CN109302403A - 网络入侵检测方法、系统、设备及计算机可读存储介质 - Google Patents

网络入侵检测方法、系统、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN109302403A
CN109302403A CN201811264485.XA CN201811264485A CN109302403A CN 109302403 A CN109302403 A CN 109302403A CN 201811264485 A CN201811264485 A CN 201811264485A CN 109302403 A CN109302403 A CN 109302403A
Authority
CN
China
Prior art keywords
frame
interaction mode
intrusion detection
preset
network intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811264485.XA
Other languages
English (en)
Other versions
CN109302403B (zh
Inventor
曾伟
潘志文
蒋鑫龙
张辉
吴雪梅
张军涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Semisky Technology Co Ltd
Original Assignee
Shenzhen Semisky Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Semisky Technology Co Ltd filed Critical Shenzhen Semisky Technology Co Ltd
Priority to CN201811264485.XA priority Critical patent/CN109302403B/zh
Publication of CN109302403A publication Critical patent/CN109302403A/zh
Application granted granted Critical
Publication of CN109302403B publication Critical patent/CN109302403B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种网络入侵检测方法,包括:从Wi‑Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi‑Fi无线通信信道是否被入侵。本发明还公开了一种网络入侵检测系统、设备及计算机可读存储介质。本发明能够提高网络入侵检测的覆盖率和准确性。

Description

网络入侵检测方法、系统、设备及计算机可读存储介质
技术领域
本发明涉及网络通信的技术领域,尤其涉及一种网络入侵检测方法、系统、设备及计算机可读存储介质。
背景技术
Wi-Fi网络作为当前被最广泛应用的无线通信网络,使得人们可以更加轻松高效的接入互联网中,从而为人们的生活和工作提供了极大的便利。然而,Wi-Fi网络的广泛应用也使得随之而来的Wi-Fi通信传输的安全问题带来巨大的挑战。由于Wi-Fi通信是基于IEEE 802.11协议进行的,网络攻击者可利用IEEE 802.11协议的安全漏洞发送恶意通信请求或灌入海量IEEE 802.11请求以占用通讯信道资源,对Wi-Fi通信网络的可靠性、可用性、数据完整性及一致性造成严重的影响。
目前,在针对Wi-Fi网络信息流的网络入侵检测方面,已有的相关应用可以划分为两种:基于签名的网络入侵检测系统和基于异常的网络入侵检测系统。基于签名的网络入侵检测系统旨在对每个已知网络攻击的特点进行描述,从而给每个攻击赋予了一个独特的签名。基于异常的网络入侵检测系统旨在对正常信息流的模式进行泛化描述并生成基准模型,从而将任何模式与基准模型不符的信息识别为异常攻击。基于签名的网络入侵检测系统无法检测新型攻击,网络入侵检测的覆盖率较低,基于异常的网络入侵检测系统无法准确的检测入侵,准确率较低。
因此,如何提高网络入侵检测的覆盖率和准确性是目前亟待解决的问题。
发明内容
本发明的主要目的在于提供一种网络入侵检测方法、系统、设备及计算机可读存储介质,旨在提高网络入侵检测的覆盖率和准确性。
为实现上述目的,本发明提供一种网络入侵检测方法,所述网络入侵检测方法包括以下步骤:
从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
可选地,所述依据存储的数据帧的会话密钥和帧标识符,将存储的数据帧对应组合为数据帧数组的步骤包括:
从存储的各数据帧中提取会话密钥和帧标识符,并依据所述会话密钥,确定各帧标识符的所属Wi-Fi连接;
确定各帧标识符的对应收集顺序,并按照所述收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。
可选地,依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组的步骤包括:
从所述帧数组的首个帧标识符开始移动预设滑动窗口,框选获取连续的帧标识符,形成对应的帧交互模式;
在所述预设滑动窗口的尾部移动至所述帧数组的最后一个帧标识符时,停止移动预设滑动窗口,并将形成的各帧交互模式组合为帧交互模式组。
可选地,依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵的步骤包括:
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,确定所述帧交互模式组中各帧交互模式的对应目标出现次数;
累加所述帧交互模式组中各帧交互模式的对应目标出现次数,以获取总目标出现次数;
统计所述帧数组中包含的帧标识符的总个数,并依据所述总目标出现次数和所述总个数,计算所述帧数组的异常概率;
判断所述异常概率是否大于或等于第一预设阈值;
若所述异常概率大于或等于第一预设阈值,则确定所述Wi-Fi无线通信信道被入侵;
若所述异常概率小于第一预设阈值,则确定所述Wi-Fi无线通信信道未被入侵。
可选地,依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵的步骤之后,还包括:
若所述Wi-Fi无线通信信道被入侵,则依据所述异常概率,执行对应的防御策略。
可选地,依据所述异常概率,执行对应的防御策略的步骤包括:
判断所述异常概率是否小于或等于第二预设阈值;
若所述异常概率小于或等于第二预设阈值,则执行预设初级防御策略;
若所述异常概率大于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
此外,为实现上述目的,本发明还提供一种网络入侵检测系统,所述网络入侵检测系统包括:
帧数组形成模块,用于从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
表征统计模块,用于依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
入侵检测模块,用于依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
所述入侵检测模块,还用于依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
此外,为实现上述目的,本发明还提供一种网络入侵检测设备,所述网络入侵检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络入侵检测程序,所述网络入侵检测程序被所述处理器执行时实现如上所述的网络入侵检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络入侵检测程序,所述网络入侵检测程序被处理器执行时实现如上所述的网络入侵检测方法的步骤。
本发明网络入侵检测方法、系统、设备及计算机可读存储介质,本发明从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组,然后依据预设滑动窗口,将帧数组表征为对应的帧交互模式组,并统计帧交互模式组中各帧交互模式的对应当前出现次数,再然后依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数,并依据帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断Wi-Fi无线通信信道是否被入侵,通过上述方式,通过对数据帧的收集、进行会话密钥和帧标识符的提取,形成帧数组,并将帧数组表征为帧交互模式组,然后基于网络入侵检测模型可以准确的检测无线通信信道是否被入侵,极大的提高了网络入侵检测的覆盖率和准确性。
附图说明
图1为本发明网络入侵检测方法第一实施例的流程示意图;
图2为本发明车载网关系统第一实施例的功能模块示意图;
图3是本发明实施例方案涉及的硬件运行环境的系统结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种网络入侵检测方法。
参照图1,图1为本发明网络入侵检测方法第一实施例的流程示意图。
本实施例中,该网络入侵检测方法包括:
步骤S101,从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
本实施例中,该网络入侵检测方法应用于网络入侵检测设备,Wi-Fi通信是基于IEEE 802.11协议进行的,IEEE 802.11协议请求根据其帧类型不同可以被划分为管理帧、控制帧和数据帧,其中,控制帧旨在对无线通信服务的接入及使用进行控制,数据帧旨在在控制帧配合下,将数据在无线网络设备间可靠地传递。无线网络设备之间通过Wi-Fi无线通信信道传输数据帧,该网络入侵检测设备从Wi-Fi无线通信信道中实时收集并存储数据帧,即通过无线网络设备的镜像接口抓取经由该无线网络设备传输的数据帧。
在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组,具体地,从存储的各数据帧中提取有价值的数据单元,即会话密钥和帧标识符,并依据该会话密钥,确定各帧标识符的所属Wi-Fi连接,然后确定各帧标识符的对应收集顺序,并按照该收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。其中,会话秘钥旨在对不同Wi-Fi连接进行甄别和标识,帧标识符旨在对帧的类型进行甄别和标识。需要说明的是,上述预设时间可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
例如,第i个Wi-Fi连接中所传输的数据帧的帧标识符可以被表示为Si={f1,i,f2,i,...,fk,i},其中,fk,i代表网络入侵检测设备从第i个Wi-Fi连接中收集到的第k个数据帧的帧标示符,然后基于时间窗口持续时间,将属于同一Wi-Fi连接的所有帧标识符组合为帧数组,设时间窗口持续时间为Δt,则帧数组Si,Δt1内包含入侵检测设备在第1个时间窗口内从第i个Wi-Fi连接中收集到的所有数据帧的帧标识符,如果入侵检测设备在第1个时间窗口内从第i个Wi-Fi连接中收集到m1个数据帧,则Si,Δt1的数学表达式为则第i个Wi-Fi连接中所传输的数据帧的帧标识符可以被组合为以下一系列帧数组:Si={Si,Δt1,Si,Δt2,Si,Δt3,...Si,Δtn}。具体实施中,将属于同一Wi-Fi连接(具备相同会话密钥)的数据帧存储到一个区域,每个Wi-Fi连接对应一个区域,便于后续的帧数组形成,可以同时执行多个帧数组的异常判断,且在形成帧数组时,每个Wi-Fi连接对应一个帧数组。
步骤S102,依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
本实施例中,在形成帧数组之后,依据预设滑动窗口,将该帧数组表征为对应的帧交互模式组,并统计帧交互模式组中各帧交互模式的对应当前出现次数。需要说明的是,上述预设滑动窗口的长度(帧交互模式的数组长度)可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。具体地,从该帧数组的首个帧标识符开始移动预设滑动窗口,框选获取连续的帧标识符,形成对应的帧交互模式,并在预设滑动窗口的尾部移动至帧数组的最后一个帧标识符时,停止移动预设滑动窗口,且将形成的各帧交互模式组合为帧交互模式组。例如,假设滑动窗口的长度为n,帧数组为且帧交互模式组的数学表达式如下所示:
步骤S103,依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
本实施例中,在统计得到各帧交互模式的对应当前出现次数后,依据预设网络入侵检测模型,确定帧交互模式组中各帧交互模式的对应最大出现次数,即将帧交互模式组中各帧交互模式的模式标签输入至预设网络入侵检测模型,并获取该网络入侵检测模型输出的各帧交互模式的模式标签对应的最大出现次数,且各帧交互模式的模式标签对应的最大出现次数即为帧交互模式组中各帧交互模式的对应最大出现次数。其中,网络入侵检测模型是在开发过程中,通过帧数组数据集训练得到,具体为在一段时间ΔtN内,对目标网络网络的Wi-Fi信息流进行攻击过滤,以收集包含不包含常见攻击的正常帧数组数据集,即(k=ΔtN/ΔT为ΔtN中包含的时间窗口重视,l为Wi-Fi连接总数),然后统计帧数组中每一种帧交互模式Pi,Δt1,j在其所属帧数组中的出现次数,并对每一种帧交互模式选取其最高出现次数加以存储,当完成了对正常帧数组数据集中所有帧交互模式的最大出现次数的统计,即可得到网络入侵检测模型。
步骤S104,依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
本实施例中,在确定各帧交互模式的对应当前出现次数和最大出现次数之后,依据帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断Wi-Fi无线通信信道是否被入侵。具体地,依据帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,确定帧交互模式组中各帧交互模式的对应目标出现次数,并累加帧交互模式组中各帧交互模式的对应目标出现次数,以获取总目标出现次数,然后统计该帧数组中包含的帧标识符的总个数,并依据该总目标出现次数和总个数,计算帧数组的异常概率,最后判断该异常概率是否大于或等于第一预设阈值,如果该异常概率大于或等于第一预设阈值,则确定Wi-Fi无线通信信道被入侵,反之,如果异常概率小于第一预设阈值,则确定Wi-Fi无线通信信道未被入侵。需要说明的是,上述第一预设阈值可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。
其中,目标出现次数的确定方式具体为将帧交互模式的对应当前出现次数和最大出现次数进行比较,如果当前出现次数大于最大出现次数,则将当前出现次数确定为帧交互模式的对应目标出现次数,反之,如果当前出现次数小于最大出现次数,则将最大出现次数确定为帧交互模式的对应目标出现次数。设n(Pl)为目标出现次数,count(Pl)为当前出现次数,MO(Pl)为最大出现次数,则目标出现次数的数学表达式为n(Pl)=min{count(Pl),MO(Pl)},设||Pl||为总目标出现次数,则且异常概率可表示为:
其中,为帧数组中包含的帧标识符的总个数。
本实施例中,本发明从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组,然后依据预设滑动窗口,将帧数组表征为对应的帧交互模式组,并统计帧交互模式组中各帧交互模式的对应当前出现次数,再然后依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数,并依据帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断Wi-Fi无线通信信道是否被入侵,通过上述方式,通过对数据帧的收集、进行会话密钥和帧标识符的提取,形成帧数组,并将帧数组表征为帧交互模式组,然后基于网络入侵检测模型可以准确的检测无线通信信道是否被入侵,极大的提高了网络入侵检测的覆盖率和准确性。
进一步地,基于上述第一实施例,提出了本发明网络入侵检测方法的第二实施例,与前述实施例的区别在于,在Wi-Fi无线通信信道被入侵时,触发防御措施,具体为如果Wi-Fi无线通信信道被入侵,则依据该异常概率,执行对应的防御策略,即判断该异常概率是否小于或等于第二预设阈值,如果异常概率小于或等于第二预设阈值,则执行预设初级防御策略,如果异常概率大于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
其中,防御策略包括但不限于发送系统报警、丢弃异常数据帧、中止异常连接、将发送异常数据帧的接入节点列入黑名单,初级防御策略包括但不限于发送系统报警和丢弃异常数据帧,高级防御策略包括但不限于中止异常连接和将发送异常数据帧的接入节点列入黑名单。需要说明的是,上述第二预设阈值可由本领域技术人员基于实际情况进行设置,本实施例对此不作具体限定。具体实施中,如果接入节点一段时间内已累计发送两组异常帧数组,即接入节点一段时间内发送的两个帧数组的异常概率均大于或等于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
通过上述方式,可以在发现Wi-Fi无线通信信道被入侵时,执行对应的防御策略,用于防御入侵,保证无线通信信道的畅通。
本发明还提供一种网络入侵检测系统。
参照图2,图2为本发明网络入侵检测系统第一实施例的功能模块示意图。
本实施例中,该网络入侵检测系统包括:
帧数组形成模块101,用于从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
表征统计模块102,用于依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
入侵检测模块103,用于依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
所述入侵检测模块103,还用于依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
进一步地,所述帧数组形成模块10还用于:
从存储的各数据帧中提取会话密钥和帧标识符,并依据所述会话密钥,确定各帧标识符的所属Wi-Fi连接;
确定各帧标识符的对应收集顺序,并按照所述收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。
进一步地,所述表征统计模块102还用于:
从所述帧数组的首个帧标识符开始移动预设滑动窗口,框选获取连续的帧标识符,形成对应的帧交互模式;
在所述预设滑动窗口的尾部移动至所述帧数组的最后一个帧标识符时,停止移动预设滑动窗口,并将形成的各帧交互模式组合为帧交互模式组。
所述入侵检测模块103还用于:
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,确定所述帧交互模式组中各帧交互模式的对应目标出现次数;
累加所述帧交互模式组中各帧交互模式的对应目标出现次数,以获取总目标出现次数;
统计所述帧数组中包含的帧标识符的总个数,并依据所述总目标出现次数和所述总个数,计算所述帧数组的异常概率;
判断所述异常概率是否大于或等于第一预设阈值;
若所述异常概率大于或等于第一预设阈值,则确定所述Wi-Fi无线通信信道被入侵;
若所述异常概率小于第一预设阈值,则确定所述Wi-Fi无线通信信道未被入侵。
进一步地,所述网络入侵检测系统还包括:
防御模块,用于若所述Wi-Fi无线通信信道被入侵,则依据所述异常概率,执行对应的防御策略。
进一步地,所述防御模块还用于:
判断所述异常概率是否小于或等于第二预设阈值;
若所述异常概率小于或等于第二预设阈值,则执行预设初级防御策略;
若所述异常概率大于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
其中,本发明网络入侵检测系统的具体实施例与上述网络入侵检测方法的各实施例基本相同,在此不作赘述。
如图3所示,图3是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
如图3所示,该设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如Wi-Fi接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图3中示出的设备并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图3所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络入侵检测程序。
在图3所示的设备中,处理器1001可以用于调用存储器1005中存储的网络入侵检测程序,并执行以下步骤:
从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
进一步地,处理器1001可以用于调用存储器1005中存储的网络入侵检测程序,并执行以下步骤:
从存储的各数据帧中提取会话密钥和帧标识符,并依据所述会话密钥,确定各帧标识符的所属Wi-Fi连接;
确定各帧标识符的对应收集顺序,并按照所述收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。
进一步地,处理器1001可以用于调用存储器1005中存储的网络入侵检测程序,并执行以下步骤:
从所述帧数组的首个帧标识符开始移动预设滑动窗口,框选获取连续的帧标识符,形成对应的帧交互模式;
在所述预设滑动窗口的尾部移动至所述帧数组的最后一个帧标识符时,停止移动预设滑动窗口,并将形成的各帧交互模式组合为帧交互模式组
进一步地,处理器1001可以用于调用存储器1005中存储的网络入侵检测程序,并执行以下步骤:
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,确定所述帧交互模式组中各帧交互模式的对应目标出现次数;
累加所述帧交互模式组中各帧交互模式的对应目标出现次数,以获取总目标出现次数;
统计所述帧数组中包含的帧标识符的总个数,并依据所述总目标出现次数和所述总个数,计算所述帧数组的异常概率;
判断所述异常概率是否大于或等于第一预设阈值;
若所述异常概率大于或等于第一预设阈值,则确定所述Wi-Fi无线通信信道被入侵;
若所述异常概率小于第一预设阈值,则确定所述Wi-Fi无线通信信道未被入侵。
进一步地,处理器1001可以用于调用存储器1005中存储的网络入侵检测程序,并执行以下步骤:
若所述Wi-Fi无线通信信道被入侵,则依据所述异常概率,执行对应的防御策略。
进一步地,处理器1001可以用于调用存储器1005中存储的网络入侵检测程序,并执行以下步骤:
判断所述异常概率是否小于或等于第二预设阈值;
若所述异常概率小于或等于第二预设阈值,则执行预设初级防御策略;
若所述异常概率大于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
本发明网络入侵检测设备的具体实施例与上述网络入侵检测方法的各实施例基本相同,在此不作赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络入侵检测程序,所述网络入侵检测程序被处理器执行时,实现以下步骤:
从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
进一步地,所述网络入侵检测程序被处理器执行时,实现以下步骤:
从存储的各数据帧中提取会话密钥和帧标识符,并依据所述会话密钥,确定各帧标识符的所属Wi-Fi连接;
确定各帧标识符的对应收集顺序,并按照所述收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。
进一步地,所述网络入侵检测程序被处理器执行时,实现以下步骤:
从所述帧数组的首个帧标识符开始移动预设滑动窗口,框选获取连续的帧标识符,形成对应的帧交互模式;
在所述预设滑动窗口的尾部移动至所述帧数组的最后一个帧标识符时,停止移动预设滑动窗口,并将形成的各帧交互模式组合为帧交互模式组。
进一步地,所述网络入侵检测程序被处理器执行时,实现以下步骤:
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,确定所述帧交互模式组中各帧交互模式的对应目标出现次数;
累加所述帧交互模式组中各帧交互模式的对应目标出现次数,以获取总目标出现次数;
统计所述帧数组中包含的帧标识符的总个数,并依据所述总目标出现次数和所述总个数,计算所述帧数组的异常概率;
判断所述异常概率是否大于或等于第一预设阈值;
若所述异常概率大于或等于第一预设阈值,则确定所述Wi-Fi无线通信信道被入侵;
若所述异常概率小于第一预设阈值,则确定所述Wi-Fi无线通信信道未被入侵。
进一步地,所述网络入侵检测程序被处理器执行时,实现以下步骤:
若所述Wi-Fi无线通信信道被入侵,则依据所述异常概率,执行对应的防御策略。
进一步地,所述网络入侵检测程序被处理器执行时,实现以下步骤:
判断所述异常概率是否小于或等于第二预设阈值;
若所述异常概率小于或等于第二预设阈值,则执行预设初级防御策略;
若所述异常概率大于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
本发明计算机可读存储介质的具体实施例与上述网络入侵检测方法的各实施例基本相同,在此不作赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种网络入侵检测方法,其特征在于,所述网络入侵检测方法包括以下步骤:
从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
2.如权利要求1所述的网络入侵检测方法,其特征在于,所述依据存储的数据帧的会话密钥和帧标识符,将存储的数据帧对应组合为数据帧数组的步骤包括:
从存储的各数据帧中提取会话密钥和帧标识符,并依据所述会话密钥,确定各帧标识符的所属Wi-Fi连接;
确定各帧标识符的对应收集顺序,并按照所述收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。
3.如权利要求1所述的网络入侵检测方法,其特征在于,依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组的步骤包括:
从所述帧数组的首个帧标识符开始移动预设滑动窗口,框选获取连续的帧标识符,形成对应的帧交互模式;
在所述预设滑动窗口的尾部移动至所述帧数组的最后一个帧标识符时,停止移动预设滑动窗口,并将形成的各帧交互模式组合为帧交互模式组。
4.如权利要求1-3中任一项所述的网络入侵检测方法,其特征在于,依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵的步骤包括:
依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,确定所述帧交互模式组中各帧交互模式的对应目标出现次数;
累加所述帧交互模式组中各帧交互模式的对应目标出现次数,以获取总目标出现次数;
统计所述帧数组中包含的帧标识符的总个数,并依据所述总目标出现次数和所述总个数,计算所述帧数组的异常概率;
判断所述异常概率是否大于或等于第一预设阈值;
若所述异常概率大于或等于第一预设阈值,则确定所述Wi-Fi无线通信信道被入侵;
若所述异常概率小于第一预设阈值,则确定所述Wi-Fi无线通信信道未被入侵。
5.如权利要求4所述的网络入侵检测方法,其特征在于,依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵的步骤之后,还包括:
若所述Wi-Fi无线通信信道被入侵,则依据所述异常概率,执行对应的防御策略。
6.如权利要求5所述的网络入侵检测方法,其特征在于,依据所述异常概率,执行对应的防御策略的步骤包括:
判断所述异常概率是否小于或等于第二预设阈值;
若所述异常概率小于或等于第二预设阈值,则执行预设初级防御策略;
若所述异常概率大于第二预设阈值,则同时执行预设初级防御策略和预设高级防御策略。
7.一种网络入侵检测系统,其特征在于,所述网络入侵检测系统包括:
帧数组形成模块,用于从Wi-Fi无线通信信道中实时收集并存储数据帧,且在经过预设时间之后,依据存储的数据帧的会话密钥和帧标识符,形成帧数组;
表征统计模块,用于依据预设滑动窗口,将所述帧数组表征为对应的帧交互模式组,并统计所述帧交互模式组中各帧交互模式的对应当前出现次数;
入侵检测模块,用于依据预设网络入侵检测模型,确定所述帧交互模式组中各帧交互模式的对应最大出现次数;
所述入侵检测模块,还用于依据所述帧交互模式组中各帧交互模式的对应当前出现次数和最大出现次数,判断所述Wi-Fi无线通信信道是否被入侵。
8.如权利要求7所述的网络入侵检测系统,其特征在于,所述帧数组形成模块还用于:
从存储的各数据帧中提取会话密钥和帧标识符,并依据所述会话密钥,确定各帧标识符的所属Wi-Fi连接;
确定各帧标识符的对应收集顺序,并按照所述收集顺序排列属于同一Wi-Fi连接的帧标识符,以形成对应的帧数组。
9.一种网络入侵检测设备,其特征在于,所述网络入侵检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络入侵检测程序,所述网络入侵检测程序被所述处理器执行时实现如权利要求1至6中任一项所述的网络入侵检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络入侵检测程序,所述网络入侵检测程序被处理器执行时实现如权利要求1至6中任一项所述的网络入侵检测方法的步骤。
CN201811264485.XA 2018-10-26 2018-10-26 网络入侵检测方法、系统、设备及计算机可读存储介质 Active CN109302403B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811264485.XA CN109302403B (zh) 2018-10-26 2018-10-26 网络入侵检测方法、系统、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811264485.XA CN109302403B (zh) 2018-10-26 2018-10-26 网络入侵检测方法、系统、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN109302403A true CN109302403A (zh) 2019-02-01
CN109302403B CN109302403B (zh) 2021-03-23

Family

ID=65158913

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811264485.XA Active CN109302403B (zh) 2018-10-26 2018-10-26 网络入侵检测方法、系统、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN109302403B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722719A (zh) * 2012-05-25 2012-10-10 西安电子科技大学 基于观察学习的入侵检测方法
CN105208040A (zh) * 2015-10-12 2015-12-30 北京神州绿盟信息安全科技股份有限公司 一种网络攻击检测方法及装置
CN105488393A (zh) * 2014-12-27 2016-04-13 哈尔滨安天科技股份有限公司 一种基于数据库蜜罐的攻击行为意图分类方法及系统
CN107995193A (zh) * 2017-12-02 2018-05-04 宝牧科技(天津)有限公司 一种网络异常攻击的检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722719A (zh) * 2012-05-25 2012-10-10 西安电子科技大学 基于观察学习的入侵检测方法
CN105488393A (zh) * 2014-12-27 2016-04-13 哈尔滨安天科技股份有限公司 一种基于数据库蜜罐的攻击行为意图分类方法及系统
CN105208040A (zh) * 2015-10-12 2015-12-30 北京神州绿盟信息安全科技股份有限公司 一种网络攻击检测方法及装置
CN107995193A (zh) * 2017-12-02 2018-05-04 宝牧科技(天津)有限公司 一种网络异常攻击的检测方法

Also Published As

Publication number Publication date
CN109302403B (zh) 2021-03-23

Similar Documents

Publication Publication Date Title
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
US20190166144A1 (en) Detection of malicious network activity
CN107770132B (zh) 一种对算法生成域名进行检测的方法及装置
CN111541661A (zh) 基于因果知识的电力信息网络攻击场景重构方法及系统
CN108848072B (zh) 一种基于相对熵的车载can总线异常检测方法
JP2014060722A (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
CN104506385B (zh) 一种软件定义网络安全态势评估方法
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN113518057B (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
CN111585837A (zh) 物联网数据链路监控方法、装置、计算机设备和存储介质
WO2022139642A1 (en) Device, method, and system for supporting botnet traffic detection
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
Dasgupta et al. MMDS: multilevel monitoring and detection system
CN115348080A (zh) 基于大数据的网络设备脆弱性综合分析系统及方法
CN111565196B (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
Anil A zero-trust security framework for granular insight on blind spot and comprehensive device protection in the enterprise of internet of things (e-iot)
CN109302403B (zh) 网络入侵检测方法、系统、设备及计算机可读存储介质
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN110198288B (zh) 一种异常节点的处理方法及设备
CN115802358A (zh) 一种基于强化学习的多步DDoS预测中毒攻击及其防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 518000 706, building 3b, hongrongyuan Shangjun phase II, Longping community, Dalang street, Longhua District, Shenzhen City, Guangdong Province

Applicant after: Jintu computing technology (Shenzhen) Co.,Ltd.

Address before: 518000 area a, 18 / F, building 1, creative park, broadcasting group, No.1 Qingqing Road, Qinghu community, Longhua sub district office, Longhua District, Shenzhen City, Guangdong Province

Applicant before: SHENZHEN SEMISKY TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 518000 room 1203, block a, building 7, Shenzhen International Innovation Valley, Dashi Road, Xili community, Xili street, Nanshan District, Shenzhen City, Guangdong Province

Patentee after: Jintu computing technology (Shenzhen) Co.,Ltd.

Address before: 518000 706, building 3b, hongrongyuan Shangjun phase II, Longping community, Dalang street, Longhua District, Shenzhen City, Guangdong Province

Patentee before: Jintu computing technology (Shenzhen) Co.,Ltd.