CN1809000A - 一种网络入侵的检测方法 - Google Patents
一种网络入侵的检测方法 Download PDFInfo
- Publication number
- CN1809000A CN1809000A CN 200610020268 CN200610020268A CN1809000A CN 1809000 A CN1809000 A CN 1809000A CN 200610020268 CN200610020268 CN 200610020268 CN 200610020268 A CN200610020268 A CN 200610020268A CN 1809000 A CN1809000 A CN 1809000A
- Authority
- CN
- China
- Prior art keywords
- detection
- data
- network
- detection method
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种网络入侵的检测方法,涉及一种互联网络的安全检测方法,特别涉及一种通过检测网络数据流量进行判断是否网络入侵的检测方法,是为了解决现有技术中存在的适应性差、检测准确率低的问题而提出,本发明采用预处理步骤、学习步骤、检测步骤的数据处理结构,学习步骤和检测步骤采用BP神经网络作为模型进行数据数据处理,并通过***状态的不同,对预处理步骤输出的数据分别传入学习步骤和/或检测步骤,与现有技术相比,具有自学习能力、检测准确率高、适应性强的优点,适用于IP网络异常流量的入侵检测。
Description
技术领域
本发明涉及一种互联网络的安全检测方法,特别涉及一种通过检测网络数据流量进行判断是否网络入侵的检测方法。
背景技术
在网络入侵检测***中,最关键的是入侵检测方法。检测方法多采用特征匹配判断和异常检测判断。特征匹配判断主要是检测网络攻击数据中的关键字,因此黑客很容易通过修改关键字来达到躲避检测的目的;异常检测判断通过各种异常检测方法区分正常行为和异常行为,识别网络攻击。异常检测不受关键字的约束,检测模型一旦正确建立,就能够检测某一类行为特征相似的攻击。但是,模型的正确建立受很多因素影响,如果检测模型和实际环境偏差过大,就会造成检测准确率下降。
目前,在实用的入侵检测***中,应用得最多的异常检测方法是依靠统计方法,它理论成熟,原理简单,但是适应性较差。其他很多异常检测技术还处在研究阶段,其中神经网络技术和数据挖掘技术较为成熟,但没有完整的解决方案。
发明内容
本发明的目的是为了提供解决现有网络入侵检测方法存在的上述不足,提供一种可检测网络异常流量,具有自学习能力,适应性强,检测准确率更高的网络入侵检测方法。
本发明的目的是通过下述技术方案来实现的:
一种网络入侵的检测方法,通过检测网络传输的数据流量特征判断数据的正当性,其特征在于:所述的检测方法包括数据预处理、学习和检测三个步骤,数据首先通过预处理步骤,提取需要检测的网络流量特征数据,产生学习或检测用的数据样本;学习步骤收集经过预处理的数据样本,生成新的检测模型,用于异常检测;检测步骤则使用检测模型检测预处理部分传来的样本数据,判断该数据为正常或异常。
上述的学习和检测步骤采用神经网络作为模型。
所述的神经网络为BP神经网络。
所述的BP神经网络采用变学习速率BP算法,为三层结构,输入层和隐含层节点数由所检测的流量特征的数目确定,输出层节点数为1。
上述的数据预处理步骤中包括流量特征提取和流量特征分析。
所述的流量特征提取所提取的流量特征数据包括:
a.TCP平均报文长度;
b.TCP协议中的SYN报文流量;
c.SYN报文和SYN+ACK报文的比例;
d.RST报文的流量;UDP报文长度;
e.UDP占总报文数的比例;
f.ICMP报文长度;
g.ICMP占总报文数的比例;
h.ICMP协议的echo请求和echo应答的比例;
i.会话的平均长度;
j.会话的平均时间
所述的流量特征分析是指采用统计的方法计算出网络流量的特征样本数据,并对样本进行初步的检测,如果确定为异常,则标记为异常样本,并向异常报警步骤发出信息,否则进入学习步骤或检测步骤。
所述的检测方法设置有状态标志,分别对应学习状态、检测状态、检测模型更新状态三种状态,状态标志表示为学习状态时,预处理步骤的输出数据传入学习步骤;状态标志表示检测状态时,预处理步骤的输出数据传入检测步骤;状态标志表示检测模型更新状态时,预处理步骤的输出数据分别传入学习步骤和检测步骤。
本发明的有益效果是,当神经网络检测模型建立以后,可以正确地检测诸如FLOOD攻击、端口扫描的异常的网络流量,可以有效地检测异常的网络流量;特有的学习步骤可以随网络环境的不同,调整检测模型参数,以适应不同的网络流量环境,并通过不断的学习产生新的检测模型,替代旧的检测模型,从而更好地反映出当前的网络流量状态。可见,采用上述方法的本发明,与传统的使用统计方法的异常检测方法相比较,由于神经网络自身的特性,具有计算代价更小,实时性更好,自学习能力高,适应性强,检测准确率高的优点。可用于网络检测入侵信号或入侵行为。
附图说明
图1是本发明的流程示意框图;
图2是本发明的状态转换示意框图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的说明。
实施例:网络入侵检测方法由数据抓包步骤、解码步骤、数据预处理步骤、学习步骤、检测步骤和异常报警步骤组成,如图1所示,数据抓包步骤收集网络原始数据;解码步骤解析数据网络协议;数据预处理步骤提取数据的流量特征;学习步骤收集到足够的流量特征数据,生成一个新的检测模型,用于代替原有检测模型;检测步骤使用学习步骤产生的检测模型检测网络数据;异常报警步骤得到检测步骤的消息产生异常报警。
一个完整的检测流程如下所述:
当数据抓包步骤捕获网络数据后,送到解码步骤解析数据包的网络协议;通过解码后,送入预处理步骤,在预处理步骤中,***提取数据包的信息,计算出流量特征,根据***的当前状态进入不同的步骤。当***状态为0,即学习状态时,数据送入学习步骤;当***状态为1,即检测状态,数据送入检测步骤;当***状态为2,即检测模型更新状态,数据分别送入学习步骤和检测步骤,学习步骤生成新的检测模型送入检测步骤替代原来的检测模型,检测步骤检测到该数据,视为报警,则通知异常报警步骤。异常报警步骤得到通知,产生异常报警。
如图2,***状态的转换流程如下:
1.当***安装在一个新的网络环境,***状态为0,即学习状态。在学习状态,样本数据不经过检测步骤;
2.当学习结束后,新的检测模型安装到检测步骤中,***状态变为1,即检测状态,此时,样本数据不经过学习步骤;
3.***运行过程中,可以定期或不定期的更新检测模型。当更新检测模型时,***状态变为2,即检测模型更新状态。在更新状态中,样本数据分别送到学习步骤和检测步骤,检测步骤使用当前的检测模型进行异常检测。
本发明适用于IP网络的异常流量的入侵检测,使用本发明所公开的检测方法的网络设备,可作为独立的网络设备产品或者作为网络入侵检测设备的一部分。
Claims (8)
1、一种网络入侵的检测方法,通过检测网络传输的数据流量特征判断数据的正当性,其特征在于:所述的检测方法包括预处理、学习和检测三个步骤,数据首先通过预处理步骤,提取需要检测的网络流量特征数据,产生学习或检测用的数据样本;学习步骤收集经过预处理的数据样本,生成新的检测模型,用于异常检测;检测步骤则使用检测模型检测预处理步骤传来的样本数据,判断该数据为正常或异常。
2、如权利要求1所述的一种网络入侵的检测方法,其特征在于:学习和检测步骤采用神经网络作为模型。
3、如权利要求2所述的一种网络入侵的检测方法,其特征在于:所述的神经网络为BP神经网络。
4、如权利要求3所述的一种网络入侵的检测方法,其特征在于:所述的BP神经网络采用变学习速率BP算法,为三层结构,输入层和隐含层节点数由选定的流量特征的数量确定,输出层节点数为1。
5、如权利要求1或4所述的一种网络入侵的检测方法,其特征在于:预处理步骤中包括流量特征提取和流量特征分析。
6、如权利要求5所述的一种网络入侵的检测方法,其特征在于:所述的流量特征提取所提取的流量特征数据包括,
a.TCP平均报文长度;
b.TCP协议中的SYN报文流量;
c.SYN报文和SYN+ACK报文的比例;
d.RST报文的流量;UDP报文长度;
e.UDP占总报文数的比例;
f.ICMP报文长度;
g.ICMP占总报文数的比例;
h.ICMP协议的echo请求和echo应答的比例;
i.会话的平均长度;
j.会话的平均时间。
7、如权利要求6所述的一种网络入侵的检测方法,其特征在于:所述的流量特征分析是指采用统计的方法计算出网络流量的特征样本数据,并对样本进行初步的检测,如果确定为异常,则标记为异常样本,并向异常报警步骤发出信息,否则进入学习步骤或检测步骤。
8、如权利要求1或7所述的一种网络入侵的检测方法,其特征在于:所述的检测方法设置有状态标志,分别对应学习状态、检测状态、检测模型更新状态三种状态,状态标志表示为学习状态时,预处理步骤的输出数据传入学习步骤;状态标志表示检测状态时,预处理步骤的输出数据传入检测步骤;状态标志表示检测模型更新状态时,预处理步骤的输出数据分别传入学习步骤和检测步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610020268 CN1809000A (zh) | 2006-02-13 | 2006-02-13 | 一种网络入侵的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610020268 CN1809000A (zh) | 2006-02-13 | 2006-02-13 | 一种网络入侵的检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1809000A true CN1809000A (zh) | 2006-07-26 |
Family
ID=36840703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610020268 Pending CN1809000A (zh) | 2006-02-13 | 2006-02-13 | 一种网络入侵的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1809000A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257416B (zh) * | 2008-03-11 | 2010-08-18 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
| CN101399672B (zh) * | 2008-10-17 | 2011-03-02 | 章毅 | 一种多神经网络融合的入侵检测方法 |
| CN102075383A (zh) * | 2010-12-29 | 2011-05-25 | 深圳市永达电子股份有限公司 | 一种基于神经网络的低幅值网络流量异常检测方法 |
| CN101267353B (zh) * | 2008-04-24 | 2011-12-21 | 北京大学 | 一种载荷无关的检测网络滥用行为的方法 |
| CN101523848B (zh) * | 2006-09-29 | 2013-03-27 | 阿尔卡特朗讯公司 | 使用ⅱ型模糊神经网络的智能网络异常检测 |
| CN103152225A (zh) * | 2013-03-22 | 2013-06-12 | 东华大学 | 一种基于VC++和tshark的流量监测和病毒防御方法 |
| CN103731433A (zh) * | 2014-01-14 | 2014-04-16 | 上海交通大学 | 一种物联网攻击检测***和攻击检测方法 |
| CN104123448A (zh) * | 2014-07-14 | 2014-10-29 | 南京理工大学 | 基于上下文的多数据流异常检测方法 |
| CN104318304A (zh) * | 2014-10-20 | 2015-01-28 | 上海电机学院 | 一种用于模式识别的基于样本学习的bp网络结构设计方法 |
| CN105577685A (zh) * | 2016-01-25 | 2016-05-11 | 浙江海洋学院 | 云计算环境中的自主分析入侵检测方法及*** |
| CN107896229A (zh) * | 2017-12-26 | 2018-04-10 | 黄河交通学院 | 一种计算机网络异常检测的方法、***及移动终端 |
| CN108353005A (zh) * | 2015-09-22 | 2018-07-31 | 瑞博股份有限公司 | 用于监控控制***的方法和设备 |
| CN110445808A (zh) * | 2019-08-26 | 2019-11-12 | 杭州迪普科技股份有限公司 | 异常流量攻击防护方法、装置、电子设备 |
| CN112291184A (zh) * | 2019-07-24 | 2021-01-29 | 厦门雅迅网络股份有限公司 | 基于神经网络集群的车内网入侵检测方法和终端设备 |
| CN112929364A (zh) * | 2021-02-05 | 2021-06-08 | 上海观安信息技术股份有限公司 | 一种基于icmp隧道分析的数据泄漏检测方法及*** |
-
2006
- 2006-02-13 CN CN 200610020268 patent/CN1809000A/zh active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523848B (zh) * | 2006-09-29 | 2013-03-27 | 阿尔卡特朗讯公司 | 使用ⅱ型模糊神经网络的智能网络异常检测 |
| CN101257416B (zh) * | 2008-03-11 | 2010-08-18 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
| CN101267353B (zh) * | 2008-04-24 | 2011-12-21 | 北京大学 | 一种载荷无关的检测网络滥用行为的方法 |
| CN101399672B (zh) * | 2008-10-17 | 2011-03-02 | 章毅 | 一种多神经网络融合的入侵检测方法 |
| CN102075383A (zh) * | 2010-12-29 | 2011-05-25 | 深圳市永达电子股份有限公司 | 一种基于神经网络的低幅值网络流量异常检测方法 |
| CN103152225A (zh) * | 2013-03-22 | 2013-06-12 | 东华大学 | 一种基于VC++和tshark的流量监测和病毒防御方法 |
| CN103731433A (zh) * | 2014-01-14 | 2014-04-16 | 上海交通大学 | 一种物联网攻击检测***和攻击检测方法 |
| CN104123448B (zh) * | 2014-07-14 | 2017-05-17 | 南京理工大学 | 基于上下文的多数据流异常检测方法 |
| CN104123448A (zh) * | 2014-07-14 | 2014-10-29 | 南京理工大学 | 基于上下文的多数据流异常检测方法 |
| CN104318304A (zh) * | 2014-10-20 | 2015-01-28 | 上海电机学院 | 一种用于模式识别的基于样本学习的bp网络结构设计方法 |
| CN108353005A (zh) * | 2015-09-22 | 2018-07-31 | 瑞博股份有限公司 | 用于监控控制***的方法和设备 |
| CN105577685A (zh) * | 2016-01-25 | 2016-05-11 | 浙江海洋学院 | 云计算环境中的自主分析入侵检测方法及*** |
| CN107896229A (zh) * | 2017-12-26 | 2018-04-10 | 黄河交通学院 | 一种计算机网络异常检测的方法、***及移动终端 |
| CN112291184A (zh) * | 2019-07-24 | 2021-01-29 | 厦门雅迅网络股份有限公司 | 基于神经网络集群的车内网入侵检测方法和终端设备 |
| CN112291184B (zh) * | 2019-07-24 | 2024-03-01 | 厦门雅迅网络股份有限公司 | 基于神经网络集群的车内网入侵检测方法和终端设备 |
| CN110445808A (zh) * | 2019-08-26 | 2019-11-12 | 杭州迪普科技股份有限公司 | 异常流量攻击防护方法、装置、电子设备 |
| CN112929364A (zh) * | 2021-02-05 | 2021-06-08 | 上海观安信息技术股份有限公司 | 一种基于icmp隧道分析的数据泄漏检测方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1809000A (zh) | 一种网络入侵的检测方法 | |
| CN109302378B (zh) | 一种SDN网络DDoS攻击检测方法 | |
| CN111614627B (zh) | 一种面向sdn的跨平面协作ddos检测与防御方法与*** | |
| CN101051953A (zh) | 基于模糊神经网络的异常检测方法 | |
| CN100384149C (zh) | 突发性异常网络流量的检测与监控方法 | |
| CN105847283A (zh) | 一种基于信息熵方差分析的异常流量检测方法 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN110535878B (zh) | 一种基于事件序列的威胁检测方法 | |
| CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及*** | |
| CN103634296A (zh) | 基于物理***和信息网络异常数据融合的智能电网攻击检测方法 | |
| CN1949720A (zh) | 一种分布式网络入侵检测*** | |
| CN108573283A (zh) | 一种转辙机缺口监控防漏报的设计方法 | |
| CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全***及检测方法 | |
| TW200522627A (en) | Methodology of predicting distributed denial of service based on gray theory | |
| CN113810362A (zh) | 一种安全风险检测处置***及其方法 | |
| CN111478925B (zh) | 应用于工业控制环境的端口扫描检测方法、*** | |
| CN104021348B (zh) | 一种隐匿p2p程序实时检测方法及*** | |
| CN108584588A (zh) | 一种基于大规模流数据的电梯门故障检测方法 | |
| CN1848745A (zh) | 基于网络流量特征的蠕虫病毒检测方法 | |
| CN104796822A (zh) | 音频啸叫检测方法、使用该方法的视频监控方法及*** | |
| CN112153076A (zh) | 一种计算机网络安全入侵检测*** | |
| CN102104606A (zh) | 一种内网蠕虫主机检测方法 | |
| CN111490976A (zh) | 一种面向工控网络的动态基线管理与监测方法 | |
| CN202652243U (zh) | 基于节点的僵尸网络检测*** | |
| Wu et al. | Dynamic hierarchical distributed intrusion detection system based on multi-agent system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |