CN112751813A

CN112751813A - 一种网络入侵检测方法及装置

Info

Publication number: CN112751813A
Application number: CN201911053795.1A
Authority: CN
Inventors: 陈利跃; 沈珮; 吴天京; 陈宜亮; 王蓓; 胡学勇; 赵蕾; 付兰梅; 王瑞杰
Original assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Zhejiang Electric Power Co Ltd; Beijing China Power Information Technology Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Zhejiang Electric Power Co Ltd; Beijing China Power Information Technology Co Ltd
Priority date: 2019-10-31
Filing date: 2019-10-31
Publication date: 2021-05-04

Abstract

本发明公开了一种网络入侵检测方法，应用于目标系统中的各个节点，包括：接收目标系统的历史漏洞数据，对所述历史漏洞数据进行字典编排，得到流量字典信息；采用无监督学习方式提取所述流量字典信息的特征参数；对所述特征参数进行参数融合，得到目标特征参数；依据所述目标特征参数判定所述目标系统是否被入侵。上述的检测方法中，对所述历史漏洞数据进行字典编排，得到流量字典信息；采用无监督学习方式提取所述流量字典信息的特征参数，避免了人为的因素进行特征提取，该过程极易引入人为噪声，导致入侵检测准确率不高的问题。

Description

一种网络入侵检测方法及装置

技术领域

本发明涉及异常检测术领域，尤其涉及一种网络入侵检测方法及装置。

背景技术

全球能源互联网支撑系统需要通过内外网向企业内部、相关机构、社会公众提供诸如信息获取、身份认证、培训学习、交易结算等重要服务。系统业务应用、APP应用及各种采集类终端均面临来源于互联网或内部其他区域的各种恶意攻击风险，重要的用户身份信息及交易结算、设施运行监控等业务数据在存储、传输时也面临较高的泄露、破坏、篡改等风险。现有技术中采用主元分析(PCA)方法进行特征提取，降低了变量间的共性，然后采用基于互信息(MI)的特征提取方法，对主元分析提取的潜在变量进行进一步加工提取，通过对比分析，最终达到与异常检测模型输出类别最为相似的特征变量，最后，采用这些特征输入，采用随机向量泛函联接(RVFL)网络建立检测模型，依据该模型进行检测。

发明人对现有的入侵检测方法进行研究发现主元分析(PCA)过程过多的加入了人为的因素进行特征提取，该过程极易引入人为噪声，导致入侵检测准确率不高。

发明内容

有鉴于此，本发明提供了一种网络入侵检测方法及装置，用以解决现有的入侵检测方法进行研究发现主元分析(PCA)过程过多的加入了人为的因素进行特征提取，该过程极易引入人为噪声，导致入侵检测准确率不高的问题。具体方案如下：

一种网络入侵检测方法，应用于目标系统中的各个节点，包括：

接收目标系统的历史漏洞数据，对所述历史漏洞数据进行字典编排，得到流量字典信息；

采用无监督学习方式提取所述流量字典信息的特征参数；

对所述特征参数进行参数融合，得到目标特征参数；

依据所述目标特征参数判定所述目标系统是否被入侵。

上述的方法，可选的，对所述历史漏洞数据进行字典编排，得到流量字典信息，包括：

获取所述历史漏洞数据中的入侵手段名称；

获取所述入侵手段名称中的首字母；

依据各个首字母对所述历史漏洞数据进行编排，得到流量字典信息。

上述的方法，可选的，采用无监督学习方式提取所述流量字典信息的特征参数，包括：

将所述流量字典信息传递给预设的特征提取模型；

遍历所述预设的特征提取模型，查找所述预设特征提取模型的卷积层和池化层；

在所述卷积层和所述池化层中，获取所述流量字典信息的特征参数。

上述的方法，可选的，对所述特征参数进行参数融合，得到安全系数，包括：

获取所述特征参数的标识；

依据所述标识对所述特征参数进行分类；

在每一个分类中将其中的特征参数进行对应的运算，得到目标特征参数。

上述的方法，可选的，依据所述安全目标特征参数判定所述目标系统是否被入侵，包括：

将所述目标特征参数传递给预设的分类器，得到安全系数；

确定所述安全系数确定安全等级；

依据所述安全等级判定所述目标系统是否被入侵。

一种网络入侵检测装置，应用于目标系统中的各个节点，包括：

字典编排模块，用于接收目标系统的历史漏洞数据，对所述历史漏洞数据进行字典编排，得到流量字典信息；

提取模块，用于采用无监督学习方式提取所述流量字典信息的特征参数；

融合模块，用于对所述特征参数进行参数融合，得到目标特征参数；

判定模块，用于依据所述目标特征参数判定所述目标系统是否被入侵。

上述的装置，可选的，所述字典编排模块包括：

名称获取单元，用于获取所述历史漏洞数据中的入侵手段名称；

首字母获取单元，用于获取所述入侵手段名称中的首字母；

编排单元，用于依据各个首字母对所述历史漏洞数据进行编排，得到流量字典信息。

上述的装置，可选的，所述提取模块包括：

传递单元，用于将所述流量字典信息传递给预设的特征提取模型；

查找单元，用于遍历所述预设的特征提取模型，查找所述预设特征提取模型的卷积层和池化层；

参数获取单元，用于在所述卷积层和所述池化层中，获取所述流量字典信息的特征参数。

一种存储介质，所述存储介质包括存储的程序，其中，所述程序执行上述的一种网络入侵检测方法。

一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述的一种网络入侵检测方法。

与现有技术相比，本发明包括以下优点：

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种网络入侵检测方法流程图；

图2为本申请实施例公开的一种网络入侵检测方法又一方法流程图；

图3为本申请实施例公开的一种网络入侵检测方法又一方法流程图；

图4为本申请实施例公开的一种网络入侵检测装置结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

本发明公开了一种网络入侵检测方法及装置，应用在对目标系统网络入侵的检测过程中，所述目标系统为可以接入互联网的系统，本发明实施例中以所述目标系统为全球互联网国际标准资源库的网络入侵检测方法为例进行说明，全球能源互联网国际标准资源库是一项系统性的工程，是各业务和管理领域信息化的有机结合。重视标准推广应用的需求，满足全球能源互联网标准数字化工作需要，充分考虑本系统与其他系统的接口需求，有力支撑全球能源互联网标准工作的健康可持续发展。全球能源互联网国际标准资源库系统面向全球能源各大机构及全球用户，系统安全防护技术至关重要。系统业务应用、APP应用及各种采集类终端均面临来源于互联网或内部其他区域的各种恶意攻击风险，重要的用户身份信息及交易结算、设施运行监控等业务数据在存储、传输时也面临较高的泄露、破坏、篡改等风险。

全球能源互联网国际标准资源库系统节点较多，面临的网络入侵风险较高，因此传统的网络入侵检测方法不能够支撑系统安全运行。针对系统可能面临的安全风险，重点从物理安全、边界安全(安全域构建)、应用安全、数据安全、云主机安全、网络安全等方面考虑进行设计等针对全球能源互联网国际标准资源库的网络入侵检测方法。所述检测方法应用于系统的各个节点，所述检测方法的执行流程如图1所示，包括步骤：

S101、接收目标系统的历史漏洞数据，对所述历史漏洞数据进行字典编排，得到流量字典信息；

本发明实施例中，所述目标系统为全球能源互联网国际标准资源库系统，接收所述目标系统的历史漏洞数据，其中，所述历史漏洞数据可能包含有具体的网络入侵方法，对所述历史漏洞数据采用字典编排的方式对其中的入侵手段进行编排，得到力量字典信息，将所述流量字典信息存储到字典编排数据库中，其中，所述字典编排数据库中存储有最新的匹配状态。

S102、采用无监督学习方式提取所述流量字典信息的特征参数；

本发明实施例中，所述无监督学习方式优选为Inception-V3方式，提取所述流量字典信息的特征参数，其中，预先采用Inception-V3建立预设的特征提取模型，依据所述预设的特征提取模型进行特征提取得到特征参数。

S103、对所述特征参数进行参数融合，得到目标特征参数；

本发明实施例中，所述特征参数有多个，其中，每一个特征参数中均含有标识，所述标识用于区分不同的数据类型，依据所述标识，将所述特征参数进行分类，在每一个分类中将其中的特征参数进行对应的运算，得到目标特征参数。其中，所述运行可以为直接累加，加权求和，取平均等等，所述运算方法依据具体的情况进行设定，本发明实施例中对运算的类型不进行限定。

S104、依据所述目标特征参数判定所述目标系统是否被入侵。

本发明实施例中，依据Softmax建立预设的分类器，对所述目标参数进行分分类，得到与所述历史漏洞数据对应的安全系数，本发明实施例中，预先依据经验或者具体的情况对所述目标系统对应的安全等级进行分类，其中，所述安全等级包括：安全、危险、很危险和极度危险，其中每一个安全等级对应一个系数范围，将所述安全等级，以各个系数范进行比对，确定所述安全等级落入的系数范围，该系数范围对应的安全等级为所述目标系统所属安全等级，当所述安全等级为安全时，判定所述目标系统未被入侵，当所述安全等级为危险、很危险和极度危险中的任意一种时，判定所述目标系统被入侵。

本发明实施例中，对所述历史漏洞数据进行字典编排，得到流量字典信息的执行流程如图2所示，包括步骤：

S201、获取所述历史漏洞数据中的入侵手段名称；

本发明实施例中，解析所述历史漏洞数据将其与预设的入侵手段数据库进行对比，当所述历史漏洞数据与所述预设的入侵手段数据库中的各个入侵手段中的至少一个相同时，将其作为所述历史漏洞放数据的入侵手段名称。

进一步的，当所述预设的入侵手段数据库中不存在与所述历史漏洞数据库相同的入侵手段，可以进行提示，提示进行人工干预，通过人工对所述历史漏洞数据进行筛查。

S202、获取所述入侵手段名称中的首字母；

本发明实施例中，对所述入侵手段名称进行拆解，得到所述入侵手段名称中的首字母。

S203、依据各个首字母对所述历史漏洞数据进行编排，得到流量字典信息。

本发明实施例中，依据各个首字母对所述历史漏洞数据进行编排，首先依据首字母建立根节点，依据其余字母逐次建立各个子节点，得到流量字典信息。在针对某一种入侵手段进行搜索时，首先确定其首字母，从根结点开始一次搜索并根据该字母选择对应的子树并转到该子树继续进行检索；在相应的子树上，取得要查找关键词的第二个字母,并进一步选择对应的子树进行检索。迭代过程在某个结点处，关键词的所有字母已被取出，则读取附在该结点上的信息，即完成查找。

本发明实施例中，采用无监督学习方式提取所述流量字典信息的特征参数的方法流程如图3所示，包括步骤：

S301、将所述流量字典信息传递给预设的特征提取模型；

本发明实施例中，所述预设的特征提取模型需要提前进行训练，训练过程如下：将已知特征参数的流量字典信息分为训练集和验证集，首先采用训练集进行训练，当所述训练结果的准确度满足预设的准确度阈值时，采用验证集对训练好的特征提取模型进行验证，当验证通过时，完成训练，将所述流量字典信息传递给所述预设的特征提取模型中，其中，所述预设的特征提取模型基于Inception-V3进行构建。

进一步的，所述预设的特征提取模型需要持续进行特征学习，更新异常信息和正常信息的特征，便于对后续特征参数的提取。

S302、遍历所述预设的特征提取模型，查找所述预设特征提取模型的卷积层和池化层；

本发明实施例中，遍历所述预设的特征提取模型的各个层级，查找去所述预设的特征提取模型的卷积层和池化层，其中查找方式可以为在预设的位置或者对应的标识进行查找，本发明实施例中对具体的查找方法不进行限定。

S303、在所述卷积层和所述池化层中，获取所述流量字典信息的特征参数。

本发明实施例中，在所述卷积层和池化层对应的输出端口，获取所述流量字典信息的特征参数。

基于上述的方法，本发明实施例中，提供了一种网络入侵检测装置，应用于目标系统中的各个节点，所述检测装置的结构框图如图4所示，包括：

字典编排模块401、提取模块402、融合模块403和判定模块404。

其中，

所述字典编排模块401，用于接收目标系统的历史漏洞数据，对所述历史漏洞数据进行字典编排，得到流量字典信息；

所述提取模块402，用于采用无监督学习方式提取所述流量字典信息的特征参数；

所述融合模块403，用于对所述特征参数进行参数融合，得到目标特征参数；

所述判定模块404，用于依据所述目标特征参数判定所述目标系统是否被入侵。

本发明公开了一种网络入侵检测装置，应用于目标系统中的各个节点，包括：接收目标系统的历史漏洞数据，对所述历史漏洞数据进行字典编排，得到流量字典信息；采用无监督学习方式提取所述流量字典信息的特征参数；对所述特征参数进行参数融合，得到目标特征参数；依据所述目标特征参数判定所述目标系统是否被入侵。上述的装置方法中，对所述历史漏洞数据进行字典编排，得到流量字典信息；采用无监督学习方式提取所述流量字典信息的特征参数，避免了人为的因素进行特征提取，该过程极易引入人为噪声，导致入侵检测准确率不高的问题。

本发明实施例中，所述字典编排模块401包括：

名称获取单元405、首字母获取单元406和编排单元407。

其中，

所述名称获取单元405，用于获取所述历史漏洞数据中的入侵手段名称；

所述首字母获取单元406，用于获取所述入侵手段名称中的首字母；

所述编排单元407，用于依据各个首字母对所述历史漏洞数据进行编排，得到流量字典信息。

本发明实施例中，所述提取模块402包括：

传递单元408、查找单元409和参数获取单元410。

其中，

所述传递单元408，用于将所述流量字典信息传递给预设的特征提取模型；

所述查找单元409，用于遍历所述预设的特征提取模型，查找所述预设特征提取模型的卷积层和池化层；

所述参数获取单元410，用于在所述卷积层和所述池化层中，获取所述流量字典信息的特征参数。

所述语音交互装置包括处理器和存储器，上述字典编排模块、提取模、融合模块和判定模块等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，对所述历史漏洞数据进行字典编排，得到流量字典信息；采用无监督学习方式提取所述流量字典信息的特征参数，避免了人为的因素进行特征提取，该过程极易引入人为噪声，导致入侵检测准确率不高的问题。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本发明实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现所述网络入侵检测方法。

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述网络入侵检测方法。

本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：

采用无监督学习方式提取所述流量字典信息的特征参数；

对所述特征参数进行参数融合，得到目标特征参数；

依据所述目标特征参数判定所述目标系统是否被入侵。

获取所述历史漏洞数据中的入侵手段名称；

获取所述入侵手段名称中的首字母；

将所述流量字典信息传递给预设的特征提取模型；

获取所述特征参数的标识；

依据所述标识对所述特征参数进行分类；

将所述目标特征参数传递给预设的分类器，得到安全系数；

确定所述安全系数确定安全等级；

依据所述安全等级判定所述目标系统是否被入侵。

本文中的设备可以是服务器、PC、PAD、手机等。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行有如下方法步骤的程序：

采用无监督学习方式提取所述流量字典信息的特征参数；

对所述特征参数进行参数融合，得到目标特征参数；

依据所述目标特征参数判定所述目标系统是否被入侵。

获取所述历史漏洞数据中的入侵手段名称；

获取所述入侵手段名称中的首字母；

将所述流量字典信息传递给预设的特征提取模型；

获取所述特征参数的标识；

依据所述标识对所述特征参数进行分类；

将所述目标特征参数传递给预设的分类器，得到安全系数；

确定所述安全系数确定安全等级；

依据所述安全等级判定所述目标系统是否被入侵。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明所提供的一种网络入侵检测方法及装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种网络入侵检测方法，其特征在于，应用于目标系统中的各个节点，包括：

采用无监督学习方式提取所述流量字典信息的特征参数；

对所述特征参数进行参数融合，得到目标特征参数；

依据所述目标特征参数判定所述目标系统是否被入侵。

2.根据权利要求1所述的方法，其特征在于，对所述历史漏洞数据进行字典编排，得到流量字典信息，包括：

获取所述历史漏洞数据中的入侵手段名称；

获取所述入侵手段名称中的首字母；

3.根据权利要求1所述的方法，其特征在于，采用无监督学习方式提取所述流量字典信息的特征参数，包括：

将所述流量字典信息传递给预设的特征提取模型；

4.根据权利要求1所述的方法，其特征在于，对所述特征参数进行参数融合，得到安全系数，包括：

获取所述特征参数的标识；

依据所述标识对所述特征参数进行分类；

5.根据权利要求1所述的方法，其特征在于，依据所述安全目标特征参数判定所述目标系统是否被入侵，包括：

将所述目标特征参数传递给预设的分类器，得到安全系数；

确定所述安全系数确定安全等级；

依据所述安全等级判定所述目标系统是否被入侵。

6.一种网络入侵检测装置，其特征在于，应用于目标系统中的各个节点，包括：

7.根据权利要求6所述的装置，其特征在于，所述字典编排模块包括：

首字母获取单元，用于获取所述入侵手段名称中的首字母；

8.根据权利要求6所述的装置，其特征在于，所述提取模块包括：

9.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，所述程序执行权利要求1至5中任意一项所述的一种网络入侵检测方法。

10.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至5中任意一项所述的一种网络入侵检测方法。