CN114531282A - 一种基于用户网络流量数据最强路径模型的网络入侵检测方法 - Google Patents

Abstract

本发明公开了一种基于用户网络流量数据最强路径模型的网络入侵检测方法，属于网络安全技术领域，包括首先基于用户之间的相似性对不完整网络流量数据进行填充；然后根据得到的用户‑网络流量数据矩阵计算用户对网络流量数据的偏好关系，得到网络流量数据‑网络流量数据比较矩阵；再构建有向图，定义网络流量数据‑网络流量数据的路径，寻找网络流量数据间的最大路径，并表达为最强路径矩阵；最后根据最强路径矩阵判断网络流量数据的异常，解决了用网络流量数据最强路径模型来检测用户网络流量是否存在异常的技术问题，本发明得到的网络流量预测结果体现了用户的主观意愿并且结果具有更强抗操纵能力，能够更好的判断网络中是否存在入侵行为。

Description

一种基于用户网络流量数据最强路径模型的网络入侵检测 方法

技术领域

本发明属于网络安全技术领域，涉及一种基于用户网络流量数据最强路径模型的网络入侵检测方法。

背景技术

传统的入侵检测技术包括基于统计的异常检测技术、基于预测模式生成的异常检测技术、基于神经网络的入侵检测技术和基于数据挖掘的入侵检测技术，这四种检测技术均是直接采用用户在网络中产生的网络数据，并不会考虑用户所产生的不完全数据，然而用户在网络环境中每天产生的网络是不一样的，导致传统的入侵检测技术的检测结果并不完全准确。

传统的入侵检测技术根据用户对网络流量判断是否存在网络入侵，大部分方法都是通过用户网络流量数据直接计算。但是由于用户个人行为习惯不同，导致网络流量数据不具备可比较性，通过网络流量数据计算出的网络是否存在入侵结果不能准确反映出在网络中用户行为是否存在异常。

发明内容

本发明的目的是提供一种基于用户网络流量数据最强路径模型的网络入侵检测方法，解决了用网络流量数据最强路径模型来检测用户网络流量是否存在异常的技术问题。

为实现上述目的，本发明采用如下技术方案：

一种基于用户网络流量数据最强路径模型的网络入侵检测方法，包括如下步骤：

步骤1：通过流量监控服务器获取用户的用户信息以及用户在网络中产生的网络流量数据，得到用户-网络流量数据矩阵；

步骤2：流量处理服务器读取用户-网络流量数据矩阵，并基于用户之间的相似性，对用户-网络流量数据矩阵中的不完整网络流量数据进行填充，得到填充后的用户-网络流量数据矩阵；

步骤3：流量处理服务器根据填充后的用户-网络流量数据矩阵计算用户对网络流量数据的偏好关系，得到网络流量数据-网络流量数据比较矩阵CM＝[cm_kl]_n×n，具体包括如下步骤：

步骤S3-1：设用户集合为U＝{u₁,u₂,…,u_m}，网络流量数据集合为C＝{c₁,c₂,…,c_n}，m和n取值均为正整数，用户-网络流量数据矩阵为R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R建立每一个用户u_i对网络流量c_k,c_l∈C(k,l＝1,2,…,n)的偏好矩阵，u_i∈U，用LM_i＝[lm_kl]_n×n(k,l＝1,2,...,n；k≠l)表示，其中：

步骤S3-2：根据每一个用户的偏好矩阵LM_i统计m个用户中lm_kl＝1的人数，并将其表达为网络流量-网络流量比较矩阵CM＝[cm_kl]_n×n(k,l＝1,2,...,n；k≠l)，其中cm_kl为认为第k个网络流量优于第l个网络流量的用户数量，其公式如下：

步骤4：有向图构建服务器读取网络流量数据-网络流量数据比较矩阵，根据网络流量数据-网络流量数据比较矩阵构建有向图，具体包括如下步骤：

步骤S4-1：根据网络流量-网络流量比较矩阵CM＝[cm_kl]_n×n，构建一个有向图G＝<V,E>，其中V＝C＝{c₁,c₂,…,c_n}，而

为连接两个顶点的边集，表示m个用户对这两个网络流量的偏好关系。令cm_kl为顶点c_k与c_l之间边的权重。如果cm_kl>cm_lk，则边的方向由顶点c_k指向c_l且边的权重为cm_kl；如果cm_kl<cm_lk，则边的方向由顶点c_l指向c_k且边的权重为cm_lk；如果cm_kl＝cm_lk，则边的方向由顶点c_l指向c_k且c_k指向c_l，边的权重为cm_kl或cm_lk；

步骤S4-2：用网络流量集的序列

表示一个从网络流量c_k到c_l的路径，并且满足以下性质：c(1)＝c_k，c(t)＝c_l，0≤t≤n，

其中，t为中间变量；

步骤5：入侵检测服务器读取有向图，根据有向图定义网络流量数据-网络流量数据的路径，同时寻找网络流量数据间的最大路径，得到最强路径矩阵，根据最强路径矩阵得到网络流量数据的是否存在异常，具体包括如下步骤：

步骤S5-1：基于步骤S4-1中得出的有向图G＝<V,E>与步骤S4-2中满足的性质寻找网络流量c_j到c_k的最强路径，并将其表达为网络流量-网络流量最强路径矩阵PM[pm_kl]_n×n，pm_kl的值分为以下3种情况：

情况1：如果从顶点c_k到c_l没有路径，则网络流量c_k到c_l没有最强路径，pm_kl＝0；

情况2：如果从顶点c_k到c_l只有一条路径，则该条路径为网络流量c_k到c_l的最强路径，该条路径的最小权重为pm_kl的值，即：

pm_kl＝min(cm_c(i),c(i+1))，i＝1,...t-1；

情况3：如果从顶点c_k到c_l有多条路径，则比较每条路径的最小权重，权重最大的那条路径为网络流量c_k到c_l的最强路径，且该条路径的最小权重为pm_kl的值，即：

pm_kl＝max{min(cm_c(i),(i+1))}，i＝1,...t-1；

步骤S5-2：计算第c_i个网络流量最强路径值优于其他网络流量最强路径值的个数DF[c_i]：

其中，pm_kl(k,l＝1,2,…n；k≠l)为第c_k个网络流量到第c_l个网络流量的最强路径值,并且pm_kl>pm_lk表示网络流量c_k优于网络流量c_l；当且仅当对所有的l＝1,2,…n有pm_kl>pm_lk时，则第c_k个网络流量为所有网络流量中数据最大的；

步骤S5-3：对DF[c_k]进行排序，得出网络流量的最终排名。

优选的，在执行步骤2时，采用皮尔逊相关系数法度量用户之间相似性，具体公式如下：

其中，sim(i,j)表示用户u_i和用户u_j之间的相似性，r_i,c表示用户u_i对网络流量c的数据，r_j,c表示用户u_j对网络流量c的数据；

和

表示用户u_i和用户u_j对网络流量数据的平均值；I_ij表示用户u_i和用户u_j同一时间产生的网络流量数据集合，用户集合为U＝{u₁,u₂,…,u_m}，网络流量数据集合为C＝{c₁,c₂,…,c_n}，用户-网络流量数据矩阵为R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R＝[r_ij]_m×n。

优选的，在执行步骤2时，具体包括如下步骤：

步骤S2-1：设定用户u_i和用户u_j分别为目标用户和对比用户，选择与用户u_i相似度最大的前K个用户来计算最终数据；

步骤S2-2：用r_i,c表示对用户u_i未产生的网络流量数据c的最终数据，且将计算得到的数据r_i,c填充到网络流量数据-数据矩阵中，具体公式如下；

其中，NBSi是与目标用户u_i相似度最大的前K个用户的集合；r_j,c表示用户u_j对网络流量c的数据，且i≠j，sim(i,j)表示用户u_i和用户u_j之间的相似性函数，

表示用户u_j对网络流量数据的平均值。

本发明的有益效果：

本发明所述的一种基于用户网络流量数据最强路径模型的网络入侵检测方法，解决了用网络流量数据最强路径模型来检测用户网络流量是否存在异常的技术问题，本发明使用用户网络流量数据最强模型可以解决用户行为准则不一致问题，本发明使用Plackett-Luce模型方法的提高抗操纵能力，本发明充分考虑了不同用户行为习惯不一致，得到的网络流量预测结果体现了用户的主观意愿并且结果具有更强抗操纵能力，因此能够更好的判断网络中是否存在入侵行为。

附图说明

图1是本发明的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示的一种基于用户网络流量数据最强路径模型的网络入侵检测方法，包括如下步骤：

步骤1：通过流量监控服务器获取用户的用户信息以及用户在网络中产生的网络流量数据，得到用户-网络流量数据矩阵。

步骤2：流量处理服务器读取用户-网络流量数据矩阵，并基于用户之间的相似性，对用户-网络流量数据矩阵中的不完整网络流量数据进行填充，得到填充后的用户-网络流量数据矩阵，具体包括如下步骤：

步骤S2-1：设用户集合为U＝{u₁,u₂,…,u_m}，网络流量数据集合为C＝{c₁,c₂,…,c_n}，用户-网络流量数据矩阵为R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R＝[r_ij]_m×n，采用皮尔逊相关系数法度量用户之间相似性：

其中，sim(i,j)表示用户u_i和用户u_j之间的相似性；

和

表示用户u_i和用户u_j对网络流量数据的平均值；I_ij表示用户u_i和用户u_j同一时间产生的网络流量数据集合。

步骤S2-1：根据用户之间的相似性，选择与目标用户u_i相似度最大的前K个用户来计算最终数据，用r_i,c表示对目标用户u_i未产生的网络流量数据c的最终数据，且将计算得到的数据r_i,c填充到该用户对网络流量数据的网络流量数据-数据矩阵中，即：

其中，NBSi是与目标用户u_i相似度最大的前K个用户的集合；r_j,c表示用户u_j对网络流量c的数据，且i≠j。

步骤3：流量处理服务器根据填充后的用户-网络流量数据矩阵计算用户对网络流量数据的偏好关系，得到网络流量数据-网络流量数据比较矩阵CM＝[cm_kl]_n×n，具体包括如下步骤：

步骤S3-1：根据用户-网络流量数据矩阵R建立每一个用户u_i对网络流量c_k,c_l∈C(k,l＝1,2,…,n)的偏好矩阵，u_i∈U，用LM_i＝[lm_kl]_n×n(k,l＝1,2,...,n；k≠l)表示，其中：

步骤S3-2：根据每一个用户的偏好矩阵LM_i统计m个用户中lm_kl＝1的人数，并将其表达为网络流量-网络流量比较矩阵CM＝[cm_kl]_n×n(k,l＝1,2,...,n；k≠l)，其中cm_kl为认为第k个网络流量优于第l个网络流量的用户数量，其公式如下：

步骤4：有向图构建服务器读取网络流量数据-网络流量数据比较矩阵，根据网络流量数据-网络流量数据比较矩阵构建有向图，具体包括如下步骤：

步骤S4-1：根据网络流量-网络流量比较矩阵CM＝[cm_kl]_n×n，构建一个有向图G＝<V,E>，其中V＝C＝{c₁,c₂,…,c_n}，而

为连接两个顶点的边集，表示m个用户对这两个网络流量的偏好关系。令cm_kl为顶点c_k与c_l之间边的权重。如果cm_kl>cm_lk，则边的方向由顶点c_k指向c_l且边的权重为cm_kl；如果cm_kl<cm_lk，则边的方向由顶点c_l指向c_k且边的权重为cm_lk；如果cm_kl＝cm_lk，则边的方向由顶点c_l指向c_k且c_k指向c_l，边的权重为cm_kl或cm_lk。

步骤S4-2：用网络流量集的序列

表示一个从网络流量c_k到c_l的路径，并且满足以下性质：c(1)＝c_k，c(t)＝c_l，0≤t≤n，

其中，t为中间变量。

步骤5：入侵检测服务器读取有向图，根据有向图定义网络流量数据-网络流量数据的路径，同时寻找网络流量数据间的最大路径，得到最强路径矩阵，根据最强路径矩阵得到网络流量数据的是否存在异常，具体包括如下步骤：

步骤S5-1：基于步骤S4-1中得出的有向图G＝<V,E>与步骤S4-2中满足的性质寻找网络流量c_j到c_k的最强路径，并将其表达为网络流量-网络流量最强路径矩阵PM[pm_kl]_n×n，pm_kl的值分为以下3种情况：

情况1：如果从顶点c_k到c_l没有路径，则网络流量c_k到c_l没有最强路径，pm_kl＝0。

情况2：如果从顶点c_k到c_l只有一条路径，则该条路径为网络流量c_k到c_l的最强路径，该条路径的最小权重为pm_kl的值，即：

pm_kl＝min(cm_c(i),c(i+1))，i＝1,...t-1。

情况3：如果从顶点c_k到c_l有多条路径，则比较每条路径的最小权重，权重最大的那条路径为网络流量c_k到c_l的最强路径，且该条路径的最小权重为pm_kl的值，即：

pm_kl＝max{min(cm_c(i),(i+1))}，i＝1,...t-1。

步骤S5-2：计算第c_i个网络流量最强路径值优于其他网络流量最强路径值的个数DF[c_i]：

其中，pm_kl(k,l＝1,2,…n；k≠l)为第c_k个网络流量到第c_l个网络流量的最强路径值,并且pm_kl>pm_lk表示网络流量c_k优于网络流量c_l；当且仅当对所有的l＝1,2,…n有pm_kl>pm_lk时，则第c_k个网络流量为所有网络流量中数据最大的。

步骤S5-3：对DF[c_k]进行排序，得出网络流量的最终排名，排名越靠前，越有可能已经被入侵了。

本发明所述的一种基于用户网络流量数据最强路径模型的网络入侵检测方法，解决了用网络流量数据最强路径模型来检测用户网络流量是否存在异常的技术问题，本发明使用用户网络流量数据最强模型可以解决用户行为准则不一致问题，本发明使用Plackett-Luce模型方法的提高抗操纵能力，本发明充分考虑了不同用户行为习惯不一致，得到的网络流量预测结果体现了用户的主观意愿并且结果具有更强抗操纵能力，因此能够更好的判断网络中是否存在入侵行为。

本发明所述方法使用用户网络流量数据最强模型，利用网络流量计算得到用户对网络流量的偏好关系。根据可比较的偏好最终转化为最强路径，求解网络流量是否存在异常的结果，避免直接使用网络流量得到判断结果，解决用户行为习惯不一致导致的网络流量不可比较的问题。

由于本发明基于网络流量数据两两比较，用户只有多次在同一时间产生高的网络流量数据，同时在其他时间可以产生较低的网络流量数据，才能使操纵网络流量数据的最终结果。

本发明为解决用户行为习惯不一致的问题提供了一种新的理论依据和技术手段。方法充分考虑了不同用户行为习惯不一致，得到的网络流量预测结果体现了用户的主观意愿并且结果具有更强抗操纵能力，因此能够更好的判断网络中是否存在入侵行为。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (3)

1.一种基于用户网络流量数据最强路径模型的网络入侵检测方法，其特征在于：包括如下步骤：

步骤1：通过流量监控服务器获取用户的用户信息以及用户在网络中产生的网络流量数据，得到用户-网络流量数据矩阵；

步骤2：流量处理服务器读取用户-网络流量数据矩阵，并基于用户之间的相似性，对用户-网络流量数据矩阵中的不完整网络流量数据进行填充，得到填充后的用户-网络流量数据矩阵；

步骤3：流量处理服务器根据填充后的用户-网络流量数据矩阵计算用户对网络流量数据的偏好关系，得到网络流量数据-网络流量数据比较矩阵CM＝[cm_kl]_n×n，具体包括如下步骤：

步骤S3-1：设用户集合为U＝{u₁,u₂,…,u_m}，网络流量数据集合为C＝{c₁,c₂,…,c_n}，m和n取值均为正整数，用户-网络流量数据矩阵为R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R建立每一个用户u_i对网络流量c_k,c_l∈C(k,l＝1,2,…,n)的偏好矩阵，u_i∈U，用LM_i＝[lm_kl]_n×n(k,l＝1,2,...,n；k≠l)表示，其中：

步骤S3-2：根据每一个用户的偏好矩阵LM_i统计m个用户中lm_kl＝1的人数，并将其表达为网络流量-网络流量比较矩阵CM＝[cm_kl]_n×n(k,l＝1,2,...,n；k≠l)，其中cm_kl为认为第k个网络流量优于第l个网络流量的用户数量，其公式如下：

步骤4：有向图构建服务器读取网络流量数据-网络流量数据比较矩阵，根据网络流量数据-网络流量数据比较矩阵构建有向图，具体包括如下步骤：

步骤S4-1：根据网络流量-网络流量比较矩阵CM＝[cm_kl]_n×n，构建一个有向图G＝<V,E>，其中V＝C＝{c₁,c₂,…,c_n}，而

为连接两个顶点的边集，表示m个用户对这两个网络流量的偏好关系。令cm_kl为顶点c_k与c_l之间边的权重。如果cm_kl>cm_lk，则边的方向由顶点c_k指向c_l且边的权重为cm_kl；如果cm_kl<cm_lk，则边的方向由顶点c_l指向c_k且边的权重为cm_lk；如果cm_kl＝cm_lk，则边的方向由顶点c_l指向c_k且c_k指向c_l，边的权重为cm_kl或cm_lk；

步骤S4-2：用网络流量集的序列

表示一个从网络流量c_k到c_l的路径，并且满足以下性质：c(1)＝c_k，c(t)＝c_l，0≤t≤n，

cm_c(t),c(t+1)>cm_c(t+1),c(t)，

c(t)≠c(t+1)，其中，t为中间变量；

步骤5：入侵检测服务器读取有向图，根据有向图定义网络流量数据-网络流量数据的路径，同时寻找网络流量数据间的最大路径，得到最强路径矩阵，根据最强路径矩阵得到网络流量数据的是否存在异常，具体包括如下步骤：

步骤S5-1：基于步骤S4-1中得出的有向图G＝<V,E>与步骤S4-2中满足的性质寻找网络流量c_j到c_k的最强路径，并将其表达为网络流量-网络流量最强路径矩阵PM[pm_kl]_n×n，pm_kl的值分为以下3种情况：

情况1：如果从顶点c_k到c_l没有路径，则网络流量c_k到c_l没有最强路径，pm_kl＝0；

情况2：如果从顶点c_k到c_l只有一条路径，则该条路径为网络流量c_k到c_l的最强路径，该条路径的最小权重为pm_kl的值，即：

pm_kl＝min(cm_c(i),c(i+1))，i＝1,...t-1；

情况3：如果从顶点c_k到c_l有多条路径，则比较每条路径的最小权重，权重最大的那条路径为网络流量c_k到c_l的最强路径，且该条路径的最小权重为pm_kl的值，即：

pm_kl＝max{min(cm_c(i),(i+1))}，i＝1,...t-1；

步骤S5-2：计算第c_i个网络流量最强路径值优于其他网络流量最强路径值的个数DF[c_i]：

其中，pm_kl(k,l＝1,2,…n；k≠l)为第c_k个网络流量到第c_l个网络流量的最强路径值,并且pm_kl>pm_lk表示网络流量c_k优于网络流量c_l；当且仅当对所有的l＝1,2,…n有pm_kl>pm_lk时，则第c_k个网络流量为所有网络流量中数据最大的；

步骤S5-3：对DF[c_k]进行排序，得出网络流量的最终排名。

2.权利要求1所述的一种基于用户网络流量数据最强路径模型的网络入侵检测方法，其特征在于：在执行步骤2时，采用皮尔逊相关系数法度量用户之间相似性，具体公式如下：

其中，sim(i,j)表示用户u_i和用户u_j之间的相似性，r_i,c表示用户u_i对网络流量c的数据，r_j,c表示用户u_j对网络流量c的数据；

和

表示用户u_i和用户u_j对网络流量数据的平均值；I_ij表示用户u_i和用户u_j同一时间产生的网络流量数据集合，用户集合为U＝{u₁,u₂,…,u_m}，网络流量数据集合为C＝{c₁,c₂,…,c_n}，用户-网络流量数据矩阵为R＝[r_ij]_m×n，根据用户-网络流量数据矩阵R＝[r_ij]_m×n。

3.权利要求1所述的一种基于用户网络流量数据最强路径模型的网络入侵检测方法，其特征在于：在执行步骤2时，具体包括如下步骤：

步骤S2-1：设定用户u_i和用户u_j分别为目标用户和对比用户，选择与用户u_i相似度最大的前K个用户来计算最终数据；

步骤S2-2：用r_i,c表示对用户u_i未产生的网络流量数据c的最终数据，且将计算得到的数据r_i,c填充到网络流量数据-数据矩阵中，具体公式如下；

其中，NBSi是与目标用户u_i相似度最大的前K个用户的集合；r_j,c表示用户u_j对网络流量c的数据，且i≠j，sim(i,j)表示用户u_i和用户u_j之间的相似性函数，

表示用户u_j对网络流量数据的平均值。

Images