CN108710796B - 入侵操作检测方法、装置、设备及计算机可读存储介质 - Google Patents

入侵操作检测方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN108710796B
CN108710796B CN201810462297.1A CN201810462297A CN108710796B CN 108710796 B CN108710796 B CN 108710796B CN 201810462297 A CN201810462297 A CN 201810462297A CN 108710796 B CN108710796 B CN 108710796B
Authority
CN
China
Prior art keywords
data
grid
detected
data point
dimensional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810462297.1A
Other languages
English (en)
Other versions
CN108710796A (zh
Inventor
欧毓毅
牛少章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong University of Technology
Original Assignee
Guangdong University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong University of Technology filed Critical Guangdong University of Technology
Priority to CN201810462297.1A priority Critical patent/CN108710796B/zh
Publication of CN108710796A publication Critical patent/CN108710796A/zh
Application granted granted Critical
Publication of CN108710796B publication Critical patent/CN108710796B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Abstract

本发明公开了一种入侵操作检测方法、装置、设备及计算机可读存储介质,在根据每个数据点的局部离群因子检测日志文件中的入侵操作时,为了避免查找k近邻时计算距离矩阵所需的计算量,利用网格的记忆性,即:距离目标网格中的数据点最近的k个其他数据点,一定在该目标网格或在该目标网格的最近邻接网格中;从而利用网格的记忆性来查找各个数据点的k近邻,避免了传统算法查找k近邻时需要计算距离矩阵,减少了计算量,加快了离群点的检测速度,从而减少了计算机内存需求,提高入侵检测的检测效率。

Description

入侵操作检测方法、装置、设备及计算机可读存储介质
技术领域
本发明涉及网络入侵检测技术领域,更具体地说,涉及一种入侵操作检测方法、装置、设备及计算机可读存储介质。
背景技术
近年来网络安全事件频发,而入侵检测系统在网络入侵检测中扮演着举足轻重的作用,入侵检测又分为异常检测和误用检测;目前通过误用检测模型检测入侵时,是通过离群点检测算法进行检测的,具体来说,离群点检测算法能消除噪声或发现潜在的、有意义的知识。例如:LOF(Local Outlier Factor)算法,LOF算法是基于密度的离群点挖掘算法的经典算法,但是当一些数据分布复杂时,LOF算法可能出现误判的情况。因此Jin等提出基于反向k邻域的INFLO算法,不仅考虑数点的k邻域,还考虑数据点的反向k邻域对数据离群度影响;为了克服LOF算法对于序列数据和低密度数据对象不能有效度量的缺陷,Tang等人提出基于连接的利群系数的方法,其算法是根据给定的参数最少邻居数k和数据对象的连接性来确定邻域,计算与其邻接的平均连接距离,用平均连接距离比作为基于连接的离群系数COF,但该方法比LOF算法更复杂。基于密度的离群点检测算法的另一个巨大缺陷就是需要计算数据的距离矩阵来进行k近邻的查询,当数据量较大时,需要的计算机内存需求也非常大。
因此,如何减小使用离群点检测算法检测入侵操作的计算机内存需求,提高入侵检测的检测效率,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种入侵操作检测方法、装置、设备及计算机可读存储介质,以减小使用离群点检测算法检测入侵操作的计算机内存需求,提高入侵检测的检测效率。
为实现上述目的,本发明实施例提供了如下技术方案:
一种入侵操作检测方法,包括:
S101、获取目标主机的日志文件,将所述日志文件作为待检测数据集,所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应;
S102、利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成,将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内,并确定待检测的目标网格;
S103、检测目标网格内的数据点个数是否小于K+1;其中,K为k近邻参数值;若是,则将目标网格作为中心网格,执行S104;若否,则执行S105;
S104、查找中心网格的邻接网格,将所述中心网格和所述邻接网格组合生成重组网格,并检测所述重组网格内的数据点个数是否小于K+1;若是,则将重组网格作为中心网格,继续执行S104;若否,则执行S105;
S105、计算目标网格内每个数据点的局部离群因子;若所述n维网格内存在未检测的网格,则从未检测的网格内重新选取目标网格,并继续执行S103;若所述n维网格内不存在未检测的网格,则执行S106;
S106、将局部离群因子大于预定阈值的数据点作为异常数据点,将所述异常数据点对应的操作作为入侵操作。
其中,所述S102中利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成,包括:
利用所述待检测数据集D中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间S=R1×R2×...Rn;Ri为第i维数据集,且Ri的区间为Ri=[li,hi],li为第i维数据集的最小值,hi为第i维数据集的最大值;
其中,所述n维数据空间由边长相等且互不相交的网格组成,所述n维数据空间S的网格边长
Figure BDA0001661199570000031
M为所述待检测数据集D的数据点个数;
所述n维数据空间S的每一维上的网格数量Num=┌(hi-li)/Len┐。
其中,所述S102中将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内,包括:
计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标indexi,且indexi=┌(xi-li)/Len┐;其中,所述待检测数据集D中每个数据点为X(x1,x2...xn),xi为数据点X在第i维的数据值;
根据每个数据点X的每一维数据值的下标,将每个数据点映射到所述n维数据空间的网格内。
其中,所述S105中计算所述目标网格内每个数据点的局部离群因子,包括:
计算所述目标网格内每个数据点的k近邻数据集;所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点;
利用每个数据点的k近邻数据集计算每个数据点的局部可达密度,并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。
一种入侵操作检测装置,包括:
获取模块,用于获取目标主机的日志文件,将所述日志文件作为待检测数据集,所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应;
数据空间创建模块,用于利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成;
数据点映射模块,用于将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内;
目标网格确定模块,用于从所述述n维数据空间的网格内确定待检测的目标网格;
数据点检测模块,用于检测目标网格内的数据点个数是否小于K+1;其中,K为k近邻参数值;若小于K+1,则将目标网格作为中心网格,并触发网格重组模块;
所述网格重组模块,用于数据点个数小于K+1时,查找中心网格的邻接网格,将所述中心网格和所述邻接网格组合生成重组网格;
重组网格数据点检测模块,用于检测所述重组网格内的数据点个数是否小于K+1;若不小于K+1,则触发局部离群因子计算模块;若小于K+1,则将重组网格作为中心网格,触发所述网格重组模块;
局部离群因子计算模块,用于在数据点个数不小于K+1时,则计算目标网格内每个数据点的局部离群因子;若所述n维网格内存在未检测的网格,则从未检测的网格内重新选取目标网格,并触发所述数据点检测模块;若n维网格内不存在未检测的网格,则触发入侵操作确定模块;
入侵操作确定模块,用于将局部离群因子大于预定阈值的数据点作为异常数据点,将所述异常数据点对应的操作作为入侵操作。
其中,所述数据空间创建模块具体用于:
利用所述待检测数据集D中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间S=R1×R2×...Rn;Ri为第i维数据集,且Ri的区间为Ri=[li,hi],li为第i维数据集的最小值,hi为第i维数据集的最大值;
其中,所述n维数据空间由边长相等且互不相交的网格组成,所述n维数据空间S的网格边长
Figure BDA0001661199570000041
M为所述待检测数据集D的数据点个数;所述n维数据空间S的每一维上的网格数量
Num=┌(hi-li)/Len┐。
其中,所述数据点映射模块包括:
下标计算单元,用于计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标indexi,且indexi=┌(xi-li)/Len┐;其中,所述待检测数据集D中每个数据点为X(x1,x2...xn),xi为数据点X在第i维的数据值;
映射单元,用于根据每个数据点X的每一维数据值的下标,将每个数据点映射到所述n维数据空间的网格内。
其中,所述局部离群因子计算模块包括:
k近邻数据集计算单元,用于计算所述目标网格内每个数据点的k近邻数据集;所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点;
局部离群因子确定单元,用于利用每个数据点的k近邻数据集计算每个数据点的局部可达密度,并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。
一种入侵操作检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述的入侵操作检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的入侵操作检测方法的步骤。
通过以上方案可知,本发明实施例提供的一种入侵操作检测方法、装置、设备及计算机可读存储介质,在根据每个数据点的局部离群因子检测日志文件中的入侵操作时,为了避免查找k近邻时计算距离矩阵所需的计算量,利用网格的记忆性,即:距离目标网格中的数据点最近的k个其他数据点,一定在该目标网格或在该目标网格的最近邻接网格中;从而利用网格的记忆性来查找各个数据点的k近邻,避免了传统算法查找k近邻时需要计算距离矩阵,减少了计算量,加快了离群点的检测速度,从而减少了计算机内存需求,提高入侵检测的检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种入侵操作检测方法流程示意图;
图2为本发明实施例公开的一种重组网格示意图;
图3为本发明实施例公开的另一种重组网格示意图;
图4为本发明实施例公开的一种具体的入侵操作检测方法流程图;
图5为本发明实施例公开的一种入侵操作检测装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种入侵操作检测方法、装置、设备及计算机可读存储介质,以减小使用离群点检测算法检测入侵操作的计算机内存需求,提高入侵检测的检测效率。
参见图1,本发明实施例提供的一种入侵操作检测方法,包括:
S101、获取目标主机的日志文件,将所述日志文件作为待检测数据集,所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应;
具体的,为了检测目标主机是否存在入侵操作,需要对主机的日志文件进行检查,该日志文件中包含对电脑操作的数据,存在攻击行为的异常数据想到于本方案中的入侵操作的数据,该入侵操作对应的数据点相当于离群点,从而便可以通过基于密度的离群点挖掘算法检测这些入侵数据。
需要说明的是,本方案中的每个数据点与日志文件中的每个操作相对应,每个数据点中的n维数据值与每个操作的n维操作数据相对应,该n维操作数据具体为接口数据、相关设置数据、相关协议数据等,在此并不具体限定。在本方案中将待检测数据集用D表示,数据点的个数用M表示。
S102、利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成,将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内,并确定待检测的目标网格;
其中,所述S102中利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成,包括:
利用所述待检测数据集D中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间S=R1×R2×...Rn;Ri为第i维数据集,且Ri的区间为Ri=[li,hi],li为第i维数据集的最小值,hi为第i维数据集的最大值;
所述n维数据空间由边长相等且互不相交的网格组成,所述n维数据空间S的网格边长
Figure BDA0001661199570000071
M为所述待检测数据集D的数据点个数;所述n维数据空间S的每一维上的网格数量Num=┌(hi-li)/Len┐。
其中,所述S102中将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内,包括:
计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标indexi,且indexi=┌(xi-li)/Len┐;其中,所述待检测数据集D中每个数据点为X(x1,x2...xn),xi为数据点X在第i维的数据值;
根据每个数据点X的每一维数据值的下标,将每个数据点映射到所述n维数据空间的网格内。
具体来说,通过离群点挖掘算法检测离群点之前,需要对数据集中每个数据点进行编号,然后再进行网格划分、数据分箱。
假设在第i(i=1,2,3...,n)维上值的区间为Ri=[li,hi],则S=R1×R2×...Rn就是n维数据空间,且网格边长为
Figure BDA0001661199570000072
可以理解的是,如果维度为2维,则该网格的便是长度为len的正方形网格,如果维度为3维,则该网格的便是长度为len的立方体,以此类推。计算出网格边长后,并根据每个维度的数据最大值hi和最小值li确定网格的数量,即:网格数量为:
Num=┌(hi-li)/Len┐。这样就把数据空间的每一维分成长度相等、互不相交的网格,这些网格在每一维上都是左闭右开的。
在对数据进行分箱时,也就是把数据集中的每个对象映射到对应的网格中时,通过确定每个数据对象X(x1,x2,...xn)所对应的网格在每一维上的下标来进行映射,映射规则为indexi=┌(xi-li)/Len┐。
例如:数据点为X(x1,x2,x3),那么需要分别计算数据点在一维、二维以及三维上的下标,具体来说在一维上的下标为:index1=┌(x1-l1)/Len┐,在二维上的下标为:index2=┌(x2-l2)/Len┐,在三维上的下标为:index3=┌(x3-l3)/Len┐,那么在数据点在三维空间内的数据坐标便是:(index1=┌(x1-l1)/Len┐,index2=┌(x2-l2)/Len┐,index3=┌(x3-l3)/Len┐)。
当数据集中所有的数据点都映射到n维数据空间后,并从这n维数据空间中选取目标网格,选取的规则可以按照先行后列的顺序查询每个网格,也可以根据自定义顺序进行选取,在本实施例中将选取的目标网格用Gi(i=1,2,3,…,m,m为网格个数)表示。
S103、检测目标网格内的数据点个数是否小于K+1;其中,K为k近邻参数值;若是,则将目标网格作为中心网格,执行S104;若否,则执行S105;
具体的,在该过程中,首先需要判断该网格是否有数据点,如果没有,则继续查找下一网格,该下一网格便是重新确定的目标网格;如果有,则继续判断该网格存在的数据点是否小于K+1。
S104、查找中心网格的邻接网格,将所述中心网格和所述邻接网格组合生成重组网格,并检测所述重组网格内的数据点个数是否小于K+1;若是,则将重组网格作为中心网格,继续执行S104;若否,则执行S105;
如果数据点个数小于K+1,则以Gi为中心网格查询Gi网格的邻接网格,该邻接网格为与中心网格相邻的网格;然后合并所查询的所有网格为网格G,参见图2,中心网格为深灰色网格Gi,查询到的邻接网格为中心网格周围的深灰色网格,将深灰色和浅灰色网格合并,生成重组网格,该重组网格为G;继续判断重组网格G内包含的数据个数是否仍小于K+1,若不小于K+1,则继续执行S105;若仍小于K+1,则将该重组网格作为中心网格,继续查询该中心网格的邻接网格,然后合并所有查询的网格为新的重组网格G,参见图3,中心网格为前一次的重组网格,即中度灰色的网格,最浅灰色的网格为中心网格的邻接网格,将三者进行重组,生成新的重组网格G;生成新的重组网格后,在将该重组网格作为中心网格继续执行上述步骤。
S105、计算目标网格内每个数据点的局部离群因子;若所述n维网格内存在未检测的网格,则从未检测的网格内重新选取目标网格,并继续执行S103;若所述n维网格内不存在未检测的网格,则执行S106;
其中,所述S105中计算所述目标网格内每个数据点的局部离群因子,包括:
计算所述目标网格内每个数据点的k近邻数据集;所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点;
利用每个数据点的k近邻数据集计算每个数据点的局部可达密度,并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。
需要说明的是,在计算局部离群因子时,只计算S102中确定的目标网格内数据点的局部离群因子。在计算局部离群因子时,首先需要确定两个参数,即k近邻参数K,离群因子阈值lof,这两个参数可以通过人为设定,也可以根据训练数据训练生成,在此并不具体限定。
在计算数据点的局部离群因子时,可根据基于密度的离群点挖掘算法求得,具体包括如下步骤:
1、依次查找目标网格中所有数据的k近邻数据集,该k近邻数据集中包括每个数据点的第k距离k-distance和k距离邻域包含数据的数据编号。也就是说,如果网格内数据点个数大于K+1,则计算目标网格Gi内每个数据点nj与G内所有数据间的距离,并找到nj的k近邻数据点,记录数据点nj的k近邻距离为k-distance(j),k距离邻域为Nk(p)和k距离邻域内各个数据点的编号;在此,对本文中出现的参数进行解释:
1)d(p,o):数据点o与点p间的欧氏距离;
2)第k距离k-distance,对于点p的第k距离dk(p)定义如下:dk(p)=d(p,o),并且满足:
a)在集合中至少有不包括p在内的k个点o’∈C{x≠p}满足d(p,o’)≤d(p,o);
a)在集合中最多有不包括p在内的k-1个点o’∈C{x≠p},满足d(p,o’)<d(p,o)。
2)第k距离邻域。点p的第k距离邻域Nk(p),就是p的第k距离即以内的所有点,包括第k距离。因此p的第k邻域点的个数|Nk(p)|≥k。
2、计算每个数据的局部可达密度lrd(i),计算公式为:
Figure BDA0001661199570000091
lrd(i)表示点p的第k邻域内点到p的平均可达距离的倒数。其中reach-distk(p,o)为点o到点p的可达距离,表示为:
reach-distk(p,o)=max{k-distance(o),d(p,o)}。
3、计算每个数据点的局部离群因子lof(i),计算公式为:
Figure BDA0001661199570000101
表示点p的邻域点Nk(p)的局部可达密度与点p的局部可达密度之比的平均数。
S106、将局部离群因子大于预定阈值的数据点作为异常数据点,将所述异常数据点对应的操作作为入侵操作。
具体的,通过上述方法计算出目标网格内每个数据点局部离群因子后,可对数据集中各个数据的离群因子lof(i)进行排序,对于局部离群因子大于阈值lof的数据作噪声标记。即:可将局部离群因子大于预定阈值的数据点作为异常数据点,将异常数据点对应的操作作为入侵操作;并且,检测出入侵操作后,可以通过预先设定的预警方式进行预警。参见图4,为本发明公开的一种具体的入侵操作检测方法流程图。
综上可见,本方案针对基于密度的离群点检测算法需要计算距离矩阵来解决k近邻查询问题,提出利用网格的“记忆性”:即距离目标网格中的数据点最近的k个其他数据点,一定在该目标网格或在该目标网格的最近邻接网格中,来优化邻域查询,然后再计算每个数据的离群度。该方法具有如下优点:通过数据自身分布特性和数据集大小,自动划分网格大小,避免了人为设置网格大小参数,更加适合实际数据离群点检测的需要;并且利用网格能够记录周围数据点分布的特性,优化邻域查询操作,避免了大规模的距离矩阵的计算,加快了离群点检测的速度。因此,通过该方法能提高对日志文件的检测速度,及时的检测出主机中是否存在入侵操作,提高系统的安全性。
下面对本发明实施例提供的入侵操作检测装置进行介绍,下文描述的入侵操作检测装置与上文描述的入侵操作检测方法可以相互参照。
参见图5,本发明实施例提供的一种入侵操作检测装置,包括:
获取模块100,用于获取目标主机的日志文件,将所述日志文件作为待检测数据集,所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应;
数据空间创建模块200,用于利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成;
数据点映射模块300,用于将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内;
目标网格确定模块400,用于从所述述n维数据空间的网格内确定待检测的目标网格;
数据点检测模块500,用于检测目标网格内的数据点个数是否小于K+1;其中,K为k近邻参数值;若小于K+1,则将目标网格作为中心网格,并触发网格重组模块;
网格重组模块600,用于数据点个数小于K+1时,查找中心网格的邻接网格,将所述中心网格和所述邻接网格组合生成重组网格;
重组网格数据点检测模块700,用于检测所述重组网格内的数据点个数是否小于K+1;若不小于K+1,则触发局部离群因子计算模块;若小于K+1,则,则将重组网格作为中心网格,触发所述网格重组模块;
局部离群因子计算模块800,用于在数据点个数不小于K+1时,则计算目标网格内每个数据点的局部离群因子;若所述n维网格内存在未检测的网格,则从未检测的网格内重新选取目标网格,并触发所述数据点检测模块;若n维网格内不存在未检测的网格,则触发入侵操作确定模块;
入侵操作确定模块900,用于将局部离群因子大于预定阈值的数据点作为异常数据点,将所述异常数据点对应的操作作为入侵操作。
其中,所述数据空间创建模块具体用于:
利用所述待检测数据集D中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间S=R1×R2×...Rn;Ri为第i维数据集,且Ri的区间为Ri=[li,hi],li为第i维数据集的最小值,hi为第i维数据集的最大值;
其中,所述n维数据空间由边长相等且互不相交的网格组成,所述n维数据空间S的网格边长
Figure BDA0001661199570000111
M为所述待检测数据集D的数据点个数;所述n维数据空间S的每一维上的网格数量Num=┌(hi-li)/Len┐。
其中,所述数据点映射模块包括:
下标计算单元,用于计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标indexi,且indexi=┌(xi-li)/Len┐;其中,所述待检测数据集D中每个数据点为X(x1,x2...xn),xi为数据点X在第i维的数据值;
映射单元,用于根据每个数据点X的每一维数据值的下标,将每个数据点映射到所述n维数据空间的网格内。
其中,所述局部离群因子计算模块包括:
k近邻数据集计算单元,用于计算所述目标网格内每个数据点的k近邻数据集;所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点;
局部离群因子确定单元,用于利用每个数据点的k近邻数据集计算每个数据点的局部可达密度,并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。
本发明实施例还提供一种入侵操作检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述任意入侵操作检测方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意入侵操作检测方法的步骤。
其中,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种入侵操作检测方法,其特征在于,包括:
S101、获取目标主机的日志文件,将所述日志文件作为待检测数据集,所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应;
S102、利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成,将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内,并确定待检测的目标网格;
S103、检测目标网格内的数据点个数是否小于K+1;其中,K为k近邻参数值;若是,则将目标网格作为中心网格,执行S104;若否,则执行S105;
S104、查找中心网格的邻接网格,将所述中心网格和所述邻接网格组合生成重组网格,并检测所述重组网格内的数据点个数是否小于K+1;若是,则将重组网格作为中心网格,继续执行S104;若否,则执行S105;
S105、计算目标网格内每个数据点的局部离群因子;若所述n维数据空间内存在未检测的网格,则从未检测的网格内重新选取目标网格,并继续执行S103;若所述n维数据空间内不存在未检测的网格,则执行S106;
S106、将局部离群因子大于预定阈值的数据点作为异常数据点,将所述异常数据点对应的操作作为入侵操作。
2.根据权利要求1所述的入侵操作检测方法,其特征在于,所述S102中利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成,包括:
利用所述待检测数据集D中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间S=R1×R2×...Rn;Ri为第i维数据集,且Ri的区间为Ri=[li,hi],li为第i维数据集的最小值,hi为第i维数据集的最大值;
其中,所述n维数据空间由边长相等且互不相交的网格组成,所述n维数据空间S的网格边长
Figure FDA0003022082740000011
M为所述待检测数据集D的数据点个数;
所述n维数据空间S的每一维上的网格数量Num=(hi-li)/Len
3.根据权利要求2所述的入侵操作检测方法,其特征在于,所述S102中将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内,包括:
计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标indexi,且indexi(xi-li)/Len;其中,所述待检测数据集D中每个数据点为X(x1,x2...xn),xi为数据点X在第i维的数据值;
根据每个数据点X的每一维数据值的下标,将每个数据点映射到所述n维数据空间的网格内。
4.根据权利要求1至3中任意一项所述的入侵操作检测方法,其特征在于,所述S105中计算所述目标网格内每个数据点的局部离群因子,包括:
计算所述目标网格内每个数据点的k近邻数据集;所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点;
利用每个数据点的k近邻数据集计算每个数据点的局部可达密度,并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。
5.一种入侵操作检测装置,其特征在于,包括:
获取模块,用于获取目标主机的日志文件,将所述日志文件作为待检测数据集,所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应;
数据空间创建模块,用于利用所述待检测数据集中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间,所述n维数据空间由边长相等且互不相交的网格组成;
数据点映射模块,用于将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内;
目标网格确定模块,用于从所述n维数据空间的网格内确定待检测的目标网格;
数据点检测模块,用于检测目标网格内的数据点个数是否小于K+1;其中,K为k近邻参数值;若小于K+1,则将目标网格作为中心网格,并触发网格重组模块;
所述网格重组模块,用于数据点个数小于K+1时,查找中心网格的邻接网格,将所述中心网格和所述邻接网格组合生成重组网格;
重组网格数据点检测模块,用于检测所述重组网格内的数据点个数是否小于K+1;若不小于K+1,则触发局部离群因子计算模块;若小于K+1,则将重组网格作为中心网格,触发所述网格重组模块;
局部离群因子计算模块,用于在数据点个数不小于K+1时,则计算目标网格内每个数据点的局部离群因子;若所述n维数据空间内存在未检测的网格,则从未检测的网格内重新选取目标网格,并触发所述数据点检测模块;若所述n维数据空间内不存在未检测的网格,则触发入侵操作确定模块;
入侵操作确定模块,用于将局部离群因子大于预定阈值的数据点作为异常数据点,将所述异常数据点对应的操作作为入侵操作。
6.根据权利要求5所述的入侵操作检测装置,其特征在于,所述数据空间创建模块具体用于:
利用所述待检测数据集D中每个数据点的n维数据值,建立与所述待检测数据集对应的n维数据空间S=R1×R2×...Rn;Ri为第i维数据集,且Ri的区间为Ri=[li,hi],li为第i维数据集的最小值,hi为第i维数据集的最大值;
其中,所述n维数据空间由边长相等且互不相交的网格组成,所述n维数据空间S的网格边长
Figure FDA0003022082740000031
M为所述待检测数据集D的数据点个数;所述n维数据空间S的每一维上的网格数量Num=(hi-li)/Len
7.根据权利要求6所述的入侵操作检测装置,其特征在于,所述数据点映射模块包括:
下标计算单元,用于计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标indexi,且indexi(xi-li)/Len;其中,所述待检测数据集D中每个数据点为X(x1,x2...xn),xi为数据点X在第i维的数据值;
映射单元,用于根据每个数据点X的每一维数据值的下标,将每个数据点映射到所述n维数据空间的网格内。
8.根据权利要求5至7中任意一项所述的入侵操作检测装置,其特征在于,所述局部离群因子计算模块包括:
k近邻数据集计算单元,用于计算所述目标网格内每个数据点的k近邻数据集;所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点;
局部离群因子确定单元,用于利用每个数据点的k近邻数据集计算每个数据点的局部可达密度,并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。
9.一种入侵操作检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的入侵操作检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的入侵操作检测方法的步骤。
CN201810462297.1A 2018-05-15 2018-05-15 入侵操作检测方法、装置、设备及计算机可读存储介质 Expired - Fee Related CN108710796B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810462297.1A CN108710796B (zh) 2018-05-15 2018-05-15 入侵操作检测方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810462297.1A CN108710796B (zh) 2018-05-15 2018-05-15 入侵操作检测方法、装置、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN108710796A CN108710796A (zh) 2018-10-26
CN108710796B true CN108710796B (zh) 2021-07-06

Family

ID=63867964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810462297.1A Expired - Fee Related CN108710796B (zh) 2018-05-15 2018-05-15 入侵操作检测方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN108710796B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109727446B (zh) * 2019-01-15 2021-03-05 华北电力大学(保定) 一种用电数据异常值的识别与处理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104462184A (zh) * 2014-10-13 2015-03-25 北京系统工程研究所 一种基于双向抽样组合的大规模数据异常识别方法
CN104484600A (zh) * 2014-11-18 2015-04-01 中国科学院深圳先进技术研究院 一种基于改进密度聚类的入侵检测方法及装置
CN104715214A (zh) * 2015-04-02 2015-06-17 黑龙江大学 基于双簇头的手机与物品定位方法
CN105184318A (zh) * 2015-08-31 2015-12-23 浙江工业大学 一种基于网格的加强聚簇边缘检测的混合属性数据流聚类方法
CN105373806A (zh) * 2015-10-19 2016-03-02 河海大学 一种基于不确定数据集的离群检测方法
CN106339416A (zh) * 2016-08-15 2017-01-18 常熟理工学院 基于网格快速搜寻密度峰值的数据聚类方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104462184A (zh) * 2014-10-13 2015-03-25 北京系统工程研究所 一种基于双向抽样组合的大规模数据异常识别方法
CN104484600A (zh) * 2014-11-18 2015-04-01 中国科学院深圳先进技术研究院 一种基于改进密度聚类的入侵检测方法及装置
CN104715214A (zh) * 2015-04-02 2015-06-17 黑龙江大学 基于双簇头的手机与物品定位方法
CN105184318A (zh) * 2015-08-31 2015-12-23 浙江工业大学 一种基于网格的加强聚簇边缘检测的混合属性数据流聚类方法
CN105373806A (zh) * 2015-10-19 2016-03-02 河海大学 一种基于不确定数据集的离群检测方法
CN106339416A (zh) * 2016-08-15 2017-01-18 常熟理工学院 基于网格快速搜寻密度峰值的数据聚类方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于聚类合并的局部离群点挖掘算法在入侵检测中的应用;梅孝辉;《计算机与现代化》;20150831;全文 *

Also Published As

Publication number Publication date
CN108710796A (zh) 2018-10-26

Similar Documents

Publication Publication Date Title
CN106599129B (zh) 一种顾及地形特点的多波束点云数据去噪方法
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US11314830B2 (en) Method and apparatus for automatically discovering gas station POI, storage medium and device
CN108776999B (zh) 基于海洋物联网的网格等值线绘制方法
CN108880915B (zh) 一种电力信息网络安全告警信息误报判定方法和系统
CN106127782B (zh) 一种图像分割方法及系统
CN107101984A (zh) 信号波形特征检测方法、装置、存储介质和计算机设备
CN114841374A (zh) 一种基于随机贪心算法的横向联邦梯度提升树优化方法
CN112085125A (zh) 基于线性自学习网络的缺失值填补方法、存储介质及系统
CN111104398A (zh) 针对智能船舶近似重复记录的检测方法、消除方法
CN108710796B (zh) 入侵操作检测方法、装置、设备及计算机可读存储介质
CN115408925A (zh) 用于隧道施工的岩体参数预测方法和装置
CN106156281A (zh) 基于Hash‑Cube空间层次划分结构的最近邻点集快速检索方法
CN115438081A (zh) 一种海量船舶位置点云多级聚合与实时更新方法
CN108173876B (zh) 基于最大频繁模式的动态规则库构建方法
CN111881929B (zh) 基于混沌图像像素识别的Duffing系统大周期状态检测方法及装置
CN112819056A (zh) 群控账号挖掘方法、装置、设备及存储介质
CN115225373B (zh) 一种信息不完备条件下的网络空间安全态势表达方法及装置
KR101576358B1 (ko) 온라인 분석 처리를 위한 그래프 큐브의 생성 방법
CN106652032B (zh) 一种基于Linux集群平台的DEM并行等高线生成方法
CN106027369A (zh) 一种面向邮件地址特征的邮件地址匹配方法
CN112597699A (zh) 一种融入客观赋权法的社交网络谣言源识别方法
CN117332543B (zh) 电网异构数据源的分布处理方法
CN117556369B (zh) 一种动态生成的残差图卷积神经网络的窃电检测方法及系统
CN114124564B (zh) 一种仿冒网站检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210706

CF01 Termination of patent right due to non-payment of annual fee