CN113114691B - 一种网络入侵检测方法、系统、设备和可读存储介质 - Google Patents

一种网络入侵检测方法、系统、设备和可读存储介质 Download PDF

Info

Publication number
CN113114691B
CN113114691B CN202110408122.4A CN202110408122A CN113114691B CN 113114691 B CN113114691 B CN 113114691B CN 202110408122 A CN202110408122 A CN 202110408122A CN 113114691 B CN113114691 B CN 113114691B
Authority
CN
China
Prior art keywords
network
attack
intrusion detection
network traffic
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110408122.4A
Other languages
English (en)
Other versions
CN113114691A (zh
Inventor
孙静春
邓飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202110408122.4A priority Critical patent/CN113114691B/zh
Publication of CN113114691A publication Critical patent/CN113114691A/zh
Application granted granted Critical
Publication of CN113114691B publication Critical patent/CN113114691B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络入侵检测方法、系统、设备和可读存储介质,方法包括步骤1,选取网络入侵检测数据集;步骤2,根据访问的网络流量选取攻击特征行为;步骤3,根据步骤2选取的代表性特征行为属性,依据访问网络流量的二维端口矩阵组合分类构造数据分类器,通过数据分类器得出二维端口矩阵组合分类的网络流量频数分布;步骤4,依据网络流量频数分布建立Logit模型,通过Logit模型对网络流量进行攻击识别;步骤5,输出识别结果Y,并将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi是,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。通过将网络流量攻击问题转换为概率问题,降低了检测难度。

Description

一种网络入侵检测方法、系统、设备和可读存储介质
技术领域
本发明属于信息安全技术领域,具体属于一种网络入侵检测方法、系统、设备和可读存储介质。
背景技术
如今,智能终端和网络已经成为现代生活的重要组成部分,所以的娱乐、经济和通信方面都离不开计算机网络。为了保证计算机系统的安全性,需要各类的安全工具和方法来阻止各类网络攻击(如防火墙、加密等)。但是,尽管使用了不同的安全防范工具,许多企业和组织依然成为网络攻击的受害者。因此,有必要引入网络入侵检测方法来保护系统免受各种攻击。
网络入侵检测方法的诞生是为了克服现有工具(如防火墙、抗病毒、加密等)无法防范各种网络攻击的弱点。它的目标是监视网络系统的活动或行为,在发生攻击时识别并生成警报。入侵检测有两种检测方法:误用检测和异常检测。误用检测依赖于已知攻击(如抗病毒)的特征码列表,而异常检测依赖于为正常和攻击行为创建模型。
网络入侵检测方法是用来克服现有安全工具缺点的。近年来,基于网络入侵检测方法的研究者,利用统计分析、数据挖掘、机器学习、神经网络、支持向量机等方法分析检测。但是,现有技术的检测方法均存在分析过程复杂,检测时间长的问题。
发明内容
为了解决现有技术中存在的问题,本发明提供一种网络入侵检测方法、系统、设备和可读存储介质,较之于传统的网络入侵检测方法,简化了分析参数,降低了检测难度。
为实现上述目的,本发明提供如下技术方案:
一种网络入侵检测方法,包括以下步骤,
步骤1,选取网络入侵检测数据集;
步骤2,根据访问的网络流量选取攻击特征行为;
步骤3,根据步骤2选取的代表性特征行为属性,依据访问网络流量的二维端口矩阵组合分类构造数据分类器,通过数据分类器得出二维端口矩阵组合分类的网络流量频数分布;
步骤4,依据网络流量频数分布建立Logit模型,通过Logit模型对网络流量进行攻击识别;
步骤5,输出识别结果Y,并将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi时,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。
优选的,步骤1中,所述数据集为CIC-IDS2017数据集。
优选的,步骤2中,所述攻击特征行为的攻击类型包括PortScan、DDos、FTP-Patator、Dos Hulk、Dos GoldenEye、Dos Slowhttp、Dos Slowloris、Heartbleed、SSH-Patator、Web Attack-Brute Force、Web Attack-SQL Injection、Web Attack-XSS、Infiltration、Bot。
优选的,步骤3中,所述二维端口矩阵组合分类包括w_w、r_w、d_w、w_r、r_r、d_r、w_d、r_d和d_d;
其中w为公认端口;r为注册端口;d为动态端口。
优选的,步骤4中,所述Logit模型公式为:
Figure GDA0003437261310000021
式中,(α1,α2,…,αk)是X的线性模型的估计值,ε是随机变量误差值。
进一步的,步骤5中,因变量Y的公式为:
Figure GDA0003437261310000022
其中,pi为切割值,取值范围为[0,1]。
一种网络入侵检测系统,包括网络入侵检测数据集模块、选取模块、数据分类器模块、Logit模型模块和输出比较模块;
所述网络入侵检测数据集模块用于提供网络入侵检测数据集;
所述选取模块用于选取网络流量的攻击特征行为;
所述数据分类器模块用于根据网络流量的二维端口矩阵组合分类和网络流量的攻击特征行为确定网络流量频数分布;
所述Logit模型模块用于依据网络流量频数分布对网络流量进行攻击识别;
所述输出比较模块用于将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi时,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任意一项所述的一种网络入侵检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述的一种网络入侵检测方法的步骤。
与现有技术相比,本发明具有以下有益的技术效果:
本发明提供一种网络入侵检测方法,通过采用二维矩阵组合分类和转化为概率方法,寻找出一个或若干个子样本,使其具备与总样本相似的特征分布,使用二维矩阵组合端口分类来代替多元分类问题,简化了检测方法。传统的检测方法在使用Logit模型时,不管数据特征是有序的还是无序的,都属于多元回归分类问题,针对多维聚类问题的处理本身就很复杂,计算量较大;而本发明通过将网络流量攻击问题转换为概率问题,利用选取切割值来比对概率值,从而得出网络攻击或正常行为的结论。较之于传统的网络入侵检测方法,简化了分析参数,降低了检测难度。
附图说明
图1为本发明实施例一种网络入侵检测方法的流程图。
图2为本发明实施例中DDos攻击数据的整体特征分布图。
图3a为本发明实施例中DDos攻击数据的w_w组子样本的特征分布。
图3b为本发明实施例中DDos攻击数据的r_w组子样本的特征分布。
图3c为本发明实施例中DDos攻击数据的d_w组子样本的特征分布。
图3d为本发明实施例中DDos攻击数据的w_r组子样本的特征分布。
图3e为本发明实施例中DDos攻击数据的r_r组子样本的特征分布。
图3f为本发明实施例中DDos攻击数据的d_r组子样本的特征分布。
图3g为本发明实施例中DDos攻击数据的w_d组子样本的特征分布。
图3h为本发明实施例中DDos攻击数据的r_d组子样本的特征分布。
图3i为本发明实施例中DDos攻击数据的d_d组子样本的特征分布。
具体实施方式
下面结合具体的实施例对本发明做进一步的详细说明,所述是对本发明的解释而不是限定。
本发明提供一种网络入侵检测方法,包括以下步骤,
步骤1,选取网络入侵检测数据集;
步骤2,根据访问的网络流量选取攻击特征行为;
步骤3,根据步骤2选取的代表性特征行为属性,依据访问网络流量的二维端口矩阵组合分类构造数据分类器,通过数据分类器得出二维端口矩阵组合分类的网络流量频数分布;
步骤4,依据网络流量频数分布建立Logit模型,通过Logit模型对网络流量进行攻击识别;
步骤5,输出识别结果Y,并将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi是,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。
本发明提供一种网络入侵检测系统,包括网络入侵检测数据集模块、选取模块、数据分类器模块、Logit模型模块和输出比较模块。
网络入侵检测数据集模块用于提供网络入侵检测数据集;
选取模块用于选取网络流量的攻击特征行为;
数据分类器模块用于根据网络流量的二维端口矩阵组合分类和网络流量的攻击特征行为确定网络流量频数分布;
Logit模型模块用于依据网络流量频数分布对网络流量进行攻击识别;
输出比较模块用于将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi是,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。
传统的检测方法在使用Logit模型时,不管数据特征是有序的还是无序的,都属于多元回归分类问题,针对多维聚类问题的处理本身就很复杂,计算量较大;而本发明采用二维矩阵组合分类和转化为概率方法,通过Logit模型,把网络流量攻击问题转换为概率问题,寻找出一个或若干个子样本,使其具备与总样本相似的特征分布,使用二维矩阵组合端口分类来代替多元分类问题,利用选取切割值来比对概率值,从而得出网络攻击或正常行为的结论,简化了检测方法。
实施例
本发明一种网络入侵检测方法。包括以下过程,首先,选取数据集,把它作为分析对象;其次,选取代表性特征,根据不同的网络流量行为选取代表性特征行为属性;第三,构造数据分类器,基于选取的代表性特征行为属性,采用二维端口矩阵组合分类方法来构造出数据分类器,并使用它来筛选训练数据;第四,建立Logit模型,通过该模型来对网络流量进行攻击识别;最后,给出结论,根据Y的输出值来给出网络攻击预测结论,当Y=1时,判定该网络流量属于网络攻击,当Y=0时,判断该网络流量属于正常行为。
本实施例中针对网络入侵,以CIC-IDS-2017数据集作为分析对象,首先根据不同的网络流量行为选取代表性特征行为属性,其次使用二维端口矩阵组合分类来构造出一种数据分类器,并使用该分类器来筛选训练数据,然后通过Logit模型来对网络流量进行攻击识别,最后给出网络攻击或正常行为的结论的一种方法。
本发明以CIC-IDS-2017数据集作为分析对象。CIC-IDS-2017数据集是加拿大新不伦瑞克大学信息安全卓越中心2017年发布的入侵检测数据集,具有更多的攻击流量,它包含良性和最常见的14种攻击类型:PortScan,DDos,FTP-Patator,Dos Hulk,DosGoldenEye,Dos Slowhttp,Dos Slowloris,Heartbleed,SSH-Patator,Web Attack-BruteForce,Web Attack-SQL Injection,Web Attack-XSS,Infiltration,Bot。
根据不同的网络流量行为选取代表性特征行为属性时,CIC-IDS2017数据集保护了84个特征,然而并不是所有的特征都是有用的,它包含了许多冗余信息,针对不同的网络流量行为选取代表性特征行为属性即可,各类代表性特征行为如表1所示。
表1选取代表性特征行为
Figure GDA0003437261310000061
Figure GDA0003437261310000071
攻击特征行为的攻击类型包括Dos GoldenEye、Heartbleed、DoS Hulk、DosSlowhttp、DoS slowloris、SSII-Patator、FTP-Patator、Web Attack、Infiltration、Bot、PortScan和DDos。
使用二维端口矩阵组合分类来构造出数据分类器,并使用该分类器来筛选训练数据。基于二维端口矩阵组合分类的方法是通过已知的公认端口号来进行识别分组及形成数据分类器,根据网络协议设计和端口号的划分方法,端口号范围为0-65535,其中:
公认端口(标记为w):0-1023,
注册端口(标记为r):1024-49151,
动态端口(标记为d):49152-65535。
表2二维端口矩阵组合分类
Figure GDA0003437261310000072
其中,w_w表示为:信息的发出端口为w,信息的接受端口为r,即端口w与端口w之间通信,其它参数同理。
表3端口分类器
Figure GDA0003437261310000081
Figure GDA0003437261310000091
其中,BR表示原始数据Label列下BENIGN;DR:原始数据Label列下为ATTACK类型;BP:预测数据Label列下BENIGN;DP:预测数据Label列下为ATTACK类型。
构建好基于二维端口矩阵组合分类的数据分类器后,接着创建Logit模型。通过Logit模型,把网络流量攻击问题转换为概率问题,利用选取切割值来比对概率值,从而得出网络攻击或正常行为的结论。对于事件A,因变量Y的输出值为1(A发生)或者0(A未发生),解释变量X=(X1,X2,…,Xk)是1*k维向量,Y与X之间的关系由概率P(Y=1)来解释,因此概率P(Y=1)定义如下:
Figure GDA0003437261310000092
其中,(α1,α2,…,αk)是X的线性模型的估计值,ε是随机变量误差值。
通过转换公式(1),可以得到
Figure GDA0003437261310000093
其中,
Figure GDA0003437261310000094
使用Logit转换,可以得到Logit模型,如(3)所示。
Figure GDA0003437261310000101
因此,Y可以如下表示:
Figure GDA0003437261310000102
其中,pi为切割值。
对于切割值pi的说明:对于事件A,当P(Y=1)≥pi时,认为该事件A发生;当P(Y=1)<pi时,认为该事件A不发生。pi在[0,1]之间取值,可以取步长为0.01,一般情况下pi可取值为0.5。
在创建好Logit模型后,通过公式(4),给出网络攻击或正常行为的结论。
本发明以CIC-IDS2017数据集中的DDos攻击数据为例。
首先,DDos攻击数据整体特征分布分析。
针对DDos攻击数据,选取Bwd Packet Length Std;Average Packet Size;FlowDuration;Flow IAT Std这4个特征行为作为解释变量,以Label列数据作为因变量,对这5列数据进行回归分析,得出回归系数:α1=-7.87E(-09),α2=0.000171636,α3=3.1074E(-08),α4=-2.31371E(-05),ε=0.365008007。然后,利用Logit模型,把以上数据带入公式(1),可以计算出P(Y=1)的值,接着,切割值pi在[0,1]之间由小到大取值,取步长为0.01,带入公式(4)可以计算出预测结论(Y=1时,预测结论为属于DDos攻击;Y=0时,预测结论为属于BENIGN正常)。最后,统计出DDos攻击(Y=1)和BENIGN正常(Y=0)出现的频数,用图2呈现出来。图2展现的就是DDos攻击数据整体特征分布。
其次,采用二维端口矩阵组合分类方法,把DDos攻击数据划分为9组子样本(w_w、r_w、d_w、w_r、r_r、d_r、w_d、r_d、d_d),针对每个子样本进行特征分布分析。
针对w_d子样本,选取与DDos总体样本相同的回归参数α1=-7.87E(-09),α2=0.000171636,α3=3.1074E(-08),α4=-2.31371E(-05),ε=0.365008007,利用Logit模型,把以上数据带入公式(1),可以计算出P(Y=1)的值,接着,切割值pi在[0,1]之间由小到大取值,取步长为0.01,带入公式(4)可以计算出预测结论(Y=1时,预测结论为属于DDos攻击;Y=0时,预测结论为属于BENIGN正常)。最后,统计出DDos攻击(Y=1)和BENIGN正常(Y=0)出现的频数,用图3g呈现出来。其它8个子样本w_w、r_w、d_w、w_r、r_r、d_r、r_d、d_d,同理。图3a至图3i展现的就是DDos攻击数据的9组子样本(w_w、r_w、d_w、w_r、r_r、d_r、w_d、r_d、d_d)的特征分布。
最后,通过对比图2和图3a至图3i的分布特征,可以得出:子样本d_w,r_w的特征分布与DDos总样本特征分布相似,则子样本d_w,r_w可以近似代表总样本的特征分布。这样的效果是,使用二维矩阵组合端口分类方法,简化了检测方法,减少了检测参数。
本发明一种网络入侵检测方法中利用Logit模型来判断网络攻击时,首先对总样本进行特征分布分析;其次对二维端口矩阵组合分类中的九个子样本(w_w、r_w、d_w、w_r、r_r、d_r、w_d、r_d和d_d)进行单个子样本特征分布分析,寻找是否存在与总样本特征分布相似的子样本。如果存在,则该子样本可以近似代表总样本的特征分布,分析步骤结束;如果不存在,则对两个子样本组合进行特征分布分析,以此类推。
本发明一种网络入侵检测方法中构建了基于二维端口矩阵组合分类的数据分类器,基于二维端口矩阵组合分类技术,较之于传统的网络入侵检测方法,简化了分析参数,降低了检测难度。
本发明的一种网络入侵检测方法可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明的一种网络入侵检测方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在示例性实施例中,还提供了一种计算机可读存储介质,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于该计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。其中,所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘等)、光学存储器例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器、固态硬盘)等。
在示例性实施例中,还提供计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的一种网络入侵检测方法的步骤。处理器可能是中央处理单元,还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (9)

1.一种网络入侵检测方法,其特征在于,包括以下步骤,
步骤1,选取网络入侵检测数据集;
步骤2,根据访问的网络流量选取攻击特征行为;
步骤3,根据步骤2选取的代表性特征行为属性,依据访问网络流量的二维端口矩阵组合分类构造数据分类器,通过数据分类器得出二维端口矩阵组合分类的网络流量频数分布;
步骤4,依据网络流量频数分布建立Logit模型,通过Logit模型对网络流量进行攻击识别;
步骤5,输出识别结果Y,并将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi时,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。
2.根据权利要求1所述的一种网络入侵检测方法,其特征在于,步骤1中,所述数据集为CIC-IDS2017数据集。
3.根据权利要求1所述的一种网络入侵检测方法,其特征在于,步骤2中,所述攻击特征行为的攻击类型包括PortScan、DDos、FTP-Patator、Dos Hulk、Dos GoldenEye、DosSlowhttp、Dos Slowloris、Heartbleed、SSH-Patator、Web Attack-Brute Force、WebAttack-SQL Injection、Web Attack-XSS、Infiltration、Bot。
4.根据权利要求1所述的一种网络入侵检测方法,其特征在于,步骤3中,所述二维端口矩阵组合分类包括w_w、r_w、d_w、w_r、r_r、d_r、w_d、r_d和d_d;
其中w为公认端口;r为注册端口;d为动态端口。
5.根据权利要求1所述的一种网络入侵检测方法,其特征在于,步骤4中,所述Logit模型公式为:
Figure FDA0003437261300000011
式中,解释变量X=(X1,X2,…,Xk)是1*k维向量,P(Y=1)是Y=1的概率,(α1,α2,…,αk)是X的线性模型的估计值,ε是随机变量误差值。
6.根据权利要求5所述的一种网络入侵检测方法,其特征在于,步骤5中,因变量Y的公式为:
Figure FDA0003437261300000021
其中,pi为切割值,取值范围为[0,1]。
7.一种网络入侵检测系统,其特征在于,包括网络入侵检测数据集模块、选取模块、数据分类器模块、Logit模型模块和输出比较模块;
所述网络入侵检测数据集模块用于提供网络入侵检测数据集;
所述选取模块用于选取网络流量的攻击特征行为;
所述数据分类器模块用于根据网络流量的二维端口矩阵组合分类和网络流量的攻击特征行为确定网络流量频数分布;
所述Logit模型模块用于依据网络流量频数分布对网络流量进行攻击识别;
所述输出比较模块用于将攻击识别结果Y与概率切割值pi进行比较,当Y大于概率切割值pi时,输出Y=1,判定网络流量属于网络攻击,反之,输出Y=0,判断网络流量属于正常行为。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6任意一项所述的一种网络入侵检测方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任意一项所述的一种网络入侵检测方法的步骤。
CN202110408122.4A 2021-04-15 2021-04-15 一种网络入侵检测方法、系统、设备和可读存储介质 Active CN113114691B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110408122.4A CN113114691B (zh) 2021-04-15 2021-04-15 一种网络入侵检测方法、系统、设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110408122.4A CN113114691B (zh) 2021-04-15 2021-04-15 一种网络入侵检测方法、系统、设备和可读存储介质

Publications (2)

Publication Number Publication Date
CN113114691A CN113114691A (zh) 2021-07-13
CN113114691B true CN113114691B (zh) 2022-02-22

Family

ID=76717572

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110408122.4A Active CN113114691B (zh) 2021-04-15 2021-04-15 一种网络入侵检测方法、系统、设备和可读存储介质

Country Status (1)

Country Link
CN (1) CN113114691B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542286B (zh) * 2021-07-20 2023-09-12 北京辰极智程信息技术股份有限公司 一种计算机网络安全入侵智能检测系统
CN114844696B (zh) * 2022-04-28 2023-01-17 西安交通大学 一种基于风险池最小化的网络入侵动态监测方法、系统、设备和可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108076019A (zh) * 2016-11-17 2018-05-25 北京金山云网络技术有限公司 基于流量镜像的异常流量检测方法及装置
CN110417810A (zh) * 2019-08-20 2019-11-05 西安电子科技大学 基于逻辑回归的增强模型的恶意加密流量检测方法
CN112003870A (zh) * 2020-08-28 2020-11-27 国家计算机网络与信息安全管理中心 一种基于深度学习的网络加密流量识别方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017019103A1 (en) * 2015-07-30 2017-02-02 Hewlett Packard Enterprise Development Lp Network traffic pattern based machine readable instruction identification
CN112637207A (zh) * 2020-12-23 2021-04-09 中国信息安全测评中心 一种网络安全态势预测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108076019A (zh) * 2016-11-17 2018-05-25 北京金山云网络技术有限公司 基于流量镜像的异常流量检测方法及装置
CN110417810A (zh) * 2019-08-20 2019-11-05 西安电子科技大学 基于逻辑回归的增强模型的恶意加密流量检测方法
CN112003870A (zh) * 2020-08-28 2020-11-27 国家计算机网络与信息安全管理中心 一种基于深度学习的网络加密流量识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于PCA和LOGIT模型的网络入侵检测方法;李蕊;《成都信息工程学院学报》;20140615;全文 *

Also Published As

Publication number Publication date
CN113114691A (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
US11003773B1 (en) System and method for automatically generating malware detection rule recommendations
Kumar et al. Intrusion Detection System using decision tree algorithm
CN107888571B (zh) 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统
NL2002694C2 (en) Method and system for alert classification in a computer network.
US11700269B2 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
CN113114691B (zh) 一种网络入侵检测方法、系统、设备和可读存储介质
US20150135318A1 (en) Method of detecting intrusion based on improved support vector machine
CN110572413A (zh) 一种基于Elman神经网络的低速率拒绝服务攻击检测方法
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
CN112134862A (zh) 基于机器学习的粗细粒度混合网络异常检测方法及装置
CN111953665B (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
Aung et al. An analysis of K-means algorithm based network intrusion detection system
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN112822223B (zh) 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备
Xiang et al. Design of mnitiple-level tree classifiers for intrusion detection system
WO2021170249A1 (en) Cyberattack identification in a network environment
CN116647844A (zh) 一种基于堆叠集成算法的车载网络入侵检测方法
Sulaiman et al. Big data analytic of intrusion detection system
CN115842645A (zh) 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质
He et al. [Retracted] Research on Boruta‐ET‐Based Anomalous Traffic Detection Model
Hooda et al. An improved intrusion detection system based on kdd dataset using feature ranking and data sampling
Vyas et al. Intrusion detection systems: a modern investigation
CN117633665B (zh) 一种网络数据监控方法及系统
Xue et al. A stacking-based classification approach to android malware using host-level encrypted traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant