CN112751813A - 一种网络入侵检测方法及装置 - Google Patents
一种网络入侵检测方法及装置 Download PDFInfo
- Publication number
- CN112751813A CN112751813A CN201911053795.1A CN201911053795A CN112751813A CN 112751813 A CN112751813 A CN 112751813A CN 201911053795 A CN201911053795 A CN 201911053795A CN 112751813 A CN112751813 A CN 112751813A
- Authority
- CN
- China
- Prior art keywords
- characteristic parameters
- dictionary information
- vulnerability data
- target
- target system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000000605 extraction Methods 0.000 claims abstract description 48
- 230000004927 fusion Effects 0.000 claims abstract description 20
- 238000011176 pooling Methods 0.000 claims description 18
- 238000012546 transfer Methods 0.000 claims description 5
- 230000001010 compromised effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 14
- 238000000513 principal component analysis Methods 0.000 description 7
- 238000012549 training Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000000126 substance Substances 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络入侵检测方法,应用于目标系统中的各个节点,包括:接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数;对所述特征参数进行参数融合,得到目标特征参数;依据所述目标特征参数判定所述目标系统是否被入侵。上述的检测方法中,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数,避免了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高的问题。
Description
技术领域
本发明涉及异常检测术领域,尤其涉及一种网络入侵检测方法及装置。
背景技术
全球能源互联网支撑系统需要通过内外网向企业内部、相关机构、社会公众提供诸如信息获取、身份认证、培训学习、交易结算等重要服务。系统业务应用、APP应用及各种采集类终端均面临来源于互联网或内部其他区域的各种恶意攻击风险,重要的用户身份信息及交易结算、设施运行监控等业务数据在存储、传输时也面临较高的泄露、破坏、篡改等风险。现有技术中采用主元分析(PCA)方法进行特征提取,降低了变量间的共性,然后采用基于互信息(MI)的特征提取方法,对主元分析提取的潜在变量进行进一步加工提取,通过对比分析,最终达到与异常检测模型输出类别最为相似的特征变量,最后,采用这些特征输入,采用随机向量泛函联接(RVFL)网络建立检测模型,依据该模型进行检测。
发明人对现有的入侵检测方法进行研究发现主元分析(PCA)过程过多的加入了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高。
发明内容
有鉴于此,本发明提供了一种网络入侵检测方法及装置,用以解决现有的入侵检测方法进行研究发现主元分析(PCA)过程过多的加入了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高的问题。具体方案如下:
一种网络入侵检测方法,应用于目标系统中的各个节点,包括:
接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
采用无监督学习方式提取所述流量字典信息的特征参数;
对所述特征参数进行参数融合,得到目标特征参数;
依据所述目标特征参数判定所述目标系统是否被入侵。
上述的方法,可选的,对所述历史漏洞数据进行字典编排,得到流量字典信息,包括:
获取所述历史漏洞数据中的入侵手段名称;
获取所述入侵手段名称中的首字母;
依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
上述的方法,可选的,采用无监督学习方式提取所述流量字典信息的特征参数,包括:
将所述流量字典信息传递给预设的特征提取模型;
遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
上述的方法,可选的,对所述特征参数进行参数融合,得到安全系数,包括:
获取所述特征参数的标识;
依据所述标识对所述特征参数进行分类;
在每一个分类中将其中的特征参数进行对应的运算,得到目标特征参数。
上述的方法,可选的,依据所述安全目标特征参数判定所述目标系统是否被入侵,包括:
将所述目标特征参数传递给预设的分类器,得到安全系数;
确定所述安全系数确定安全等级;
依据所述安全等级判定所述目标系统是否被入侵。
一种网络入侵检测装置,应用于目标系统中的各个节点,包括:
字典编排模块,用于接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
提取模块,用于采用无监督学习方式提取所述流量字典信息的特征参数;
融合模块,用于对所述特征参数进行参数融合,得到目标特征参数;
判定模块,用于依据所述目标特征参数判定所述目标系统是否被入侵。
上述的装置,可选的,所述字典编排模块包括:
名称获取单元,用于获取所述历史漏洞数据中的入侵手段名称;
首字母获取单元,用于获取所述入侵手段名称中的首字母;
编排单元,用于依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
上述的装置,可选的,所述提取模块包括:
传递单元,用于将所述流量字典信息传递给预设的特征提取模型;
查找单元,用于遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
参数获取单元,用于在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
一种存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述的一种网络入侵检测方法。
一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述的一种网络入侵检测方法。
与现有技术相比,本发明包括以下优点:
本发明公开了一种网络入侵检测方法,应用于目标系统中的各个节点,包括:接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数;对所述特征参数进行参数融合,得到目标特征参数;依据所述目标特征参数判定所述目标系统是否被入侵。上述的检测方法中,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数,避免了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种网络入侵检测方法流程图;
图2为本申请实施例公开的一种网络入侵检测方法又一方法流程图;
图3为本申请实施例公开的一种网络入侵检测方法又一方法流程图;
图4为本申请实施例公开的一种网络入侵检测装置结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
本发明公开了一种网络入侵检测方法及装置,应用在对目标系统网络入侵的检测过程中,所述目标系统为可以接入互联网的系统,本发明实施例中以所述目标系统为全球互联网国际标准资源库的网络入侵检测方法为例进行说明,全球能源互联网国际标准资源库是一项系统性的工程,是各业务和管理领域信息化的有机结合。重视标准推广应用的需求,满足全球能源互联网标准数字化工作需要,充分考虑本系统与其他系统的接口需求,有力支撑全球能源互联网标准工作的健康可持续发展。全球能源互联网国际标准资源库系统面向全球能源各大机构及全球用户,系统安全防护技术至关重要。系统业务应用、APP应用及各种采集类终端均面临来源于互联网或内部其他区域的各种恶意攻击风险,重要的用户身份信息及交易结算、设施运行监控等业务数据在存储、传输时也面临较高的泄露、破坏、篡改等风险。
全球能源互联网国际标准资源库系统节点较多,面临的网络入侵风险较高,因此传统的网络入侵检测方法不能够支撑系统安全运行。针对系统可能面临的安全风险,重点从物理安全、边界安全(安全域构建)、应用安全、数据安全、云主机安全、网络安全等方面考虑进行设计等针对全球能源互联网国际标准资源库的网络入侵检测方法。所述检测方法应用于系统的各个节点,所述检测方法的执行流程如图1所示,包括步骤:
S101、接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
本发明实施例中,所述目标系统为全球能源互联网国际标准资源库系统,接收所述目标系统的历史漏洞数据,其中,所述历史漏洞数据可能包含有具体的网络入侵方法,对所述历史漏洞数据采用字典编排的方式对其中的入侵手段进行编排,得到力量字典信息,将所述流量字典信息存储到字典编排数据库中,其中,所述字典编排数据库中存储有最新的匹配状态。
S102、采用无监督学习方式提取所述流量字典信息的特征参数;
本发明实施例中,所述无监督学习方式优选为Inception-V3方式,提取所述流量字典信息的特征参数,其中,预先采用Inception-V3建立预设的特征提取模型,依据所述预设的特征提取模型进行特征提取得到特征参数。
S103、对所述特征参数进行参数融合,得到目标特征参数;
本发明实施例中,所述特征参数有多个,其中,每一个特征参数中均含有标识,所述标识用于区分不同的数据类型,依据所述标识,将所述特征参数进行分类,在每一个分类中将其中的特征参数进行对应的运算,得到目标特征参数。其中,所述运行可以为直接累加,加权求和,取平均等等,所述运算方法依据具体的情况进行设定,本发明实施例中对运算的类型不进行限定。
S104、依据所述目标特征参数判定所述目标系统是否被入侵。
本发明实施例中,依据Softmax建立预设的分类器,对所述目标参数进行分分类,得到与所述历史漏洞数据对应的安全系数,本发明实施例中,预先依据经验或者具体的情况对所述目标系统对应的安全等级进行分类,其中,所述安全等级包括:安全、危险、很危险和极度危险,其中每一个安全等级对应一个系数范围,将所述安全等级,以各个系数范进行比对,确定所述安全等级落入的系数范围,该系数范围对应的安全等级为所述目标系统所属安全等级,当所述安全等级为安全时,判定所述目标系统未被入侵,当所述安全等级为危险、很危险和极度危险中的任意一种时,判定所述目标系统被入侵。
本发明公开了一种网络入侵检测方法,应用于目标系统中的各个节点,包括:接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数;对所述特征参数进行参数融合,得到目标特征参数;依据所述目标特征参数判定所述目标系统是否被入侵。上述的检测方法中,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数,避免了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高的问题。
本发明实施例中,对所述历史漏洞数据进行字典编排,得到流量字典信息的执行流程如图2所示,包括步骤:
S201、获取所述历史漏洞数据中的入侵手段名称;
本发明实施例中,解析所述历史漏洞数据将其与预设的入侵手段数据库进行对比,当所述历史漏洞数据与所述预设的入侵手段数据库中的各个入侵手段中的至少一个相同时,将其作为所述历史漏洞放数据的入侵手段名称。
进一步的,当所述预设的入侵手段数据库中不存在与所述历史漏洞数据库相同的入侵手段,可以进行提示,提示进行人工干预,通过人工对所述历史漏洞数据进行筛查。
S202、获取所述入侵手段名称中的首字母;
本发明实施例中,对所述入侵手段名称进行拆解,得到所述入侵手段名称中的首字母。
S203、依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
本发明实施例中,依据各个首字母对所述历史漏洞数据进行编排,首先依据首字母建立根节点,依据其余字母逐次建立各个子节点,得到流量字典信息。在针对某一种入侵手段进行搜索时,首先确定其首字母,从根结点开始一次搜索并根据该字母选择对应的子树并转到该子树继续进行检索;在相应的子树上,取得要查找关键词的第二个字母,并进一步选择对应的子树进行检索。迭代过程在某个结点处,关键词的所有字母已被取出,则读取附在该结点上的信息,即完成查找。
本发明实施例中,采用无监督学习方式提取所述流量字典信息的特征参数的方法流程如图3所示,包括步骤:
S301、将所述流量字典信息传递给预设的特征提取模型;
本发明实施例中,所述预设的特征提取模型需要提前进行训练,训练过程如下:将已知特征参数的流量字典信息分为训练集和验证集,首先采用训练集进行训练,当所述训练结果的准确度满足预设的准确度阈值时,采用验证集对训练好的特征提取模型进行验证,当验证通过时,完成训练,将所述流量字典信息传递给所述预设的特征提取模型中,其中,所述预设的特征提取模型基于Inception-V3进行构建。
进一步的,所述预设的特征提取模型需要持续进行特征学习,更新异常信息和正常信息的特征,便于对后续特征参数的提取。
S302、遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
本发明实施例中,遍历所述预设的特征提取模型的各个层级,查找去所述预设的特征提取模型的卷积层和池化层,其中查找方式可以为在预设的位置或者对应的标识进行查找,本发明实施例中对具体的查找方法不进行限定。
S303、在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
本发明实施例中,在所述卷积层和池化层对应的输出端口,获取所述流量字典信息的特征参数。
基于上述的方法,本发明实施例中,提供了一种网络入侵检测装置,应用于目标系统中的各个节点,所述检测装置的结构框图如图4所示,包括:
字典编排模块401、提取模块402、融合模块403和判定模块404。
其中,
所述字典编排模块401,用于接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
所述提取模块402,用于采用无监督学习方式提取所述流量字典信息的特征参数;
所述融合模块403,用于对所述特征参数进行参数融合,得到目标特征参数;
所述判定模块404,用于依据所述目标特征参数判定所述目标系统是否被入侵。
本发明公开了一种网络入侵检测装置,应用于目标系统中的各个节点,包括:接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数;对所述特征参数进行参数融合,得到目标特征参数;依据所述目标特征参数判定所述目标系统是否被入侵。上述的装置方法中,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数,避免了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高的问题。
本发明实施例中,所述字典编排模块401包括:
名称获取单元405、首字母获取单元406和编排单元407。
其中,
所述名称获取单元405,用于获取所述历史漏洞数据中的入侵手段名称;
所述首字母获取单元406,用于获取所述入侵手段名称中的首字母;
所述编排单元407,用于依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
本发明实施例中,所述提取模块402包括:
传递单元408、查找单元409和参数获取单元410。
其中,
所述传递单元408,用于将所述流量字典信息传递给预设的特征提取模型;
所述查找单元409,用于遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
所述参数获取单元410,用于在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
所述语音交互装置包括处理器和存储器,上述字典编排模块、提取模、融合模块和判定模块等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,对所述历史漏洞数据进行字典编排,得到流量字典信息;采用无监督学习方式提取所述流量字典信息的特征参数,避免了人为的因素进行特征提取,该过程极易引入人为噪声,导致入侵检测准确率不高的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述网络入侵检测方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述网络入侵检测方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
采用无监督学习方式提取所述流量字典信息的特征参数;
对所述特征参数进行参数融合,得到目标特征参数;
依据所述目标特征参数判定所述目标系统是否被入侵。
上述的方法,可选的,对所述历史漏洞数据进行字典编排,得到流量字典信息,包括:
获取所述历史漏洞数据中的入侵手段名称;
获取所述入侵手段名称中的首字母;
依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
上述的方法,可选的,采用无监督学习方式提取所述流量字典信息的特征参数,包括:
将所述流量字典信息传递给预设的特征提取模型;
遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
上述的方法,可选的,对所述特征参数进行参数融合,得到安全系数,包括:
获取所述特征参数的标识;
依据所述标识对所述特征参数进行分类;
在每一个分类中将其中的特征参数进行对应的运算,得到目标特征参数。
上述的方法,可选的,依据所述安全目标特征参数判定所述目标系统是否被入侵,包括:
将所述目标特征参数传递给预设的分类器,得到安全系数;
确定所述安全系数确定安全等级;
依据所述安全等级判定所述目标系统是否被入侵。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行有如下方法步骤的程序:
接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
采用无监督学习方式提取所述流量字典信息的特征参数;
对所述特征参数进行参数融合,得到目标特征参数;
依据所述目标特征参数判定所述目标系统是否被入侵。
上述的方法,可选的,对所述历史漏洞数据进行字典编排,得到流量字典信息,包括:
获取所述历史漏洞数据中的入侵手段名称;
获取所述入侵手段名称中的首字母;
依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
上述的方法,可选的,采用无监督学习方式提取所述流量字典信息的特征参数,包括:
将所述流量字典信息传递给预设的特征提取模型;
遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
上述的方法,可选的,对所述特征参数进行参数融合,得到安全系数,包括:
获取所述特征参数的标识;
依据所述标识对所述特征参数进行分类;
在每一个分类中将其中的特征参数进行对应的运算,得到目标特征参数。
上述的方法,可选的,依据所述安全目标特征参数判定所述目标系统是否被入侵,包括:
将所述目标特征参数传递给预设的分类器,得到安全系数;
确定所述安全系数确定安全等级;
依据所述安全等级判定所述目标系统是否被入侵。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种网络入侵检测方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络入侵检测方法,其特征在于,应用于目标系统中的各个节点,包括:
接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
采用无监督学习方式提取所述流量字典信息的特征参数;
对所述特征参数进行参数融合,得到目标特征参数;
依据所述目标特征参数判定所述目标系统是否被入侵。
2.根据权利要求1所述的方法,其特征在于,对所述历史漏洞数据进行字典编排,得到流量字典信息,包括:
获取所述历史漏洞数据中的入侵手段名称;
获取所述入侵手段名称中的首字母;
依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
3.根据权利要求1所述的方法,其特征在于,采用无监督学习方式提取所述流量字典信息的特征参数,包括:
将所述流量字典信息传递给预设的特征提取模型;
遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
4.根据权利要求1所述的方法,其特征在于,对所述特征参数进行参数融合,得到安全系数,包括:
获取所述特征参数的标识;
依据所述标识对所述特征参数进行分类;
在每一个分类中将其中的特征参数进行对应的运算,得到目标特征参数。
5.根据权利要求1所述的方法,其特征在于,依据所述安全目标特征参数判定所述目标系统是否被入侵,包括:
将所述目标特征参数传递给预设的分类器,得到安全系数;
确定所述安全系数确定安全等级;
依据所述安全等级判定所述目标系统是否被入侵。
6.一种网络入侵检测装置,其特征在于,应用于目标系统中的各个节点,包括:
字典编排模块,用于接收目标系统的历史漏洞数据,对所述历史漏洞数据进行字典编排,得到流量字典信息;
提取模块,用于采用无监督学习方式提取所述流量字典信息的特征参数;
融合模块,用于对所述特征参数进行参数融合,得到目标特征参数;
判定模块,用于依据所述目标特征参数判定所述目标系统是否被入侵。
7.根据权利要求6所述的装置,其特征在于,所述字典编排模块包括:
名称获取单元,用于获取所述历史漏洞数据中的入侵手段名称;
首字母获取单元,用于获取所述入侵手段名称中的首字母;
编排单元,用于依据各个首字母对所述历史漏洞数据进行编排,得到流量字典信息。
8.根据权利要求6所述的装置,其特征在于,所述提取模块包括:
传递单元,用于将所述流量字典信息传递给预设的特征提取模型;
查找单元,用于遍历所述预设的特征提取模型,查找所述预设特征提取模型的卷积层和池化层;
参数获取单元,用于在所述卷积层和所述池化层中,获取所述流量字典信息的特征参数。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至5中任意一项所述的一种网络入侵检测方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至5中任意一项所述的一种网络入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911053795.1A CN112751813A (zh) | 2019-10-31 | 2019-10-31 | 一种网络入侵检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911053795.1A CN112751813A (zh) | 2019-10-31 | 2019-10-31 | 一种网络入侵检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112751813A true CN112751813A (zh) | 2021-05-04 |
Family
ID=75644743
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911053795.1A Pending CN112751813A (zh) | 2019-10-31 | 2019-10-31 | 一种网络入侵检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112751813A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697143A (zh) * | 2022-06-02 | 2022-07-01 | 苏州英博特力信息科技有限公司 | 基于指纹考勤系统的信息处理方法及指纹考勤服务系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346948A (zh) * | 2011-09-07 | 2012-02-08 | 无锡国科微纳传感网科技有限公司 | 一种周界入侵检测方法和系统 |
CN105376260A (zh) * | 2015-12-18 | 2016-03-02 | 重庆邮电大学 | 一种基于密度峰值聚类的网络异常流量监测系统 |
CN105577679A (zh) * | 2016-01-14 | 2016-05-11 | 华东师范大学 | 一种基于特征选择与密度峰值聚类的异常流量检测方法 |
US20160226894A1 (en) * | 2015-02-04 | 2016-08-04 | Electronics And Telecommunications Research Institute | System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type model |
CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
CN109639662A (zh) * | 2018-12-06 | 2019-04-16 | 中国民航大学 | 基于深度学习的机载网络入侵检测方法 |
US20190207960A1 (en) * | 2017-12-29 | 2019-07-04 | DataVisor, Inc. | Detecting network attacks |
CN110071913A (zh) * | 2019-03-26 | 2019-07-30 | 同济大学 | 一种基于无监督学习的时间序列异常检测方法 |
WO2019175880A1 (en) * | 2018-03-14 | 2019-09-19 | Intelici - Cyber Defense System Ltd. | Method and system for classifying data objects based on their network footprint |
CN110300095A (zh) * | 2019-05-13 | 2019-10-01 | 江苏大学 | 一种基于改进学习率的深度学习网络入侵检测方法 |
-
2019
- 2019-10-31 CN CN201911053795.1A patent/CN112751813A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346948A (zh) * | 2011-09-07 | 2012-02-08 | 无锡国科微纳传感网科技有限公司 | 一种周界入侵检测方法和系统 |
US20160226894A1 (en) * | 2015-02-04 | 2016-08-04 | Electronics And Telecommunications Research Institute | System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type model |
CN105376260A (zh) * | 2015-12-18 | 2016-03-02 | 重庆邮电大学 | 一种基于密度峰值聚类的网络异常流量监测系统 |
CN105577679A (zh) * | 2016-01-14 | 2016-05-11 | 华东师范大学 | 一种基于特征选择与密度峰值聚类的异常流量检测方法 |
US20190207960A1 (en) * | 2017-12-29 | 2019-07-04 | DataVisor, Inc. | Detecting network attacks |
WO2019175880A1 (en) * | 2018-03-14 | 2019-09-19 | Intelici - Cyber Defense System Ltd. | Method and system for classifying data objects based on their network footprint |
CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
CN109639662A (zh) * | 2018-12-06 | 2019-04-16 | 中国民航大学 | 基于深度学习的机载网络入侵检测方法 |
CN110071913A (zh) * | 2019-03-26 | 2019-07-30 | 同济大学 | 一种基于无监督学习的时间序列异常检测方法 |
CN110300095A (zh) * | 2019-05-13 | 2019-10-01 | 江苏大学 | 一种基于改进学习率的深度学习网络入侵检测方法 |
Non-Patent Citations (3)
Title |
---|
DELUCA S.A: "Microsoft SQL Server 7 性能优化", pages: 227 - 231 * |
林冬茂;薛德黔;: "一种基于无监督免疫优化分层的网络入侵检测算法", 计算机科学, no. 03 * |
王佳林 等: "基于非对称卷积自编码器和支持向量机的入侵检测模型", 网络与信息安全学报, vol. 4, no. 11, pages 58 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697143A (zh) * | 2022-06-02 | 2022-07-01 | 苏州英博特力信息科技有限公司 | 基于指纹考勤系统的信息处理方法及指纹考勤服务系统 |
CN114697143B (zh) * | 2022-06-02 | 2022-08-23 | 苏州英博特力信息科技有限公司 | 基于指纹考勤系统的信息处理方法及指纹考勤服务系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108920947B (zh) | 一种基于日志图建模的异常检测方法和装置 | |
Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
KR101767454B1 (ko) | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
US10033757B2 (en) | Identifying malicious identifiers | |
CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
US8776196B1 (en) | Systems and methods for automatically detecting and preventing phishing attacks | |
KR101743269B1 (ko) | 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
KR101530941B1 (ko) | 피싱 웹사이트들을 검출하기 위한 방법, 시스템 및 클라이언트 단말기 | |
RU2708356C1 (ru) | Система и способ двухэтапной классификации файлов | |
CN107992738B (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
CN107622198B (zh) | 用于实现设备指纹的方法、装置和计算机可读存储介质 | |
CN109800560B (zh) | 一种设备识别方法和装置 | |
CN103593609A (zh) | 一种可信行为识别的方法和装置 | |
Wu et al. | Detect repackaged android application based on http traffic similarity | |
CN113221032A (zh) | 链接风险检测方法、装置以及存储介质 | |
CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
CN112751804B (zh) | 一种仿冒域名的识别方法、装置和设备 | |
Kim et al. | Phishing url detection: A network-based approach robust to evasion | |
CN108833348B (zh) | 一种基于日志图建模的异常检测方法和装置 | |
CN111988327B (zh) | 威胁行为检测和模型建立方法、装置、电子设备及存储介质 | |
KR101605783B1 (ko) | 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램 | |
CN112751813A (zh) | 一种网络入侵检测方法及装置 | |
CN104978523A (zh) | 一种基于网络热词识别的恶意样本捕获方法及系统 | |
CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |