集到的第i种环境松耦合数据。本发明实施例中用X表示网络流量数据，网络流量数据为环境紧耦合数据和环境松耦合数据组成的集合，即X＝{T,L}＝{x₁，x₂,…，x_i，…,x_n},x_i表示第i种网络流量数据。

步骤102：根据感知数据和预设感知阈值，对网络流量数据进行修正。

采集到无线传感器网络中的各种感知数据后，根据采集到的感知数据对采集到的网络流量数据进行修正，以消除感知环境的变化对网络入侵检测的干扰影响。具体修正过程包括：

计算感知数据中每种标量数据在预设时间段内的方差；根据每种标量数据在预设时间段内的方差，计算感知数据的平均感知方差；根据平均感知方差和预设感知阈值，修正网络流量数据。

上述预设时间段可以为300秒、500秒或1000秒等。对于感知数据E＝{e₁,e₂,…,e_i，…,e_n}中的任一标量数据，在预设时间段内间隔相同时间采集该标量数据的多个测量值，计算这多个测量值的方差。例如，标量数据e_i为温度，预设时间段为300秒，则每隔50秒采集一次温度，共采集6个温度值，计算出这6个温度值的方差。

对于感知数据中的每种标量数据，都按照上述方式计算标量数据在预设时间段内的方差，则得到感知数据的方差D＝{d₁,d₂,…，d_i，…,d_n},d_i表示第i种标量数据在预设时间段内的方差。然后再根据感知数据的方差通过如下公式(3)计算感知数据的平均感知方差。

D′＝(d₁+d₂+…+d_i+…+d_n)/n……(3)

其中，在上述公式(3)中，D′表示感知数据的平均感知方差。

通过上述方式计算出感知数据的平均感知方差后，通过如下操作来修正网络流量数据，包括：

判断平均感知方差是否小于预设感知阈值；如果是，则保持网络流量数据不变；如果否，则根据平均感知方差、环境紧耦合数据、环境松耦合数据和预设感知阈值，通过公式(1)修正网络流量数据；

在公式(1)中，i为数据的种类序号，X_i′为修正后的第i种网络流量数据，D′为平均感知方差，TH为预设感知阈值，T_i为第i种环境紧耦合数据，L_i为第i种环境松耦合数据。

即若D′<TH，则X′_i＝X_i＝{T_i,L_i}；若D′>＝TH，则

在本发明实施例中，预设感知阈值TH是根据经验选取的门限值，当平均感知方差D′>＝TH时，表示当前环境变化剧烈，当D′<TH时表示当前环境变化不明显。通过上述对网络流量数据的修正操作可以看出，对网络流量数据进行修正后，环境紧耦合数据在网络入侵检测中的参与度随感知数据的剧烈变化而降低，因此提高了环境剧烈变化时流量异常检测的准确性。

步骤103：根据预先建立的行为模型和修正后的网络流量数据，检测当前无线传感器网络中是否存在网络入侵。

通过上述不在102对采集的网络流量数据进行修正后，将修正后的网络流量数据代入预先建立的行为模型，计算当前的入侵判定值；判断入侵判定值是否大于零，如果是，则确定当前无线传感器网络中存在网络入侵行为；如果否，则确定当前无线传感器网络中不存在网络入侵行为。

即将修正后的网络流量数据X_i′代入行为模型中，由于行为模型中网络流量数据对应的入侵权重值W_i及异常阈值θ是已知的，所以可以计算出当前的入侵判定值y。若y>0，则确定当前无线传感器网络中存在网络入侵行为。若y<＝0，则确定当前无线传感器网络中不存在网络入侵行为。

如图2所示，本发明实施例大致可归纳为以下S1-S4的步骤。S1：采用基于神经网络的方式为网络入侵行为建立行为模型。S2：从无线传感器网络中分别获取感知数据和网络流量数据。S3：测试过程中，根据感知数据的方差，调整神经网络的输入。S4:输出测试结果。充分考虑了感知环境变化对网络流量的影响，通过感知数据的不同，对行为模型的输入进行动态调整，能够更加适应无线传感器网络中流量数据随感知环境动态变化的特点。

在本发明实施例中，从无线传感器网络中采集感知数据和网络流量数据；根据感知数据和预设感知阈值，对网络流量数据进行修正；根据预先建立的行为模型和修正后的网络流量数据，检测当前无线传感器网络中是否存在网络入侵。本发明实施例在获取网络流量数据的同时获取了感知数据，根据感知数据和预设感知阈值，对网络流量数据进行了修正，考虑了网络流量数据随感知环境变化而变化的因素，通过修正后的网络流量数据和行为模型来进行网络入侵检测，大大提高了网络入侵检测的准确性。

实施例2

参见图3本发明实施例提供了一种网络入侵检测装置，该装置用于执行上述实施例1所提供的网络入侵检测方法，该装置具体包括：

采集模块201，用于从无线传感器网络中采集感知数据和网络流量数据；

修正模块202，用于根据感知数据和预设感知阈值，对网络流量数据进行修正；

检测模块203，用于根据预先建立的行为模型和修正后的网络流量数据，检测当前无线传感器网络中是否存在网络入侵。

如图4所示，修正模块202包括：

第一计算单元2021，用于计算感知数据中每种标量数据在预设时间段内的方差；根据每种标量数据在预设时间段内的方差，计算感知数据的平均感知方差；

修正单元2022，用于根据平均感知方差和预设感知阈值，修正网络流量数据。

本发明实施例中，网络流量数据包括环境紧耦合数据和环境松耦合数据；上述修正单元2022包括：

判断子单元，用于判断平均感知方差是否小于预设感知阈值；

保持子单元，用于当判断子单元判断平均感知方差小于预设感知阈值时，保持网络流量数据不变；

修正子单元，用于当判断子单元判断平均感知方差不小于预设感知阈值时，根据平均感知方差、环境紧耦合数据、环境松耦合数据和预设感知阈值，通过公式(1)修正网络流量数据；

如图4所示，该装置还包括：

行为模型建立模块204，用于获取历史网络流量数据及历史网络流量数据对应的历史入侵判定值；根据历史网络流量数据和历史入侵判定值，通过如下公式(2)建立行为模型；

如图4所示，检测模块203包括：

第二计算单元2031，用于将修正后的网络流量数据代入预先建立的行为模型，计算当前的入侵判定值；

判断单元2032，用于判断入侵判定值是否大于零，如果是，则确定当前无线传感器网络中存在网络入侵行为；如果否，则确定当前无线传感器网络中不存在网络入侵行为。

本发明实施例所提供的网络入侵检测装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，前述描述的系统、装置和单元的具体工作过程，均可以参考上述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明提供的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释，此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种网络入侵检测方法，其特征在于，所述方法包括：

从无线传感器网络中采集感知数据和网络流量数据；

根据所述感知数据和预设感知阈值，对所述网络流量数据进行修正；其中，包括：计算所述感知数据中每种标量数据在预设时间段内的方差；根据所述每种标量数据在预设时间段内的方差，计算所述感知数据的平均感知方差；根据所述平均感知方差和预设感知阈值，修正所述网络流量数据；

2.根据权利要求1所述的方法，其特征在于，所述网络流量数据包括环境紧耦合数据和环境松耦合数据；所述根据所述平均感知方差和预设感知阈值，修正所述网络流量数据，包括：

判断所述平均感知方差是否小于预设感知阈值；

如果是，则保持所述网络流量数据不变；

在公式(1)中，i为数据的种类序号，X′_i为修正后的第i种网络流量数据，D′为所述平均感知方差，TH为所述预设感知阈值，T_i为第i种环境紧耦合数据，L_i为第i种环境松耦合数据。

3.根据权利要求1所述的方法，其特征在于，所述根据预先建立的行为模型和修正后的所述网络流量数据，检测当前所述无线传感器网络中是否存在网络入侵之前，还包括：

4.根据权利要求1所述的方法，其特征在于，所述根据预先建立的行为模型和修正后的所述网络流量数据，检测当前所述无线传感器网络中是否存在网络入侵，包括：

5.一种网络入侵检测装置，其特征在于，所述装置包括：

修正模块，用于根据所述感知数据和预设感知阈值，对所述网络流量数据进行修正；其中，包括：第一计算单元，用于计算所述感知数据中每种标量数据在预设时间段内的方差；根据所述每种标量数据在预设时间段内的方差，计算所述感知数据的平均感知方差；

修正单元，用于根据所述平均感知方差和预设感知阈值，修正所述网络流量数据；

6.根据权利要求5所述的装置，其特征在于，所述网络流量数据包括环境紧耦合数据和环境松耦合数据；所述修正单元包括：

7.根据权利要求5所述的装置，其特征在于，所述装置还包括：

8.根据权利要求5所述的装置，其特征在于，所述检测模块包括：