CN116418591A - 一种计算机网络安全入侵智能检测系统 - Google Patents
一种计算机网络安全入侵智能检测系统 Download PDFInfo
- Publication number
- CN116418591A CN116418591A CN202310439052.8A CN202310439052A CN116418591A CN 116418591 A CN116418591 A CN 116418591A CN 202310439052 A CN202310439052 A CN 202310439052A CN 116418591 A CN116418591 A CN 116418591A
- Authority
- CN
- China
- Prior art keywords
- intrusion
- module
- information
- data
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 120
- 230000005540 biological transmission Effects 0.000 claims abstract description 35
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 238000004891 communication Methods 0.000 claims abstract description 25
- 238000012545 processing Methods 0.000 claims abstract description 13
- 238000005516 engineering process Methods 0.000 claims abstract description 12
- 238000007726 management method Methods 0.000 claims description 32
- 238000000034 method Methods 0.000 claims description 29
- 230000006870 function Effects 0.000 claims description 23
- 238000003745 diagnosis Methods 0.000 claims description 19
- 239000011159 matrix material Substances 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 13
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000000354 decomposition reaction Methods 0.000 claims description 12
- 230000006399 behavior Effects 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 9
- 230000009467 reduction Effects 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 239000012634 fragment Substances 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000007792 addition Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000002708 enhancing effect Effects 0.000 claims description 3
- 230000006855 networking Effects 0.000 claims description 3
- 238000012549 training Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 230000010365 information processing Effects 0.000 abstract description 3
- 201000006618 congenital myasthenic syndrome 6 Diseases 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 235000012907 honey Nutrition 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种计算机网络安全入侵智能检测系统,涉及大数据信息处理技术领域,解决的问题是网络信息传输,包含数据采集模块、通信传输模块、入侵检测分析模块、用户管理模块、应急处理模块和区块链网络模块;所述数据采集模块的输出端与通信传输模块的输入端连接,所述通信传输模块的输出端与入侵检测分析模块的输入端连接,所述入侵检测分析模块的输出端与用户管理模块的输入端和应急处理模块的输入端连接,所述区块链网络模块的输出端连接至入侵检测分析模块,本发明融合了LDPC编译码技术和自适应入侵检测技术,提高了网络安全。
Description
技术领域
本发明涉及大数据信息处理技术领域,且更具体地涉及一种计算机网络安全入侵智能检测系统。
背景技术
随着网络技术的发展,利用网络进行信息处理已经常态化,网络中传输的数据呈几何增长,为确保数据的安全传输和处理,网络安全技术也得到了不断发展,现如今的主要技术有防火墙技术,其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输问题,其中处理措施包括隔离与保护,同时可针对计算机网络安全当中的各项操作实施记录与检测,目的是确保计算机网络运行的安全性,保障用户资料与信息的完整性,提供更好、更安全的计算机网络使用体验。上述方法虽然在一定程度上提高了网络信息传输的安全性,但与此同时,针对网络系统的攻击越来越普遍,攻击手法日趋复杂,因此如何在计算机网络安全入侵时识别故障数据信息,以提高计算机网络安全中数据信息计算和应用能力是亟待解决的技术问题。
因此用户需要一种可对攻击行为和攻击企图进行监视并对入侵行为采取相应措施的入侵智能检测系统。
发明内容
针对上述技术的不足,本发明公开一种计算机网络安全入侵智能检测系统,包含LDPC编译码技术和自适应入侵检测技术,提高了网络安全。
本发明采用以下技术方案:
一种基于计算机网络安全入侵智能检测系统,其中所述系统包括以下模块:
数据采集模块,用于从系统软件外部收集数据并通过软件内部系统的插口将外部数据输入;
通信传输模块,用于发射或接收电磁信号,然后把发射或接收电磁信号转换成用户容易识别的数据信息,通信传输模块包含转换器、接收器和控制器,其中所述转换器的输出接线与接收器的输入接线连接,所述接收器的输出接线和控制器的输入接线连接;
入侵检测分析模块,用于发现可疑传输时发出警报并采取主动反应措施,所述入侵检测分析模块包含异常检测单元,用于得到从数据库集群中采集的携带数据变量参数的数据得到待检测数据,将变量数据输入预训练后的异常检测模型进行异常检测,根据变量数据的检测结果生成数据库集群的异常检测结果,通过待检测数据的异常检测结果生成数据库集群的异常检测结果;
异常检测单元包括入侵信息提取模块、入侵信息分解模块、入侵信息诊断模块、入侵信息匹配模块和入侵信息输出模块,其中所述入侵信息提取模块用于提取网络运行状态中的数据信息,入侵信息分解模块用于将输入的数据信息按照网络通信属性、网络节点或者交互方式分割接收到的数据信息,入侵信息诊断模块用于分解输入的数据信息,通过计算提高数据信息故障分解能力,所述入侵信息匹配模块用于将输入的数据信息与设置的信息进行匹配,以提高故障识别能力,所述入侵信息输出模块用于输出网络运行状态中的数据信息;
用户管理模块,通过展示、添加、修改、删除、角色分配、账号启用和注销对后台管理用户的账号信息进行管理;所述用户管理模块内设置有删除模块,用于删除计算机联网过程中接收到的在用户的操作系统运行过程中,自动搜索并清理操作系统中的无用碎片文件、BOM文件、多余的运行记录以及未使用的垃圾文件;
应急处理模块,用于对发生入侵提供紧急响应服务,关闭网络服务、中断网络连接和启动备份系统;
区块链网络模块,用于效增强CPS安全性,通过CSP技术底层加密接口,实现数据的加密、解密、数字签名、验证和数据摘要等密码操作;
其中所述数据采集模块的输出端与通信传输模块的输入端连接,所述通信传输模块的输出端与入侵检测分析模块的输入端连接,所述入侵检测分析模块的输出端与用户管理模块的输入端和应急处理模块的输入端连接,所述区块链网络模块的输出端连接至入侵检测分析模块。
作为本发明进一步的技术方案,所述通信传输模块使用了基于LDPC编译码的长距离SC-OFDM通信链路,传输方法如下:
设置数据信息传输变量节点为
,/>
表示与其连接的校验节点的集合,即
,设校验节点为/>
,/>
表示与其连接的变量节点的集合,定义/>
为变量节点的置信信息矩阵,为校验节点的置信信息矩阵,执行以下译码步骤:
步骤1、初始化,设置数据信息传输变量节点置信信息为
,对/>
初始化得到
其中(1)为变量节点的置信信息矩阵函数
步骤2、对校验节点置信信息矩阵
进行更新,通过/>
更新/>
得到校验节点置信信息矩阵函数:
步骤3、对变量节点置信信息矩阵函数
进行更新,再利用/>
的内容,更新/>
得到:
步骤4、判决与迭代停止函数
为:
作为本发明进一步的技术方案,所述入侵检测分析模块为基于网络的入侵检测模块;
作为本发明进一步的技术方案,入侵信息分解模块,用于把潜在入侵者的注意力从关键系统移开,收集入侵者的动作信息,设法让攻击者停留,使管理员能检测到它并采取相应的措施,通过检查蜜罐日志来获得潜在入侵者的信息;
作为本发明进一步的技术方案,所述入侵检测分析模块采用自适应入侵检测算法,算法步骤如下:
步骤1、初始化,设置种群规模
,最大迭代次数/>
;
步骤2、取编码网络隐藏层的层数
,隐藏层节点数/>
和降噪参数/>
为变量,设置变量的种群中第/>
个个体/>
为
种群规模即随机产生的个体数为
,/>
,/>
为编码网络隐藏层的最大层数,/>
,/>
为最大隐藏层节点数,/>
为隐藏层的降噪参数;
步骤3、对个体的评价指标与网络模型的总评价标准设置函数,设置的高精度函数为
函数中
,/>
、/>
为权重系数,当给输入加入干扰后,/>
为加入干扰后的检测精度,/>
为不加干扰时的检测精度;
步骤4、对种群与聚类中心进行更新,对隐藏层层数及节点数用任意解替代聚类中心,用以增加种群的多样性,得到选择个体后,对其进行差分变异来产生新个体,产生过程为
其中
为新产生个体的第/>
维,/>
为选择个体的第/>
维,/>
、/>
为选择个体的两个不同个体;
步骤5、输出最优个体,针对数据对应的自编码网络模型的最优个体, 即隐藏层层数、节点数及降噪参数, 并将最优个体参数作为网络模型的最优结构, 代入后续的网络训练。
作为本发明进一步的技术方案,所述异常检测单元内的入侵检测策略单元为异常检测策略单元;
作为本发明进一步的技术方案,所述用户管理模块通过设置操作控制台,使用户进行检测管理和日志管理,对数据库内容和日志信息进行调用、查看和删减操作;
作为本发明进一步的技术方案,入侵信息诊断模块,当入侵信息出现的时候,入侵信息诊断模块中的FIM单元负责根据入侵内容禁用接收到入侵信息的路径,入侵信息诊断模块中的DEM单元用来记录和存储诊断事件,将这些诊断事件及相关冻结帧及扩展数据记录到EEPROMDCM存储器中。
作为本发明进一步的技术方案,入侵信息匹配模块,通过运用BM匹配算法和规则库中的规则进行比较分析,判断是否有入侵行为,并从数据采集模块传来的数据顺着规则链表与入侵规则进行比较,匹配成功则说明检测到了入侵并同时产生报警信息。
本发明能够实现计算机网络入侵的智能检测,并能够实现对计算机网络入侵进行应急处理,提高网络信息安全传输的能力。
本发明在通信传输时,通过基于LDPC的编译码算法实现通信传输的低错性,提高了信息传输系统的传输速率和正确率能力。
在实现入侵检测分析时,能够通过自适应入侵检测算法,通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图,并对入侵检测进行回击,提升了网络安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还根据这些附图获得其他的附图,其中:
图1为本发明一种计算机网络安全入侵智能检测系统的整体架构原理图;
图2为本发明一种计算机网络安全入侵智能检测系统中异常检测单元示意图;
图3为本发明一种计算机网络安全入侵智能检测系统中LDPC编译码过程示意图;
图4为本发明一种计算机网络安全入侵智能检测系统中AID自适应模型示意图;
图5为本发明一种计算机网络安全入侵智能检测系统中用户管理模块的用户管理平台示意图。
实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
如图1所示,一种基于计算机网络安全入侵智能检测系统,其特征在于:所述系统包括以下模块:
数据采集模块,用于从系统软件外部收集数据并通过软件内部系统的插口将外部数据输入;具体而言,从系统软件外部收集信息数据并将信息数据输入到系统背部的接收端口;
通信传输模块,用于发射或接收电磁信号,然后把发射或接收电磁信号转换成用户容易识别的数据信息,通信传输模块包含转换器、接收器和控制器,其中所述转换器的输出接线与接收器的输入接线连接,所述接收器的输出接线和控制器的输入接线连接,具体而言,通过网络端口,从系统软件外部收集信息数据并将信息数据输入到系统背部的接收端口,其中转换器用于将模拟信号转换为数字信号以供计算机处理,控制器操控数据接收速率和数量;
入侵检测分析模块,用于发现可疑传输时发出警报并采取主动反应措施,所述入侵检测分析模块包含异常检测单元,用于得到从数据库集群中采集的携带数据变量参数的数据得到待检测数据,将变量数据输入预训练后的异常检测模型进行异常检测,根据变量数据的检测结果生成数据库集群的异常检测结果,通过待检测数据的异常检测结果生成数据库集群的异常检测结果,具体而言,通过智能检测系统使得异常检测单元,检测到未知的入侵和复杂的入侵误报,统计正常使用的测量属性,用户设定观察值范围,若观察值超过正常范围,则认为有入侵发生;
异常检测单元包括入侵信息提取模块、入侵信息分解模块、入侵信息诊断模块、入侵信息匹配模块和入侵信息输出模块,其中所述入侵信息提取模块用于提取网络运行状态中的数据信息,入侵信息分解模块用于将输入的数据信息按照网络通信属性、网络节点或者交互方式分割接收到的数据信息,入侵信息诊断模块用于分解输入的数据信息,通过计算提高数据信息故障分解能力,所述入侵信息匹配模块用于将输入的数据信息与设置的信息进行匹配,以提高故障识别能力,所述入侵信息输出模块用于输出网络运行状态中的数据信息;具体而言,通过入侵信息提取模块提取入侵信息的网络信息特征,通过入侵信息分解模块将有用信息提取,通过入侵信息诊断模块记录和存储诊断事件,通过入侵信息匹配模块将传来的数据顺着规则链表与入侵规则进行比较,最后由入侵信息输出模块将数据输出;在具体实施例中,入侵信息提取模块比如可以通过数据信息通讯协议、数据通信节点或者数据通信类型进行分类或者提取,将数据信息提取出来,进而提高了数据信息提取或者分解能力。
用户管理模块,通过展示、添加、修改、删除、角色分配、账号启用和注销对后台管理用户的账号信息进行管理;所述用户管理模块内设置有删除模块,用于删除计算机联网过程中接收到的在用户的操作系统运行过程中,自动搜索并清理操作系统中的无用碎片文件、BOM文件、多余的运行记录以及未使用的垃圾文件,具体而言,用户进入管理平台进行账号密码输入,成功登陆后进入主界面,在管理平台主界面进行检测管理和日志管理,对数据信息进行调用或增减,改善操作系统的运行性能;
应急处理模块,用于对发生入侵提供紧急响应服务,关闭网络服务、中断网络连接和启动备份系统,具体而言,在入侵检测分析模块检测到入侵行为后,发送关闭信号至应急处理模块,应急处理模块调用命令语句进行关闭网络传输通道和断开网络连接的应急措施;
区块链网络模块,用于有效增强CPS安全性,通过CSP技术底层加密接口,实现数据的加密、解密、数字签名、验证和数据摘要等密码操作,具体而言,通过时间顺序,将数据区块以顺序相连的方式组合,形成链式数据结构,并以密码学方式保证其不可篡改、不可伪造;
其中所述数据采集模块的输出端与通信传输模块的输入端连接,所述通信传输模块的输出端与入侵检测分析模块的输入端连接,所述入侵检测分析模块的输出端与用户管理模块的输入端和应急处理模块的输入端连接,所述区块链网络模块的输出端连接至入侵检测分析模块。
如图2所示,作为本发明进一步的技术方案:所述通信传输模块使用了基于LDPC编译码的长距离SC-OFDM通信链路,基本方法如下:
设置数据信息传输变量节点为
,/>
表示与其连接的校验节点的集合,即
,其中/>
为集合个数,/>
为集合维度,设校验节点为/>
,/>
表示与其连接的变量节点的集合,定义/>
为/>
行/>
列的变量节点的置信信息矩阵函数,为校验节点的置信信息矩阵,执行以下译码步骤:
步骤1、初始化,设置数据信息传输变量节点置信信息为
,对/>
初始化得到
其中(1)为变量节点的置信信息矩阵函数;
步骤2、对校验节点置信信息矩阵
进行更新,通过/>
更新/>
得到校验节点置信信息矩阵函数:
步骤3、对变量节点置信信息矩阵函数
进行更新,再利用/>
的内容,更新/>
得到:
步骤4、判决与迭代停止函数
为:
在具体实施例中,所述入侵检测分析模块为基于网络的入侵检测模块;具体而言,通过对接收数据做特征识别,通过数据特征捕获数据包,通过解码器将捕获的数据包解码后存放到系统代码定义的结构体中,用基于插件的预处理器对数据包进行分片重组、分段重组和端口扫描预处理器的修改,通过检测引擎进行规则建立多维链表和规则匹配,包括数据包相关各种特征的描述选项,规则本身的说明选项和规则匹配后的动作选项,最后将检测引擎处理后的数据包送到系统日志文件产生报警输出;
在具体实施例中,入侵信息分解模块,用于把潜在入侵者的注意力从关键系统移开,收集入侵者的动作信息,设法让攻击者停留,使管理员能检测到它并采取相应的措施,通过检查蜜罐日志来获得潜在入侵者的信息;具体而言,其防护过程为构建诱骗环境,通过构建欺骗性数据和文件,增加蜜罐环境甜度,引诱攻击者入侵系统,对入侵行为进行监控,在攻击者入侵蜜罐系统后,利用监视器、特定蜜罐和监控系统对其交互行为进行监控记录,重点监控流量、端口、内存、接口、权限、漏洞、文件和文件夹,避免攻击造成实际破坏,监控攻击行为获得数据,用于数据可视化、流量分类、攻击分析、攻击识别、警报生成、攻击溯源和反向追踪;
如图3所示,作为本发明进一步的技术方案,所述入侵检测分析模块采用自适应入侵检测算法,算法步骤如下:
步骤1、初始化,设置种群规模
,最大迭代次数/>
;
步骤2、取编码网络隐藏层的层数
,隐藏层节点数/>
和降噪参数/>
为变量,设置变量的种群中第/>
个个体/>
为
种群规模即随机产生的个体数为
,/>
,/>
为编码网络隐藏层的最大层数,/>
,/>
为最大隐藏层节点数,/>
为隐藏层的降噪参数;
步骤3、对个体的评价指标与网络模型的总评价标准设置函数,设置的高精度函数为
函数中
,/>
、/>
为权重系数,当给输入加入干扰后,/>
为加入干扰后的检测精度,/>
为不加干扰时的检测精度;
步骤4、对种群与聚类中心进行更新,对隐藏层层数及节点数用任意解替代聚类中心,用以增加种群的多样性,得到选择个体后,对其进行差分变异来产生新个体,产生过程为
其中
为新产生个体的第/>
维,/>
为选择个体的第/>
维,/>
、/>
为选择个体的两个不同个体;
步骤5、输出最优个体,针对数据对应的自编码网络模型的最优个体, 即隐藏层层数、节点数及降噪参数, 并将最优个体参数作为网络模型的最优结构, 代入后续的网络训练。
如图4所示,在具体实施例中,所述异常检测单元内的入侵检测策略单元为异常检测策略单元,具体而言,通过通用数据预处理、时间序列数据平滑转换、从时域和频域中提取特征、各种检测算法以及专业知识来校准系统,以时间序列数据执行三种常见的异常值检测场景:逐点检测即时间点作为异常值、模式检测及子序列作为异常值和系统检测即时间序列集作为异常值,当时间序列中存在潜在的系统故障或小故障时,会出现逐点异常值,这种异常值存在于全局和局部的单个数据点上;全局异常值通常很明显,检测全局异常值的常见做法是获取数据集的统计值并设置检测异常点的阈值,局部异常值通常出现在特定上下文中,具有相同值的数据点如果不在特定上下文中显示,则不会被识别为异常值;检测局部异常值的常用策略是识别上下文,应用机器学习方法AutoRegression来检测异常值;
如图5所示,所述用户管理模块通过设置操作控制台,使用户进行检测管理和日志管理,对数据库内容和日志信息进行调用、查看和删减操作,具体而言,用户通过输入账号密码分别进行检测管理和日志管理的操作,检测管理包括时间同步、配置检测规则、接收警告和数据库配置管理,日志管理包括日志记录、日志查询、日志分析、日志备份和日志恢复;
作为本发明进一步的技术方案,入侵信息诊断模块,当入侵信息出现的时候,入侵信息诊断模块中的FIM单元负责根据入侵内容禁用接收到入侵信息的路径,入侵信息诊断模块中的DEM单元用来记录和存储诊断事件,将这些诊断事件及相关冻结帧及扩展数据记录到EEPROMDCM存储器中;具体而言,FIM单元中的Dem模块调用接口告知FIM诊断状态发生改变,FIM模块调用接口读取Event端口数据的最新状态,SWC调用接口判断是否进行功能禁用或降级;
作为本发明进一步的技术方案,入侵信息匹配模块,通过运用BM匹配算法和规则库中的规则进行比较分析,判断是否有入侵行为,并从数据采集模块传来的数据顺着规则链表与入侵规则进行比较,匹配成功则说明检测到了入侵并同时产生报警信息;具体而言,字符串的匹配顺序是从右向左,首先将两行待匹配信息P和T对齐,即p[0]和t[0]对齐,然后匹配从模式字符串P的最右端字符开始,即判断p[m]和t[m]是否匹配,如果匹配成功,则向左移动判断p[m-1]和t[m-1]是否匹配,如此循环下去,如果匹配不成功,则进行字符串滑移;匹配完成后进行字符串滑移启发式策略,坏字符移动启发式策略和好后缀移动启发式策略;完成两种策略的使用,如果同时满足两种策略使用条件时,选两者中较大的作为模式串向右滑移的距离。
在具体实施例中,入侵检测的第一步是信息收集,从系统、网络、数据及用户活动的状态和行为收集内容,由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行;收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,通过模式匹配、统计分析和完整性分析的方法进行分析,当检测到某种误用模式时,会产生告警并发送给控制台;控制台按照告警产生预先定义的响应采取相应措施,重新配置路由器和防火墙、终止进程、切断连接和改变文件属性,用户可在用户操作控制台对相应文件路径和日志进行查看、修改和记录。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些具体实施方式仅是举例说明,本领域的技术人员在不脱离本发明的原理和实质的情况下,对上述方法和系统的细节进行各种省略、替换和改变。例如,合并上述方法步骤,从而按照实质相同的方法执行实质相同的功能以实现实质相同的结果则属于本发明的范围。因此,本发明的范围仅由所附权利要求书限定。
Claims (9)
1.一种基于计算机网络安全入侵智能检测系统,其特征在于:所述系统包括以下模块:
数据采集模块,用于从系统软件外部收集数据并通过软件内部系统的插口将外部数据输入;
通信传输模块,用于发射或接收电磁信号,然后把发射或接收电磁信号转换成用户容易识别的数据信息,通信传输模块包含转换器、接收器和控制器,其中所述转换器的输出接线与接收器的输入接线连接,所述接收器的输出接线和控制器的输入接线连接;
入侵检测分析模块,用于发现可疑传输时发出警报并采取主动反应措施,所述入侵检测分析模块包含异常检测单元,用于得到从数据库集群中采集的携带数据变量参数的数据得到待检测数据,将变量数据输入预训练后的异常检测模型进行异常检测,根据变量数据的检测结果生成数据库集群的异常检测结果,通过待检测数据的异常检测结果生成数据库集群的异常检测结果;
异常检测单元包括入侵信息提取模块、入侵信息分解模块、入侵信息诊断模块、入侵信息匹配模块和入侵信息输出模块,其中所述入侵信息提取模块用于提取网络运行状态中的数据信息,入侵信息分解模块用于将输入的数据信息按照网络通信属性、网络节点或者交互方式分割接收到的数据信息,入侵信息诊断模块用于分解输入的数据信息,通过计算提高数据信息故障分解能力,所述入侵信息匹配模块用于将输入的数据信息与设置的信息进行匹配,以提高故障识别能力,所述入侵信息输出模块用于输出网络运行状态中的数据信息;
用户管理模块,通过展示、添加、修改、删除、角色分配、账号启用和注销对后台管理用户的账号信息进行管理;所述用户管理模块内设置有删除模块,用于删除计算机联网过程中接收到的在用户的操作系统运行过程中,自动搜索并清理操作系统中的无用碎片文件、BOM文件、多余的运行记录以及未使用的垃圾文件;
应急处理模块,用于对发生入侵提供紧急响应服务,关闭网络服务、中断网络连接和启动备份系统;
区块链网络模块,用于效增强CPS安全性,通过CSP技术底层加密接口,实现数据的加密、解密、数字签名、验证和数据摘要等密码操作;
其中所述数据采集模块的输出端与通信传输模块的输入端连接,所述通信传输模块的输出端与入侵检测分析模块的输入端连接,所述入侵检测分析模块的输出端与用户管理模块的输入端以及应急处理模块的输入端连接,所述区块链网络模块的输出端连接至入侵检测分析模块。
2.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:所述通信传输模块使用基于LDPC编译码的长距离SC-OFDM通信链路,传输方法如下:
设置数据信息传输变量节点为Vn,A(n)表示与其连接的校验节点的集合,即A(n)={j,Hj,n=1,2,3……},其中j为集合个数,Hj为集合维度,设校验节点为Cm,B(m)表示与其连接的变量节点的集合,定义Q为n行m列的变量节点的置信信息矩阵函数,为校验节点的置信信息矩阵,执行以下译码步骤:
步骤1、初始化,设置数据信息传输变量节点置信信息为Ln,对Q初始化得到Qj,n=ln,j=1,……,k其中(1)为变量节点的置信信息矩阵函数;
步骤2、对校验节点置信信息矩阵R进行更新,通过Q更新R得到校验节点置信信息矩阵函数:
Rm,i=2tanh[∏i∈B(m)\itanh(Qm,i/2)] (2)
步骤3、对变量节点置信信息矩阵函数Q进行更新,再利用R的内容,更新Q得到:
Qj,n=Ln+∑j∈A(n)Rj,n (3)
步骤4、判决与迭代停止函数Dn为:
Dn=Ln+∑j∈A(n)Rj,n (4)。
3.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:所述入侵检测分析模块为基于网络的入侵检测模块。
4.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:入侵信息分解模块,用于把潜在入侵者的注意力从关键系统移开,
收集入侵者的动作信息,设法让攻击者停留,使管理员能检测到它并采取相应的措施,通过检查蜜罐日志来获得潜在入侵者的信息。
5.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:所述入侵检测分析模块采用自适应入侵检测算法,算法步骤如下:
步骤1、初始化,设置种群规模NP,最大迭代次数l;
步骤2、取编码网络隐藏层的层数L,隐藏层节点数N和降噪参数V为变量,设置变量的种群中第i个个体pi为:
pi=[Li,Ni,Vi] (5)
种群规模即随机产生的个体数为NP,Li∈[1,2,…,maxL],maxL为编码网络隐藏层的最大层数,Ni∈[1,2,…,maxN],maxN为最大隐藏层节点数,Vi∈[0,1]为隐藏层的降噪参数;
步骤3、对个体的评价指标与网络模型的总评价标准设置函数,设置的高精度函数为:
函数中α+η=1,α、η为权重系数,当给输入加入干扰后,ACnoise为加入干扰后的检测精度,AC0为不加干扰时的检测精度;
步骤4、对种群与聚类中心进行更新,对隐藏层层数及节点数用任意解替代聚类中心,用以增加种群的多样性,得到选择个体后,对其进行差分变异来产生新个体,产生过程为:
其中
为新产生个体的第d维,/>
为选择个体的第d维,x1、x2为选择个体的两个不同个体;
步骤5、输出最优个体,针对数据对应的自编码网络模型的最优个体,即隐藏层层数、节点数及降噪参数,并将最优个体参数作为网络模型的最优结构,代入后续的网络训练。
6.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:所述异常检测单元内的入侵检测策略单元为异常检测策略单元。
7.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:所述用户管理模块通过设置操作控制台,使用户进行检测管理和日志管理,对数据库内容和日志信息进行调用、查看和删减操作。
8.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:当入侵信息出现的时候,入侵信息诊断模块中的FIM单元负责根据入侵内容禁用接收到入侵信息的路径,入侵信息诊断模块中的DEM单元用来记录和存储诊断事件,将这些诊断事件及相关冻结帧及扩展数据记录到EEPROMDCM存储器中。
9.根据权利要求1所述的一种计算机网络安全入侵智能检测系统,其特征在于:入侵信息匹配模块通过运用BM匹配算法和规则库中的规则进行比较分析,判断是否有入侵行为,并从数据采集模块传来的数据顺着规则链表与入侵规则进行比较,匹配成功则说明检测到了入侵并同时产生报警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310439052.8A CN116418591A (zh) | 2023-04-23 | 2023-04-23 | 一种计算机网络安全入侵智能检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310439052.8A CN116418591A (zh) | 2023-04-23 | 2023-04-23 | 一种计算机网络安全入侵智能检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116418591A true CN116418591A (zh) | 2023-07-11 |
Family
ID=87057822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310439052.8A Pending CN116418591A (zh) | 2023-04-23 | 2023-04-23 | 一种计算机网络安全入侵智能检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116418591A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117098110A (zh) * | 2023-09-28 | 2023-11-21 | 中孚安全技术有限公司 | 基于高精度时间同步的手机监测系统、方法及介质 |
-
2023
- 2023-04-23 CN CN202310439052.8A patent/CN116418591A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117098110A (zh) * | 2023-09-28 | 2023-11-21 | 中孚安全技术有限公司 | 基于高精度时间同步的手机监测系统、方法及介质 |
| CN117098110B (zh) * | 2023-09-28 | 2024-01-05 | 中孚安全技术有限公司 | 基于高精度时间同步的手机监测系统、方法及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2040435B1 (en) | Intrusion detection method and system | |
| US20230164158A1 (en) | Interactive artificial intelligence-based response loop to a cyberattack | |
| Murali et al. | A survey on intrusion detection approaches | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| Farahani | Feature Selection Based on Cross‐Correlation for the Intrusion Detection System | |
| Stan et al. | Intrusion detection system for the MIL-STD-1553 communication bus | |
| Xie et al. | Seurat: A pointillist approach to anomaly detection | |
| Elfeshawy et al. | Divided two-part adaptive intrusion detection system | |
| CN116418591A (zh) | 一种计算机网络安全入侵智能检测系统 | |
| Agbaje et al. | A framework for consistent and repeatable controller area network ids evaluation | |
| US20240045990A1 (en) | Interactive cyber security user interface | |
| CN115085956B (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| CN115859298A (zh) | 一种电力主站系统动态可信计算环境架构和方法 | |
| CN111565377B (zh) | 应用于物联网的安全监测方法和装置 | |
| CN115664784A (zh) | 一种采用多模组学习的网络攻击免疫防御方法及系统 | |
| Suresh et al. | Detection of malicious activities by AI-Supported Anomaly-Based IDS | |
| CN113360907A (zh) | 一种基于ides和nides的防黑客入侵方法 | |
| KR102595383B1 (ko) | 시그니처 기반 이상 탐지 방법과 행위 기반 이상 탐지 방법을 조합한 하이브리드 이상 탐지 방법 | |
| Ukil | Application of Kolmogorov complexity in anomaly detection | |
| Jiang et al. | A bio-inspired host-based multi-engine detection system with sequential pattern recognition | |
| Al-Dhubhani et al. | A prototype for network intrusion detection system using danger theory | |
| Dhakar et al. | The Conceptual and Architectural Design of an Intelligent Intrusion Detection System | |
| CN117892241A (zh) | 一种基于网络资产图谱的横向移动异常检测方法及装置 | |
| CN118509228A (zh) | 安全防御方法、装置、电子设备及存储介质 | |
| CN117395663A (zh) | 网络接入安全性的检测方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20230711 |