CN113542276B - 混网网络入侵目标检测方法及系统 - Google Patents

混网网络入侵目标检测方法及系统 Download PDF

Info

Publication number
CN113542276B
CN113542276B CN202110806455.2A CN202110806455A CN113542276B CN 113542276 B CN113542276 B CN 113542276B CN 202110806455 A CN202110806455 A CN 202110806455A CN 113542276 B CN113542276 B CN 113542276B
Authority
CN
China
Prior art keywords
intrusion
detection model
data set
training
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110806455.2A
Other languages
English (en)
Other versions
CN113542276A (zh
Inventor
高小虎
曹春梅
蔡艳婧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Vocational College of Business
Original Assignee
Jiangsu Vocational College of Business
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Vocational College of Business filed Critical Jiangsu Vocational College of Business
Priority to CN202110806455.2A priority Critical patent/CN113542276B/zh
Publication of CN113542276A publication Critical patent/CN113542276A/zh
Application granted granted Critical
Publication of CN113542276B publication Critical patent/CN113542276B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种混网网络入侵目标检测方法及系统,在获得访问数据后,将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;对于一包访问数据,可以直接丢到入侵检测模型中,入侵检测模型可以直接输出访问数据中存在的所有的入侵类别,可以对访问数据进去全面的、准确的、高效的入侵目标检测。

Description

混网网络入侵目标检测方法及系统
技术领域
本发明涉及计算机网络安全技术领域,具体而言,涉及一种混网网络入侵目标检测方法及系统。
背景技术
随着网络技术的快速发展,网络安全问题逐渐受到关注。当前的网络环境日趋复杂,特别是包含不同网络结构的混合网络,其网络攻击手段具有多元化、复杂化等特征。传统网络入侵目标检测方法,存在漏报率高和对不确定入侵数据检测性能弱的缺陷,无法胜任混网网络安全检测的需要。因此,针对混网网络特征,寻求有效的入侵目标检测模型,具有重要的研究价值。
现有技术中,基于粗糙集合人工免疫的入侵目标检测方法,该种方法具有较高的自学习和容错能力,但是免疫过程需要大量完整的数据集,面对小样本的网络入侵数据,该方法容易陷入局部最优解,且运行周期较长,不能满足网络入侵检测要求。现有技术还提出了基于支持向量机的网络入侵目标检测模型,该种模型通过搜索某种归纳原则,实现入侵目标的有效检测,但是该种方法存在效率低、耗能高的问题。现有技术分析了基于关联规范的入侵目标检测模型,但是该模型对训练数据集要求很高,而检测的准确率又不高。现有技术还提出了采用网格法实现最优入侵目标的检测,该种方法在设定的网格密度范围内搜索各点,将各点当成分类器的参数,最终采用准确率最高的参数对,完成检测,但是这种方法耗时大,对于混网中的大数据集进行检测的效率大大降低。
另外,现有技术中,主要基于特征的实时匹配来检测是否存在入侵目标。具体的:主要通过将需要检测的数据与网络入侵模板进行一一匹配,若匹配成功,则确定需要检测的数据中存在该种网络入侵模板对应的入侵类别。这种方式计算量大,效率低,检测结果也并不全面、不准确。
发明内容
本发明的目的在于提供了一种混网网络入侵目标检测方法及系统,用以解决现有技术中存在的上述问题。
第一方面,本发明实施例提供了一种混网网络入侵目标检测方法,所述方法包括:
获得访问数据;
将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;所述入侵目标表示访问数据中存在的网络入侵的类别;
其中,所述入侵检测模型的训练方法为:
获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集;预设入侵数据集包括多种网络入侵数据;
基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量;若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量;
基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别;
基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量;
基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离;
基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数;
训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。
可选的,所述基于所述具体调整所述第二检测模型的损失函数,具体如下公式所示:
Figure BDA0003166549650000021
其中,L1表示所述第一检测模型的损失函数,L2表示所述第二检测模型的损失函数,μ表示调整因子,Loss表示所述第二检测模型的调整后的损失函数,d表示实验数据集与预设入侵数据集之间的距离。
可选的,所述特征向量包括多个特征取值。
可选的,所述基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离,具体为:
Figure BDA0003166549650000022
其中,si表示第一特征向量中的第i个特征,第i个特征表示实验数据集中的第i种网络入侵数据的特征;tj表示第二特征向量中的第j个特征,第j个特征表示预设入侵数据集中的第j种网络入侵数据的特征;M表示预估的实验数据集中网络入侵数据的数量,N 表示预设入侵数据集中网络入侵数据的数量,N是已知的。
可选的,所述将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标,包括:
将访问数据输入经过调整损失函数后的第二检测模型中,以第二检测模型基于调整后的损失函数提取出的访问数据的特征向量作为训练结束后的入侵辨别模型的输入,通过训练结束后的入侵辨别模型基于访问数据的特征向量输出访问数据的入侵类别向量;
若入侵类别向量中的第n个数值的取值不为0,表示访问数据中存在第n种网络入侵数据。
第二方面,本发明实施例还提供了一种混网网络入侵目标检测系统,所述系统包括:
获得模块,用于获得访问数据;
检测模块,用于将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;所述入侵目标表示访问数据中存在的网络入侵的类别;
其中,所述入侵检测模型的训练方法为:
获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集;预设入侵数据集包括多种网络入侵数据;
基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量;若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量;
基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别;
基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量;
基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离;
基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数;
训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。
可选的,所述基于所述具体调整所述第二检测模型的损失函数,具体如下公式所示:
Figure BDA0003166549650000041
其中,L1表示所述第一检测模型的损失函数,L2表示所述第二检测模型的损失函数,μ表示调整因子,Loss表示所述第二检测模型的调整后的损失函数,d表示实验数据集与预设入侵数据集之间的距离。
可选的,所述特征向量包括多个特征取值。
可选的,所述基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离,具体为:
Figure BDA0003166549650000042
其中,si表示第一特征向量中的第i个特征,第i个特征表示实验数据集中的第i种网络入侵数据的特征;tj表示第二特征向量中的第j个特征,第j个特征表示预设入侵数据集中的第j种网络入侵数据的特征;M表示预估的实验数据集中网络入侵数据的数量,N 表示预设入侵数据集中网络入侵数据的数量,N是已知的。
可选的,所述将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标,包括:
将访问数据输入经过调整损失函数后的第二检测模型中,以第二检测模型基于调整后的损失函数提取出的访问数据的特征向量作为训练结束后的入侵辨别模型的输入,通过训练结束后的入侵辨别模型基于访问数据的特征向量输出访问数据的入侵类别向量;
若入侵类别向量中的第n个数值的取值不为0,表示访问数据中存在第n种网络入侵数据。
跟现有技术相比,本发明达到了以下有益效果:
本发明提供了一种混网网络入侵目标检测方法及系统,在获得访问数据后,将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;所述入侵目标表示访问数据中存在的网络入侵数据的类别;其中,所述入侵检测模型的训练方法为:获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集;预设入侵数据集包括多种网络入侵数据;基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量;若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量;基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别;基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量;基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离;基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数;训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。第一,以包含多种入侵网络入侵数据的预设入侵数据集和含有其他数据和预设入侵数据集中的一种或者多种入侵网络入侵数据的实验数据集作为训练样本,并调整入侵检测模型的损失函数,以调整损失函数后的入侵检测模型检测访问数据中的入侵目标,提高了入侵目标检测的准确性。第二,因为实验数据中会存在其他数据,为此最后采用通过实验数据训练的第二检测模型提取访问数据的特征向量,该特征向量能更加准确地表示访问数据的特性。另外,预设入侵数据集和实验数据集分别训练第一检测模型和第二检测模型,通过基于第一检测模型的输出结果调整第二检测模型的损失函数,最后采用调整了损失函数的第二检测模型作为访问数据的检测模型,考虑了标准的训练数据和不标准的训练数据对检测结果的影响,提高了网络入侵目标检测的准确性。再则,对于一包访问数据,可以直接丢到入侵检测模型中,入侵检测模型可以直接输出访问数据中存在的所有的入侵类别,可以对访问数据进去全面的、准确的、高效的入侵目标检测。
附图说明
图1示出了本发明实施例提供的一种混网网络入侵目标检测方法流程图。
图2示出了本发明实施例提供的一种混网网络入侵目标检测方系统方框结构示意图。
图3示出了本发明实施例提供的一种入侵检测引擎的总体架构示意图。
图4示出了本发明实施例提供的一种数据包处理流程流程图。
图5示出了本发明实施例提供的一种数据包重组后4核处理工作流程图。
图6示出了本发明实施例提供的不同模型的检测时间对比。
图7示出了本发明实施例提供的一种电子设备的方框结构示意图。
图标:500-总线;501-接收器;502-处理器;503-发送器;504-存储器;505-总线接口。
具体实施方式
下面结合附图,对本发明作详细的说明。
请参阅图1,本发明实施例提供了一种混网网络入侵目标检测方法,所述方法包括:
S101:获得访问数据。其中,访问数据可以是访问服务器的访问数据包。访问数据包里面可以包含多种类型的请求帧。请求帧的结构可以如下:
数据
访问数据的结构还可以是KDDCuP99数据集中的数据的结构。
S102:将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标。
其中,所述入侵目标表示访问数据中存在的网络入侵的类别。
需要说明的是,所述入侵检测模型的训练方法为:
A、获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集。预设入侵数据集包括多种网络入侵数据。可选的,预设入侵数据集为KDDCuP99数据集。实验数据集含有其他数据和预设入侵数据集中的一种或者多种入侵网络入侵数据。其他数据为不是网络入侵数据的数据,例如正常用户正常访问的数据。
B、基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量。若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量。
其中,第一检测模型可以包括图卷积神经网络(Graph Convolutional Network,GCN)。第一检测模型提取出预设入侵数据集的特征向量可以是:通过GCN提取预设入侵数据集的特征向量。若入侵特征向量满足预设条件具体可以是:第一检测模型的损失函数收敛或者第一检测模型的损失函数的取值小于一个定值,这个定值可以是0.1、0.2、0.3、0.5、1、2 等等。
基于入侵特征向量获得第一特征向量具体为:对入侵特征向量进行对齐处理得到第一特征向量。具体的,通过全连接的适应网络对入侵特征向量进行对齐处理得到第一特征向量。
C、基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别。
D、基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量。
同样的,第二检测模型可以包括图卷积神经网络(Graph ConvolutionalNetwork,GCN)。第二检测模型提取出实验数据集的特征向量可以是:通过GCN提取实验数据集的特征向量。若试验特征向量满足预设条件具体可以是:第二检测模型的损失函数收敛或者第一检测模型的损失函数的取值小于一个定值,这个定值可以是0.1、0.2、0.3、0.5、1、2等等。
基于所述试验特征向量获得第二特征向量具体为:对试验特征向量进行对齐处理得到第一特征向量。具体的,通过全连接的适应网络对试验特征向量进行对齐处理得到第二特征向量。
E、基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离。
可选的,所述特征向量包括多个特征取值,所述基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离,具体为:
Figure BDA0003166549650000071
其中,si表示第一特征向量中的第i个特征,第i个特征表示实验数据集中的第i种网络入侵数据的特征;tj表示第二特征向量中的第j个特征,第j个特征表示预设入侵数据集中的第j种网络入侵数据的特征;M表示预估的实验数据集中网络入侵数据的数量,N表示预设入侵数据集中网络入侵数据的数量,N是已知的。预估实验数据集中网络入侵数据的数量的方式可以是:基于实验数据集的数据量,通过支持向量机模型对服务器的历史访问数据预测出实验数据集中存在的网络入侵数据的数量M。预估实验数据集中网络入侵数据的数量的方式还可以是:通过实践预测算法,基于服务器的历史访问数据预测出实验数据集中存在的网络入侵数据的数量M。其中,服务器的历史访问数据的大小等于实验数据集的数据量。这样,可以在访问量相同的情况下预测访问数据中存在的网络入侵数据的数量M。
F、基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数。
可选的,所述基于所述具体调整所述第二检测模型的损失函数,具体如下公式所示:
Figure BDA0003166549650000072
其中,L1表示所述第一检测模型的损失函数,L2表示所述第二检测模型的损失函数,μ表示调整因子,Loss表示所述第二检测模型的调整后的损失函数,d表示实验数据集与预设入侵数据集之间的距离。μ的取值可以是0.1、0.2、0.3、0.4、0.5等。
G、训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。
可选的,在步骤G之前,在步骤F之后,所述方法还包括:基于调整后的损失函数Loss,基于实验数据集训练第二检测模型。即第二检测模型在调整后的损失函数Loss的约束下,提取实验数据集的试验特征向量。若试验特征向量的特征取值收敛或者损失函数收敛,停止训练第二检测模型。
每个特征取值是特征向量中每个维度的值。特征取值与维度之间具有一一对应的关系。
可选的,所述将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标,包括:
将访问数据输入经过调整损失函数后的第二检测模型中,以第二检测模型基于调整后的损失函数提取出的访问数据的特征向量作为训练结束后的入侵辨别模型的输入,通过训练结束后的入侵辨别模型基于访问数据的特征向量输出访问数据的入侵类别向量。
入侵类别向量中的第n个数值的取值表示第访问数据中存在第n种网络入侵数据的数量。
若入侵类别向量中的第n个数值的取值不为0,表示访问数据中存在第n种网络入侵数据。n的取值为正整数。
例如,若入侵类别向量中的第n个数值的取值为1,表示访问数据中存在1个第n种网络入侵数据。若入侵类别向量中的第n个数值的取值为2,表示访问数据中存在2个第n种网络入侵数据。
若入侵类别向量中的第n个数值的取值为0,表示访问数据中不存在第n种网络入侵数据。
为了更加清楚地阐述本申请的技术方案,一下提供一种可选的实施例:
a、获得访问数据。
b、将访问数据输入经过调整损失函数后的第二检测模型中,以第二检测模型基于调整后的损失函数提取出的访问数据的特征向量作为训练结束后的入侵辨别模型的输入,通过训练结束后的入侵辨别模型基于访问数据的特征向量输出访问数据的入侵类别向量。
通过采用以上方案,第一,以包含多种入侵网络入侵数据的预设入侵数据集和含有其他数据和预设入侵数据集中的一种或者多种入侵网络入侵数据的实验数据集作为训练样本,并调整入侵检测模型的损失函数,以调整损失函数后的入侵检测模型检测访问数据中的入侵目标,提高了入侵目标检测的准确性。第二,因为实验数据中会存在其他数据,为此最后采用通过实验数据训练的第二检测模型提取访问数据的特征向量,该特征向量能更加准确地表示访问数据的特性。另外,预设入侵数据集和实验数据集分别训练第一检测模型和第二检测模型,通过基于第一检测模型的输出结果调整第二检测模型的损失函数,最后采用调整了损失函数的第二检测模型作为访问数据的检测模型,考虑了标准的训练数据和不标准的训练数据对检测结果的影响,提高了网络入侵目标检测的准确性。再则,对于一包访问数据,可以直接丢到入侵检测模型中,入侵检测模型可以直接输出访问数据中存在的所有的入侵类别,可以对访问数据进去全面的、准确的、高效的入侵目标检测。
针对上述实施例提供一种混网网络入侵目标检测方法,本申请实施例还对应提供一种用于执行上述的步骤的执行主体,该执行主体可以为混网网络入侵目标检测系统。该混网网络入侵目标检测系统包括:
第二方面,本发明实施例还提供了一种混网网络入侵目标检测系统,所述系统包括:
获得模块,用于获得访问数据;
检测模块,用于将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;所述入侵目标表示访问数据中存在的网络入侵的类别;
其中,所述入侵检测模型的训练方法为:
获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集;预设入侵数据集包括多种网络入侵数据;
基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量;若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量;
基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别;
基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量;
基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离;
基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数;
训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。
可选的,所述基于所述具体调整所述第二检测模型的损失函数,具体如下公式所示:
Figure BDA0003166549650000091
其中,L1表示所述第一检测模型的损失函数,L2表示所述第二检测模型的损失函数,μ表示调整因子,Loss表示所述第二检测模型的调整后的损失函数,d表示实验数据集与预设入侵数据集之间的距离。
可选的,所述特征向量包括多个特征取值。
可选的,所述基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离,具体为:
Figure BDA0003166549650000101
其中,si表示第一特征向量中的第i个特征,第i个特征表示实验数据集中的第i种网络入侵数据的特征;tj表示第二特征向量中的第j个特征,第j个特征表示预设入侵数据集中的第j种网络入侵数据的特征;M表示预估的实验数据集中网络入侵数据的数量,N 表示预设入侵数据集中网络入侵数据的数量,N是已知的。
可选的,所述将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标,包括:
将访问数据输入经过调整损失函数后的第二检测模型中,以第二检测模型基于调整后的损失函数提取出的访问数据的特征向量作为训练结束后的入侵辨别模型的输入,通过训练结束后的入侵辨别模型基于访问数据的特征向量输出访问数据的入侵类别向量;
若入侵类别向量中的第n个数值的取值不为0,表示访问数据中存在第n种网络入侵数据。
可选的,本发明提供的混网网络入侵目标检测系统还包括:负载均衡模块、误用检测模块、匹配算法自适应模块。这三个模块的具体结构和相互调用关系。如图2所示。
其中,入侵检测引擎可从协议分析模块中采集协议还原后的网络报文,通过误用检测引擎同入侵规范进行模式匹配。混网网络结构下,为了提高入侵检测效率,需要采用多核网络处理器的多个同构核当成混网入侵检测引擎。各核上运行一个入侵检测进程,协议分析模块以及入侵检测模块的核间通信采用队列的方式。入侵检测引擎的总体架构如图3所示。
入侵检测引擎包含负载平衡、入侵检测以及匹配算法自适应模块。负载平衡模块对检测引擎的负载量进行总体调控,确保负载量均衡化;入侵检测引擎通过误用检测方法比较协议研究后的报文和规范库中的入侵规范,进而寻求最优入侵目标并报警;匹配算法自适应模块基于入侵规范模式的特征以及混网状态调整模式匹配方法,提高检测引擎的鲁棒性。
其中,本发明采用的误用检测方法为模式匹配方法,模式匹配(Qoreern Match)通过专门定义的入侵规范描述语言来表示入侵行为,将已知入侵利用规范描述语言形成特征库,通过比对待检测网络数据包与特征库入侵描述来检测入侵。本发明针对混网网络结构特征,提出了一种自适应多模式匹配模型,基于混网网络的状态、特征动态对模式匹配算法进行动态调控,进而确保检测引擎的利用率最大化。
自适应多模式匹配模型包括规范预操作过程、流量检测过程以及动态调控过程。规范预操作过程需要设置原始的有效匹配算法;流量检测过程调用适用于当前的匹配算法,同时向动态调控过程传输网络状态信息;动态调整过程基于网络当前的状态信息以及规范信息,选择后续的匹配算法。模型的算法库中包含AC算法、ACBM算法、WM算法等常用的多模式匹配算法,这些算法具有统一的对外接口,切换方便。
(1)规范预操作过程
规范预操作过程在IPS规则初始化过程中进行,先塑造规范链表,并按照规范特征以及协议特征等对比匹配算法库中的算法,进而采集一个模式匹配算法。
(2)流量检测过程
流量检测过程通过预操作过程采集的匹配算法,对IPS探针采集的待检测数据包进行模式匹配,并将检测结果传递到动态调控过程。
(3)动态调控过程
IPS探针工作时,自适应多模式匹配方法对入侵目标检测引擎的检测结果进行分析,并评估当前的混网网络状态,进而在算法库中采集最佳匹配算法,调整决策参数和模式匹配算法。调整模式匹配算法主要在WM和ACBM算法间进行变换。基于规模文件塑造匹配的规范树,规范树中各树节点用于描述某种类型模式匹配的子任务,研究规范树中各节点的协议变量特征以及相关模式特征;分析算法库中的各匹配算法的特征,采集一种最适合该规范树节点的多模式匹配算法。
系统的逻辑处理流程为,负载均衡模块获得协议分析后的网络报文,通过自适应均衡算法分配数据包的流向,将数据包传输到某个入侵目标检测引擎的队列中。入侵目标检测引擎检测混网网络报文,同时将检测结果传输到危险等级分析模块,通过自适应多模式匹配算法获取后续的模式匹配算法,并将结果传输到入侵检测模块中。
另外,本发明的数据包会进行多核处理。混网网络结构下最优入侵目标检测模型,需要基于多核架构模型,对数据包进行多核处理,进而提高最优入侵目标的检测效率。混网结构下的多核架构中数据包的处理过程如图4所示。
本发明入侵检测软件需要实现混网网络结构下数据采集、数据预处理、入侵分析以及告警等过程。功能流水线技术将入侵目标检测软件的处理过程划分成不同的有序数据操作过程,将不同的操作过程分布到不同的执行单元中进行操作,首个执行单元运行入侵目标检测软件的第一步,完成操作后将检测结果反馈到检测软件的下个过程的执行单元核中,因为多核的各核运行总体软件的一个子集,则将提高入侵目标检测命令的执行率。混网网络结构下的数据包多核处理过程如图2所示。
在本发明实施例中,数据包重组后需要进行4核处理工作,具体如图5所示。
分析图5可得,在数据包重组后4核处理过程中,在共享内存中,采用环形缓冲区在不同线程间传输数据包。不同线程共享同一的地址空间,则将环形缓冲区设置成一个包指针数组,可避免在多个线程间拷贝或存储数据包,大大提高混网中入侵检测数据包的传递效率。
为了验证申请模块的有效性,需要进行相关的实验分析。实验采用KDD99数据集进行测试,分析最优入侵目标检测软件的性能和效率,获取的相关结果用表1描述。
表1 本发明入侵目标检测软件的检测结果
Figure BDA0003166549650000121
表2 攻击结果统计
Figure BDA0003166549650000122
分析表1和表2能够得出,计实验过程中本发明软件的成功检测率、漏报率、误报率以及报警可信度等指标,评估本发明软件的性能优劣,详细的结果用表3描述。
表3 性能指标
Figure BDA0003166549650000123
分析表3可以看出,本发明软件的成功检测率高于92%,漏报率和误报率也都较低,本发明软件的检测效率为86.63%,具有较高的优势,是一种高质量的入侵目标检测软件。
为了检测软件的运行速度,采用软件对数据集的检测时间(秒,s)作为衡量指标,对比分析本发明软件和基于支持向量机的入侵检测模型的检测时间用图6描述。分析图7可知,相对于基于支持向量机的入侵检测模型,本发明检测模型的检测速度大幅度提高,满足混网网络结构下最优入侵目标检测的实时性要求。
本发明针对混网网络结构特征,设计并实现了最优入侵目标检测软件,该软件包括负载均衡模块、误用检测模块、匹配算法自适应模块,采用多核网络处理器的多个同构核当成混网入侵检测引擎。通过自适应多模式匹配模型,基于混网网络的状态、特征动态对模式匹配算法进行动态调控,确保入侵目标检测引擎的利用率最大化。该匹配模型包括规范预操作过程、流量检测过程以及动态调控过程。给出了入侵目标检测模型在混网结构下的多核架构中优化包处理过程以及匹配算法的优化代码。实验结果说明,本发明可实现混网下入侵目标的有效检测,具有较高的检测性能。
关于上述实施例中的系统,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本发明实施例还提供了一种电子设备,如图2所示,包括存储器504、处理器502及存储在存储器504上并可在处理器502上运行的计算机程序,所述处理器502执行所述程序时实现前文所述混网网络入侵目标检测的任一方法的步骤。
其中,在图7中,总线架构(用总线500来代表),总线500可以包括任意数量的互联的总线和桥,总线500将包括由处理器502代表的一个或多个处理器和存储器504代表的存储器的各种电路链接在一起。总线500还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本发明不再对其进行进一步描述。总线接口505在总线500和接收器501和发送器503之间提供接口。接收器501和发送器503可以是同一个元件,即收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器502负责管理总线500和通常的处理,而存储器504可以被用于存储处理器502在执行操作时所使用的数据。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前文所述混网网络入侵目标检测方法的任一方法的步骤。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。

Claims (7)

1.一种混网网络入侵目标检测方法,其特征在于,所述方法包括:
获得访问数据;
将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;所述入侵目标表示访问数据中存在的网络入侵的类别;
所述入侵检测模型的训练方法为:
获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集;预设入侵数据集包括多种网络入侵数据;
基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量;若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量;
基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别;
基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量;
基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离;
基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数;
训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。
2.根据权利要求1所述的方法,其特征在于,所述基于所述具体调整所述第二检测模型的损失函数,具体如下公式所示:
Figure 325543DEST_PATH_IMAGE002
其中,
Figure 773842DEST_PATH_IMAGE004
表示所述第一检测模型的损失函数,
Figure 553579DEST_PATH_IMAGE006
表示所述第二检测模型的损失函数,
Figure 745526DEST_PATH_IMAGE008
表示调整因子,
Figure 144584DEST_PATH_IMAGE010
表示所述第二检测模型的调整后的损失函数,d表示实验数据集与预设 入侵数据集之间的距离。
3.根据权利要求1所述的方法,其特征在于,所述特征向量包括多个特征取值,所述基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离,具体为:
Figure 701467DEST_PATH_IMAGE012
其中,
Figure 765238DEST_PATH_IMAGE014
表示第一特征向量中的第i个特征,第i个特征表示实验数据集中的第i种网络 入侵数据的特征;
Figure 698559DEST_PATH_IMAGE016
表示第二特征向量中的第j个特征,第j个特征表示预设入侵数据集中 的第j种网络入侵数据的特征;M表示预估的实验数据集中网络入侵数据的数量,N表示预设 入侵数据集中网络入侵数据的数量,N是已知的。
4.根据权利要求1所述的方法,其特征在于,所述将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标,包括:
将访问数据输入经过调整损失函数后的第二检测模型中,以第二检测模型基于调整后的损失函数提取出的访问数据的特征向量作为训练结束后的入侵辨别模型的输入,通过训练结束后的入侵辨别模型基于访问数据的特征向量输出访问数据的入侵类别向量;
若入侵类别向量中的第n个数值的取值不为0,表示访问数据中存在第n种网络入侵数据。
5.一种混网网络入侵目标检测系统,其特征在于,所述系统包括:
获得模块,用于获得访问数据;
检测模块,用于将访问数据输入训练成功的入侵检测模型中,根据入侵检测模型的输出确定入侵目标;所述入侵目标表示访问数据中存在的网络入侵的类别;
所述入侵检测模型的训练方法为:
获得入侵检测训练数据集,入侵检测训练数据集包括预设入侵数据集和实验数据集;预设入侵数据集包括多种网络入侵数据;
基于预设入侵数据集训练第一检测模型,第一检测模型提取出预设入侵数据集的特征向量,称为入侵特征向量;若入侵特征向量满足预设条件,停止训练第一检测模型,基于入侵特征向量获得第一特征向量;
基于入侵特征向量训练入侵辨别模型,当入侵辨别模型收敛时,入侵辨别模型输出多种入侵类别;
基于实验数据集训练第二检测模型,第二检测模型提取出实验数据集的特征向量,称为试验特征向量;若试验特征向量满足预设条件,停止训练所述第二检测模型,基于所述试验特征向量获得第二特征向量;
基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离;
基于所述距离和所述第一检测模型的损失函数,调整所述第二检测模型的损失函数;
训练结束的入侵检测模型中,以经过调整损失函数后的第二检测模型的输出作为训练结束的入侵辨别模型的输入。
6.根据权利要求5所述的系统,其特征在于,所述基于所述具体调整所述第二检测模型的损失函数,具体如下公式所示:
Figure DEST_PATH_IMAGE017
其中,
Figure DEST_PATH_IMAGE018
表示所述第一检测模型的损失函数,
Figure DEST_PATH_IMAGE019
表示所述第二检测模型的损失函数,
Figure 695334DEST_PATH_IMAGE008
表示调整因子,
Figure 423119DEST_PATH_IMAGE010
表示所述第二检测模型的调整后的损失函数,d表示实验数据集与预设 入侵数据集之间的距离。
7.根据权利要求5所述的系统,其特征在于,所述特征向量包括多个特征取值,所述基于第一特征向量和第二特征向量,获得实验数据集与预设入侵数据集之间的距离,具体为:
Figure 974186DEST_PATH_IMAGE012
其中,
Figure DEST_PATH_IMAGE020
表示第一特征向量中的第i个特征,第i个特征表示实验数据集中的第i种网络 入侵数据的特征;
Figure 242356DEST_PATH_IMAGE016
表示第二特征向量中的第j个特征,第j个特征表示预设入侵数据集中 的第j种网络入侵数据的特征;M表示预估的实验数据集中网络入侵数据的数量,N表示预设 入侵数据集中网络入侵数据的数量,N是已知的。
CN202110806455.2A 2021-07-16 2021-07-16 混网网络入侵目标检测方法及系统 Active CN113542276B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110806455.2A CN113542276B (zh) 2021-07-16 2021-07-16 混网网络入侵目标检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110806455.2A CN113542276B (zh) 2021-07-16 2021-07-16 混网网络入侵目标检测方法及系统

Publications (2)

Publication Number Publication Date
CN113542276A CN113542276A (zh) 2021-10-22
CN113542276B true CN113542276B (zh) 2023-01-24

Family

ID=78099743

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110806455.2A Active CN113542276B (zh) 2021-07-16 2021-07-16 混网网络入侵目标检测方法及系统

Country Status (1)

Country Link
CN (1) CN113542276B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112437053A (zh) * 2020-11-10 2021-03-02 国网北京市电力公司 入侵检测方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2833594A1 (en) * 2013-07-31 2015-02-04 Siemens Aktiengesellschaft Feature based three stage neural networks intrusion detection method and system
CN106603531A (zh) * 2016-12-15 2017-04-26 中国科学院沈阳自动化研究所 一种基于工业控制网络的入侵检测模型的自动建立方法及装置
CN110912867B (zh) * 2019-09-29 2022-05-17 惠州蓄能发电有限公司 工业控制系统的入侵检测方法、装置、设备和存储介质
CN111967343B (zh) * 2020-07-27 2023-07-28 广东工业大学 基于简单神经网络和极端梯度提升模型融合的检测方法
CN112528277A (zh) * 2020-12-07 2021-03-19 昆明理工大学 一种基于循环神经网络的混合入侵检测方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112437053A (zh) * 2020-11-10 2021-03-02 国网北京市电力公司 入侵检测方法及装置

Also Published As

Publication number Publication date
CN113542276A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
WO2021004324A1 (zh) 资源数据的处理方法、装置、计算机设备和存储介质
CN108629413A (zh) 神经网络模型训练、交易行为风险识别方法及装置
CN109842563A (zh) 内容分发网络流量调度方法、装置和计算机可读存储介质
WO2021004318A1 (zh) 资源数据的处理方法、装置、计算机设备和存储介质
CN113821332B (zh) 自动机器学习系统效能调优方法、装置、设备及介质
US20200394448A1 (en) Methods for more effectively moderating one or more images and devices thereof
CN116561542B (zh) 模型的优化训练系统、方法以及相关装置
CN116233026B (zh) 一种用于数据中心的智能管理方法及系统
CN117041019A (zh) 内容分发网络cdn的日志分析方法、装置及存储介质
CN115409153A (zh) 一种基于注意力lstm的畜牧指标预测方法及预测系统
CN114970357A (zh) 节能效果评价方法、系统、装置及存储介质
CN116502162A (zh) 边缘算力网络中的异常算力联邦检测方法、系统及介质
CN109117352B (zh) 服务器性能预测方法和装置
CN110222098A (zh) 基于流数据聚类算法的电力大数据流异常检测
CN113542276B (zh) 混网网络入侵目标检测方法及系统
CN110380902A (zh) 拓扑关系生成方法、装置、电子设备及存储介质
CN115278757A (zh) 一种检测异常数据的方法、装置及电子设备
CN114443738A (zh) 异常数据挖掘方法、装置、设备及介质
CN110544182A (zh) 一种基于机器学习技术的配电通信网融合控制方法及系统
CN115147225B (zh) 一种数据转移信息识别方法、装置、设备及存储介质
CN117834455B (zh) 一种电力物联网数据传输仿真方法和系统
Chen et al. Application of deep learning model in computer data mining intrusion detection
CN115482419B (zh) 一种海洋渔业产品的数据采集分析方法及系统
Zhou et al. Research on a New Method of Signal Data Recognition and Acquisition
CN115473343B (zh) 一种智能网关多主站并行接入测试方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant