CN106603538A - 一种入侵检测方法及系统 - Google Patents
一种入侵检测方法及系统 Download PDFInfo
- Publication number
- CN106603538A CN106603538A CN201611187136.3A CN201611187136A CN106603538A CN 106603538 A CN106603538 A CN 106603538A CN 201611187136 A CN201611187136 A CN 201611187136A CN 106603538 A CN106603538 A CN 106603538A
- Authority
- CN
- China
- Prior art keywords
- attribute
- network data
- data
- decision tree
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供了一种入侵检测方法,对于当前传输到用户计算机网络的网络数据,通过将所述网络数据的目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配的方式,确定所述网络数据的分类,所述预先建立的决策树由网络入侵数据的训练数据经过处理生成,其各个节点对应的分类对应不同的入侵类型。本发明中依据所述分类对网络数据是否为入侵数据进行判断,进而实现了对网络数据的入侵检测,检测过程更加有效,能够更好的对用户的计算机网络进行保护。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种入侵检测方法及系统。
背景技术
随着信息技术的迅猛发展,计算机网络在生活和工作中的各个领域得到了广泛应用。人们可以应用计算机网络进行网络通信、游戏以及购物等多种日常活动,从一定程度上讲,计算机网络已经成为人们生活中不可或缺的一部分。
随着计算机网络应用的普及化,计算机网络安全也成为人们必须要面对的一个问题。网络黑客会利用网络协议的一些安全漏洞,编写相应的网络数据,入侵到用户的计算机网络,窃取用户的相关信息,对用户的利益造成损失。发明人经过多次的实践研究发现,现有还未有有效的网络数据入侵检测方法,对传输到用户计算机网络的网络数据进行检测,进而无法有效保护用户的计算机网络安全。
发明内容
本发明所要解决的技术问题是提供一种入侵检测方法,能够有效的对传输到用户计算机网络的网络数据进行检测,从而保护用户的计算机网络安全。
本发明还提供一种入侵检测系统,用以保证上述方法在实际中的实现及应用。
一种入侵检测方法,包括:
确定当前传输的网络数据的目标属性;
将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;
确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;
依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。
上述的方法,优选的,所述确定当前传输的网络数据的目标属性包括:
对所述网络数据进行格式转换,将所述网络数据转换为预设定格式;
解析所述经过格式转换的网络数据中的各个属性;
将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
上述的方法,优选的,所述预先建立决策树的过程包括:
对已存储的训练数据进行处理,生成所述训练数据对应的二维表;所述二维表中包含有所述训练数据的各个属性信息;
分别计算所述每一个属性信息的信息增益;
将信息增益最大的属性信息作为决策树的根节点;
按预设的分裂规则,对所述根节点进行逐级分裂划分,形成最终的决策树。
上述的方法,优选的,所述将目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配包括:
将所述目标属性的属性值与所述决策树的根节点的各个分支值进行匹配;若未匹配成功,则结束匹配,将所述根节点的默认最优分类匹配给所述网络数据;
若匹配成功,则延所述匹配成功的分支值所在的决策树分支继续进行匹配,直至匹配至所述决策树分支的叶节点,将所述叶节点对应的分类匹配给所述网络数据。
上述的方法,优选的,还包括:
当判断所述网络数据为入侵数据时,触发告警。
一种入侵检测系统,包括:
第一确定单元,用于确定当前传输的网络数据的目标属性;
匹配单元,用于将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;
第二确定单元,用于确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;
判断单元,用于依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。
上述的系统,优选的,所述第一确定单元包括:
转换子单元,用于对所述网络数据进行格式转换,将所述网络数据转换为预设定格式;
解析子单元,用于解析所述经过格式转换的网络数据中的各个属性;
第一确定子单元,用于将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
上述的系统,优选的,还包括:
建立单元,用于预先建立决策树。
上述的系统,优选的,所述建立单元包括:
处理子单元,用于对已存储的训练数据进行处理,生成所述训练数据对应的二维表;所述二维表中包含有所述训练数据的各个属性信息;
计算子单元,用于分别计算所述每一个属性信息的信息增益;
第二确定子单元,用于将信息增益最大的属性信息作为决策树的根节点;
划分子单元,用于按预设的分裂规则,对所述根节点进行逐级分裂划分,形成最终的决策树。
上述的系统,优选的,还包括:
告警单元,用于当判断所述网络数据为入侵数据时,触发告警。
与现有技术相比,本发明包括以下优点:
本发明提供了一种入侵检测方法,确定当前传输的网络数据的目标属性;将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。本发明提供的入侵检测方法,对于当前传输到用户计算机网络的网络数据,通过将所述网络数据的目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配的方式,确定所述网络数据的分类,所述预先建立的决策树由网络入侵数据的训练数据经过处理生成,其各个节点对应的分类对应不同的入侵类型。本发明中依据所述分类对网络数据是否为入侵数据进行判断,进而实现了对网络数据的入侵检测,检测过程更加有效,能够更好的对用户的计算机网络进行保护。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种入侵检测方法的方法流程图;
图2为本发明提供的一种入侵检测方法的又一方法流程图;
图3为本发明提供的一种入侵检测方法的又一方法流程图;
图4为本发明提供的一种入侵检测方法的一实例图;
图5为本发明提供的一种入侵检测方法的一实例图;
图6为本发明提供的一种入侵检测方法的一实例图;
图7为本发明提供的一种入侵检测方法的一实例图;
图8为本发明提供的一种入侵检测方法的一实例图;
图9为本发明提供的一种入侵检测方法的一实例图;
图10为本发明提供的一种入侵检测方法的一实例图;
图11为本发明提供的一种入侵检测方法的一实例图;
图12为本发明提供的一种入侵检测方法的一实例图;
图13为本发明提供的一种入侵检测方法的一实例图;
图14为本发明提供的一种决策树生成的方法流程图;
图15为本发明提供的一种入侵检测系统的结构示意图;
图16为本发明提供的一种入侵检测系统的又一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本发明提供了一种入侵检测方法,其执行主体也可以是用户计算机的处理器,也可以是用户计算机所处网络中设置的任何一个网络节点。图1示出了该入侵检测方法的方法流程图,包括步骤:
步骤S101:确定当前传输的网络数据的目标属性;
本发明实施例中,对于当前传输至用户计算机网络的网络数据,在该网络数据进入用户的计算机网络时,确定所述网络数据的目标属性;所述目标属性为所述网络数据的多个属性中的其中一个,用以表征所述网络数据的数据特性。
步骤S102:将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;
本发明实施例中,将所述目标属性按预设的遍历方式,逐一的与预先建立的决策树中的各个节点的测试属性进行匹配;所述决策树中的每一个节点具有相应的测试属性。
步骤S103:确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;
本发明实施例中,在将目标属性与所述决策树中的各个节点测试属性进行遍历匹配的过程中,当某一个节点的测试属性与所述目标属性相匹配时,将该节点对应的属性分类作为所述网络数据的分类;本发明实施例中,预先建立的决策树的每一个节点对应一个属性分类,该属性分类分代表入侵数据或者正常数据。
步骤S104:依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。
本发明实施例中,依据网络数据的分类判断所述网络是否为入侵数据,即当所述网络数据的分类代表入侵数据时,则可以判断所述网络数据为入侵数据,进而实现了对网络数据的入侵检测。
本发明实施例提供的入侵检测方法中,对于当前传输到用户计算机网络的网络数据,通过将所述网络数据的目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配的方式,确定所述网络数据的分类,所述预先建立的决策树由网络入侵数据的训练数据经过处理生成,其各个节点对应的分类对应不同的入侵类型。本发明中依据所述分类对网络数据是否为入侵数据进行判断,进而实现了对网络数据的入侵检测,检测过程更加有效,能够更好的对用户的计算机网络进行保护。
如图2所示,示出了本发明实施例中,确定当前传输的网络数据的目标属性的过程,具体包括步骤:
S201:对所述网络数据进行格式转换,将所述网络数据转换为预设定格式;
本发明实施例中,在确定当前传输的网络数据的目标属性的过程中,首先对所述网络数据进行格式转换,将所述网络数据转换为预设定的格式,所述预设定的格式,为预先建立的决策树可以识别处理的格式。
S202:解析所述经过格式转换的网络数据中的各个属性;
对于经过格式转换的网络数据,解析所述网络数据对应的各个属性,每一个属性代表所述网络数据的数据特性。
S203:将与已建立的决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
本发明实施例中,对于解析出的所述网络数据中的各个属性,将所述各个属性中,与预先建立的决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
如图3所示,示出了本发明实施例中,所述预先建立决策树的过程,包括步骤:
S301:对已存储的训练数据进行处理,生成所述训练数据对应的二维表;所述二维表中包含有所述训练数据的各个属性信息;
S302:分别计算所述每一个属性信息的信息增益;
S303:将信息增益最大的属性信息作为决策树的根节点;
S304:按预设的分裂规则,对所述根节点进行逐级分裂划分,形成最终的决策树。
本发明实施例中,在决策树的建立过程中,决策树模型的建立以训练数据为基础,所述训练数据包含了正常数据以及现有的各种类型的入侵数据。这些数据可以是专家构建的专用训练数据,也可以是通过网络数据长期积累下来的集合。本发明实施例中,会根据网络运行的实际情况,将不同的训练数据补充到训练数据集合中,对训练数据的样本进行更新,进而实现对已经构建的决策树模型进行更新,使建立的决策树模型能够更好的适应当前网络数据的检测。
本发明实施例中,以tcpdump格式来存储训练数据。数据源再通过协议分析等处理过程,对训练数据进行处理,将所述训练数据转换为可以被决策树处理的属性值的二维表,其中每一列代表一个属性,每一行代表一个连接信息。本发明实施例中,采用的tcpdump格式,是一种文件格式,是由tcpdump这个网络数据采集分析工具,对网络数据采集而形成的数据文件格式。
所述协议分析过程包括:基于进程抓包、自动将流量归类、自动对比和提取特征等处理过程。
本发明实施例中,需要建立的决策树是由信息增益率选择来创建的。针对训练数据生成的二维表,建立一个节点N。如果数据表中的数据均属于同一类,节点N就是叶节点,并设定所述叶节点N所述的类。
本发明实施例中,如果建立的数据表中没有其他属性可以考虑,则也降N确定为叶节点,按照少数服从多数的原则在叶节点上标上匹配至此节点处的训练数据子集中大多数记录所属的类别;否则,根据信息增益比选出一个最佳属性作为节点N的测试属性。节点属性选定以后,对于该测试属性的每一个取值从N生出一个分支,并将数据表中与该分支有关的数据收集起来形成分支节点的数据表。以此类推,重复以上过程为该节点建立决策树。
经过以上描述,可以得出,决策树算法本身就是一个对数据分类的算法,根据样本数据的特性,可以生成决策树规则,把新的网络数据输入到产生的决策树规则中,则会生成对新网络数据的分类,在入侵检测系统中,这个分类通常就是异常行为和正常行为。更具体的过程则是网络数据经过处理后,转换成与训练数据相同的格式。将属性中与根结点测试属性相对应的属性值提取出来,将此值与该节点发出的分支值(既该测试属性的可能值)比较。如果找不到匹配的分支,则该记录检测结束,此记录的分类为该节点的默认最佳分类。如果默认分类为入侵,则立即报警。如果次属性值与某个分支值匹配,该分支将此记录指向下一个节点,再对下一个节点属性进行比较。以此往复,直到达到叶节点为止。叶节点所标记的分类则为该记录的分类。
为了更加清楚对本发明中决策树的建立过程进行说明,本发明引入一个简单实例,对决策树的建立过程进行详细说明:
该实例以关于什么因素影响是否去打网球为例:
如图4所示,示出了在哪些因素的影响下,不能够去打网球,或者在哪些因素下,可以去打网球。其中包含了天气、温度、湿度以及风这四种因素。
这些因素已经经过处理,形成了可以被决策树处理的二维表的格式,依据所述二维表中展示的数据,我们可以分别得到基于天气、温度、湿度和风四种因素的划分,分别如图5、图6、图7及图8所示的四棵树。
本发明实施例提供的方法中,在构建决策树的过程中,对于每一种因素的划分,都是一种样本训练数据,在构建过程中,首先训练样本的信息值;针对第一棵树的属性,计算各个叶节点的信息值;并且计算第一棵树中,每一个信息值导致的信息增益;然后依次计算第二棵树、第三棵树和第四棵树所导致的信息增益;选择获得最大信息增益的属性因素进行划分;以此类推,进行递归算法,当所有的叶节点都划分到纯的单一结果时,划分过程终止。
对于第一棵树,在训练样本的信息值的过程中,训练样本在包含了9个YES和5个NO的根节点上,对应于信息值:
Info([9,5])=0.940位;
计算过程如下:
对于第一棵树,各个叶节点的信息值如表1所示,
| YES | No | 合计 | |
| sunny | 2 | 3 | 5 |
| overcast | 4 | 0 | 4 |
| rain | 3 | 2 | 5 |
| 合计 | 9 | 5 |
表1
在表1中,基于天气的划分,基于天气的划分,在叶节点的YES和NO类的个数分别是[2,3],[4,0],和[3,2],而这些节点的信息值分别是:
Info([2,3])=0.971位-------sunny
Info([4,0])=0.0位-------overcast
Info([3,2])=0.971位-----rain
针对第一棵树,属性,导致的信息增益,计算平均信息值;
根据天气的树导致的信息增益为:
基于类比例原来信息需求-基于天气属性划分之后得到的信息需求:
然后,依次计算每棵树导致的信息增益,并为每个属性计算信息增益;
如下:
gain(outlook)=0.247位;
gain(temperature)=0.029位;
gain(humidity)=0.152位;
gain(windy)=0.048位;
在上述信息增益中,选择获得最大信息增益的属性进行划分:
最大信息增益:gain(outlook)=0.247位,
所以,选择天气作为树的根节点划分属性,其中一个子节点是最纯的,并且这使它明显优于其他属性。本发明实施例中,所说的最纯的,即表示结果是单一的,不包含多种结果。
湿度是次佳选择,它产生了一个几乎完全纯的较大的子节点。
依次类推,递归,继续划分;
递归继续选择;
当天气为晴时,所达到的节点上的可能深一层的分支
除天气外,其他属性产生的信息增益分别是:
Gain(temperature)=0.571位;
Gain(humidity)=0.971位;
Gain(windy)=0.020位;
所以,再选则湿度(humidity)作为划分属性,继续划分的各个图示分别如图9、图10及图11所示,可以得出:
可以看到,天气,晴分支,气温,gain(temperature)=0-571位;
天气,晴分支,湿度,gain(humidity)=0.971位(纯的子节点);
天气,晴分支,风,gain(windy)=0.020位;
天气,雨分支,气温,gain(temperature)=0.020位;
天气,雨分支,湿度,gain(humidity)=0.020位;
天气,雨分支,风,gain(windy)=0.971位(纯的子节点);
最终划分结果如图12所示,最终得到的各个叶子节点的结果都是单一的,也就是最纯的。
当所有叶节点都是纯的,划分过程终止;
理想情况下,当所有叶节点都是纯的而使过程终止时,即当他们包含的实力都具有相同类时该过程终止。
可能无法到达这种结果,因为无法避免训练集包含两个具有相同属性集,但具有不同类的实例。
当数据不能进一步划分时,停止划分过程。
则最终我们得到决策树:如图13所示。
经过以上描述,我们得出,在决策树的建立过程,其形成过来可以用图14所示的流程图进行概括:
在图14中,对于需要处理的数据,通过选择其分裂属性,对该数据进行分裂,生成子节点,直至生成完整的决策树。
在选择分裂属性的过程中,本发明实施例中,可以遍历所有属性,选择每一个属性的最优分裂方法,然后对比每一个属性的分裂效果,选择最优的分裂属性。
在进行分裂的过程中,一般生成两个子节点。
本发明实施例提供的方法中,所述将目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配包括:
将所述目标属性的属性值与所述决策树的根节点的各个分支值进行匹配;若未匹配成功,则结束匹配,将所述根节点的默认最优分类匹配给所述网络数据;
若匹配成功,则延所述匹配成功的分支值所在的决策树分支继续进行匹配,直至匹配至所述决策树分支的叶节点,将所述叶节点对应的分类匹配给所述网络数据。
本发明实施例提供的方法中,在将目标属性与预先建立的决策树中的各个节点的测试属性进行遍历时,首先将所述目标属性的属性值与所述决策树的根节点的各个分支值进行匹配,所述各个分支值即所述根节点下各个子节点的测试属性值,如果所述根节点的各个子节点的测试属性值中未有与所述目标属性的属性值相匹配的,则整个匹配过程结束,将所述根节点的默认最优分类匹配给所述网络数据。
若匹配成功,如存在一个子节点的测试属性值与所述目标属性的属性值相匹配,则延子节点所在的分支继续匹配,直到匹配到一个纯的叶节点,完成匹配。
本发明实施例提供的基于决策树的入侵检测方法中,首先通过数据采集器对网络数据进行处理,产生特定格式的数据,再利用决策树方法对这个特定格式的数据进行分析学习,分类其中的正常规则和异常规则,再次通过决策树方法对训练数据和入侵数据进行处理,产生新的参考规则集送入规则数据库。这种方法实现了减少人为行为以及检测系统的自行检测更新。
本发明实施例提供的入侵检测方法中,在线检测分为两个重要组成部分,协议分析和基于决策树进行检测。协议分析同生成训练数据中的用到的方法一致。检测的过程就是把分析数据带入决策树模型中遍历的过程。
本发明实施例提供的入侵检测方法,存在以下优点:
自适应性好:由于应用数据挖掘技术的异常检测不需要信号匹配模式,也就意味着不需要针对每一个特别信号进行检测,从而便显示出一定程度的实时性。
减轻数据过载:数据挖掘算法通过对发现数据之间的关系,筛选出大量不必要数据,降低数据负担。
高性能:协议分析技术引导检测引擎只搜索数据包特点部分,有效的缩小了检索空间,提高了检测效率。利用决策树模型实现了对未知数据的预测,减少了计算量。
降低误判率:缩小了检索空间,减少了大量干扰数据,确定了特征串的正确定义,从而降低了误判率。
高智能:只需给定训练数据和属性选择标准,程序就可以自行生产决策树,减少了人力,提高了效率,并保证了准确率。
本发明实施例提供的入侵检测方法中,在检测出传输的网络数据为入侵数据时,触发告警,提示用户进行防护,或者直接对入侵数据进行锁定处理。
与图1所述的入侵检测方法相对应的,本发明实施例提供了一种入侵检测系统,其结构示意图如图15所示,包括:
第一确定单元401,用于确定当前传输的网络数据的目标属性;
匹配单元402,用于将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;
第二确定单元403,用于确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;
判断单元404,用于依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。
本发明提供的入侵检测系统,对于当前传输到用户计算机网络的网络数据,通过将所述网络数据的目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配的方式,确定所述网络数据的分类,所述预先建立的决策树由网络入侵数据的训练数据经过处理生成,其各个节点对应的分类对应不同的入侵类型。本发明中依据所述分类对网络数据是否为入侵数据进行判断,进而实现了对网络数据的入侵检测,检测过程更加有效,能够更好的对用户的计算机网络进行保护。
在图15的基础上,如图16所示,示出了本发明实施例入侵检测系统的又一详细结构示意图,所述第一确定单元401包括:
转换子单元405,用于对所述网络数据进行格式转换,将所述网络数据转换为预设定格式;
解析子单元406,用于解析所述经过格式转换的网络数据中的各个属性;
第一确定子单元407,用于将与已建立的决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
图16中,所述系统还包括:
建立单元408,用于预先建立决策树。
所述建立单元408包括:
处理子单元409,用于对已存储的训练数据进行处理,生成所述训练数据对应的二维表;所述二维表中包含有所述训练数据的各个属性信息;
计算子单元410,用于分别计算所述每一个属性信息的信息增益;
第二确定子单元411,用于将信息增益最大的属性信息作为决策树的根节点;
划分子单元412,用于按预设的分裂规则,对所述根节点进行逐级分裂划分,形成最终的决策树。
以及,还包括:
告警单元413,用于当判断所述网络数据为入侵数据时,触发告警。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种入侵检测方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种入侵检测方法,其特征在于,包括:
确定当前传输的网络数据的目标属性;
将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;
确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;
依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。
2.根据权利要求1所述的方法,其特征在于,所述确定当前传输的网络数据的目标属性包括:
对所述网络数据进行格式转换,将所述网络数据转换为预设定格式;
解析所述经过格式转换的网络数据中的各个属性;
将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
3.根据权利要求1所述的方法,其特征在于,所述预先建立决策树的过程包括:
对已存储的训练数据进行处理,生成所述训练数据对应的二维表;所述二维表中包含有所述训练数据的各个属性信息;
分别计算所述每一个属性信息的信息增益;
将信息增益最大的属性信息作为决策树的根节点;
按预设的分裂规则,对所述根节点进行逐级分裂划分,形成最终的决策树。
4.根据权利要求1所述的方法,其特征在于,所述将目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配包括:
将所述目标属性的属性值与所述决策树的根节点的各个分支值进行匹配;若未匹配成功,则结束匹配,将所述根节点的默认最优分类匹配给所述网络数据;
若匹配成功,则延所述匹配成功的分支值所在的决策树分支继续进行匹配,直至匹配至所述决策树分支的叶节点,将所述叶节点对应的分类匹配给所述网络数据。
5.根据权利要求1所述的方法,其特征在于,还包括:
当判断所述网络数据为入侵数据时,触发告警。
6.一种入侵检测系统,其特征在于,包括:
第一确定单元,用于确定当前传输的网络数据的目标属性;
匹配单元,用于将所述目标属性与预先建立的决策树中各个节点的测试属性进行遍历匹配;
第二确定单元,用于确定与所述目标属性相匹配的测试属性所在的决策树节点,并将该节点对应的属性分类作为所述网络数据的分类;
判断单元,用于依据所述网络数据的分类判断所述网络数据是否为入侵数据,以完成对所述网络数据的入侵检测。
7.根据权利要求6所述的系统,其特征在于,所述第一确定单元包括:
转换子单元,用于对所述网络数据进行格式转换,将所述网络数据转换为预设定格式;
解析子单元,用于解析所述经过格式转换的网络数据中的各个属性;
第一确定子单元,用于将与所述决策树的根节点的测试属性相对应的属性作为所述网络数据的目标属性。
8.根据权利要求6所述的系统,其特征在于,还包括:
建立单元,用于预先建立决策树。
9.根据权利要求8所述的系统,其特征在于,所述建立单元包括:
处理子单元,用于对已存储的训练数据进行处理,生成所述训练数据对应的二维表;所述二维表中包含有所述训练数据的各个属性信息;
计算子单元,用于分别计算所述每一个属性信息的信息增益;
第二确定子单元,用于将信息增益最大的属性信息作为决策树的根节点;
划分子单元,用于按预设的分裂规则,对所述根节点进行逐级分裂划分,形成最终的决策树。
10.根据权利要求6所述的系统,其特征在于,还包括:
告警单元,用于当判断所述网络数据为入侵数据时,触发告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611187136.3A CN106603538A (zh) | 2016-12-20 | 2016-12-20 | 一种入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611187136.3A CN106603538A (zh) | 2016-12-20 | 2016-12-20 | 一种入侵检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603538A true CN106603538A (zh) | 2017-04-26 |
Family
ID=58602013
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611187136.3A Pending CN106603538A (zh) | 2016-12-20 | 2016-12-20 | 一种入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603538A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107281755A (zh) * | 2017-07-14 | 2017-10-24 | 网易(杭州)网络有限公司 | 检测模型的构建方法、装置、储存介质、处理器和终端 |
| CN110012009A (zh) * | 2019-04-03 | 2019-07-12 | 华南师范大学 | 基于决策树和自相似模型结合的物联网入侵检测方法 |
| CN108055276B (zh) * | 2017-12-25 | 2020-10-20 | 南京南邮信息产业技术研究院有限公司 | 面向大数据应用平台的入侵检测实时分析系统 |
| WO2021046771A1 (zh) * | 2019-09-11 | 2021-03-18 | 华为技术有限公司 | 一种安全检测的方法和装置 |
| CN117061249A (zh) * | 2023-10-12 | 2023-11-14 | 明阳时创(北京)科技有限公司 | 基于网络流量的入侵监控方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168011A1 (en) * | 2007-01-04 | 2008-07-10 | Health Care Productivity, Inc. | Methods and systems for automatic selection of classification and regression trees |
| CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| CN103107902A (zh) * | 2011-11-14 | 2013-05-15 | 无锡南理工科技发展有限公司 | 基于决策树的攻击检测系统 |
| CN105282123A (zh) * | 2014-07-24 | 2016-01-27 | 亿阳安全技术有限公司 | 一种网络协议识别方法和装置 |
-
2016
- 2016-12-20 CN CN201611187136.3A patent/CN106603538A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168011A1 (en) * | 2007-01-04 | 2008-07-10 | Health Care Productivity, Inc. | Methods and systems for automatic selection of classification and regression trees |
| CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| CN103107902A (zh) * | 2011-11-14 | 2013-05-15 | 无锡南理工科技发展有限公司 | 基于决策树的攻击检测系统 |
| CN105282123A (zh) * | 2014-07-24 | 2016-01-27 | 亿阳安全技术有限公司 | 一种网络协议识别方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 孟娟 等: "决策树算法在入侵检测中的应用研究", 《电脑知识与技术》 * |
| 李春葆 等: "《数据仓库与数据挖掘应用教程》", 31 October 2016, 清华大学出版社 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107281755A (zh) * | 2017-07-14 | 2017-10-24 | 网易(杭州)网络有限公司 | 检测模型的构建方法、装置、储存介质、处理器和终端 |
| CN107281755B (zh) * | 2017-07-14 | 2020-05-05 | 网易(杭州)网络有限公司 | 检测模型的构建方法、装置、储存介质和终端 |
| CN108055276B (zh) * | 2017-12-25 | 2020-10-20 | 南京南邮信息产业技术研究院有限公司 | 面向大数据应用平台的入侵检测实时分析系统 |
| CN110012009A (zh) * | 2019-04-03 | 2019-07-12 | 华南师范大学 | 基于决策树和自相似模型结合的物联网入侵检测方法 |
| CN110012009B (zh) * | 2019-04-03 | 2021-05-28 | 华南师范大学 | 基于决策树和自相似模型结合的物联网入侵检测方法 |
| WO2021046771A1 (zh) * | 2019-09-11 | 2021-03-18 | 华为技术有限公司 | 一种安全检测的方法和装置 |
| CN117061249A (zh) * | 2023-10-12 | 2023-11-14 | 明阳时创(北京)科技有限公司 | 基于网络流量的入侵监控方法及系统 |
| CN117061249B (zh) * | 2023-10-12 | 2024-04-26 | 明阳时创(北京)科技有限公司 | 基于网络流量的入侵监控方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603538A (zh) | 一种入侵检测方法及系统 | |
| CN105306475B (zh) | 一种基于关联规则分类的网络入侵检测方法 | |
| KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
| CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
| Li | Application of CART decision tree combined with PCA algorithm in intrusion detection | |
| CN114172701A (zh) | 基于知识图谱的apt攻击检测方法及装置 | |
| CN105426762A (zh) | 一种android应用程序恶意性的静态检测方法 | |
| CN106228068A (zh) | 基于混合特征的Android恶意代码检测方法 | |
| CN108833139B (zh) | 一种基于类别属性划分的ossec报警数据聚合方法 | |
| CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| US11533373B2 (en) | Global iterative clustering algorithm to model entities' behaviors and detect anomalies | |
| CN108595655A (zh) | 一种基于会话特征相似性模糊聚类的异常用户检测方法 | |
| CN111104521A (zh) | 一种基于图分析的反欺诈检测方法及检测系统 | |
| CN116366374B (zh) | 基于大数据的电网网络管理的安全评估方法、系统及介质 | |
| CN104660464A (zh) | 一种基于非广延熵的网络异常检测方法 | |
| CN109088903A (zh) | 一种基于流式的网络异常流量检测方法 | |
| CN109391624A (zh) | 一种基于机器学习的终端接入数据异常检测方法及装置 | |
| CN114817575B (zh) | 基于扩展模型的大规模电力事理图谱处理方法 | |
| CN108055227B (zh) | 基于站点自学习的waf未知攻击防御方法 | |
| CN115544519A (zh) | 对计量自动化系统威胁情报进行安全性关联分析的方法 | |
| CN116186759A (zh) | 一种面向隐私计算的敏感数据识别与脱敏方法 | |
| CN109286622A (zh) | 一种基于学习规则集的网络入侵检测方法 | |
| CN112804247B (zh) | 基于三元概念分析的工业控制系统网络入侵检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |
|
| RJ01 | Rejection of invention patent application after publication |