CN107809430B - 一种基于极值点分类的网络入侵检测方法 - Google Patents
一种基于极值点分类的网络入侵检测方法 Download PDFInfo
- Publication number
- CN107809430B CN107809430B CN201711048813.8A CN201711048813A CN107809430B CN 107809430 B CN107809430 B CN 107809430B CN 201711048813 A CN201711048813 A CN 201711048813A CN 107809430 B CN107809430 B CN 107809430B
- Authority
- CN
- China
- Prior art keywords
- network
- intrusion detection
- data
- extreme point
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Other Investigation Or Analysis Of Materials By Electrical Means (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于极值点分类的网络入侵检测方法,其步骤如下:(1)收集网络正常数据流,将每个非数值属性转化为数值,形成训练数据集;(2)计算训练集的极值点,获得基于极值点分类的网络入侵检测模型;(3)接收网络未标记的数据流,将每个非数值属性转化为数值,采用基于极值点分类的网络入侵检测模型进行分类。本发明采用数据几何轮廓分析技术进行二元分类,将网络流量的数据分类为正常数据和入侵数据,能提高入侵检测处理大规模网络数据的及时性和准确性。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于极值点分类的网络入侵检测方法。
背景技术
随着互联网技术的发展,网络攻击手段日益复杂化、多元化、智能化,网络安全问题日益突出。入侵检测方法作为网络安全***的一个重要的动态防护措施,通过收集和分析网络行为、审计数据,检查网络或***中是否存在违反安全策略的行为和被攻击的迹象,来检测***外部的入侵者的攻击行为。现阶段一定规模的网络环境通常都配置入侵检测***,以期在网络入侵的异常行为发生时,可迅速发现并进行拦截。因此,网络入侵检测方法对网络***的安全发挥着非常重要的作用,也是当前网络安全领域研究的一个热点。
入侵检测本质上是分类问题,目前通常采用模式识别的方法来进行入侵检测的研究,如神经网络、遗传算法、支持向量机、决策树等。当这些方法时间复杂度都较高,不适合处理大规模网络入侵问题,甚至在一些中等规模的数据集上就花费时间过多。为降低时间复杂度,常用的方法有近似计算和减少训练样本数等,但这些方法往往以牺牲分类精度为代价。针对网络入侵检测方法的现状与诸多不足,本发明提出了一种适用于大规模网络环境的基于极值点分类的网络入侵检测方法。
发明内容
本发明针对现阶段入侵检测方法的缺陷,提出了一种适用于大规模网络环境的基于极值点分类的网络入侵检测方法,通过采用数据几何轮廓分析技术进行二元分类,将网络流量的数据分类为正常数据和入侵数据,能提高入侵检测处理大量网络数据的及时性和准确性。
基于极值点分类的网络入侵检测方法具体流程如下步骤:
步骤1.收集网络正常数据流,将每个非数值属性转化为数值,形成训练集X;
步骤2.计算训练集X的极值点,获得基于极值点分类的网络入侵检测模型;
步骤3.接收网络未标记的数据流,将每个非数值属性转化为数值,采用基于极值点分类的网络入侵检测模型进行分类;
上述步骤2所述的获得基于极值点分类的网络入侵检测模型的具体步骤是:
步骤2.1每次迭代,产生随机高斯矩阵Kj∈R2×d,其中矩阵Kj的元素满足高斯分布N(0,1),d是训练集X的特征数,j为迭代的次数,j的初始值为1;
步骤2.2将X投影到二维平面Rj,得到二维数据集Cj={cj,1,cj,2,...,cj,N},其中cj,k=Kjxk,xk和cj,k分别是X和Cj数据集的第k个样本,xk∈Rd×1,N是X中样本的个数;
步骤2.3以原点为中心划分二维平面Rj得到2m个中心夹角为α的等分区域,其中α=π/m;
其中i=0,1,…,m-1,k=1,2,...,N,arctan()表示反余切函数;
其中i=0,1,…,m-1;
其中i=0,1,…,m-1;
其中i=0,1,…,m-1;
步骤2.8获得第i对等分区域中的极值点:
其中i=0,1,…,m-1;
步骤2.9得到二维平面Rj上的极值点集Pj:
步骤2.10判断当前j是否满足j<jmax,若是,则令j=j+1,返回步骤2.1,若否,则执行步骤2.11;
步骤2.11将jmax个极值点集Pj和对应的高斯矩阵Kj保存为网络入侵检测模型W:
上述步骤3所述的采用基于极值点分类的网络入侵检测模型进行分类的方法的具体步骤是:
步骤3.1对于待检测的没有标记的网络数据流z,每次迭代,得到它在二维平面Rj的投影向量zj,其中zj=Kjz,j为迭代次数,j的初始值为1;
步骤3.2判断zj是否在二维平面Rj的极值点集Pj的内部,若是,则转向步骤3.3,若否,则输出分类结果:数据流z是网络攻击流;
步骤3.3判断当前j是否满足j<jmax,若是,则令j=j+1,返回步骤3.1,若否,则输出分类结果:数据流z是网络正常流。
本发明的有益效果:
当网络遭受外部入侵时,本发明利用了入侵数据与正常网络数据在空间分布上的差异(差异受入侵强度、攻击类型等影响),通过计算正常网络流的极值点挖掘其在数据空间上的分布轮廓,建立基于极值点分类的网络入侵检测方法,该入侵检测方法能利用计算机硬件如GPU的并行计算能力,具有高度的实时性,计算量小,能及时对入侵做出检测,检测精度高;同时该入侵检测方法能应用于不同的网络环境和面对不同的入侵类型,网络适应性好。
附图说明
图1是本发明基于极值点分类的网络入侵检测方法的流程图;
图2是构建基于极值点分类的网络入侵检测模型的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体事实例,并参照附图1,对本发明进一步详细说明。
本实施例选取国际标准数据集KDD CUP99作为研究对象,数据集中的每条记录包含从一条网络连接中提取的41个特征,KDD CUP99数据总共由500万条记录构成,分为正常、PROBE、DoS、U2R、R2L共5类数据;本实施例中将后4类归为网络攻击数据,在KDD CUP99数据集中随机选取18万个正常数据流样本用于构建训练集,并随机选取6万正常数据流和5万攻击数据流样本用于测试。
步骤1.收集KDD CUP99数据集中18万条网络正常数据流,每个非数值属性转化为数值,本实施例采用将数值直接替换类别属性,形成训练集X;
步骤2.计算训练集的极值点,获得基于极值点分类的网络入侵检测模型,如图2所示,其具体步骤如下:
步骤2.1每次迭代,产生随机高斯矩阵Kj∈R2×41,其中矩阵Kj的元素满足高斯分布N(0,1),j为迭代的次数,j的初始值为1;
步骤2.2将X投影到二维平面Rj,得到二维数据集Cj={cj,1,cj,2,...,cj,N},其中cj,k=Kjxk,xk和cj,k分别是X和Cj数据集的第k个样本,xk∈R41×1,N=180000;
步骤2.3以原点为中心划分二维平面Rj得到2m个中心夹角为α的等分区域,α=π/m,本实施例中m=10;
其中i=0,1,…,9,k=1,2,...,180000,arctan()表示反余切函数;
其中i=0,1,…,9;
其中i=0,1,…,9;
其中i=0,1,…,9;
步骤2.8获得第i对等分区域中的极值点:
其中i=0,1,…,9;
步骤2.9得到二维平面Rj上的极值点集Pj:
步骤2.10判断当前j是否满足j<jmax,本实施例中jmax=800,若是,则令j=j+1,返回步骤2.1,若否,则执行步骤2.11;
步骤2.11将jmax个极值点集Pj和对应的高斯矩阵Kj保存为网络入侵检测模型W:
步骤3.接收网络未标记的数据流,将每个非数值属性直接替换类别属性转化为数值属性,采用基于极值点分类的网络入侵检测模型进行分类,其具体步骤如下:
步骤3.1对于待检测的没有标记的网络数据流z,每次迭代,得到它在二维平面Rj的投影向量zj,其中zj=Kjz,j为迭代次数,j的初始值为1;
步骤3.2判断zj是否在二维平面Rj的极值点集Pj的内部,若是,则转向步骤3.3,若否,则输出分类结果:数据流z是网络攻击流;
步骤3.3判断当前j是否满足j<jmax,若是,则令j=j+1,返回步骤3.1,若否,则输出分类结果:数据流z是网络正常流。
本实施例的检出率(%)、误报率(%)、模型训练时间(秒)和分类时间(秒)如表1所示,其中检出率=被检测出的异常样本数/异常样本总数,误报率=被误报为异常的正常样本数/正常样本总数。同时表1将本发明方法的结果与使用最小二乘支持向量机、三层BP神经网络和最大夹角间隔核心集向量机(胡文军,王士同,邓赵红,"适合大样本快速训练的最大夹角间隔核心集向量机",电子学报,2011年)进行了对比,实验平台均为MATLAB 2009(a);实验在Intel i7-3770CPU 3.4GHz,16-GB RAM,Windows 7***下执行。最小二乘支持向量机和三层BP神经网络因为训练时间过长(超过8小时)而没有记录到其各性能指标值。
表1:本发明方法与最小二乘支持向量机、三层BP神经网络和最大夹角间隔核心集向量机的性能比较
以上所述的实例只是用于说明本发明,而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更,这些修改和变更仍然在本发明的保护范围内。
Claims (1)
1.一种基于极值点分类的网络入侵检测方法,其特征包括以下步骤:
步骤1.收集网络正常数据流,将每个非数值属性转化为数值,形成训练集X;
步骤2.计算训练集X的极值点,获得基于极值点分类的网络入侵检测模型;
步骤3.接收网络未标记的数据流,将每个非数值属性转化为数值,采用基于极值点分类的网络入侵检测模型进行分类;
上述步骤2所述的获得基于极值点分类的网络入侵检测模型的具体步骤是:
步骤2.1每次迭代,产生随机高斯矩阵Kj∈R2×d,其中矩阵Kj的元素满足高斯分布N(0,1),d是训练集X的特征数,j为迭代的次数,j的初始值为1;
步骤2.2将X投影到二维平面Rj,得到二维数据集Cj={cj,1,cj,2,...,cj,N},其中cj,k=Kjxk,xk和cj,k分别是X和Cj数据集的第k个样本,xk∈Rd×1,N是X中样本的个数;
步骤2.3以原点为中心划分二维平面Rj得到2m个中心夹角为α的等分区域,其中α=π/m;
其中i=0,1,…,m-1,k=1,2,...,N,arctan()表示反余切函数;
其中i=0,1,…,m-1;
其中i=0,1,…,m-1;
其中i=0,1,…,m-1;
步骤2.8获得第i对等分区域中的极值点:
其中i=0,1,…,m-1;
步骤2.9得到二维平面Rj上的极值点集Pj:
步骤2.10判断当前j是否满足j<jmax,若是,则令j=j+1,返回步骤2.1,若否,则执行步骤2.11;
步骤2.11将jmax个极值点集Pj和对应的高斯矩阵Kj保存为网络入侵检测模型W:
上述步骤3所述的采用基于极值点分类的网络入侵检测模型进行分类的方法的具体步骤是:
步骤3.1对于待检测的没有标记的网络数据流z,每次迭代,得到它在二维平面Rj的投影向量zj,其中zj=Kjz,j为迭代次数,j的初始值为1;
步骤3.2判断zj是否在二维平面Rj的极值点集Pj的内部,若是,则转向步骤3.3,若否,则输出分类结果:数据流z是网络攻击流;
步骤3.3判断当前j是否满足j<jmax,若是,则令j=j+1,返回步骤3.1,若否,则输出分类结果:数据流z是网络正常流。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711048813.8A CN107809430B (zh) | 2017-10-31 | 2017-10-31 | 一种基于极值点分类的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711048813.8A CN107809430B (zh) | 2017-10-31 | 2017-10-31 | 一种基于极值点分类的网络入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107809430A CN107809430A (zh) | 2018-03-16 |
CN107809430B true CN107809430B (zh) | 2020-09-08 |
Family
ID=61583202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711048813.8A Active CN107809430B (zh) | 2017-10-31 | 2017-10-31 | 一种基于极值点分类的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107809430B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111222638B (zh) * | 2019-11-21 | 2023-05-12 | 湖南大学 | 一种基于神经网络的网络异常检测方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8676729B1 (en) * | 2011-06-14 | 2014-03-18 | Narus, Inc. | Network traffic classification using subspace clustering techniques |
CN104601565A (zh) * | 2015-01-07 | 2015-05-06 | 天津理工大学 | 一种智能优化规则的网络入侵检测分类方法 |
CN105204084A (zh) * | 2015-09-10 | 2015-12-30 | 北方工业大学 | 基于lda算法模型的光纤入侵信号识别方法 |
CN105931402A (zh) * | 2016-06-27 | 2016-09-07 | 上海波汇科技股份有限公司 | 基于图像识别的光纤周界入侵监测方法 |
CN106453293A (zh) * | 2016-09-30 | 2017-02-22 | 重庆邮电大学 | 一种基于改进bpnn的网络安全态势预测方法 |
-
2017
- 2017-10-31 CN CN201711048813.8A patent/CN107809430B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8676729B1 (en) * | 2011-06-14 | 2014-03-18 | Narus, Inc. | Network traffic classification using subspace clustering techniques |
CN104601565A (zh) * | 2015-01-07 | 2015-05-06 | 天津理工大学 | 一种智能优化规则的网络入侵检测分类方法 |
CN105204084A (zh) * | 2015-09-10 | 2015-12-30 | 北方工业大学 | 基于lda算法模型的光纤入侵信号识别方法 |
CN105931402A (zh) * | 2016-06-27 | 2016-09-07 | 上海波汇科技股份有限公司 | 基于图像识别的光纤周界入侵监测方法 |
CN106453293A (zh) * | 2016-09-30 | 2017-02-22 | 重庆邮电大学 | 一种基于改进bpnn的网络安全态势预测方法 |
Non-Patent Citations (2)
Title |
---|
一种面向新型入侵的获取和分类方法;王飞;《计算机科学》;20121130;第39卷(第11A期);全文 * |
基于 KPCA空间相似度的一类入侵检测方法;徐晶;《计算机应用》;20090930;第29卷(第9期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107809430A (zh) | 2018-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107528832B (zh) | 一种面向***日志的基线构建与未知异常行为检测方法 | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN106790256B (zh) | 用于危险主机监测的主动机器学习*** | |
CN107493277B (zh) | 基于最大信息系数的大数据平台在线异常检测方法 | |
CN101841435A (zh) | Dns查询流量异常的检测方法、装置和*** | |
CN112632609B (zh) | 异常检测方法、装置、电子设备及存储介质 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
WO2019200739A1 (zh) | 数据欺诈识别方法、装置、计算机设备和存储介质 | |
CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、***、设备及介质 | |
CN113205134A (zh) | 一种网络安全态势预测方法及*** | |
CN116384736A (zh) | 一种智慧城市的风险感知方法及*** | |
Hruby | Using similarity measures in benthic impact assessments | |
CN117675387B (zh) | 基于用户行为分析的网络安全风险预测方法及*** | |
CN107809430B (zh) | 一种基于极值点分类的网络入侵检测方法 | |
CN112804248B (zh) | 一种基于频域特征融合的LDoS攻击检测方法 | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN117014193A (zh) | 一种基于行为基线的未知Web攻击检测方法 | |
Xue | Research on network security intrusion detection with an extreme learning machine algorithm | |
CN114697087B (zh) | 一种基于报警时序的报警关联方法 | |
CN112291193B (zh) | 一种基于NCS-SVM的LDoS攻击检测方法 | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
Jirachan et al. | Applying KSE-test and K-means clustering towards scalable unsupervised intrusion detection | |
CN113162904B (zh) | 一种基于概率图模型的电力监控***网络安全告警评估方法 | |
CN111507368B (zh) | 一种校园网入侵检测方法和*** | |
CN115842645A (zh) | 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |