CN109922086A

CN109922086A - 一种网络安全入侵检测系统及方法

Info

Publication number: CN109922086A
Application number: CN201910331663.4A
Authority: CN
Inventors: 韦鹏程; 段昂; 邹杨
Original assignee: Chongqing University of Education
Current assignee: Chongqing University of Education
Priority date: 2019-04-24
Filing date: 2019-04-24
Publication date: 2019-06-21

Abstract

本发明属于网络安全技术领域，公开了一种网络安全入侵检测系统及方法，将挖掘L‑1频繁项集子程序均改为当前preflx参数；然后记录Prefix之后的元素信息，查找以当前Prefix长度增加1的序列为前缀的频繁序列。如当前Prefix为null，则本次直接对原始序列数据库进行挖掘；如当前Prefix为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix。本发明基于数据挖掘的分数阶微积分算法对网络安全；提出了数据挖掘经典算法和分数阶微积分算法及其改进，并结合网络安全特点，将提出算法应用于网络安全入侵检测中，并验证算法在改进后效率得到提高。

Description

一种网络安全入侵检测系统及方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种网络安全入侵检测系统及方法。

背景技术

目前，最接近的现有技术：分数阶微积分这一重要的数学分支，其诞生在1695年，几乎和经典微积分同时出现。那一年，德国数学家和法国数学家通信，探讨当导数的阶变为1/2时，其意义是什么？当时德国数学家也不知道定义与意义，只是回复道：“”这会导致悖论，终有一天将会是一个很有用的结果”。分数阶微积分狭义上主要包括分数阶微分与分数阶积分，广义上同时包括分数阶差分与分数阶和商。由于近一些年分数阶微积分的理论成功应用到各大领域中，人们逐渐发现分数阶微积分能够刻画自然科学以及工程应用领域一些非经典现象。

随着Internet技术的飞速发展和计算机的广泛应用，网络信息系统的安全问题日益凸现。为了保证计算机系统及其相互间的数据通信安全，对网络入侵行为实施有效地监控与防范，研究人员设计了诸多类型的安全保障策略。入侵检测被视为信息安全保障体系的一个重要环节，是近几年网络安全领域的研究热点。在海量的网络数据中对网络系统实施动态监控与检测，对所涉及到的算法在效率上提出了更高的要求。随着数据挖掘技术的发展，挖掘能力大幅提升，将其应用于入侵检测，较其他技术有着很大的优势，能更好地满足系统的实时性要求。信息安全领域，网络攻击性判别及防护，通常被作为网络安全的重点攻关主题。基于网络异常流量分析，并结合数据挖掘技术实时分析网络用户行为，进一步建立网络安全多维分析模型，从而主动检测及防护网络攻击行为，成为有效的企业网络安全自防御架构。

近年来，我国很多学者对网络安全预测模型进行了研究，并取得了一定的研究成果。有学者提出了一种网络评估模型。这种模型能对网络安全态势进行评估。它首先建立了一个网络安全监控平台，该平台可以将防火墙数据和入侵检测系统的数据进行总结。通过把相应的网络安全信息进行量化，从而对网络安全威胁进行评估。这是网络安全态势的初级模型，该模型可以对网络安全起到预测作用。随着相关研究的发展，北京理工大学研发出了一种局域网评估系统。它通过对整个局域网进行检测，将数据进行反馈，从而得到相应的信息。这个模型不仅可以对以前的网络安全态势进行评估，分析网络中出现的状况、风险、问题等，还可以对未来网络安全进行预测，预测未来发生重大网络事件的概率。还有部分学者提出了一项新的研究，根据网络本身的攻击性增长来锁定攻击目标。通过锁定的目标进行分析，确定攻击的来源并生成新的模型。该模型可以利用最小的代价和环境改变对网络安全态势进行合理分析。截止到现在，大部分的学者对网络安全态势的预测采用的模型都类似。灰色模型、时间序列、BP神经网络、回声网络、遗传算法以及马尔科夫链等算法都是常用的预测模型。而对于数据挖掘的分数阶微积分算法的网络安全研究比较少。

综上所述，现有技术存在的问题是：网络安全问题的严重化和频繁化，给社会造成一定程度的影响和损失；网络攻击的来源拥有不定性、网络安全问题的出现又拥有随机性，简单的防御措施并不能对网络的整体安全进行全方面的保障。

发明内容

针对现有技术存在的问题，本发明提供了一种网络安全入侵检测系统及方法。

本发明是这样实现的，一种网络安全入侵检测方法，所述网络安全入侵检测方法包括：

第一步，将挖掘L-1频繁项集子程序均改为当前preflx参数；

第二步，然后记录Prefix之后的元素信息，查找以当前Prefix长度增加1的序列为前缀的频繁序列。

进一步，所述第一步中，如当前Prefix为null，则本次直接对原始序列数据库进行挖掘；如当前Prefix为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix。

进一步，所述网络安全入侵检测方法具体包括：存在一个包含n个主机的网络，将这个网络视为一个整体的系统；得到一个集合，即S＝{s₁,s₂,...,s_n}；在这个系统中每台主机的一次动作都可记为一个动作单元，即v；当系统内部的主机与系统之外主机存在信息交互的时候，动作单元就开始计数，外部主机访问本系统内的主机时v值相应加1，内部主机访问系统外的主机时v值相应减1；定义状态集合U＝{μ₁,μ₂,...,μ_n}，U集为系统在经过n次动作后状态序列的集合；通过状态集合U，得到这个集合活跃度的集合A＝{a₁,a₂,...,a_k}，其中a_i表示系统经过规定时间或数量等规定的尺度后，状态μ_i出现的次数；借助集合A，计算状态μ_i在规定的时间或数量间隔内出现的概率p_i，对所有的a_i计算概率p_i后得到相关各个状态的活跃度概率集合P＝{p₁,p₂,...,p_k}；对以上概率集合应用熵值理论则可得到活跃熵的定义：

进一步，所述网络安全入侵检测方法进一步包括：对选取检测窗口大小的依据作出；如果，长度为T的集合中存在n个不重复元素{a₁,a₂,...,a_n}，其中每个不相同的值出现次数的集合为{d₁,d₂,...,d_n}，此时求熵公式为：

此时选取小尺度计算熵值达到极限的次数多于大尺度计算时的次数。

本发明的另一目的在于提供一种基于所述网络安全入侵检测方法的网络安全入侵检测系统，所述网络安全入侵检测系统包括：

子程序修改模块，用于将挖掘L-1频繁项集子程序均改为当前preflx参数；

查找频繁序列模块，用于记录Prefix之后的元素信息，查找以当前Prefix长度增加1的序列为前缀的频繁序列。

进一步，所述子程序修改模块具体包括：

数据直接挖掘单元，当前Prefix为null，则本次直接对原始序列数据库进行挖掘；

匹配单元，当前Prefix为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix。

本发明的另一目的在于提供一种应用所述网络安全入侵检测方法的信息数据处理终端。

综上所述，本发明的优点及积极效果为：采用修改Prefix策略以减少内存与外存之间频繁地交换，采取两级投影的策略，舍弃非频繁项的方法以减小在数据挖掘过程中产生的投影数据库规模，降低构建、扫描投影数据库的时间和空间耗费，并引入相关度，剔除无用的规则，从而改进算法，并将改进后的算法应用于自适应入侵检测系统中。实验结果显示，在序列模式挖掘中算法效率得到明显提高，尤其对长序列模式，算法在改进后挖掘效率提高更加显著，提高了入侵检测系统的效率。但是当前网络安全隐患众多，本文的系统整体功能还有待进一步开发。

附图说明

图1是本发明实施例提供的网络安全入侵检测系统的结构示意图；

图中：1、子程序修改模块；2、查找频繁序列模块。

图2是本发明实施例提供的网络安全入侵检测方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术网络安全问题的严重化和频繁化，给社会造成一定程度的的影响和损失；网络攻击的来源拥有不定性、网络安全问题的出现又拥有随机性，简单的防御措施并不能对网络的整体安全进行全方面的保障的问题。本发明基于数据挖掘的分数阶微积分算法对网络安全；提出了数据挖掘经典算法和分数阶微积分算法及其改进，并结合网络安全特点，将提出算法应用于网络安全入侵检测中，并验证算法在改进后效率得到提高。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的网络安全入侵检测系统包括：

子程序修改模块1，用于将挖掘L-1频繁项集子程序均改为当前preflx参数；

查找频繁序列模块2，用于记录Prefix之后的元素信息，查找以当前Prefix长度增加1的序列为前缀的频繁序列。

子程序修改模块1具体包括：

如图2所示，本发明实施例提供的网络安全入侵检测方法包括以下步骤：

S201：将挖掘L-1频繁项集子程序均改为当前preflx参数，如当前Prefix为null，则本次直接对原始序列数据库进行挖掘；如当前Prefix为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix；

S202：然后记录Prefix之后的元素信息，查找以当前Prefix长度增加1的序列为前缀的频繁序列。

下面结合具体实施例对本发明的应用原理作进一步的描述。

本发明依据网络安全的历史信息，对未来网络安全进行预测，这便是网络安全预测的实践意义。态势预测的原理是收集一定时间内的网络安全攻击事件，再根据不同的攻击时间来分析统计事件所发生的时间、频率、种类、网络受到什么威胁等各种因素，利用科学合理的方法对网络安全攻击数据进行运算处理。

而对于海量数据挖掘，要快速和反复地生成投影数据库，可能会过度耗费内存而导致操作系统进行外存和内存之间频繁地交换，即出现“抖动”现象。由于投影数据库的内容均由原始数据库产生，故可用以下方法来改进：将挖掘L-1频繁项集子程序均改为当前p_ref_lx参数，如当前Prefix为null，则本次直接对原始序列数据库进行挖掘；如当前Prefix为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix，然后记录Prefix之后的元素信息，查找以当前Prefix长度增加1的序列为前缀的频繁序列。假设存在一个包含n个主机的网络，将这个网络视为一个整体的系统。这样，就可以得到一个集合，即S＝{s₁,s₂,...,s_n}。那么，在这个系统中每台主机的一次动作都可记为一个动作单元，即v。当系统内部的主机与系统之外主机存在信息交互的时候，动作单元就开始计数，外部主机访问本系统内的主机时v值相应加1，内部主机访问系统外的主机时v值相应减1。定义状态集合U＝{μ₁,μ₂,...,μ_n}，U集为系统在经过n次动作后状态序列的集合。通过状态集合U，可以得到这个集合活跃度的集合A＝{a₁,a₂,...,a_k}，其中a_i表示系统经过规定时间或数量等规定的尺度后，状态μ_i出现的次数。借助集合A，可以计算状态μ_i在规定的时间或数量间隔内出现的概率p_i，对所有的a_i计算概率p_i后可以得到相关各个状态的活跃度概率集合P＝{p₁,p₂,…,p_k}。对以上概率集合应用熵值理论则可得到活跃熵的定义如公式1所示：

本发明需要根据网络流量的变化调整检测窗口尺度大小。不难看出，网络流量会随时间变化而变化，但从整体角度和长期角度来看，流量变化也有一定规律，对不同的流量采取统一的处理方式显然是不恰当的。为了充分发挥活跃熵对网络异常流量监测的优势，可以对选取检测窗口大小的依据作出如下假设。如果，长度为T的集合中存在n个不重复元素{a₁,a₂,…,a_n}，其中每个不相同的值出现次数的集合为{d₁,d₂,...,d_n}。此时求熵公式为：

那么，此时选取小尺度计算熵值达到极限的次数多于大尺度计算时的次数。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种网络安全入侵检测方法，其特征在于，所述网络安全入侵检测方法包括：

第一步，将挖掘L-1频繁项集子程序均改为当前preflx参数；

2.如权利要求1所述的网络安全入侵检测方法，其特征在于，所述第一步中，如当前Prefix为null，则本次直接对原始序列数据库进行挖掘；如当前Prefix为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix。

3.如权利要求1所述的网络安全入侵检测方法，其特征在于，所述网络安全入侵检测方法具体包括：存在一个包含n个主机的网络，将这个网络视为一个整体的系统；得到一个集合，即S＝{s₁,s₂,...,s_n}；在这个系统中每台主机的一次动作都可记为一个动作单元，即v；当系统内部的主机与系统之外主机存在信息交互的时候，动作单元就开始计数，外部主机访问本系统内的主机时v值相应加1，内部主机访问系统外的主机时v值相应减1；定义状态集合U＝{μ₁,μ₂,...,μ_n}，U集为系统在经过n次动作后状态序列的集合；通过状态集合U，得到这个集合活跃度的集合A＝{a₁,a₂,...,a_k}，其中a_i表示系统经过规定时间或数量等规定的尺度后，状态μ_i出现的次数；借助集合A，计算状态μ_i在规定的时间或数量间隔内出现的概率p_i，对所有的a_i计算概率p_i后得到相关各个状态的活跃度概率集合P＝{p₁,p₂,...,p_k}；对以上概率集合应用熵值理论则可得到活跃熵的定义：

4.如权利要求1所述的网络安全入侵检测方法，其特征在于，所述网络安全入侵检测方法进一步包括：对选取检测窗口大小的依据作出；如果，长度为T的集合中存在n个不重复元素{a₁,a₂,...,a_n}，其中每个不相同的值出现次数的集合为{d₁,d₂,...,d_n}，此时求熵公式为：

5.一种基于权利要求1所述网络安全入侵检测方法的网络安全入侵检测系统，其特征在于，所述网络安全入侵检测系统包括：

6.如权利要求5所述的网络安全入侵检测系统，其特征在于，所述子程序修改模块具体包括：

7.一种应用权利要求1～4任意一项所述网络安全入侵检测方法的信息数据处理终端。