CN114124580A - 一种基于Slater社会选择理论的网络入侵检测方法 - Google Patents

一种基于Slater社会选择理论的网络入侵检测方法 Download PDF

Info

Publication number
CN114124580A
CN114124580A CN202210090670.1A CN202210090670A CN114124580A CN 114124580 A CN114124580 A CN 114124580A CN 202210090670 A CN202210090670 A CN 202210090670A CN 114124580 A CN114124580 A CN 114124580A
Authority
CN
China
Prior art keywords
nodes
flow data
data
user
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210090670.1A
Other languages
English (en)
Inventor
俞红威
张继康
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongbo Information Technology Research Institute Co ltd
Original Assignee
Zhongbo Information Technology Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongbo Information Technology Research Institute Co ltd filed Critical Zhongbo Information Technology Research Institute Co ltd
Priority to CN202210090670.1A priority Critical patent/CN114124580A/zh
Publication of CN114124580A publication Critical patent/CN114124580A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于Slater社会选择理论的网络入侵检测方法,属于网络安全技术领域,包括首先对不完全用户‑流量数据进行填充;其次通过用户对流量数据的比较构建以流量为节点的有向图;再次根据有向图,通过Slater方法获得节点排序,解决了不同用户的日常行为不同,导致产生的流量数据无法直接用于网络入侵检测的技术问题,本发明抗操控性强,能够更好的判断网络中是否存在入侵行为。

Description

一种基于Slater社会选择理论的网络入侵检测方法
技术领域
本发明属于网络安全技术领域,涉及一种基于Slater社会选择理论的网络入侵检测方法。
背景技术
入侵检测指的是从网络或者电脑系统中的某些关键信息点入手,搜索相关的信息,对该信息进行深入的研究分析。通过对比检测发现该计算机系统或者网络中是否存在违反安全策略的行为,是一项提前预支入侵攻击痕迹的安全技术,简单的说,入侵检测就是通过相关数据的搜索对比的异常情况,以此来发现网络入侵攻击行为。
入侵检测技术主要下四种:基于统计的异常检测技术、基于预测模式生成的异常检测技术、基于神经网络的入侵检测技术和基于数据挖掘的入侵检测技术。
基于统计的异常检测技术,主要依靠异常检测器观察主题的日常活动,然后产生刻画这些活动的行为状态。每一个行为状态保存记录当前主体的行为,并按照一定时间将当前的实时状态与存储的状态进行合并对比。通过比较当前的状态与已经存储的状态的区别来判断系统的异常行为,从而检测出网络的入侵行为。
基于预测模式生成的异常检测技术首先将事件的序列假定为遵循可辩别的模式,而不是随机出现的。该方法可以考虑到时间的序列及相互联系,系统通过总结分析后产生一定的规律集,存储于主机之中,随着系统的变化,并能动态地修改系统中的规则。
基于神经网络的入侵检测系统是指在人工神经网络在,单个神经元的结构和功能是十分简单和有限的,但是就是由这些众多结构简单、功能有限的单个神经元的“微观”活动,构成了结构复杂的“宏观效应”,从而完成各种复杂的信息识别和任务处理工作。神经网络相对于传统的计算模型相比最大的优势在于具有自组织、自学习推理的自适应能力。
基于数据挖掘的入侵检测技术将数据挖掘技术和入侵检测技术进行结合,利用数据挖掘技术从大量审计数据或数据流中提取出所需要的信息,并用这些信息去检测网络入侵。
传统的方法根据用户对网络流量判断是否存在网络入侵,大部分方法都是通过用户网络流量数据直接计算,但是由于用户个人行为习惯不同,导致网络流量数据不具备可比较性。通过网络流量数据计算出的网络是否存在入侵结果不能准确反映出在网络中用户行为是否存在异常。
发明内容
本发明的目的是提供一种基于Slater社会选择理论的网络入侵检测方法,解决了不同用户的日常行为不同,导致产生的流量数据无法直接用于网络入侵检测的技术问题。
为实现上述目的,本发明采用如下技术方案:
一种基于Slater社会选择理论的网络入侵检测方法,包括如下步骤:
步骤1:流量监控服务器获取用户数据,建立用户集合,获取每一个用户对应的流量数据,建立不完全用户-流量数据矩阵,对不完全用户-流量数据矩阵进行填充,流量监控服务器将填充后的用户-流量数据矩阵发送给有向图构造服务器;
步骤2:有向图构造服务器根据填充后的用户-流量数据矩阵构造以流量数据为节点的有向图,并将有向图发送给异常流量分析服务器;
步骤3:异常流量分析服务器根据有向图,通过Slater方法获得节点排序,遍历有向图,在有向图中寻找相似集、前集和后集,根据相似集、前集和后集之间以及内部节点有向边的指向关系,判断有向图中所有节点的指向关系,得出有向图中所有节点的排序,节点的排序即是流量数据的排序,筛选出排名最高的流量数据,即存在异常的流量数据,对存在异常的流量数据进行针对性的检查。
优选的,在执行步骤1时,流量监控服务器利用皮尔逊相关系数对不完全用户-流量数据矩阵进行填充,具体包括如下步骤:
步骤S1:设用户集合为
Figure 143283DEST_PATH_IMAGE001
m表示用户数;流量数据集合为
Figure 508274DEST_PATH_IMAGE002
n表示第n天;用户-流量数据矩阵为
Figure 537934DEST_PATH_IMAGE003
,其中
Figure 267862DEST_PATH_IMAGE004
表示用户
Figure 579544DEST_PATH_IMAGE005
对当天行为所产生的数据流量
Figure 295696DEST_PATH_IMAGE006
;如果用户数据流量矩阵
Figure 176933DEST_PATH_IMAGE007
Figure 272236DEST_PATH_IMAGE008
, 表示用户当天没有产生数据,采用皮尔逊相关系数对用户流量数据矩阵
Figure 363557DEST_PATH_IMAGE009
进行填充:
Figure 493187DEST_PATH_IMAGE010
其中
Figure 763019DEST_PATH_IMAGE011
表示用户
Figure 897066DEST_PATH_IMAGE012
Figure 229346DEST_PATH_IMAGE013
之间的相似度;
Figure 552880DEST_PATH_IMAGE014
表示用户
Figure 533343DEST_PATH_IMAGE012
和用户
Figure 451008DEST_PATH_IMAGE013
共同产生过数据流量的天数集合,
Figure 267654DEST_PATH_IMAGE015
表示
Figure 581830DEST_PATH_IMAGE014
中的元素个数;
Figure 369131DEST_PATH_IMAGE016
表示用户
Figure 595713DEST_PATH_IMAGE012
对共同 产生过数据流量的天数
Figure 89536DEST_PATH_IMAGE017
的数据流量,
Figure 879506DEST_PATH_IMAGE018
表示用户
Figure 571912DEST_PATH_IMAGE013
对共同产生过数据流量的 天数
Figure 421925DEST_PATH_IMAGE019
的数据流量;
步骤S2:计算用户
Figure 9901DEST_PATH_IMAGE012
没有对流量数据
Figure 419542DEST_PATH_IMAGE020
填充流量数据
Figure 963524DEST_PATH_IMAGE021
并将
Figure 975650DEST_PATH_IMAGE022
填充到该用 户的流量数据矩阵中,如下所示:
Figure 175556DEST_PATH_IMAGE023
其中
Figure 247941DEST_PATH_IMAGE024
表示矩阵
Figure 912010DEST_PATH_IMAGE025
中用户
Figure 916875DEST_PATH_IMAGE026
对用户
Figure 607007DEST_PATH_IMAGE027
中未产生流量数据当天的流量数 据。
优选的,在执行步骤2时,根据填充后的用户-流量数据矩阵
Figure 604788DEST_PATH_IMAGE028
,构造以流量数据为 节点的有向图,具体包括如下步骤:
步骤A1:基于填充后的用户-流量数据矩阵
Figure 939341DEST_PATH_IMAGE028
统计用户
Figure 239742DEST_PATH_IMAGE029
对流量数据对
Figure 491205DEST_PATH_IMAGE030
的偏好关系构建每一个用户的偏好关 系矩阵;
偏好关系矩阵用
Figure 777830DEST_PATH_IMAGE031
表示,
Figure 229540DEST_PATH_IMAGE032
具体如 下所示:
Figure 500509DEST_PATH_IMAGE033
其中1表示用户
Figure 224620DEST_PATH_IMAGE034
认为流量数据
Figure 314936DEST_PATH_IMAGE035
比流量数据
Figure 811033DEST_PATH_IMAGE036
更容易出现异常情况;0表 示用户
Figure 328602DEST_PATH_IMAGE034
认为流量数据
Figure 277360DEST_PATH_IMAGE037
和流量数据
Figure 905787DEST_PATH_IMAGE038
出现异常情况的概率相同;-1表示用户
Figure 456723DEST_PATH_IMAGE027
认为流量数据
Figure 385672DEST_PATH_IMAGE039
比流量数据
Figure 569528DEST_PATH_IMAGE040
更容易出现异常情况;
步骤A2:根据步骤A1中的方法,计算每一个用户的根据偏好关系矩阵,分别统计用 户偏好矩阵中
Figure 253844DEST_PATH_IMAGE041
的用户总数和
Figure 472336DEST_PATH_IMAGE042
的用户总数,得到用户比较表,流量 数据-流量数据比较矩阵
Figure 518658DEST_PATH_IMAGE043
Figure 818839DEST_PATH_IMAGE044
,则表示在流量数据对
Figure 913703DEST_PATH_IMAGE045
中,认 为流量数据
Figure 250617DEST_PATH_IMAGE046
比流量数据
Figure 280890DEST_PATH_IMAGE047
更容易出现异常情况的用户人数多于认为流量
Figure 360710DEST_PATH_IMAGE048
更容易 出现异常情况的流量
Figure 386829DEST_PATH_IMAGE037
的用户人数,即
Figure 753481DEST_PATH_IMAGE049
,符号
Figure 220235DEST_PATH_IMAGE050
表示更容易出现异常情况;在 流量数据-流量数据比较矩阵
Figure 852598DEST_PATH_IMAGE051
中记为
Figure 430210DEST_PATH_IMAGE052
Figure 274538DEST_PATH_IMAGE053
表示在流量数据对
Figure 887092DEST_PATH_IMAGE054
中支持流量
Figure 207084DEST_PATH_IMAGE055
为更有可能出现异常流量数据的用户人数;
Figure 512687DEST_PATH_IMAGE056
Figure 539418DEST_PATH_IMAGE057
表示在流量数据对
Figure 334592DEST_PATH_IMAGE058
中认为流量数据
Figure 141880DEST_PATH_IMAGE048
为更有可能出现异常流量数据的用 户人数;
Figure 795715DEST_PATH_IMAGE059
,则表示在流量数据对
Figure 804516DEST_PATH_IMAGE060
中,认为 流量数据
Figure 846290DEST_PATH_IMAGE039
比流量数据
Figure 827627DEST_PATH_IMAGE037
更容易出现异常情况的用户人数多于认为流量数据
Figure 534420DEST_PATH_IMAGE061
比流 量数据
Figure 411109DEST_PATH_IMAGE062
更容易出现异常情况的用户人数,即
Figure 548086DEST_PATH_IMAGE063
;在流量数据-流量数据比较矩阵
Figure 939753DEST_PATH_IMAGE065
中记为
Figure 200970DEST_PATH_IMAGE066
Figure 184363DEST_PATH_IMAGE067
表示在流量数据对
Figure 240044DEST_PATH_IMAGE068
中认为流量数据
Figure 246570DEST_PATH_IMAGE069
为更 容易出现异常情况的用户人数;
Figure 232850DEST_PATH_IMAGE070
Figure 880869DEST_PATH_IMAGE071
表示在流量数据对
Figure 613509DEST_PATH_IMAGE072
中 认为流量数据
Figure 917451DEST_PATH_IMAGE073
为更容易出现异常情况的用户人数;
Figure 507089DEST_PATH_IMAGE074
,表示在流量数据对
Figure 212876DEST_PATH_IMAGE075
中,认为流量 数据
Figure 859627DEST_PATH_IMAGE076
比流量数据
Figure 653796DEST_PATH_IMAGE077
更容易出现异常情况的用户人数等于认为流量数据
Figure 44194DEST_PATH_IMAGE078
比流量数 据
Figure 604489DEST_PATH_IMAGE079
更容易出现异常情况的用户人数,即
Figure 690650DEST_PATH_IMAGE080
;表示流量数据
Figure 703605DEST_PATH_IMAGE081
Figure 850027DEST_PATH_IMAGE079
出现异常情况 的概率相同;
步骤A3:根据流量数据-流量数据比较矩阵
Figure 514095DEST_PATH_IMAGE082
,任取两个流量数据对
Figure 708840DEST_PATH_IMAGE083
Figure 396043DEST_PATH_IMAGE084
并且
Figure 941293DEST_PATH_IMAGE085
,然后根据
Figure 479110DEST_PATH_IMAGE086
Figure 841827DEST_PATH_IMAGE087
值的大小 进行排序,并建立流量数据优先对
Figure 81572DEST_PATH_IMAGE088
步骤A4:根据流量数据优先对
Figure 368196DEST_PATH_IMAGE089
,将
Figure 741278DEST_PATH_IMAGE090
中的优先关系视为有向图中边的指向 关系,
Figure 79157DEST_PATH_IMAGE091
表示在有向图中有从
Figure 537689DEST_PATH_IMAGE092
指向
Figure 83464DEST_PATH_IMAGE093
的有向边,遍历流量数据优先对
Figure 327363DEST_PATH_IMAGE094
, 得到
Figure 563042DEST_PATH_IMAGE094
中所有的节点和有向边,将
Figure 528111DEST_PATH_IMAGE090
中的每条有向边以及节点依次添加到图中,最终 构造以流量数据为节点的有向图,在有向图
Figure 405806DEST_PATH_IMAGE095
中,其中
Figure 769791DEST_PATH_IMAGE096
表示以流量数据为节 点的集合,即
Figure 444880DEST_PATH_IMAGE097
Figure 894316DEST_PATH_IMAGE099
表示以
Figure 590350DEST_PATH_IMAGE100
为有向边的集合,即
Figure 730213DEST_PATH_IMAGE101
优选的,在执行步骤3时,异常流量分析服务器根据有向图,首先在有向图中寻找相似集、前集和后集;其次通过相似集、前集和后集之间的关系以及三个集合内部节点的关系,使用Slater方法判断有向图中所有节点的指向关系,得出图中所有节点的排序,即是流量数据的最终排序,具体步骤如下:
步骤B1:首先寻找相似集,其次寻找前集,最后寻找后集,首先寻找相似集
Figure 589585DEST_PATH_IMAGE102
,遍历有向图
Figure 512935DEST_PATH_IMAGE103
,得到图中所有的节点,如果存在节点
Figure 748744DEST_PATH_IMAGE104
符 合相似集的定义,则将节点
Figure 73940DEST_PATH_IMAGE105
加入到相似集
Figure 104212DEST_PATH_IMAGE106
中即
Figure 511929DEST_PATH_IMAGE107
,重复上述步骤直 至找到所有符合条件的节点,并将找到的所有节点依次添加到相似集
Figure 351096DEST_PATH_IMAGE106
中,由此找到相 似集;
其次寻找前集
Figure 278601DEST_PATH_IMAGE108
:设
Figure 729043DEST_PATH_IMAGE109
,遍历有向图
Figure 365999DEST_PATH_IMAGE103
,得到图中所有的节点,若对 于任意节点
Figure 927299DEST_PATH_IMAGE111
,都存在
Figure 974889DEST_PATH_IMAGE112
的有向边,其中
Figure 599162DEST_PATH_IMAGE113
,则将节点
Figure 919154DEST_PATH_IMAGE111
添加到前集
Figure 349392DEST_PATH_IMAGE108
中即
Figure 251489DEST_PATH_IMAGE114
;重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加 到前集
Figure 46663DEST_PATH_IMAGE108
中,由此找到前集;
最后寻找后集
Figure 401421DEST_PATH_IMAGE115
:设
Figure 584751DEST_PATH_IMAGE116
,遍历有向图
Figure 341355DEST_PATH_IMAGE103
,得到图中所有的节点,若对 于任意节点
Figure 304500DEST_PATH_IMAGE117
,都存在
Figure 415063DEST_PATH_IMAGE118
的有向边,其中
Figure 121857DEST_PATH_IMAGE119
,则将节点
Figure 732967DEST_PATH_IMAGE117
添加到后集
Figure 135523DEST_PATH_IMAGE115
中即
Figure 464873DEST_PATH_IMAGE120
;重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加到 后集
Figure 978287DEST_PATH_IMAGE115
中,由此找到后集;
步骤B2:根据寻找的相似集、前集、后集,首先判断相似集、前集、后集之间的排序;其次通过相似集、前集、后集中节点之间边的指向关系依次判断三个集合内部节点之间的排序关系,使用Slater方法得到相似集、前集、后集初步排序结果,判断有向图中所有节点的指向关系,得出图中所有节点的排序,把节点的排序转化为流量数据的排序并作为判断流量数据是否存在异常的依据,具体如下步骤:
步骤B2-1:相似集、前集、后集的定义以及寻找到的相似集、前集、后集,判断相似集、前集、后集的初步排序结果,具体如下公式所示:
Figure 630854DEST_PATH_IMAGE121
其中符号
Figure 14431DEST_PATH_IMAGE122
表示优于,
Figure 822288DEST_PATH_IMAGE123
表示集合
Figure 870885DEST_PATH_IMAGE124
的节点优于集合
Figure 456587DEST_PATH_IMAGE125
中的节 点;
Figure 200945DEST_PATH_IMAGE124
Figure 426259DEST_PATH_IMAGE126
Figure 32208DEST_PATH_IMAGE127
分别表示前集、相似集、后集;
步骤B2-2:通过相似集、前集、后集内部节点之间边的指向关系依次判断相似集、前集、后集内部节点之间的排序关系,使用Slater方法得到的相似集、前集、后集初步排序结果,判断有向图中所有节点的指向关系,得出图中所有节点的排序,节点的排序即是流量数据的排序,具体如下:
判断相似集
Figure 111898DEST_PATH_IMAGE125
中的节点排序:根据相似集,在有向图中找到相似集中所有节点 的指向关系,若存在边
Figure 512311DEST_PATH_IMAGE128
,即表示
Figure 365866DEST_PATH_IMAGE129
指向
Figure 428369DEST_PATH_IMAGE130
的有向边,则
Figure 65079DEST_PATH_IMAGE131
,依次得出相 似集
Figure 633464DEST_PATH_IMAGE126
所有节点的排序;
判断前集
Figure 429775DEST_PATH_IMAGE124
中的节点排序:根据前集,在有向图中找到前集中所有节点的指向关 系,若存在边
Figure 374597DEST_PATH_IMAGE132
即表示
Figure 773086DEST_PATH_IMAGE133
指向
Figure 780881DEST_PATH_IMAGE134
的有向边,则
Figure 530400DEST_PATH_IMAGE135
,依次得出前集
Figure 13334DEST_PATH_IMAGE124
所有 节点的排序;
判断后集
Figure 800418DEST_PATH_IMAGE136
中的节点排序:根据后集,在有向图中找到后集中所有节点的指向关 系,若存在边
Figure 710605DEST_PATH_IMAGE137
即表示
Figure 938631DEST_PATH_IMAGE138
指向
Figure 287573DEST_PATH_IMAGE139
的有向边,则
Figure 863917DEST_PATH_IMAGE140
,依次得出后集
Figure 213514DEST_PATH_IMAGE136
所有 节点的排序。
本发明的有益效果:
本发明所述的一种基于Slater社会选择理论的网络入侵检测方法,解决了不同用户的日常行为不同,导致产生的流量数据无法直接用于网络入侵检测的技术问题,本发明抗操控性强,能够更好的判断网络中是否存在入侵行为。
附图说明
图1是本发明方法的流程图。
图2是本发明构造的以流量数据为节点的有向图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1-图2所示的一种基于Slater社会选择理论的网络入侵检测方法,包括如下步骤:
步骤1:流量监控服务器获取用户数据,建立用户集合,获取每一个用户对应的流量数据,建立不完全用户-流量数据矩阵,对不完全用户-流量数据矩阵进行填充,流量监控服务器将填充后的用户-流量数据矩阵发送给有向图构造服务器;
步骤2:有向图构造服务器根据填充后的用户-流量数据矩阵构造以流量数据为节点的有向图,并将有向图发送给异常流量分析服务器;
步骤3:异常流量分析服务器根据有向图,通过Slater方法获得节点排序,遍历有向图,在有向图中寻找相似集、前集和后集,根据相似集、前集和后集之间以及内部节点有向边的指向关系,判断有向图中所有节点的指向关系,得出有向图中所有节点的排序,节点的排序即是流量数据的排序,筛选出排名最高的流量数据,即存在异常的流量数据,对存在异常的流量数据进行针对性的检查。
优选的,在执行步骤1时,流量监控服务器利用皮尔逊相关系数对不完全用户-流量数据矩阵进行填充,具体包括如下步骤:
步骤S1:设用户集合为
Figure 937625DEST_PATH_IMAGE141
m表示用户数;流量数据集合 为
Figure 762362DEST_PATH_IMAGE142
n表示第n天;用户-流量数据矩阵为
Figure 258459DEST_PATH_IMAGE143
,其中
Figure 776028DEST_PATH_IMAGE144
表示用户
Figure 990365DEST_PATH_IMAGE145
对当天行为所产生的数据流量
Figure 618792DEST_PATH_IMAGE146
;如果用户数据流量矩阵
Figure 966466DEST_PATH_IMAGE147
Figure 856535DEST_PATH_IMAGE148
,表示用户当天没有产生数据,采用皮尔逊相关系数对用户流量数据矩阵
Figure 305971DEST_PATH_IMAGE149
进行 填充:
Figure 724707DEST_PATH_IMAGE150
其中
Figure 943199DEST_PATH_IMAGE151
表示用户
Figure 51838DEST_PATH_IMAGE152
Figure 725921DEST_PATH_IMAGE153
之间的相似度;
Figure 210998DEST_PATH_IMAGE154
表示用户
Figure 283996DEST_PATH_IMAGE152
和用户
Figure 566466DEST_PATH_IMAGE153
共同产生过数据流量的天数集合,
Figure 724915DEST_PATH_IMAGE155
表示
Figure 473735DEST_PATH_IMAGE154
中的元素个数;
Figure 666819DEST_PATH_IMAGE156
表示用户
Figure 117261DEST_PATH_IMAGE152
对共同 产生过数据流量的天数
Figure 765935DEST_PATH_IMAGE157
的数据流量,
Figure 327236DEST_PATH_IMAGE158
表示用户
Figure 374826DEST_PATH_IMAGE153
对共同产生过数据流量的 天数
Figure 999099DEST_PATH_IMAGE159
的数据流量;
步骤S2:计算用户
Figure 132140DEST_PATH_IMAGE152
没有对流量数据
Figure 500061DEST_PATH_IMAGE160
填充流量数据
Figure 402158DEST_PATH_IMAGE161
并将
Figure 194402DEST_PATH_IMAGE162
填充到该用 户的流量数据矩阵中,如下所示:
Figure 563809DEST_PATH_IMAGE163
其中
Figure 857124DEST_PATH_IMAGE164
表示矩阵
Figure 616657DEST_PATH_IMAGE165
中用户
Figure 517486DEST_PATH_IMAGE166
对用户
Figure 815000DEST_PATH_IMAGE167
中未产生流量数据当天的流量数 据。
优选的,在执行步骤2时,根据填充后的用户-流量数据矩阵
Figure 521794DEST_PATH_IMAGE168
,构造以流量数据为 节点的有向图,具体包括如下步骤:
步骤A1:基于填充后的用户-流量数据矩阵
Figure 132904DEST_PATH_IMAGE168
统计用户
Figure 348509DEST_PATH_IMAGE169
对流量数据对
Figure 927126DEST_PATH_IMAGE170
的偏好关系构建每一个用户的偏好关系矩 阵;
偏好关系矩阵用
Figure 781819DEST_PATH_IMAGE171
表示,
Figure 504225DEST_PATH_IMAGE172
具体如下 所示:
Figure 74753DEST_PATH_IMAGE173
其中1表示用户
Figure 625820DEST_PATH_IMAGE174
认为流量数据
Figure 83871DEST_PATH_IMAGE175
比流量数据
Figure 653261DEST_PATH_IMAGE093
更容易出现异常情况;0表 示用户
Figure 132040DEST_PATH_IMAGE174
认为流量数据
Figure 435983DEST_PATH_IMAGE176
和流量数据
Figure 228883DEST_PATH_IMAGE177
出现异常情况的概率相同;-1表示用户
Figure 918359DEST_PATH_IMAGE167
认为流量数据
Figure 581421DEST_PATH_IMAGE078
比流量数据
Figure 370997DEST_PATH_IMAGE178
更容易出现异常情况。
步骤A2:根据步骤A1中的方法,计算每一个用户的根据偏好关系矩阵,分别统计用 户偏好矩阵中
Figure 777707DEST_PATH_IMAGE179
的用户总数和
Figure 527882DEST_PATH_IMAGE180
的用户总数,得到用户比较表,流量 数据-流量数据比较矩阵
Figure 345534DEST_PATH_IMAGE181
Figure 813949DEST_PATH_IMAGE182
,则表示在流量数据对
Figure 945722DEST_PATH_IMAGE183
中,认为流量数 据
Figure 488086DEST_PATH_IMAGE176
比流量数据
Figure 414323DEST_PATH_IMAGE093
更容易出现异常情况的用户人数多于认为流量
Figure 155053DEST_PATH_IMAGE184
更容易出现异常 情况的流量
Figure 965883DEST_PATH_IMAGE073
的用户人数,即
Figure 235190DEST_PATH_IMAGE185
,符号
Figure 600837DEST_PATH_IMAGE186
表示更容易出现异常情况;在流量数据-流 量数据比较矩阵
Figure 650702DEST_PATH_IMAGE187
中记为
Figure 186594DEST_PATH_IMAGE188
Figure 578917DEST_PATH_IMAGE189
表示在流量数据对
Figure 174852DEST_PATH_IMAGE190
中支持 流量
Figure 384116DEST_PATH_IMAGE176
为更有可能出现异常流量数据的用户人数;
Figure 726629DEST_PATH_IMAGE191
Figure 970529DEST_PATH_IMAGE192
表示在流 量数据对
Figure 752014DEST_PATH_IMAGE193
中认为流量数据
Figure 714154DEST_PATH_IMAGE194
为更有可能出现异常流量数据的用户人数;
Figure 591849DEST_PATH_IMAGE195
,则表示在流量数据对
Figure 693185DEST_PATH_IMAGE072
中,认为流量 数据
Figure 630922DEST_PATH_IMAGE196
比流量数据
Figure 814779DEST_PATH_IMAGE197
更容易出现异常情况的用户人数多于认为流量数据
Figure 499095DEST_PATH_IMAGE176
比流量数 据
Figure 717586DEST_PATH_IMAGE078
更容易出现异常情况的用户人数,即
Figure 766838DEST_PATH_IMAGE198
;在流量数据-流量数据比较矩阵
Figure 624942DEST_PATH_IMAGE065
中 记为
Figure 835650DEST_PATH_IMAGE199
Figure 970966DEST_PATH_IMAGE200
表示在流量数据对
Figure 1238DEST_PATH_IMAGE201
中认为流量数据
Figure 411885DEST_PATH_IMAGE069
为更容 易出现异常情况的用户人数;
Figure 185806DEST_PATH_IMAGE202
Figure 300261DEST_PATH_IMAGE203
表示在流量数据对
Figure 753632DEST_PATH_IMAGE204
中认 为流量数据
Figure 399377DEST_PATH_IMAGE205
为更容易出现异常情况的用户人数;
Figure 229187DEST_PATH_IMAGE206
,表示在流量数据对
Figure 276777DEST_PATH_IMAGE207
中,认为流量数 据
Figure 632541DEST_PATH_IMAGE073
比流量数据
Figure 514651DEST_PATH_IMAGE208
更容易出现异常情况的用户人数等于认为流量数据
Figure 879642DEST_PATH_IMAGE093
比流量数据
Figure 844056DEST_PATH_IMAGE073
更容易出现异常情况的用户人数,即
Figure 514596DEST_PATH_IMAGE209
;表示流量数据
Figure 384201DEST_PATH_IMAGE093
Figure 40966DEST_PATH_IMAGE210
出现异常情况的概 率相同。
步骤A3:根据流量数据-流量数据比较矩阵
Figure 312416DEST_PATH_IMAGE211
,任取两个流量数据对
Figure 26294DEST_PATH_IMAGE212
Figure 120546DEST_PATH_IMAGE213
并且
Figure 578072DEST_PATH_IMAGE214
,然后根据
Figure 695239DEST_PATH_IMAGE215
Figure 81484DEST_PATH_IMAGE216
值的大小 进行排序,并建立流量数据优先对
Figure 660101DEST_PATH_IMAGE088
,本实施例中具体分为以下三种情况:
Figure 924248DEST_PATH_IMAGE217
,则在流量数据优先对
Figure 842395DEST_PATH_IMAGE218
中,流量数据对
Figure 150272DEST_PATH_IMAGE219
排在流 量数据对
Figure 966919DEST_PATH_IMAGE220
前面。
Figure 218777DEST_PATH_IMAGE221
,则在流量数据优先对
Figure 68396DEST_PATH_IMAGE222
中,流量数据对
Figure 294978DEST_PATH_IMAGE223
排在 流量数据对
Figure 851117DEST_PATH_IMAGE224
前面。
Figure 454137DEST_PATH_IMAGE225
,则在流量数据优先对
Figure 81296DEST_PATH_IMAGE226
中,流量数据对
Figure 996556DEST_PATH_IMAGE227
和流量数据 对
Figure 522215DEST_PATH_IMAGE228
不分前后。
步骤A4:根据流量数据优先对
Figure 991243DEST_PATH_IMAGE094
,将
Figure 475838DEST_PATH_IMAGE089
中的优先关系视为有向图中边的指向 关系,
Figure 372119DEST_PATH_IMAGE229
表示在有向图中有从
Figure 625553DEST_PATH_IMAGE073
指向
Figure 570375DEST_PATH_IMAGE194
的有向边,遍历流量数据优先对
Figure 234443DEST_PATH_IMAGE230
, 得到
Figure 429189DEST_PATH_IMAGE231
中所有的节点和有向边,将
Figure 116391DEST_PATH_IMAGE232
中的每条有向边以及节点依次添加到图中,最终 构造以流量数据为节点的有向图,在有向图
Figure 867834DEST_PATH_IMAGE233
中,其中
Figure 386409DEST_PATH_IMAGE096
表示以流量数据为 节点的集合,即
Figure 562175DEST_PATH_IMAGE234
Figure 801920DEST_PATH_IMAGE235
表示以
Figure 88545DEST_PATH_IMAGE236
为有向边的集合,即
Figure 540255DEST_PATH_IMAGE237
优选的,在执行步骤3时,异常流量分析服务器根据有向图,首先在有向图中寻找相似集、前集和后集;其次通过相似集、前集和后集之间的关系以及三个集合内部节点的关系,使用Slater方法判断有向图中所有节点的指向关系,得出图中所有节点的排序,即是流量数据的最终排序,具体步骤如下:
对相似集、前集、后集的定义,相似集
Figure 822942DEST_PATH_IMAGE238
是指在有向图
Figure 547054DEST_PATH_IMAGE239
中,子集
Figure 702616DEST_PATH_IMAGE240
(其中集合
Figure 258100DEST_PATH_IMAGE241
指有向图中所有节点的集合),如果存在节点
Figure 778599DEST_PATH_IMAGE242
,对于任 何节点有
Figure 849061DEST_PATH_IMAGE243
,有
Figure 214839DEST_PATH_IMAGE244
其中
Figure 906720DEST_PATH_IMAGE245
表示节点
Figure 578879DEST_PATH_IMAGE246
到节点
Figure 753946DEST_PATH_IMAGE247
存在有向边当且仅当
Figure 435332DEST_PATH_IMAGE248
,则集合
Figure 716141DEST_PATH_IMAGE249
是一个相似集。
前集
Figure 578442DEST_PATH_IMAGE250
是指在有向图
Figure 436545DEST_PATH_IMAGE251
中,对于任意节点
Figure 658973DEST_PATH_IMAGE252
,都存在
Figure 918922DEST_PATH_IMAGE253
的有向 边,其中对于任意的
Figure 139075DEST_PATH_IMAGE254
,即是集合
Figure 297524DEST_PATH_IMAGE250
中的任意节点到相似集
Figure 258395DEST_PATH_IMAGE255
中的每一个节点都 存在有向边,记集合
Figure 262316DEST_PATH_IMAGE250
为前集。
后集
Figure 463490DEST_PATH_IMAGE257
是指在有向图
Figure 361433DEST_PATH_IMAGE251
中,对于任意节点
Figure 939044DEST_PATH_IMAGE258
,都存在
Figure 970323DEST_PATH_IMAGE259
的有向 边,其中对于任意的
Figure 532279DEST_PATH_IMAGE254
,即是相似集
Figure 665320DEST_PATH_IMAGE255
中的任意一个节点到集合
Figure 33241DEST_PATH_IMAGE260
中的每一个节 点都存在有向边,记集合
Figure 935338DEST_PATH_IMAGE260
为后集。
步骤B1:首先寻找相似集,其次寻找前集,最后寻找后集,首先寻找相似集
Figure 727582DEST_PATH_IMAGE261
,遍历有向图
Figure 339130DEST_PATH_IMAGE103
,得到图中所有的节点,如果存在节点
Figure 242233DEST_PATH_IMAGE262
符合相似集的定义,则将节点
Figure 998837DEST_PATH_IMAGE105
加入到相似集
Figure 230491DEST_PATH_IMAGE106
中即
Figure 72545DEST_PATH_IMAGE263
, 重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加到相似集
Figure 719952DEST_PATH_IMAGE106
中,由此找到相似集;
其次寻找前集
Figure 845909DEST_PATH_IMAGE108
:设
Figure 730688DEST_PATH_IMAGE109
,遍历有向图
Figure 249919DEST_PATH_IMAGE103
,得到图中所有的节点,若对 于任意节点
Figure 573452DEST_PATH_IMAGE111
,都存在
Figure 568564DEST_PATH_IMAGE264
的有向边,其中
Figure 811195DEST_PATH_IMAGE113
,则将节点
Figure 817722DEST_PATH_IMAGE111
添加到前集
Figure 617051DEST_PATH_IMAGE108
中即
Figure 389704DEST_PATH_IMAGE114
;重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加 到前集
Figure 134062DEST_PATH_IMAGE108
中,由此找到前集;
最后寻找后集
Figure 624955DEST_PATH_IMAGE115
:设
Figure 965325DEST_PATH_IMAGE265
,遍历有向图
Figure 920381DEST_PATH_IMAGE103
,得到图中所有的节点,若对 于任意节点
Figure 317864DEST_PATH_IMAGE117
,都存在
Figure 287264DEST_PATH_IMAGE118
的有向边,其中
Figure 677663DEST_PATH_IMAGE119
,则将节点
Figure 303204DEST_PATH_IMAGE117
添加到后集
Figure 137168DEST_PATH_IMAGE115
中即
Figure 71495DEST_PATH_IMAGE120
;重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加到 后集
Figure 268514DEST_PATH_IMAGE266
中,由此找到后集。
步骤B2:根据寻找的相似集、前集、后集,首先判断相似集、前集、后集之间的排序;其次通过相似集、前集、后集中节点之间边的指向关系依次判断三个集合内部节点之间的排序关系,使用Slater方法得到相似集、前集、后集初步排序结果,判断有向图中所有节点的指向关系,得出图中所有节点的排序,把节点的排序转化为流量数据的排序并作为判断流量数据是否存在异常的依据,具体如下步骤:
步骤B2-1:相似集、前集、后集的定义以及寻找到的相似集、前集、后集,判断相似集、前集、后集的初步排序结果,具体如下公式所示:
Figure 683315DEST_PATH_IMAGE121
其中符号
Figure 205957DEST_PATH_IMAGE122
表示优于,
Figure 706208DEST_PATH_IMAGE123
表示集合
Figure 172830DEST_PATH_IMAGE124
的节点优于集合
Figure 722365DEST_PATH_IMAGE125
中的节 点;
Figure 147399DEST_PATH_IMAGE124
Figure 134947DEST_PATH_IMAGE126
Figure 673769DEST_PATH_IMAGE127
分别表示前集、相似集、后集。
步骤B2-2:通过相似集、前集、后集内部节点之间边的指向关系依次判断相似集、前集、后集内部节点之间的排序关系,使用Slater方法得到的相似集、前集、后集初步排序结果,判断有向图中所有节点的指向关系,得出图中所有节点的排序,节点的排序即是流量数据的排序,具体如下:
判断相似集
Figure 984533DEST_PATH_IMAGE125
中的节点排序:根据相似集,在有向图中找到相似集中所有节点 的指向关系,若存在边
Figure 521082DEST_PATH_IMAGE267
,即表示
Figure 995925DEST_PATH_IMAGE129
指向
Figure 338438DEST_PATH_IMAGE268
的有向边,则
Figure 582338DEST_PATH_IMAGE269
,依次得出相似 集
Figure 83595DEST_PATH_IMAGE126
所有节点的排序;
判断前集
Figure 36946DEST_PATH_IMAGE124
中的节点排序:根据前集,在有向图中找到前集中所有节点的指向关 系,若存在边
Figure 852324DEST_PATH_IMAGE132
即表示
Figure 278626DEST_PATH_IMAGE270
指向
Figure 891398DEST_PATH_IMAGE271
的有向边,则
Figure 590101DEST_PATH_IMAGE272
,依次得出前集
Figure 25149DEST_PATH_IMAGE124
所有 节点的排序;
判断后集
Figure 165012DEST_PATH_IMAGE136
中的节点排序:根据后集,在有向图中找到后集中所有节点的指向关 系,若存在边
Figure 86701DEST_PATH_IMAGE273
即表示
Figure 10051DEST_PATH_IMAGE274
指向
Figure 432811DEST_PATH_IMAGE275
的有向边,则
Figure 520457DEST_PATH_IMAGE276
,依次得出后集
Figure 799998DEST_PATH_IMAGE136
所有节 点的排序。
本发明使用Slater方法结合得出相似集、前集、后集三个集合的初步排序结果以及得出的相似集、前集、后集内部节点的指向关系,由此得出有向图中所有节点的排序,将节点的指向关系转化为流量数据的优劣关系,从而确定流量数据的排序,排序靠前的用户流量数据存在异常的可能性更大,需要更加关注。
本发明所述的一种基于Slater社会选择理论的网络入侵检测方法,解决了不同用户的日常行为不同,导致产生的流量数据无法直接用于网络入侵检测的技术问题,本发明抗操控性强,能够更好的判断网络中是否存在入侵行为。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (4)

1.一种基于Slater社会选择理论的网络入侵检测方法,其特征在于:包括如下步骤:
步骤1:流量监控服务器获取用户数据,建立用户集合,获取每一个用户对应的流量数据,建立不完全用户-流量数据矩阵,对不完全用户-流量数据矩阵进行填充,流量监控服务器将填充后的用户-流量数据矩阵发送给有向图构造服务器;
步骤2:有向图构造服务器根据填充后的用户-流量数据矩阵构造以流量数据为节点的有向图,并将有向图发送给异常流量分析服务器;
步骤3:异常流量分析服务器根据有向图,通过Slater方法获得节点排序,遍历有向图,在有向图中寻找相似集、前集和后集,根据相似集、前集和后集之间以及内部节点有向边的指向关系,判断有向图中所有节点的指向关系,得出有向图中所有节点的排序,节点的排序即是流量数据的排序,筛选出排名最高的流量数据,即存在异常的流量数据,对存在异常的流量数据进行针对性的检查。
2.如权利要求1所述的一种基于Slater社会选择理论的网络入侵检测方法,其特征在于:在执行步骤1时,流量监控服务器利用皮尔逊相关系数对不完全用户-流量数据矩阵进行填充,具体包括如下步骤:
步骤S1:设用户集合为
Figure 65142DEST_PATH_IMAGE001
m表示用户数;流量数据集合为
Figure 393224DEST_PATH_IMAGE002
n表示第n天;用户-流量数据矩阵为
Figure 967617DEST_PATH_IMAGE003
,其中
Figure 926215DEST_PATH_IMAGE004
表 示用户
Figure 66734DEST_PATH_IMAGE005
对当天行为所产生的数据流量
Figure 323141DEST_PATH_IMAGE006
;如果用户数据流量矩阵
Figure 114772DEST_PATH_IMAGE007
Figure 309518DEST_PATH_IMAGE008
,表 示用户当天没有产生数据,采用皮尔逊相关系数对用户流量数据矩阵
Figure 934403DEST_PATH_IMAGE009
进行填充:
Figure 541971DEST_PATH_IMAGE010
其中
Figure 192702DEST_PATH_IMAGE011
表示用户
Figure 493102DEST_PATH_IMAGE012
Figure 608213DEST_PATH_IMAGE013
之间的相似度;
Figure 19472DEST_PATH_IMAGE014
表示用户
Figure 330237DEST_PATH_IMAGE012
和用户
Figure 742151DEST_PATH_IMAGE013
共 同产生过数据流量的天数集合,
Figure 403945DEST_PATH_IMAGE015
表示
Figure 621825DEST_PATH_IMAGE014
中的元素个数;
Figure 990358DEST_PATH_IMAGE016
表示用户
Figure 429298DEST_PATH_IMAGE012
对共同产生 过数据流量的天数
Figure 468403DEST_PATH_IMAGE017
的数据流量,
Figure 221465DEST_PATH_IMAGE018
表示用户
Figure 710084DEST_PATH_IMAGE013
对共同产生过数据流量的天数
Figure 198221DEST_PATH_IMAGE019
的数据流量;
步骤S2:计算用户
Figure 772291DEST_PATH_IMAGE012
没有对流量数据
Figure 329043DEST_PATH_IMAGE020
填充流量数据
Figure 347202DEST_PATH_IMAGE021
并将
Figure 331208DEST_PATH_IMAGE022
填充到该用户的 流量数据矩阵中,如下所示:
Figure 126994DEST_PATH_IMAGE023
其中
Figure 552684DEST_PATH_IMAGE024
表示矩阵
Figure 750316DEST_PATH_IMAGE025
中用户
Figure 896433DEST_PATH_IMAGE026
对用户
Figure 117199DEST_PATH_IMAGE027
中未产生流量数据当天的流量数据。
3.权利要求2所述的一种基于Slater社会选择理论的网络入侵检测方法,其特征在于: 在执行步骤2时,根据填充后的用户-流量数据矩阵
Figure 15754DEST_PATH_IMAGE028
,构造以流量数据为节点的有向图, 具体包括如下步骤:
步骤A1:基于填充后的用户-流量数据矩阵
Figure 70822DEST_PATH_IMAGE028
统计用户
Figure 396630DEST_PATH_IMAGE029
对流量数据对
Figure 232256DEST_PATH_IMAGE030
的偏好关系构建每一个用户的偏好关 系矩阵;
偏好关系矩阵用
Figure 872184DEST_PATH_IMAGE031
表示,
Figure 778829DEST_PATH_IMAGE032
具体如下所 示:
Figure 668681DEST_PATH_IMAGE033
其中1表示用户
Figure 660777DEST_PATH_IMAGE034
认为流量数据
Figure 915783DEST_PATH_IMAGE035
比流量数据
Figure 145776DEST_PATH_IMAGE036
更容易出现异常情况;0表示用 户
Figure 547807DEST_PATH_IMAGE027
认为流量数据
Figure 295708DEST_PATH_IMAGE037
和流量数据
Figure 277439DEST_PATH_IMAGE038
出现异常情况的概率相同;-1表示用户
Figure 220993DEST_PATH_IMAGE027
认 为流量数据
Figure 62435DEST_PATH_IMAGE039
比流量数据
Figure 294702DEST_PATH_IMAGE040
更容易出现异常情况;
步骤A2:根据步骤A1中的方法,计算每一个用户的根据偏好关系矩阵,分别统计用户偏 好矩阵中
Figure 814545DEST_PATH_IMAGE041
的用户总数和
Figure 553218DEST_PATH_IMAGE042
的用户总数,得到用户比较表,流量数 据-流量数据比较矩阵
Figure 828211DEST_PATH_IMAGE043
Figure 522673DEST_PATH_IMAGE044
,则表示在流量数据对
Figure 908524DEST_PATH_IMAGE045
中,认为流 量数据
Figure 626338DEST_PATH_IMAGE046
比流量数据
Figure 134548DEST_PATH_IMAGE047
更容易出现异常情况的用户人数多于认为流量
Figure 16441DEST_PATH_IMAGE048
更容易出现 异常情况的流量
Figure 940404DEST_PATH_IMAGE037
的用户人数,即
Figure 650740DEST_PATH_IMAGE049
,符号
Figure 270464DEST_PATH_IMAGE050
表示更容易出现异常情况;在流量 数据-流量数据比较矩阵
Figure 433461DEST_PATH_IMAGE051
中记为
Figure 175763DEST_PATH_IMAGE052
Figure 6185DEST_PATH_IMAGE053
表示在流量数据对
Figure 528302DEST_PATH_IMAGE054
中支持流量
Figure 384787DEST_PATH_IMAGE055
为更有可能出现异常流量数据的用户人数;
Figure 650552DEST_PATH_IMAGE056
Figure 335480DEST_PATH_IMAGE057
表示在流量数据对
Figure 969111DEST_PATH_IMAGE058
中认为流量数据
Figure 372280DEST_PATH_IMAGE048
为更有可能出现异常流量数据的用 户人数;
Figure 441736DEST_PATH_IMAGE059
,则表示在流量数据对
Figure 984100DEST_PATH_IMAGE060
中,认为流量 数据
Figure 113599DEST_PATH_IMAGE039
比流量数据
Figure 738484DEST_PATH_IMAGE037
更容易出现异常情况的用户人数多于认为流量数据
Figure 337263DEST_PATH_IMAGE061
比流量数 据
Figure 934466DEST_PATH_IMAGE062
更容易出现异常情况的用户人数,即
Figure 969287DEST_PATH_IMAGE063
;在流量数据-流量数据比较矩阵
Figure 22081DEST_PATH_IMAGE065
中 记为
Figure 433340DEST_PATH_IMAGE066
Figure 12613DEST_PATH_IMAGE067
表示在流量数据对
Figure 546232DEST_PATH_IMAGE068
中认为流量数据
Figure 145709DEST_PATH_IMAGE069
为更容易 出现异常情况的用户人数;
Figure 98009DEST_PATH_IMAGE070
Figure 404226DEST_PATH_IMAGE071
表示在流量数据对
Figure 46429DEST_PATH_IMAGE072
中认为 流量数据
Figure 147851DEST_PATH_IMAGE073
为更容易出现异常情况的用户人数;
Figure 900912DEST_PATH_IMAGE074
,表示在流量数据对
Figure 126881DEST_PATH_IMAGE075
中,认为流量数据
Figure 143248DEST_PATH_IMAGE076
比流量数据
Figure 451738DEST_PATH_IMAGE077
更容易出现异常情况的用户人数等于认为流量数据
Figure 745841DEST_PATH_IMAGE078
比流量数据
Figure 88966DEST_PATH_IMAGE079
更容易出现异常情况的用户人数,即
Figure 72972DEST_PATH_IMAGE080
;表示流量数据
Figure 996322DEST_PATH_IMAGE081
Figure 622344DEST_PATH_IMAGE079
出现异常情况的 概率相同;
步骤A3:根据流量数据-流量数据比较矩阵
Figure 873504DEST_PATH_IMAGE082
,任取两个流量数据对
Figure 762831DEST_PATH_IMAGE083
Figure 314423DEST_PATH_IMAGE084
并且
Figure 947398DEST_PATH_IMAGE085
,然后根据
Figure 327433DEST_PATH_IMAGE086
Figure 656171DEST_PATH_IMAGE087
值的大小 进行排序,并建立流量数据优先对
Figure 426549DEST_PATH_IMAGE088
步骤A4:根据流量数据优先对
Figure 800899DEST_PATH_IMAGE089
,将
Figure 100687DEST_PATH_IMAGE090
中的优先关系视为有向图中边的指向关系,
Figure 674361DEST_PATH_IMAGE091
表示在有向图中有从
Figure 932036DEST_PATH_IMAGE092
指向
Figure 172394DEST_PATH_IMAGE093
的有向边,遍历流量数据优先对
Figure 202054DEST_PATH_IMAGE094
,得到
Figure 807348DEST_PATH_IMAGE094
中所有的节点和有向边,将
Figure 286739DEST_PATH_IMAGE090
中的每条有向边以及节点依次添加到图中,最终构造 以流量数据为节点的有向图,在有向图
Figure 333717DEST_PATH_IMAGE095
中,其中
Figure 277271DEST_PATH_IMAGE096
表示以流量数据为节点的 集合,即
Figure 53466DEST_PATH_IMAGE097
Figure 288663DEST_PATH_IMAGE099
表示以
Figure 870823DEST_PATH_IMAGE100
为有向边的集合,即
Figure 597778DEST_PATH_IMAGE101
4.权利要求3所述的一种基于Slater社会选择理论的网络入侵检测方法,其特征在于:在执行步骤3时,异常流量分析服务器根据有向图,首先在有向图中寻找相似集、前集和后集;其次通过相似集、前集和后集之间的关系以及三个集合内部节点的关系,使用Slater方法判断有向图中所有节点的指向关系,得出图中所有节点的排序,即是流量数据的最终排序,具体步骤如下:
步骤B1:首先寻找相似集,其次寻找前集,最后寻找后集,首先寻找相似集
Figure 872770DEST_PATH_IMAGE102
, 遍历有向图
Figure 326754DEST_PATH_IMAGE103
,得到图中所有的节点,如果存在节点
Figure 512272DEST_PATH_IMAGE104
符合相似集的 定义,则将节点
Figure 368102DEST_PATH_IMAGE105
加入到相似集
Figure 816925DEST_PATH_IMAGE106
中即
Figure 492626DEST_PATH_IMAGE107
,重复上述步骤直至找到所有 符合条件的节点,并将找到的所有节点依次添加到相似集
Figure 682168DEST_PATH_IMAGE106
中,由此找到相似集;
其次寻找前集
Figure 395433DEST_PATH_IMAGE108
:设
Figure 746649DEST_PATH_IMAGE109
,遍历有向图
Figure 112908DEST_PATH_IMAGE110
,得到图中所有的节点,若对于任 意节点
Figure 979844DEST_PATH_IMAGE112
,都存在
Figure 607003DEST_PATH_IMAGE113
的有向边,其中
Figure 397629DEST_PATH_IMAGE114
,则将节点
Figure 47922DEST_PATH_IMAGE112
添加到前集
Figure 582196DEST_PATH_IMAGE108
中即
Figure 267125DEST_PATH_IMAGE115
;重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加 到前集
Figure 897826DEST_PATH_IMAGE108
中,由此找到前集;
最后寻找后集
Figure 303924DEST_PATH_IMAGE116
:设
Figure 373380DEST_PATH_IMAGE117
,遍历有向图
Figure 912815DEST_PATH_IMAGE110
,得到图中所有的节点,若对于任意 节点
Figure 767945DEST_PATH_IMAGE118
,都存在
Figure 392831DEST_PATH_IMAGE119
的有向边,其中
Figure 265978DEST_PATH_IMAGE120
,则将节点
Figure 928428DEST_PATH_IMAGE118
添加到后集
Figure 228828DEST_PATH_IMAGE116
中即
Figure 278692DEST_PATH_IMAGE121
; 重复上述步骤直至找到所有符合条件的节点,并将找到的所有节点依次添加到后集
Figure 489618DEST_PATH_IMAGE116
中, 由此找到后集;
步骤B2:根据寻找的相似集、前集、后集,首先判断相似集、前集、后集之间的排序;其次通过相似集、前集、后集中节点之间边的指向关系依次判断三个集合内部节点之间的排序关系,使用Slater方法得到相似集、前集、后集初步排序结果,判断有向图中所有节点的指向关系,得出图中所有节点的排序,把节点的排序转化为流量数据的排序并作为判断流量数据是否存在异常的依据,具体如下步骤:
步骤B2-1:相似集、前集、后集的定义以及寻找到的相似集、前集、后集,判断相似集、前集、后集的初步排序结果,具体如下公式所示:
Figure 3645DEST_PATH_IMAGE122
其中符号
Figure 743456DEST_PATH_IMAGE123
表示优于,
Figure 77354DEST_PATH_IMAGE124
表示集合
Figure 229986DEST_PATH_IMAGE125
的节点优于集合
Figure 613168DEST_PATH_IMAGE126
中的节点;
Figure 255371DEST_PATH_IMAGE125
Figure 532025DEST_PATH_IMAGE126
Figure 285086DEST_PATH_IMAGE127
分别表示前集、相似集、后集;
步骤B2-2:通过相似集、前集、后集内部节点之间边的指向关系依次判断相似集、前集、后集内部节点之间的排序关系,使用Slater方法得到的相似集、前集、后集初步排序结果,判断有向图中所有节点的指向关系,得出图中所有节点的排序,节点的排序即是流量数据的排序,具体如下:
判断相似集
Figure 635689DEST_PATH_IMAGE126
中的节点排序:根据相似集,在有向图中找到相似集中所有节点的指 向关系,若存在边
Figure 511110DEST_PATH_IMAGE128
,即表示
Figure 760214DEST_PATH_IMAGE129
指向
Figure 379283DEST_PATH_IMAGE130
的有向边,则
Figure 775936DEST_PATH_IMAGE131
,依次得出相似集
Figure 759941DEST_PATH_IMAGE126
所有节点的排序;
判断前集
Figure 618045DEST_PATH_IMAGE125
中的节点排序:根据前集,在有向图中找到前集中所有节点的指向关系, 若存在边
Figure 653522DEST_PATH_IMAGE132
即表示
Figure 851154DEST_PATH_IMAGE133
指向
Figure 6060DEST_PATH_IMAGE134
的有向边,则
Figure 292073DEST_PATH_IMAGE135
,依次得出前集
Figure 190627DEST_PATH_IMAGE125
所有节 点的排序;
判断后集
Figure 511275DEST_PATH_IMAGE136
中的节点排序:根据后集,在有向图中找到后集中所有节点的指向关系,若 存在边
Figure 837083DEST_PATH_IMAGE137
即表示
Figure 341882DEST_PATH_IMAGE138
指向
Figure 871276DEST_PATH_IMAGE139
的有向边,则
Figure 105817DEST_PATH_IMAGE140
,依次得出后集
Figure 605456DEST_PATH_IMAGE127
所有节点的 排序。
CN202210090670.1A 2022-01-26 2022-01-26 一种基于Slater社会选择理论的网络入侵检测方法 Pending CN114124580A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210090670.1A CN114124580A (zh) 2022-01-26 2022-01-26 一种基于Slater社会选择理论的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210090670.1A CN114124580A (zh) 2022-01-26 2022-01-26 一种基于Slater社会选择理论的网络入侵检测方法

Publications (1)

Publication Number Publication Date
CN114124580A true CN114124580A (zh) 2022-03-01

Family

ID=80361711

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210090670.1A Pending CN114124580A (zh) 2022-01-26 2022-01-26 一种基于Slater社会选择理论的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN114124580A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115174141A (zh) * 2022-05-27 2022-10-11 贵州华谊联盛科技有限公司 一种基于图与链路流量分析的入侵检测与链路动态可视化方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109409931A (zh) * 2018-09-21 2019-03-01 昆明理工大学 一种基于Slater社会选择理论的在线服务评价方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109409931A (zh) * 2018-09-21 2019-03-01 昆明理工大学 一种基于Slater社会选择理论的在线服务评价方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
吕俊杰等: "信息安全风险模糊群决策评估方法", 《计算机工程与应用》 *
朱明强等: "基于Slater社会选择理论的在线服务评价方法", 《计算机工程》 *
梁克兵等: "基于模糊综合决策的计算机入侵检测技术探析", 《重庆科技学院学报(自然科学版)》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115174141A (zh) * 2022-05-27 2022-10-11 贵州华谊联盛科技有限公司 一种基于图与链路流量分析的入侵检测与链路动态可视化方法

Similar Documents

Publication Publication Date Title
Marir et al. Distributed abnormal behavior detection approach based on deep belief network and ensemble SVM using spark
Keshk et al. A privacy-preserving-framework-based blockchain and deep learning for protecting smart power networks
Liang et al. An industrial network intrusion detection algorithm based on multifeature data clustering optimization model
Cai et al. Structural temporal graph neural networks for anomaly detection in dynamic graphs
Olszewski Fraud detection using self-organizing map visualizing the user profiles
Rossi et al. Modeling dynamic behavior in large evolving graphs
Aouedi et al. Federated semisupervised learning for attack detection in industrial Internet of Things
Olszewski A probabilistic approach to fraud detection in telecommunications
Li et al. An active learning based TCM-KNN algorithm for supervised network intrusion detection
Abadeh et al. A parallel genetic local search algorithm for intrusion detection in computer networks
Timčenko et al. Ensemble classifiers for supervised anomaly based network intrusion detection
Li et al. Network anomaly detection based on TCM-KNN algorithm
Chen et al. Generative adversarial attributed network anomaly detection
Kotenko et al. Systematic literature review of security event correlation methods
Kumar et al. The use of artificial-intelligence-based ensembles for intrusion detection: a review
Otoum et al. A comparative study of ai-based intrusion detection techniques in critical infrastructures
Du et al. GAN-based anomaly detection for multivariate time series using polluted training set
Torabi et al. Practical autoencoder based anomaly detection by using vector reconstruction error
CN116957049B (zh) 基于对抗自编码器的无监督内部威胁检测方法
Yang et al. Detection of shilling attack based on bayesian model and user embedding
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
Ravipati et al. A survey on different machine learning algorithms and weak classifiers based on KDD and NSL-KDD datasets
Zheng et al. Tegdetector: a phishing detector that knows evolving transaction behaviors
CN114124580A (zh) 一种基于Slater社会选择理论的网络入侵检测方法
Xie et al. A method based on hierarchical spatiotemporal features for Trojan traffic detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220301

RJ01 Rejection of invention patent application after publication