CN110086767A - 一种混合入侵检测系统及方法 - Google Patents

一种混合入侵检测系统及方法 Download PDF

Info

Publication number
CN110086767A
CN110086767A CN201910180422.4A CN201910180422A CN110086767A CN 110086767 A CN110086767 A CN 110086767A CN 201910180422 A CN201910180422 A CN 201910180422A CN 110086767 A CN110086767 A CN 110086767A
Authority
CN
China
Prior art keywords
behavior
network behavior
behaviour
testing result
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910180422.4A
Other languages
English (en)
Inventor
雷璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Group Corp CETC
Electronic Science Research Institute of CTEC
Original Assignee
China Electronics Technology Group Corp CETC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronics Technology Group Corp CETC filed Critical China Electronics Technology Group Corp CETC
Priority to CN201910180422.4A priority Critical patent/CN110086767A/zh
Publication of CN110086767A publication Critical patent/CN110086767A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种混合入侵检测系统及方法,采用基于网络行为的两层混合入侵检测方式,第一异常检测模块作为第一检测阶段,第二异常检测模块和误用检测模块作为第二检测阶段,利用两个检测阶段紧密配合,第二检测阶段的两个检测模块对第一检测阶段的检测模块的检测结果进行二次识别,进而识别出第一检测阶段的检测结果中存在的误报和漏报情况,进一步提升了整体入侵检测的准确率。

Description

一种混合入侵检测系统及方法
技术领域
本发明涉及网络安全领域,特别是涉及一种混合入侵检测系统及方法。
背景技术
入侵检测是指对已经实施、正在实施或试图实施的入侵行为的发现和识别,即收集系统与网络中的诸多关键点信息(行为特征),并利用一定手段处理这些信息,以此判定是否受到攻击以及是否背离了现有安全策略。
传统的入侵检测技术一般采用误用入侵检测与异常入侵检测两种处理方法。误用入侵检测是先将所有可能发生的不利的、不可接受的行为归纳建立一个模型,凡是符合这个模型的访问行为将被判定为入侵;异常入侵检测则是先构建一个正常访问行为的系统模型,凡是不符合这个模型的访问将判定为入侵。误用入侵检测能够检测出绝大部分已知的入侵行为,但对于未知的入侵行为或已知入侵方法的变异却难以检测出来,并且把入侵活动用模式来描述也非常困难,而且很难检测出内部用户的攻击或误用;而异常入侵检测尽管具有检测未知入侵的能力,但其实际应用中误检率和漏检率较高,严重影响入侵检测结果。
发明内容
本发明提供一种混合入侵检测系统及方法,用以解决现有技术的入侵检测算法检测准确率较低,影响入侵检测结果的问题。
为解决上述技术问题,一方面,本发明提供一种混合入侵检测系统,包括:第一异常检测模块,用于检测网络行为是否为异常行为,并输出第一检测结果;第二异常检测模块,用于在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;误用检测模块,用于在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。
进一步,所述第一异常检测模块,具体用于:建立正常行为模型;根据上述正常行为模型检测所述网络行为是否为异常行为。
进一步,所述第二异常检测模块,具体用于:根据K邻近分类算法检测所述网络行为是否为异常行为;在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。
进一步,所述误用检测模块,具体用于:根据预设时间段内用户的行为模式构建用户行为模式集;检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。
进一步,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。
另一方面,本发明还提供一种混合入侵检测方法,包括:S1,检测网络行为是否为异常行为,并输出第一检测结果,在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,执行步骤S2,在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,执行步骤S3;S2,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;S3,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。
进一步,所述检测网络行为是否为异常行为,包括:建立正常行为模型;根据上述正常行为模型检测所述网络行为是否为异常行为。
进一步,所述步骤S2,包括:根据K邻近分类算法检测所述网络行为是否为异常行为;在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。
进一步,所述步骤S3,包括:根据预设时间段内用户的行为模式构建用户行为模式集;检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。
进一步,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。
本发明采用基于网络行为的两层混合入侵检测方式,第一异常检测模块作为第一检测阶段,第二异常检测模块和误用检测模块作为第二检测阶段,利用两个检测阶段紧密配合,第二检测阶段的两个检测模块对第一检测阶段的检测模块的检测结果进行二次识别,进而识别出第一检测阶段的检测结果中存在的误报和漏报情况,进一步提升了整体入侵检测的准确率。
附图说明
图1是本发明第一实施例中混合入侵检测系统的结构示意图;
图2是本发明第二实施例中混合入侵检测方法的流程图。
具体实施方式
为了解决现有技术的入侵检测算法检测准确率较低,影响入侵检测结果的问题,本发明提供了一种混合入侵检测系统及方法,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本发明的第一实施例提供了一种混合入侵检测系统,其结构示意图如图1所示,主要包括:第一异常检测模块100,用于检测网络行为是否为异常行为,并输出第一检测结果;第二异常检测模块200,与第一异常检测模块100耦合,用于在第一异常检测模块输出的第一检测结果为异常行为的情况下,检测第一异常检测模块输出的第一检测结果是否为误报,在第一异常检测模块输出的第一检测结果是误报的情况下,输出网络行为为正常行为的第二检测结果,在第一异常检测模块输出的第一检测结果不是误报的情况下,输出网络行为为异常行为的第二检测结果;误用检测模块300,与第一异常检测模块100耦合,用于在第一异常检测模块输出的第一检测结果为正常行为的情况下,检测网络行为是否为与正常行为相似的异常行为,在网络行为是与正常行为相似的异常行为的情况下,输出网络行为为异常行为的第三检测结果,在网络行为不是与正常行为相似的异常行为的情况下,输出网络行为为正常行为的第三检测结果。
在本实施例中,第一异常检测模块100作为入侵检测的第一检测阶段,其检测结果是第二检测阶段的检测基础,第二异常检测模块200和误用检测模块300作为入侵检测的第二检测阶段,是对第一检测阶段的检测结果进行的二次识别,通过与第一异常检测模块100不同的检测算法,能够准确识别出第一检测阶段产生的误报和漏报等影响入侵检测结果的网络行为,进一步提升入侵检测结果的准确率。
网络行为主要包括用户在网上进行网页(Web)浏览、用户评论、系统交互、跨网交换、社交协作、文件访问等内容相关的行为和网络流等内容无关的行为中的任意一种或几种。上述任意一种网络行为均可以作为入侵行为,侵犯用户计算机系统的安全性。本实施例中基于网络行为的入侵检测系统,是根据网络行为的特征和模型进行判别,以检测异常的用户行为,对于网络用户异常行为检测,采用误用检测和异常检测相结合的方法。误用检测是指通过异常行为的特征库,采用特征匹配的方法确定异常事件,其优点是检测的误报率低、检测快,但误用检测通常不能发现异常事件特征库中没有事先指定的异常行为,所以无法检测层出不穷的新异常。异常检测是指对用户正常的行为习惯进行建模,然后将用户当前的网络行为特征与行为模型库中的特征进行比较,如果两者的偏差足够大,则说明发生了异常,然后更新网络异常特征库。
本实施例涉及的异常检测算法主要包括两种,均为基于机器学习的异常检测算法,一种是第一异常检测模块100使用的基于簇中心位置变化的异常检测方法(NADCP),另一种是第二异常检测模块200使用的基于K近邻的异常检测算法。具体地,第一异常检测模块100在进行网络行为检测时,首先需要建立用户的正常行为模型,然后根据正常行为模型与当前的网络行为进行分析检测,以确定网络行为是否为异常行为,最后再将检测结果作为第一检测结果,根据第一检测结果的内容,送往第二检测阶段进行二次识别。
进一步地,第一异常检测模块100在建立用户的正常行为模型时,主要通过k-means算法对包含n个正常样本的样本集X进行聚类,提取所得簇的簇中心c1,c2,…,ck,以簇所包含样本数量为依据(簇包含样本数量大于n的1%),从中选择m(m≤k)个簇中心c1,c2,…,cm作为X的参考样本;随后,通过结合过采样的“增加一个样本”策略,计算中每个样本相对其实际参考样本(距离最近的簇中心)的离群程度分值di并进行排序;最后,通过数值β在离群程度分值序列di(1≤i≤n)上找到相应排名的离群程度分值,并将其设定为异常阈值τ。通过X中离群程度分值di小于τ的正常样本建立正常行为模型。在第一异常检测模块100建立正常行为模型后,进行网络行为的攻击检测,即网络行为是否为异常行为的检测,首先,寻找待检测样本xi(即当前待检测的网络行为)在X中的实际参考样本;然后通过结合过采样的“增加一个样本”策略,计算待检测样本xi相对于其实际参考样本的离群程度分值di;最后通过di和异常阈值τ判定xi为正常还是异常。
在第一检测结果的内容表示网络行为为异常行为的情况下,由第二异常检测模块200进行第一检测结是否为误报的判断,以提升入侵检测结果的准确率。具体地,第二异常检测模块200通过K邻近分类算法进行网络行为是否为异常行为的检测,在网络行为为正常行为的情况下,第一异常检测模块输出的第一检测结果是误报,输出网络行为为正常行为的第二检测结果;在网络行为为异常行为的情况下,一异常检测模块输出的第一检测结果不是误报,输出网络行为为异常行为的第二检测结果。
第二异常检测模块200首先在训练集中寻找待分类样本的ki个最近邻样本,然后依据这ki个最近邻样本的类标签,通过多数投票方法来预测待分类样本的类别。由于误报的本质是被错误识别的正常样本第二异常检测模块200仅使用正常样本集合来构建该k-NN模型(即K邻近分类模型)。不同于NADCP使用欧几里德距离来衡量样本间的相似度,第二异常检测模块200检测模型均使用余弦(cosine)来作为衡量样本间相似度大小的指标,从而使相似度的值域为[0,1]。两个特征向量xi和xj的余弦相似度cos(xi,xj)的计算方法如下:
公式中“·”代表对两个特征向量进行点积运算。假定X'为一个包含了n'个正常样本的样本集,即X'=[x1,x2,…,xn'],xi为待检测样本,本实施例构建的k-NN模块将通过公式(1)计算xi与X'中各样本xi(1≤i≤n')的余弦相似度,若xi与X'中某个样本xj的余弦相似度等于1(即cos(xi,xj)=1),则意味着xi与xj完全匹配,进而可以直接将xi判定为正常行为。否则,将从X'包含的n'个样本中找出与xi余弦相似度最高的k'个样本,再计算xi与这k'个样本的平均余弦相似度。若该平均相似度大于一个预定的相似度阈值(通常取一个较大的值,如0.99),则将xi判定为正常行为;若xi未被该k-NN模块判定为正常行为(对应误报),则xi被最终判定为异常行为。
在第一检测结果的内容表示网络行为为正常行为的情况下,由误用检测模块300进行该网络行为是否为与正常行为相似的异常行为,以对第一检测结果进行二次识别检测。具体地,误用检测模块300首先根据用户在预设时间段内的行为模式构建用户行为模式集;随后检测用户行为模式集中是否存在与网络行为相同或相似的行为模式;在用户行为模式集中存在与网络行为相同或相似的行为模式的情况下,证明该网络行为不是与正常行为相似的异常行为,最终输出网络行为为正常行为的第三检测结果;在用户行为模式集中不存在与网络行为相同或相似的行为模式的情况下,证明网络行为是与正常行为相似的异常行为,最终输出网络行为为异常行为的第三检测结果。
在误用检测模块300进行模式集构建阶段,用户会话行为构建是以划分的时间片为基础进行的,将预设的时间段划分为多个时间片进行构建用户行为模式集;但是在模式匹配阶段,网络数据流实时到达,此时需要以滑动窗口为基础进行用户会话序列构建。在用户单会话模式匹配阶段,在给定时间较短的滑动窗口W内,一个用户会话Ii发生可描述为其中Ii是用户会话标识,代表该会话所属模式,为用户会话Ii的会话发生频度F取值,F是统计会话发生的频率次数,其值域为{zero,few,many},NUM表示会话Ii在滑动窗口W中的发生次数,的取值应为当Ii发生次数为NUM时支持度最大的值。比如,若会话a在W中发生6次,此时zero支持度为zero(6)=0,few支持度为few(6)=0.1,many支持度为many(6)=0.9,则会话a发生频度F取值应为many,会话a发生描述为(a,many)。
对滑动窗口W中每种会话的发生进行描述后,即可得到用户在该滑动窗口中的会话序列L,用户会话序列L的匹配过程即是从该用户的会话序列模式集MTX中找到与之相匹配模式的过程,如果存在,则匹配成功,输出匹配的会话模糊时序关联模式标识,证明当前网络行为是符合用户行为特征的正常行为,由误用检测模块300最终输出网络行为为正常行为的结果;若不存在则匹配失败,证明当前网络行为是不符合用户行为特征的异常行为,由误用检测模块300最终输出网络行为为异常行为的结果。
本实施例采用基于网络行为的两层混合入侵检测方式,第一异常检测模块作为第一检测阶段,第二异常检测模块和误用检测模块作为第二检测阶段,利用两个检测阶段紧密配合,第二检测阶段的两个检测模块对第一检测阶段的检测模块的检测结果进行二次识别,进而识别出第一检测阶段的检测结果中存在的误报和漏报情况,进一步提升了整体入侵检测的准确率。
本发明的第二实施例提供了一种混合入侵检测方法,其流程图如图2所示,主要包括步骤S1至S3:
S1,检测网络行为是否为异常行为,并输出第一检测结果,在第一异常检测模块输出的第一检测结果为异常行为的情况下,执行步骤S2,在第一异常检测模块输出的第一检测结果为正常行为的情况下,执行步骤S3;
S2,检测第一异常检测模块输出的第一检测结果是否为误报,在第一异常检测模块输出的第一检测结果是误报的情况下,输出网络行为为正常行为的第二检测结果,在第一异常检测模块输出的第一检测结果不是误报的情况下,输出网络行为为异常行为的第二检测结果;
S3,检测网络行为是否为与正常行为相似的异常行为,在网络行为是与正常行为相似的异常行为的情况下,输出网络行为为异常行为的第三检测结果,在网络行为不是与正常行为相似的异常行为的情况下,输出网络行为为正常行为的第三检测结果。
在本实施例中,S1作为入侵检测的第一检测阶段,其检测结果是第二检测阶段的检测基础,S2和S3作为入侵检测的第二检测阶段,是对第一检测阶段的检测结果进行的二次识别,通过与第一异常检测模块不同的检测算法,能够准确识别出第一检测阶段产生的误报和漏报等影响入侵检测结果的网络行为,进一步提升入侵检测结果的准确率。
网络行为主要包括用户在网上进行网页(Web)浏览、用户评论、系统交互、跨网交换、社交协作、文件访问等内容相关的行为和网络流等内容无关的行为中的任意一种或几种。上述任意一种网络行为均可以作为入侵行为,侵犯用户计算机系统的安全性。本实施例中基于网络行为的入侵检测方法,是根据网络行为的特征和模型进行判别,以检测异常的用户行为,对于网络用户异常行为检测,采用误用检测和异常检测相结合的方法。
具体地,在进行网络行为检测时,首先需要建立用户的正常行为模型,然后根据正常行为模型与当前的网络行为进行分析检测,以确定网络行为是否为异常行为,最后再将检测结果作为第一检测结果,根据第一检测结果的内容,送往第二检测阶段进行二次识别。
在第一检测结果的内容表示网络行为为异常行为的情况下,由第二异常检测模块进行第一检测结是否为误报的判断,以提升入侵检测结果的准确率。具体地,步骤S2通过K邻近分类算法进行网络行为是否为异常行为的检测,在网络行为为正常行为的情况下,第一异常检测模块输出的第一检测结果是误报,输出网络行为为正常行为的第二检测结果;在网络行为为异常行为的情况下,一异常检测模块输出的第一检测结果不是误报,输出网络行为为异常行为的第二检测结果。
在第一检测结果的内容表示网络行为为正常行为的情况下,步骤S3由误用检测模块进行该网络行为是否为与正常行为相似的异常行为,以对第一检测结果进行二次识别检测。具体地,首先根据用户在预设时间段内的行为模式构建用户行为模式集;随后检测用户行为模式集中是否存在与网络行为相同或相似的行为模式;在用户行为模式集中存在与网络行为相同或相似的行为模式的情况下,证明该网络行为不是与正常行为相似的异常行为,最终输出网络行为为正常行为的第三检测结果;在用户行为模式集中不存在与网络行为相同或相似的行为模式的情况下,证明网络行为是与正常行为相似的异常行为,最终输出网络行为为异常行为的第三检测结果。
本实施例采用基于网络行为的两层混合入侵检测方式,第一异常检测模块作为第一检测阶段,第二异常检测模块和误用检测模块作为第二检测阶段,利用两个检测阶段紧密配合,第二检测阶段的两个检测模块对第一检测阶段的检测模块的检测结果进行二次识别,进而识别出第一检测阶段的检测结果中存在的误报和漏报情况,进一步提升了整体入侵检测的准确率。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (10)

1.一种混合入侵检测系统,其特征在于,包括:
第一异常检测模块,用于检测网络行为是否为异常行为,并输出第一检测结果;
第二异常检测模块,用于在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;
误用检测模块,用于在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。
2.如权利要求1所述的混合入侵检测系统,其特征在于,所述第一异常检测模块,具体用于:
建立正常行为模型;
根据上述正常行为模型检测所述网络行为是否为异常行为。
3.如权利要求1所述的混合入侵检测系统,其特征在于,所述第二异常检测模块,具体用于:
根据K邻近分类算法检测所述网络行为是否为异常行为;
在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;
在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。
4.如权利要求1所述的混合入侵检测系统,其特征在于,所述误用检测模块,具体用于:
根据预设时间段内用户的行为模式构建用户行为模式集;
检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;
在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;
在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。
5.如权利要求1至4中任一项所述的混合入侵检测系统,其特征在于,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。
6.一种混合入侵检测方法,其特征在于,包括:
S1,检测网络行为是否为异常行为,并输出第一检测结果,在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,执行步骤S2,在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,执行步骤S3;
S2,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;
S3,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。
7.如权利要求6所述的混合入侵检测方法,其特征在于,所述检测网络行为是否为异常行为,包括:
建立正常行为模型;
根据上述正常行为模型检测所述网络行为是否为异常行为。
8.如权利要求6所述的混合入侵检测方法,其特征在于,所述步骤S2,包括:
根据K邻近分类算法检测所述网络行为是否为异常行为;
在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;
在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。
9.如权利要求6所述的混合入侵检测方法,其特征在于,所述步骤S3,包括:
根据预设时间段内用户的行为模式构建用户行为模式集;
检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;
在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;
在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。
10.如权利要求6至9中任一项所述的混合入侵检测方法,其特征在于,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。
CN201910180422.4A 2019-03-11 2019-03-11 一种混合入侵检测系统及方法 Pending CN110086767A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910180422.4A CN110086767A (zh) 2019-03-11 2019-03-11 一种混合入侵检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910180422.4A CN110086767A (zh) 2019-03-11 2019-03-11 一种混合入侵检测系统及方法

Publications (1)

Publication Number Publication Date
CN110086767A true CN110086767A (zh) 2019-08-02

Family

ID=67412366

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910180422.4A Pending CN110086767A (zh) 2019-03-11 2019-03-11 一种混合入侵检测系统及方法

Country Status (1)

Country Link
CN (1) CN110086767A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112637194A (zh) * 2020-12-18 2021-04-09 北京天融信网络安全技术有限公司 安全事件的检测方法、装置、电子设备及存储介质
CN113422785A (zh) * 2021-08-20 2021-09-21 北京生泰尔科技股份有限公司 基于网络流量的恶意攻击检测方法、系统和可读存储介质
CN114070641A (zh) * 2021-11-25 2022-02-18 网络通信与安全紫金山实验室 一种网络入侵检测方法、装置、设备和存储介质
WO2023039973A1 (zh) * 2021-09-17 2023-03-23 上海观安信息技术股份有限公司 异常误报的处理方法及装置、存储介质、终端

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102694817A (zh) * 2012-06-08 2012-09-26 奇智软件(北京)有限公司 一种识别程序的网络行为是否异常的方法、装置及系统
CN104601556A (zh) * 2014-12-30 2015-05-06 中国科学院信息工程研究所 一种面向web的攻击检测方法及系统
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN105262715A (zh) * 2015-03-27 2016-01-20 中国人民解放军信息工程大学 一种基于模糊时序关联模式的异常用户检测方法
CN105577685A (zh) * 2016-01-25 2016-05-11 浙江海洋学院 云计算环境中的自主分析入侵检测方法及系统
CN105681339A (zh) * 2016-03-07 2016-06-15 重庆邮电大学 一种融合粗糙集与ds证据理论的增量式入侵检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102694817A (zh) * 2012-06-08 2012-09-26 奇智软件(北京)有限公司 一种识别程序的网络行为是否异常的方法、装置及系统
CN104601556A (zh) * 2014-12-30 2015-05-06 中国科学院信息工程研究所 一种面向web的攻击检测方法及系统
CN105262715A (zh) * 2015-03-27 2016-01-20 中国人民解放军信息工程大学 一种基于模糊时序关联模式的异常用户检测方法
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN105577685A (zh) * 2016-01-25 2016-05-11 浙江海洋学院 云计算环境中的自主分析入侵检测方法及系统
CN105681339A (zh) * 2016-03-07 2016-06-15 重庆邮电大学 一种融合粗糙集与ds证据理论的增量式入侵检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张蕾等: "机器学习在网络空间安全研究中的应用", 《计算机学报》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112637194A (zh) * 2020-12-18 2021-04-09 北京天融信网络安全技术有限公司 安全事件的检测方法、装置、电子设备及存储介质
CN113422785A (zh) * 2021-08-20 2021-09-21 北京生泰尔科技股份有限公司 基于网络流量的恶意攻击检测方法、系统和可读存储介质
CN113422785B (zh) * 2021-08-20 2021-11-09 北京生泰尔科技股份有限公司 基于网络流量的恶意攻击检测方法、系统和可读存储介质
WO2023039973A1 (zh) * 2021-09-17 2023-03-23 上海观安信息技术股份有限公司 异常误报的处理方法及装置、存储介质、终端
CN114070641A (zh) * 2021-11-25 2022-02-18 网络通信与安全紫金山实验室 一种网络入侵检测方法、装置、设备和存储介质
CN114070641B (zh) * 2021-11-25 2024-02-27 网络通信与安全紫金山实验室 一种网络入侵检测方法、装置、设备和存储介质

Similar Documents

Publication Publication Date Title
CN110086767A (zh) 一种混合入侵检测系统及方法
CN110210512B (zh) 一种自动化日志异常检测方法及系统
WO2021184630A1 (zh) 基于知识图谱定位排污对象的方法及相关设备
Zhang et al. Random-forests-based network intrusion detection systems
CN106899435B (zh) 一种面向无线入侵检测系统的复杂攻击识别方法
Mabu et al. An intrusion-detection model based on fuzzy class-association-rule mining using genetic network programming
CN109344617A (zh) 一种物联网资产安全画像方法与系统
CN102768638B (zh) 基于状态转移图的软件行为可信性检测方法
CN114707571B (zh) 基于增强隔离森林的信用数据异常检测方法
CN106792883A (zh) 传感器网络异常数据检测方法与系统
Yu et al. Anomaly intrusion detection based upon data mining techniques and fuzzy logic
Bhosale Holy Grail of Outlier Detection Technique: A Macro Level Take on the State of the Art
CN110008976A (zh) 一种网络行为分类方法和装置
CN114422184A (zh) 基于机器学习的网络安全攻击类型和威胁等级预测方法
CN111431937A (zh) 工业网络异常流量的检测方法及系统
Berjab et al. A spatiotemporal and multivariate attribute correlation extraction scheme for detecting abnormal nodes in WSNs
CN110348480A (zh) 一种非监督异常数据检测算法
CN114244594A (zh) 网络流量异常检测方法及检测系统
CN112949714A (zh) 一种基于随机森林的故障可能性预估方法
CN113705714A (zh) 基于行为序列的配电物联网设备异常行为检测方法及装置
CN108399387A (zh) 用于识别目标群体的数据处理方法及装置
CN116647389A (zh) 一种工业控制系统网络访问安全性预警系统及方法
CN105930430A (zh) 一种基于非累积属性的实时欺诈检测方法及装置
CN113438239B (zh) 一种基于深度k近邻的网络攻击检测方法及装置
CN114285596B (zh) 基于机器学习的变电站终端账号异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190802

RJ01 Rejection of invention patent application after publication