CN108875365B - 一种入侵检测方法及入侵检测检测装置 - Google Patents

一种入侵检测方法及入侵检测检测装置 Download PDF

Info

Publication number
CN108875365B
CN108875365B CN201810363956.6A CN201810363956A CN108875365B CN 108875365 B CN108875365 B CN 108875365B CN 201810363956 A CN201810363956 A CN 201810363956A CN 108875365 B CN108875365 B CN 108875365B
Authority
CN
China
Prior art keywords
data
classes
training
vector
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810363956.6A
Other languages
English (en)
Other versions
CN108875365A (zh
Inventor
王子芹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Golden Shield Information Security Grade Protection Evaluation Center Co ltd
Original Assignee
Hunan Golden Shield Information Security Grade Protection Evaluation Center Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Golden Shield Information Security Grade Protection Evaluation Center Co ltd filed Critical Hunan Golden Shield Information Security Grade Protection Evaluation Center Co ltd
Priority to CN201810363956.6A priority Critical patent/CN108875365B/zh
Publication of CN108875365A publication Critical patent/CN108875365A/zh
Application granted granted Critical
Publication of CN108875365B publication Critical patent/CN108875365B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Burglar Alarm Systems (AREA)
  • Alarm Systems (AREA)

Abstract

本发明提供了一种入侵检测方法,采用了聚类分析和SVM联用的技术,在训练支持向量机时,先将大量数据进行分类,生成聚类之后的多个数据类,其中每个数据类具有相似的特征,然后再针对每一个聚类之后的数据类生成一个对应的支持向量机,这样的设计防止将非常不同的两种行为作为训练样本来训练SVM,造成SVM出现过拟合的问题;同时,利用历史经验设计了聚类效果评判标准,防止使用简单的试错法造成的低效率问题。

Description

一种入侵检测方法及入侵检测检测装置
技术领域
本发明涉及网络安全领域,特别涉及一种入侵检测方法及入侵检测检测装置。
背景技术
随着Intcmet在企业应用的不断深化,利用建立在Intemet架构的应用系统平台来实现电子商务、在线交易、网上银行、业务集团化管理等应用已经成为企业发展的重要方向。与此同时,安全问题导致的经济损失也不断涌现。在网络安全问题日益突出的今天,如何迅速、有效地发现各类新的入侵行为,对于保证系统和网络资源的安全显得十分重要。入侵检测技术(Intrusion Detection,ID)是继“防火墙”、“数据加密”等传统安全保护措施后新一代安全保障技术,是网络安全的核心技术之一,它扩展了系统管理员的安全管理能力,提高了系统安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门。因此,研究入侵检测系统具有极其重要的意义。
随着大数据技术以及机器学习技术的迅速发展,目前现有技术提出了许多基于聚类分析、SVM、决策树或者神经网络算法的入侵检测技术,这些入侵检测技术在现有技术中设计的特定测试环境下一般都能够取得比较好的效果,但是一旦将这些入侵检测技术用于日常网络安全,那么这些技术一般存在以下缺陷:1、采用的基础算法单一(也即单一的使用聚类算法、神经网络算法等等),而众所周知的是,每一种基础算法都有其自身的适用范围,单一的使用一种基础算法,很容易出现待测试行为超出适用范围的情况,一旦出现超出适用范围的情况,就意味着判断结果极易出现错误。2、对于聚类算法而言,缺乏一种比较好的选择聚类个数的方法,一般而言,对于选择聚类个数而言,现有技术的方法就是最普通的试错法,但是这种方法效率低,并且实际上没有有效利用历史经验。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
发明内容
本发明的目的在于提供一种入侵检测方法及入侵检测检测装置,从而克服现有技术的缺点。
为实现上述目的,本发明提供了一种入侵检测方法,包括:获取网络中的数据流;从所获取的数据流中获得网络连接行为;提取网络连接行为的特征信息;将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;基于训练数据集对支持向量机进行训练,其中,对支持向量机进行训练包括如下步骤:对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;基于多个数据类的成员数据,分别训练对应的多个支持向量机;判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类,如果第一向量属于多个数据类中的第一数据类,则执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。
优选地,上述技术方案中,如果第一向量不属于多个数据类中的任何一个数据类,则在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。
优选地,上述技术方案中,第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且第二安全动作只包括报警动作。
优选地,上述技术方案中,对训练数据集进行聚类分析进一步包括:统计训练数据集中的向量个数;基于向量个数生成第一数据类个数;将训练数据集按照第一数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,确定数据类个数是否正确。
优选地,上述技术方案中,第一数据类个数基于以下公式生成:
N=√(n/3)
其中,N为第一数据类个数,n是训练集中的向量个数。
本发明还提供了一种入侵检测装置,包括:数据流获取单元,其用于获取网络中的数据流;网络连接行为获取单元,其用于从所获取的数据流中获得网络连接行为;特征提取单元,其用于提取网络连接行为的特征信息;数据预处理单元,其用于将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;向量机训练单元,其用于基于训练数据集对支持向量机进行训练,其中,向量机训练单元还包括:聚类分析单元,其用于对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;向量机训练子单元,其用于基于多个数据类的成员数据,分别训练对应的多个支持向量机;判断单元,其用于判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类;第一动作单元,其用于在第一向量属于多个数据类中的第一数据类的情况下,执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。
优选地,上述技术方案中,装置还包括第二动作单元:其用于当第一向量不属于多个数据类中的任何一个数据类时,在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。
优选地,上述技术方案中,第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且第二安全动作只包括报警动作。
优选地,上述技术方案中,聚类分析单元进一步包括:统计单元,其用于统计训练数据集中的向量个数;生成单元,其用于基于向量个数生成第一数据类个数;分析单元,其用于将训练数据集按照第一数据类个数进行聚类;距离计算单元,其用于计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离,并对距离求和,得到距离和;以及第二判断单元,其用于基于距离和,确定数据类个数是否正确。
优选地,上述技术方案中,第一数据类个数基于以下公式生成:
N=√(n/3)
其中,N为第一数据类个数,n是训练集中的向量个数。
与现有技术相比,本发明具有如下有益效果:1、采用了聚类分析和SVM联用的技术,在训练支持向量机时,先将大量数据进行分类,生成聚类之后的多个数据类,其中每个数据类具有相似的特征,然后再针对每一个聚类之后的数据类生成一个对应的支持向量机,这样的设计防止将非常不同的两种行为作为训练样本来训练SVM,造成SVM出现过拟合的问题;2、利用历史经验设计了聚类效果评判标准,防止使用简单的试错法造成的低效率问题。
附图说明
图1是根据本发明的实施例的入侵检测方法的流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。本发明的墙体与保温层的具体制造方法是本领域公知的方法。各层胶黏剂层例如可以是环氧树脂胶黏剂。
如图1所示,本发明的方法可以包括:
步骤101:获取网络中的数据流;
步骤102:从所获取的数据流中获得网络连接行为;
步骤103:提取网络连接行为的特征信息;
步骤104:将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;
步骤105:基于训练数据集对支持向量机进行训练,其中,对支持向量机进行训练包括如下步骤:对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;基于多个数据类的成员数据,分别训练对应的多个支持向量机;
步骤106:判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类,如果第一向量属于多个数据类中的第一数据类,则执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。
其中,需要说明的是网络连接行为包括多个特征,例如访问时间、IP地址、访问类型、数据分组大小、访问频率等等。数据预处理包括将上述所有特征转化数值形式,如果某些数值的取值范围过大的话,还需要进行数值范围归一化,上述内容是本领域公知的内容,不再赘述。本发明实际上是先对预处理之后的整个训练数据集进行聚类分析,得到数个聚类,然后使用每个聚类中的子训练集分别训练对应的支持向量机。再具体而言,例如通过聚类算法,将训练集分为10个数据类,然后使用10个数据类中的训练样本分别训练对应的10个支持向量机,例如:对于第1个数据类,使用第1个数据类中的样本训练第1个SVM,对于第2个数据类,使用第2个数据类中的样本训练第2个SVM,依此类推。当完成训练之后,则开始使用训练好的各个SVM对行为进行判别。为了更好的实现本发明的目的,当然需要对每个但预测行为判断所属聚类,假设待预测行为属于第1个聚类,那么就将该待预测行为发送给第1个SVM进行判别。判断所属聚类的方法可以是任意本领域已知的方法,例如基于欧式距离或者曼哈顿距离的判断方法。使用这种方法的优点在于:如果直接使用信息量非常大、各类向量之间差异又非常明显的训练集来训练SVM,那么很可能导致SVM出现过拟合的问题,这实际上是一个非常难以克服的缺陷,而使用本发明的方法之后,针对每个SVM而言,数据信息量降低,并且所有训练集都具有统计意义上的相似性,这样一来,过拟合的概率将大大降低。入侵检测的稳定性将得到提高。
优选的,本发明的方法还可以包括:如果第一向量不属于多个数据类中的任何一个数据类,则在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。在该情况下,相当于接收到了一种“新类型”的网络访问行为,这种行为与原来的所有行为都不同,在所使用的训练数据集是权威数据集的情况下,这种情况比较少见。为了保证网络安全,以及方便用户,本发明设计了在这种情况下,直接执行第二动作,第二动作具体可以是对用户进行提醒(报警),提醒用户对该网络访问行为进行手动判断,由于这种行为不经常发生,所以用户实际上可以比较简单的判断这种行为究竟是正常的访问行为还是入侵行为。第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且第二安全动作只包括报警动作。
为了得到正确的分类个数,以保证最终检测效果,需要进一步设计聚类算法。本发明的对训练数据集进行聚类分析进一步包括:统计训练数据集中的向量个数;基于向量个数生成第一数据类个数;将训练数据集按照第一数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,确定数据类个数是否正确,进一步而言基于距离和,确定数据类个数是否正确可以是:判断距离和是否大于某个门限值,该门限值可以由经验获得,如果距离和大于某个门限值,则确定数据类个数不正确。本发明的方法还可以包括:如果确定数据类个数不正确,则生成第二数据类个数,第二数据类个数可以是第一数据类个数加1或者减1,或者加2或者减2等等。随后,将训练数据集按照第二数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,再次确定数据类个数是否正确,如果距离和大于某个门限值,则确定数据类个数不正确,此时,本发明的方法还可以包括:如果确定数据类个数不正确,则生成第三数据类个数,第三数据类个数可以是第二数据类个数加1或者减1,或者加2或者减2等等。随后,将训练数据集按照第三数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,再次确定数据类个数是否正确,如果距离和大于某个门限值,则确定数据类个数不正确,此时,不再自动调整数据类个数,而是将数据类个数不正确消息发送给用户,此时用户可以进行入侵检测策略的手动设置,可以根据用户手动设置的入侵检测策略来确定对应的数据类个数,入侵检测策略与数据类个数的对应关系是预先生成的。当然在根据用户手动设置的入侵检测策略来确定对应的数据类个数之后,则不再进行数据类个数是否正确的判断。第一数据类个数基于以下公式生成:N=√(n/3),其中,N为第一数据类个数,n是训练集中的向量个数。发明人发现,基于该公式得到的数据类个数通常是合适的,并且通常是可以成功进行入侵检测。
本发明还提供了一种入侵检测装置,包括:数据流获取单元,其用于获取网络中的数据流;网络连接行为获取单元,其用于从所获取的数据流中获得网络连接行为;特征提取单元,其用于提取网络连接行为的特征信息;数据预处理单元,其用于将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;向量机训练单元,其用于基于训练数据集对支持向量机进行训练,其中,向量机训练单元还包括:聚类分析单元,其用于对训练数据集进行聚类分析,得到多个数据类,并且得到多个数据类的聚类中心以及成员数据;向量机训练子单元,其用于基于多个数据类的成员数据,分别训练对应的多个支持向量机;判断单元,其用于判断待预测数据集中的第一向量是否属于多个数据类中的一个数据类;第一动作单元,其用于在第一向量属于多个数据类中的第一数据类的情况下,执行以下操作:将第一向量发送给对应于第一数据类的第一支持向量机;当第一支持向量机判断第一向量对应的行为是入侵行为时,执行第一安全动作。装置还包括第二动作单元:其用于当第一向量不属于多个数据类中的任何一个数据类时,在不将第一向量发送给任何支持向量机的情况下,直接执行第二安全动作。聚类分析单元进一步包括:统计单元,其用于统计训练数据集中的向量个数;生成单元,其用于基于向量个数生成第一数据类个数;分析单元,其用于将训练数据集按照第一数据类个数进行聚类;距离计算单元,其用于计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离,并对距离求和,得到距离和;以及第二判断单元,其用于基于距离和,确定数据类个数是否正确。
结合本发明描述的各种模块和电路可以用被设计为执行本发明所描述的功能的通用处理器、专用集成电路、现场可编程门阵列或者分立门或晶体管逻辑电路、分立硬件组件或其任何组合来实现。通用处理器可以是微处理器,处理器可以是任何商业上可得到的处理器、控制器、微控制器或状态机。处理器可以负责管理总线和一般处理,包括执行存储在机器可读介质上的软件。处理器可以用一个或多个通用和/或专用处理器实现。无论被称为软件、固件、中间件、微代码、硬件描述语言还是其他,软件应被宽泛地解释为意指指令、数据或其任何组合。作为示例,机器可读介质可以包括RAM、闪存、ROM、PROM、EPROM、EEPROM、寄存器、磁盘、光盘或其任何组合。在硬件实现中,机器可读介质可以是与处理器分离的处理系统的一部分。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims (2)

1.一种入侵检测方法,包括:
获取网络中的数据流;
从所获取的数据流中获得网络连接行为;
提取网络连接行为的特征信息;
将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;
基于所述训练数据集对支持向量机进行训练,其中,对支持向量机进行训练包括如下步骤:
对训练数据集进行聚类分析,得到多个数据类,并且得到所述多个数据类的聚类中心以及成员数据;
基于所述多个数据类的成员数据,分别训练对应的多个支持向量机;
判断所述待预测数据集中的第一向量是否属于所述多个数据类中的一个数据类,如果所述第一向量属于所述多个数据类中的第一数据类,则执行以下操作:
将所述第一向量发送给对应于所述第一数据类的第一支持向量机;
当第一支持向量机判断所述第一向量对应的行为是入侵行为时,执行第一安全动作;如果所述第一向量不属于所述多个数据类中的任何一个数据类,则在不将所述第一向量发送给任何支持向量机的情况下,直接执行第二安全动作;
所述第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且所述第二安全动作只包括报警动作;
对训练数据集进行聚类分析进一步包括:
统计所述训练数据集中的向量个数;
基于所述向量个数生成第一数据类个数;
所述第一数据类个数基于以下公式生成:
其中,所述N为第一数据类个数,所述n是所述训练数据集中的向量个数;
将所述训练数据集按照所述第一数据类个数进行聚类;
计算所述训练数据集中的每一个向量到所述每一个向量所属的数据类的聚类中心的距离;
对所述距离求和,得到距离和;以及
基于所述距离和,确定所述第一数据类个数是否正确,具体而言,基于距离和,确定第一数据类个数是否正确是:判断距离和是否大于设定门限值,该门限值由经验获得,如果距离和大于该门限值,则确定数据类个数不正确;
如果确定第一数据类个数不正确,则生成第二数据类个数,第二数据类个数是第一数据类个数加1,或者减1,或者加2,或者减2;
随后,将训练数据集按照第二数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,再次确定第二数据类个数是否正确,如果距离和大于所述设定门限值,则确定数据类个数不正确;如果确定第二数据类个数不正确,则生成第三数据类个数,第三数据类个数是第二数据类个数加1,或者减1,或者加2,或者减2;
随后,将训练数据集按照第三数据类个数进行聚类;计算训练数据集中的每一个向量到每一个向量所属的数据类的聚类中心的距离;对距离求和,得到距离和;以及基于距离和,再次确定数据类个数是否正确,如果距离和大于所述设定门限值,则确定数据类个数不正确,此时,不再自动调整数据类个数,而是将数据类个数不正确消息发送给用户,用户进行入侵检测策略的手动设置,根据用户手动设置的入侵检测策略来确定对应的数据类个数,入侵检测策略与数据类个数的对应关系是预先生成的,在根据用户手动设置的入侵检测策略来确定对应的数据类个数之后,不再进行数据类个数是否正确的判断。
2.一种执行权利要求1所述入侵检测方法的入侵检测装置,包括:
数据流获取单元,其用于获取网络中的数据流;
网络连接行为获取单元,其用于从所获取的数据流中获得网络连接行为;
特征提取单元,其用于提取网络连接行为的特征信息;
数据预处理单元,其用于将所提取的特征信息进行数据预处理,并生成训练数据集和待预测数据集;
向量机训练单元,其用于基于所述训练数据集对支持向量机进行训练,其中,所述向量机训练单元还包括:
聚类分析单元,其用于对训练数据集进行聚类分析,得到多个数据类,并且得到所述多个数据类的聚类中心以及成员数据;
向量机训练子单元,其用于基于所述多个数据类的成员数据,分别训练对应的多个支持向量机;
判断单元,其用于判断所述待预测数据集中的第一向量是否属于所述多个数据类中的一个数据类;
第一动作单元,其用于在所述第一向量属于所述多个数据类中的第一数据类的情况下,执行以下操作:
将所述第一向量发送给对应于所述第一数据类的第一支持向量机;
当第一支持向量机判断所述第一向量对应的行为是入侵行为时,执行第一安全动作,
所述装置还包括第二动作单元:其用于当所述第一向量不属于所述多个数据类中的任何一个数据类时,在不将所述第一向量发送给任何支持向量机的情况下,直接执行第二安全动作,
所述第一安全动作包括断开网络连接、报警、限制接收数据分组中的一种或多种动作,并且所述第二安全动作只包括报警动作,
所述聚类分析单元进一步包括:
统计单元,其用于统计所述训练数据集中的向量个数;
生成单元,其用于基于所述向量个数生成第一数据类个数;
分析单元,其用于将所述训练数据集按照所述第一数据类个数进行聚类;
距离计算单元,其用于计算所述训练数据集中的每一个向量到所述每一个向量所属的数据类的聚类中心的距离,并对所述距离求和,得到距离和;以及
第二判断单元,其用于基于所述距离和,确定所述数据类个数是否正确。
CN201810363956.6A 2018-04-22 2018-04-22 一种入侵检测方法及入侵检测检测装置 Active CN108875365B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810363956.6A CN108875365B (zh) 2018-04-22 2018-04-22 一种入侵检测方法及入侵检测检测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810363956.6A CN108875365B (zh) 2018-04-22 2018-04-22 一种入侵检测方法及入侵检测检测装置

Publications (2)

Publication Number Publication Date
CN108875365A CN108875365A (zh) 2018-11-23
CN108875365B true CN108875365B (zh) 2023-04-07

Family

ID=64327144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810363956.6A Active CN108875365B (zh) 2018-04-22 2018-04-22 一种入侵检测方法及入侵检测检测装置

Country Status (1)

Country Link
CN (1) CN108875365B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110191085B (zh) * 2019-04-09 2021-09-10 中国科学院计算机网络信息中心 基于多分类的入侵检测方法、装置及存储介质
CN110320033A (zh) * 2019-08-08 2019-10-11 广东省智能机器人研究院 一种滚动轴承健康退化状态辨识方法
CN110636082B (zh) * 2019-10-31 2022-06-21 新华三技术有限公司合肥分公司 一种入侵检测方法及装置
CN111986811B (zh) * 2020-02-24 2021-10-15 广州瘦吧网络科技有限公司 一种基于算法和大数据的疾病预测系统
CN111597549A (zh) * 2020-04-17 2020-08-28 国网浙江省电力有限公司湖州供电公司 一种基于大数据的网络安全行为识别方法及系统

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101557327A (zh) * 2009-03-20 2009-10-14 扬州永信计算机有限公司 基于支持向量机的入侵检测方法
CN102420723A (zh) * 2011-12-14 2012-04-18 南京邮电大学 一种面向多类入侵的异常检测方法
CN102831432A (zh) * 2012-05-07 2012-12-19 江苏大学 一种适用于支持向量机训练的冗余数据约减方法
CN103870751A (zh) * 2012-12-18 2014-06-18 中国移动通信集团山东有限公司 入侵检测方法及系统
CN104331498A (zh) * 2014-11-19 2015-02-04 亚信科技(南京)有限公司 一种对互联网用户访问的网页内容自动分类的方法
CN104484602A (zh) * 2014-12-09 2015-04-01 中国科学院深圳先进技术研究院 一种入侵检测方法、装置
CN104601565A (zh) * 2015-01-07 2015-05-06 天津理工大学 一种智能优化规则的网络入侵检测分类方法
US9177153B1 (en) * 2005-10-07 2015-11-03 Carnegie Mellon University Verifying integrity and guaranteeing execution of code on untrusted computer platform
CN105072115A (zh) * 2015-08-12 2015-11-18 国家电网公司 一种基于Docker虚拟化的信息系统入侵检测方法
CN106973057A (zh) * 2017-03-31 2017-07-21 浙江大学 一种适用于入侵检测的分类方法
CN107145778A (zh) * 2017-05-04 2017-09-08 北京邮电大学 一种入侵检测方法及装置
CN107506783A (zh) * 2017-07-07 2017-12-22 广东科学技术职业学院 一种复杂混合入侵检测算法
CN107645393A (zh) * 2016-07-20 2018-01-30 中兴通讯股份有限公司 确定黑盒系统输入输出关联度的方法、装置以及系统
CN107688831A (zh) * 2017-09-04 2018-02-13 五邑大学 一种基于聚类下采样的不平衡数据分类方法
CN108710622A (zh) * 2018-03-13 2018-10-26 北京光宇之勋科技有限公司 基于机器学习的网页信息推荐方法及推荐系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103440873B (zh) * 2013-08-27 2015-10-28 大连理工大学 一种基于相似性的音乐推荐方法
CN104142918B (zh) * 2014-07-31 2017-04-05 天津大学 基于tf‑idf特征的短文本聚类以及热点主题提取方法

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9177153B1 (en) * 2005-10-07 2015-11-03 Carnegie Mellon University Verifying integrity and guaranteeing execution of code on untrusted computer platform
CN101557327A (zh) * 2009-03-20 2009-10-14 扬州永信计算机有限公司 基于支持向量机的入侵检测方法
CN102420723A (zh) * 2011-12-14 2012-04-18 南京邮电大学 一种面向多类入侵的异常检测方法
CN102831432A (zh) * 2012-05-07 2012-12-19 江苏大学 一种适用于支持向量机训练的冗余数据约减方法
CN103870751A (zh) * 2012-12-18 2014-06-18 中国移动通信集团山东有限公司 入侵检测方法及系统
CN104331498A (zh) * 2014-11-19 2015-02-04 亚信科技(南京)有限公司 一种对互联网用户访问的网页内容自动分类的方法
CN104484602A (zh) * 2014-12-09 2015-04-01 中国科学院深圳先进技术研究院 一种入侵检测方法、装置
CN104601565A (zh) * 2015-01-07 2015-05-06 天津理工大学 一种智能优化规则的网络入侵检测分类方法
CN105072115A (zh) * 2015-08-12 2015-11-18 国家电网公司 一种基于Docker虚拟化的信息系统入侵检测方法
CN107645393A (zh) * 2016-07-20 2018-01-30 中兴通讯股份有限公司 确定黑盒系统输入输出关联度的方法、装置以及系统
CN106973057A (zh) * 2017-03-31 2017-07-21 浙江大学 一种适用于入侵检测的分类方法
CN107145778A (zh) * 2017-05-04 2017-09-08 北京邮电大学 一种入侵检测方法及装置
CN107506783A (zh) * 2017-07-07 2017-12-22 广东科学技术职业学院 一种复杂混合入侵检测算法
CN107688831A (zh) * 2017-09-04 2018-02-13 五邑大学 一种基于聚类下采样的不平衡数据分类方法
CN108710622A (zh) * 2018-03-13 2018-10-26 北京光宇之勋科技有限公司 基于机器学习的网页信息推荐方法及推荐系统

Also Published As

Publication number Publication date
CN108875365A (zh) 2018-11-23

Similar Documents

Publication Publication Date Title
CN108875365B (zh) 一种入侵检测方法及入侵检测检测装置
CN109522304B (zh) 异常对象识别方法及装置、存储介质
CN109309630B (zh) 一种网络流量分类方法、系统及电子设备
WO2019228004A1 (zh) 一种核身方法和装置
CN106656932B (zh) 一种业务处理方法及装置
CN112235264B (zh) 一种基于深度迁移学习的网络流量识别方法及装置
CN106982230B (zh) 一种流量检测方法及系统
WO2015090215A1 (zh) 区分地域性口音的语音数据识别方法、装置和服务器
CN110417778B (zh) 访问请求的处理方法和装置
WO2019148714A1 (zh) DDoS攻击检测方法、装置、计算机设备和存储介质
CN111968625A (zh) 融合文本信息的敏感音频识别模型训练方法及识别方法
CN110310129B (zh) 风险识别方法及其系统
CN110798426A (zh) 一种洪水类DoS攻击行为的检测方法、系统及相关组件
CN111641621A (zh) 物联网安全事件识别方法、装置和计算机设备
WO2019101197A1 (zh) 网页请求识别
WO2023065744A1 (zh) 一种人脸识别方法、装置、设备以及存储介质
CN111353138A (zh) 一种异常用户识别的方法、装置、电子设备及存储介质
JP2023550194A (ja) モデル訓練方法、データ強化方法、装置、電子機器及び記憶媒体
CN110995652B (zh) 一种基于深度迁移学习的大数据平台未知威胁检测方法
CN113505805B (zh) 样本数据闭环生成方法、装置、设备及存储介质
CN110827036A (zh) 一种欺诈交易的检测方法、装置、设备及存储介质
US20170039484A1 (en) Generating negative classifier data based on positive classifier data
CN107665443B (zh) 获取目标用户的方法及装置
CN112149121A (zh) 一种恶意文件识别方法、装置、设备及存储介质
CN115906048A (zh) 一种基于终端信息的设备识别方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230303

Address after: Room 502, Building 10, Xinggong Science Park, No. 100 Luyun Road, High-tech Development Zone, Changsha City, Hunan Province, 410000

Applicant after: Hunan Golden Shield Information Security Grade Protection Evaluation Center Co.,Ltd.

Address before: 100020 Chaowai Street, Chaoyang District, Beijing, No. 12 Office Building No. 11, Layer 3, Unit 1208

Applicant before: BEIJING GUANGYU ZHIXUN TECHNOLOGY CO.,LTD.

GR01 Patent grant
GR01 Patent grant