CN110276195A - 一种智能设备入侵检测方法、设备及存储介质 - Google Patents
一种智能设备入侵检测方法、设备及存储介质 Download PDFInfo
- Publication number
- CN110276195A CN110276195A CN201910340862.1A CN201910340862A CN110276195A CN 110276195 A CN110276195 A CN 110276195A CN 201910340862 A CN201910340862 A CN 201910340862A CN 110276195 A CN110276195 A CN 110276195A
- Authority
- CN
- China
- Prior art keywords
- data
- standardized
- smart machine
- intrusion detection
- model data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能设备入侵检测方法、设备及存储介质,通过获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。通过应用本申请的技术方案,实现了针对实际智能设备运行场景的入侵检测,通过分析检测网络数据包的相应特征,从而判断其是否为入侵攻击,主动拦截恶意行为,并留存日志报告给用户进行审核与评估。满足不影响用户体验的要求,对应用于智能设备的入侵检测***而言兼备可靠性与可行性。
Description
技术领域
本发明涉及信息技术安全领域,特别是指一种智能设备入侵检测方法、设备及存储介质。
背景技术
入侵检测***是计算机的监视***,以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS(Intrusion Detection Systems,入侵检测***)和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。入侵检测***不断飞速发展,许多公司投入到这一领域上来,Venustech(启明星辰)、Internet SecuritySystem(ISS)、思科、赛门铁克等公司都推出了自己的产品。
现有的入侵检测方法主要为:1)基于异常的检测技术:基于异常的检测技术是先定义一组***“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察***、并用统计的办法得出),然后将***运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。2)误用入侵检测技术:误用入侵检测技术主要是通过某种方式预先定义入侵行为,然后监视***的运行,并从中找出符合预先定义规则的入侵行为。误用入侵检测***是假设入侵者活动可以用一种模式来表示,***的目标是检测主体活动是否符合这些模式。
目前主流的入侵检测***大都是网络入侵检测和主机入侵检测的结合,以审计信息与网络数据包为信息源,某些***在提高准确率和误报率上也做了不少工作,针对大数据场景,在分布式与机器学习领域进行结合利用。但当前入侵检测***的发展还面临着很多挑战,尤其针对智能设备的入侵检测仍十分匮乏。
发明内容
有鉴于此,本发明的目的在于提出一种可以截获智能设备攻击流量,并通过统计分析进行特征提取,通过分析检测网络数据包的相应特征,从而判断其是否为入侵攻击,主动拦截恶意行为,并留存日志报告给用户进行审核与评估的智能设备入侵检测方法、设备及存储介质。
基于上述目的,第一方面,本发明提供了一种智能设备入侵检测方法,包括:
获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;
获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;
若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。
在一些实施方式中,所述判断所述标准化数据是否符合所述模型数据,还包括:
若否,则将所述标准化数据对应的所述待处理数据判定为正常数据,将所述正常数据顺序排列于前一所述正常数据之后,等待顺序传输所述待处理数据。
在一些实施方式中,所述将所述标准化数据对应的所述待处理数据判定为入侵数据,具体包括:
将所述入侵数据直接丢弃,并生成入侵日志报文;根据所述入侵日志报文触发入侵报警。
在一些实施方式中,所述根据所述模型数据对所述标准化数据进行聚类分析,具体包括:
对所述模型数据以及所述标准化数据进行初始中心优化,利用应用Fisher线性判别率准则的加权的欧氏距离实现优化的K-means聚类算法对所述标准化数据进行聚类。
在一些实施方式中,所述获取预设的模型数据之前,还包括:
获取用户的更新指令,根据所述更新指令获取更新模型数据;
根据所述更新模型数据比较原有的所述模型数据,对所述模型数据进行修正、调整和/或删除,生成新的所述模型数据。
在一些实施方式中,所述对所述待处理数据进行标准化处理得到标准化数据,具体包括:
根据预设的特征提取规则,统计并提取所述待处理数据;
将提取出的特征属性进行向量化表示,根据向量化表示后的所述待处理数据生成所述标准化数据。
在一些实施方式中,所述根据预设的特征提取规则,具体包括:
所述特征提取规则所要提取的特征至少包括:TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和/或基于主机的网络流量统计特征。
在一些实施方式中,所述获取待处理数据之前,还包括:
获取用户的配置文件,根据所述配置文件生成拦截预案;
获取所有请求数据,根据所述拦截预案获取所述请求数据中相对应的所述待处理数据。
第二方面,本发明还提供了一种智能设备入侵检测设备,包括:
获取模块,获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;
聚类模块,获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;
处理模块,若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。
第三方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上所述的智能设备入侵检测方法。
从上面所述可以看出,本发明提供的一种智能设备入侵检测方法、设备及存储介质,通过获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。通过应用本申请的技术方案,实现了针对实际智能设备运行场景的入侵检测,通过分析检测网络数据包的相应特征,从而判断其是否为入侵攻击,主动拦截恶意行为,并留存日志报告给用户进行审核与评估。满足不影响用户体验的要求,对应用于智能设备的入侵检测***而言兼备可靠性与可行性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提出的一种智能设备入侵检测方法的流程示意图;
图2为本发明实施例提出的一种嵌入式智能设备入侵检测***的结构示意图;
图3为本发明实施例提出的一种嵌入式智能设备入侵检测***的工作流程示意图;
图4为本发明实施例提出的一种智能设备入侵检测设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
本发明实施例提供了一种智能设备入侵检测方法,所述智能设备(intelligentdevice)是指任何一种具有计算处理能力的设备、器械或者机器。智能设备是传统电气设备与计算机技术、数据处理技术、控制理论、传感器技术、网络通信技术、电力电子技术等相结合的产物。当计算机技术变得越来越先进,越来越廉价时,就能够构筑各种类型的设备,除了个人和掌上电脑,还有许多智能设备,包括医学器械,地质设备,家用设备等,凡是符合智能设备定义的相应装置均不会影响本发明的保护范围,后续实施例对此不再一一说明。
如图1所示,为本发明实施例提出的一种智能设备入侵检测方法的流程示意图,该方法具体包括以下步骤:
步骤101,获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据。
本步骤旨在将获得的待处理数据进行标准化处理,使待处理数据通过一定的规则归纳为易于处理的标准格式的标准化数据文件。其中,数据标准化的规则可以为很多种,如:词法分析、语法分析、控制流分析、数据流分析等。同时,获取待处理数据也可为多种方式,如:被动有线传输、被动无线传输、主动自主查询获取等。其不同的规则以及获取方法只要能达到相应的目的,不同的方法均不会影响本发明的保护范围。
进一步的,为了方便后续数据比较,对不同类型的数据进行数字化表征同时形象化的表示各个数据的特征,在本申请的优选实施例中,所述对所述待处理数据进行标准化处理得到标准化数据,具体包括:
根据预设的特征提取规则,统计并提取所述待处理数据;
将提取出的特征属性进行向量化表示,根据向量化表示后的所述待处理数据生成所述标准化数据。
进一步的,为了针对数据所共有的且在入侵数据中普遍存在的一些基础特征进行有针对性的特征提取,在本申请的优选实施例中,所述根据预设的特征提取规则,具体包括:
所述特征提取规则所要提取的特征至少包括:TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和/或基于主机的网络流量统计特征。
进一步的,为了实时的跟进更新用户对于设备的配置,同时纳入新的智能设备为检测对象,在本申请的优选实施例中,所述获取待处理数据之前,还包括:
获取用户的配置文件,根据所述配置文件生成拦截预案;
获取所有请求数据,根据所述拦截预案获取所述请求数据中相对应的所述待处理数据。
在具体应用场景中,特征提取和入侵检测算法,决定了入侵检测的准确率和效率。特征提取是入侵检测的基础,负责提取流量信息,以便与网络入侵和***误用模式相匹配,从而检测出入侵攻击。在本具体应用场景中,配置器负责与用户进行交互可以接受用户对于智能设备进行入侵检测的配置。***是负责拦截客户端对智能设备发起的所有请求数据包,通过对智能设备的信息传输端口扫描得以实现,将拦截的数据包通过安全传输模块输入至入侵检测模块以供后续分析检测。入侵检测模块是对请求数据包进行特征提取,生成标准化的特征属性描述,而后输入给聚类分析器进行入侵行为判别。其中包括数据处理模块,数据处理模块是在数据包解析的基础上,通过统计变换提取出TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征及基于主机的网络流量统计特征四大类的特征属性,并进行标准化处理。然后向聚类分析器提供接口以读取这些信息。
步骤102,获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据。
本步骤旨在将标准化数据与模型数据进行对比聚类,并对聚类的结果进行判断。其中聚类分析是一种探索性的分析,在分类的过程中,不必事先给出一个分类的标准,聚类分析能够从样本数据出发,自动进行分类。聚类分析的方式方法有很多种:合并法、分解法、树状图、划分聚类、谱聚类等。同时,获取预设的模型数据也可为多种方式,如:被动有线传输、被动无线传输、主动自主查询获取等。其不同的聚类分析方法以及获取方法只要能达到相应的目的,不同的方法均不会影响本发明的保护范围。
进一步的,为了有效区分正常数据与入侵数据,同时使正常数据能够正常的进行数据传输,在本申请的优选实施例中,所述判断所述标准化数据是否符合所述模型数据,还包括:
若否,则将所述标准化数据对应的所述待处理数据判定为正常数据,将所述正常数据顺序排列于前一所述正常数据之后,等待顺序传输所述待处理数据。
进一步的,为了使聚类分析方法更适应智能设备的各种特征进而进一步提高检测的准确率,在本申请的优选实施例中,所述根据所述模型数据对所述标准化数据进行聚类分析,具体包括:
对所述模型数据以及所述标准化数据进行初始中心优化,利用应用Fisher线性判别率准则的加权的欧氏距离实现优化的K-means聚类算法对所述标准化数据进行聚类。
进一步的,为了实时的跟进更新对于入侵检测的模型数据,进而达到对模型数据的及时修正与调整,在本申请的优选实施例中,所述获取预设的模型数据之前,还包括:
获取用户的更新指令,根据所述更新指令获取更新模型数据;
根据所述更新模型数据比较原有的所述模型数据,对所述模型数据进行修正、调整和/或删除,生成新的所述模型数据。
在具体应用场景中,在特征向量的基础上进行聚类分析,判断用户请求的是否存在入侵攻击行为,并向结果处理器提供判别结果;根据判别结果,若判断结果为不存在入侵攻击行为,则对数据包进行继续转发的处理。其中,模型管理模块负责为入侵检测模块提供特征提取规则,同时,能够对入侵检测的模型进行修正和调整;聚类分析模块主要是在已处理数据的基础上,使用聚类算法进行聚类分析,判断用户请求的是否存在入侵攻击行为,并向结果处理器提供接口以读取判别结果;结果处理模块根据判别结果,对数据包进行标记。并根据标记将正常请求数据包传入安全传输模块进行排队等待。同时,相对于其他入侵检测技术,本***采用初始中心优化方法,并结合应用Fisher线性判别率准则的加权的欧氏距离实现优化的K-means聚类算法的聚类,从而大大提高检测的准确率。
步骤103,若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。
本步骤旨在将对应的待处理数据标记为入侵数据。其中标记的方式有很多种,如:设置特殊标记、设置特殊抬头、设置标签等。其不同的标记方法只要能达到相应的目的,不同的方法均不会影响本发明的保护范围。
进一步的,为了有效处理入侵文件,同时达到提醒用户和资料报备的目的,在本申请的优选实施例中,所述将所述标准化数据对应的所述待处理数据判定为入侵数据,具体包括:
将所述入侵数据直接丢弃,并生成入侵日志报文;根据所述入侵日志报文触发入侵报警。
在具体应用场景中,结果处理模块根据判别结果,对数据包进行标记。将入侵攻击数据包丢弃,并生成日志传入入侵报警器。
通过应用本申请的技术方案,该方案通过获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。通过应用本申请的技术方案,实现了针对实际智能设备运行场景的入侵检测,通过分析检测网络数据包的相应特征,从而判断其是否为入侵攻击,主动拦截恶意行为,并留存日志报告给用户进行审核与评估。满足不影响用户体验的要求,对应用于智能设备的入侵检测***而言兼备可靠性与可行性。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
如图2所示,在本具体应用场景中,嵌入式智能设备入侵检测***(Embeddedintelligent device intrusion detection system,IDIDS)主要由客户端、安全传输引擎、入侵检测引擎三个子***组成。
(1)客户端:
1)检测配置器负责与用户进行交互可以接受用户对于智能设备进行入侵检测的配置。
2)请求***的目的是负责拦截客户端对智能设备发起的所有请求数据包,通过对智能设备的信息传输端口扫描得以实现,将拦截的数据包通过安全传输引擎输入至入侵检测引擎以供后续分析检测。
3)入侵报警器实现的功能是根据入侵检测引擎的结果,将发现的入侵攻击行为日志报告给用户。
(2)安全传输引擎实现的功能是对请求数据包的加密传输、排队转发。对拦截的请求数据包进行加密,保证传输过程中的信息安全。并对通过入侵检测的请求进行排队,安全转发给智能设备完成请求任务。
(3)入侵检测引擎的目标是对请求数据包进行特征提取,生成标准化的特征属性描述,而后输入聚类分析器进行入侵行为判别。结果处理器根据判别结果,分别传入报警处理器进行阻断报警,或传入安全传输引擎进行请求转发。根据功能需求,又划分为数据处理器、聚类分析器、模型管理器、
结果处理器四个子模块。
1)数据处理器是在数据包解析的基础上,通过统计变换提取出TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征及基于主机的网络流量统计特征四大类的特征属性,并进行标准化处理。然后向聚类分析器提供接口以读取这些信息。
2)聚类分析器主要是在已处理数据的基础上,使用聚类算法进行聚类分析,判断用户请求的是否存在入侵攻击行为,并向结果处理器提供接口以读取判别结果。
3)模型管理器负责为入侵检测引擎提供特征提取规则,同时,能够对入侵检测的模型进行修正和调整。
4)结果处理器根据判别结果,对数据包进行标记。并根据标记将正常请求数据包传入安全传输引擎进行排队等待,将入侵攻击数据包丢弃,并生成日志传入入侵报警器。
如图3所示,IDIDS主要处理步骤如下:
1.用户配置好IDIDS检测的智能设备目录、信息传输接口、协议目录后,IDIDS开始工作。
2.IDIDS首先对用户配置的设备进行请求拦截。
3.读取模型管理器中的特征提取规则,处理请求数据包,统计并提取特征属性,用特征属性向量描述请求数据包。
4.在特征向量的基础上进行聚类分析,判断用户请求的是否存在入侵攻击行为,并向结果处理器提供判别结果。
5.根据判别结果对数据包进行丢弃或继续转发的处理。
通过应用本申请的技术方案,该方案通过获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。通过应用本申请的技术方案,实现了针对实际智能设备运行场景的入侵检测,通过分析检测网络数据包的相应特征,从而判断其是否为入侵攻击,主动拦截恶意行为,并留存日志报告给用户进行审核与评估。满足不影响用户体验的要求,对应用于智能设备的入侵检测***而言兼备可靠性与可行性。
基于同一发明构思,本发明实施例还提供了一种智能设备入侵检测设备,如图4所示,包括:
获取模块401,获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;
聚类模块402,获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;
处理模块403,若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。
在具体的应用场景中,所述聚类模块402判断所述标准化数据是否符合所述模型数据,还包括:
传输模块404,若否,则将所述标准化数据对应的所述待处理数据判定为正常数据,将所述正常数据顺序排列于前一所述正常数据之后,等待顺序传输所述待处理数据。
在具体的应用场景中,所述处理模块403将所述标准化数据对应的所述待处理数据判定为入侵数据,具体包括:
将所述入侵数据直接丢弃,并生成入侵日志报文;根据所述入侵日志报文触发入侵报警。
在具体的应用场景中,所述聚类模块402根据所述模型数据对所述标准化数据进行聚类分析,具体包括:
对所述模型数据以及所述标准化数据进行初始中心优化,利用应用Fisher线性判别率准则的加权的欧氏距离实现优化的K-means聚类算法对所述标准化数据进行聚类。
在具体的应用场景中,所述聚类模块402获取预设的模型数据之前,还包括:
获取用户的更新指令,根据所述更新指令获取更新模型数据;
根据所述更新模型数据比较原有的所述模型数据,对所述模型数据进行修正、调整和/或删除,生成新的所述模型数据。
在具体的应用场景中,所述获取模块401对所述待处理数据进行标准化处理得到标准化数据,具体包括:
根据预设的特征提取规则,统计并提取所述待处理数据;
将提取出的特征属性进行向量化表示,根据向量化表示后的所述待处理数据生成所述标准化数据。
在具体的应用场景中,所述获取模块401根据预设的特征提取规则,具体包括:
所述特征提取规则所要提取的特征至少包括:TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和/或基于主机的网络流量统计特征。
在具体的应用场景中,所述获取模块401获取待处理数据之前,还包括:
获取用户的配置文件,根据所述配置文件生成拦截预案;
获取所有请求数据,根据所述拦截预案获取所述请求数据中相对应的所述待处理数据。
上述实施例的设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上所述的智能设备入侵检测方法。
上述实施例的存储介质用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
需要说明的是,以上实施例仅为用以说明本发明的技术方案,而非对其的限制。尽管参照前述实施例对发明的进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例技术方案的精神和保护范围。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种智能设备入侵检测方法,其特征在于,包括:
获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;
获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;
若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。
2.根据权利要求1所述的一种智能设备入侵检测方法,其特征在于,所述判断所述标准化数据是否符合所述模型数据,还包括:
若否,则将所述标准化数据对应的所述待处理数据判定为正常数据,将所述正常数据顺序排列于前一所述正常数据之后,等待顺序传输所述待处理数据。
3.根据权利要求1所述的一种智能设备入侵检测方法,其特征在于,所述将所述标准化数据对应的所述待处理数据判定为入侵数据,具体包括:
将所述入侵数据直接丢弃,并生成入侵日志报文;根据所述入侵日志报文触发入侵报警。
4.根据权利要求1所述的一种智能设备入侵检测方法,其特征在于,所述根据所述模型数据对所述标准化数据进行聚类分析,具体包括:
对所述模型数据以及所述标准化数据进行初始中心优化,利用应用Fisher线性判别率准则的加权的欧氏距离实现优化的K-means聚类算法对所述标准化数据进行聚类。
5.根据权利要求1所述的一种智能设备入侵检测方法,其特征在于,所述获取预设的模型数据之前,还包括:
获取用户的更新指令,根据所述更新指令获取更新模型数据;
根据所述更新模型数据比较原有的所述模型数据,对所述模型数据进行修正、调整和/或删除,生成新的所述模型数据。
6.根据权利要求1所述的一种智能设备入侵检测方法,其特征在于,所述对所述待处理数据进行标准化处理得到标准化数据,具体包括:
根据预设的特征提取规则,统计并提取所述待处理数据;
将提取出的特征属性进行向量化表示,根据向量化表示后的所述待处理数据生成所述标准化数据。
7.根据权利要求6所述的一种智能设备入侵检测方法,其特征在于,所述根据预设的特征提取规则,具体包括:
所述特征提取规则所要提取的特征至少包括:TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和/或基于主机的网络流量统计特征。
8.根据权利要求1所述的一种智能设备入侵检测方法,其特征在于,所述获取待处理数据之前,还包括:
获取用户的配置文件,根据所述配置文件生成拦截预案;
获取所有请求数据,根据所述拦截预案获取所述请求数据中相对应的所述待处理数据。
9.一种智能设备入侵检测设备,其特征在于,包括:
获取模块,获取待处理数据,对所述待处理数据进行标准化处理得到标准化数据;
聚类模块,获取预设的模型数据,根据所述模型数据对所述标准化数据进行聚类分析,判断所述标准化数据是否符合所述模型数据;
处理模块,若是,则将所述标准化数据对应的所述待处理数据判定为入侵数据。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行权利要求1-8任一项所述的智能设备入侵检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910340862.1A CN110276195A (zh) | 2019-04-25 | 2019-04-25 | 一种智能设备入侵检测方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910340862.1A CN110276195A (zh) | 2019-04-25 | 2019-04-25 | 一种智能设备入侵检测方法、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110276195A true CN110276195A (zh) | 2019-09-24 |
Family
ID=67959542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910340862.1A Pending CN110276195A (zh) | 2019-04-25 | 2019-04-25 | 一种智能设备入侵检测方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110276195A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636086A (zh) * | 2019-11-13 | 2019-12-31 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN111107152A (zh) * | 2019-12-19 | 2020-05-05 | 浙江军盾信息科技有限公司 | 一种车联网终端入侵处理方法、装置、设备及存储介质 |
| CN112906786A (zh) * | 2021-02-07 | 2021-06-04 | 滁州职业技术学院 | 一种基于朴素贝叶斯模型的数据分类改进方法 |
| CN113297577A (zh) * | 2021-06-16 | 2021-08-24 | 深信服科技股份有限公司 | 一种请求处理方法、装置、电子设备及可读存储介质 |
| CN114666137A (zh) * | 2022-03-25 | 2022-06-24 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御*** |
| CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
| CN108632278A (zh) * | 2018-05-08 | 2018-10-09 | 北京理工大学 | 一种基于pca与贝叶斯相结合的网络入侵检测方法 |
| CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及*** |
-
2019
- 2019-04-25 CN CN201910340862.1A patent/CN110276195A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御*** |
| CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
| CN108632278A (zh) * | 2018-05-08 | 2018-10-09 | 北京理工大学 | 一种基于pca与贝叶斯相结合的网络入侵检测方法 |
| CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及*** |
Non-Patent Citations (2)
| Title |
|---|
| 冯光升 等: "《信息***安全实验》", 28 February 2014 * |
| 刘晓勇 等: "《Python语言程序设计基础》", 31 January 2019 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636086A (zh) * | 2019-11-13 | 2019-12-31 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN110636086B (zh) * | 2019-11-13 | 2023-12-26 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN111107152A (zh) * | 2019-12-19 | 2020-05-05 | 浙江军盾信息科技有限公司 | 一种车联网终端入侵处理方法、装置、设备及存储介质 |
| CN112906786A (zh) * | 2021-02-07 | 2021-06-04 | 滁州职业技术学院 | 一种基于朴素贝叶斯模型的数据分类改进方法 |
| CN113297577A (zh) * | 2021-06-16 | 2021-08-24 | 深信服科技股份有限公司 | 一种请求处理方法、装置、电子设备及可读存储介质 |
| CN113297577B (zh) * | 2021-06-16 | 2024-05-28 | 深信服科技股份有限公司 | 一种请求处理方法、装置、电子设备及可读存储介质 |
| CN114666137A (zh) * | 2022-03-25 | 2022-06-24 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110276195A (zh) | 一种智能设备入侵检测方法、设备及存储介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN107888571A (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测*** | |
| CN110795703B (zh) | 数据防窃取方法和相关产品 | |
| CN114584405A (zh) | 一种电力终端安全防护方法及*** | |
| CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
| TW201926107A (zh) | 計算機裝置及辨識其軟體容器行為是否異常的方法 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| Vashishtha et al. | HIDM: A hybrid intrusion detection model for cloud based systems | |
| CN116756578B (zh) | 车辆信息安全威胁聚合分析预警方法及*** | |
| Wang et al. | An evolutionary computation-based machine learning for network attack detection in big data traffic | |
| CN117319090A (zh) | 一种网络安全智能防护*** | |
| CN117675274A (zh) | 一种基于soar的数据中心*** | |
| CN112272176A (zh) | 一种基于大数据平台的网络安全防护方法及*** | |
| Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
| Ou et al. | Immunity-inspired host-based intrusion detection systems | |
| EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
| CN114124453A (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| CN112861160A (zh) | 一种数据隐私保护***及保护方法 | |
| CN111177765A (zh) | 金融大数据处理方法、存储介质和*** | |
| CN117544420B (zh) | 一种基于数据分析的融合***安全管理方法及*** | |
| Rani | A Perspective for Intrusion Detection & Prevention in Cloud Environment | |
| CN112839053B (zh) | 一种基于自培养的电力工控网络恶意代码防护*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190924 |
|
| RJ01 | Rejection of invention patent application after publication |