專利名稱:一種基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合式入侵檢測方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域���,尤其涉及一種基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合式入侵檢測方法�����。
背景技術(shù):
隨著網(wǎng)絡(luò)入侵和攻擊行為正朝著分布化�����、規(guī)?���;?�、復(fù)雜化、間接化等趨勢發(fā)展��,當(dāng)前對安全產(chǎn)品技術(shù)提出更高的要求�,急需一種高效的網(wǎng)絡(luò)安全告警技術(shù)來提升安全產(chǎn)品的性能。入侵檢測是對入侵行為的檢測�����,入侵檢測系統(tǒng)通過收集網(wǎng)絡(luò)及計算機(jī)系統(tǒng)內(nèi)所有關(guān)鍵節(jié)點的信息���,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略行為及被攻擊跡象���。入侵檢測的數(shù)據(jù)來源是各種網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS��、IPS等)的日志�,這些設(shè)備會實時的記錄每個時間監(jiān)測點目標(biāo)網(wǎng)絡(luò)的活動情況以便分析目標(biāo)網(wǎng)絡(luò)的運行情況。從理論來源分析入侵檢測技術(shù)屬于模式識別中分類問題���,將各種網(wǎng)絡(luò)攻擊抽象成一個已知類別����,將網(wǎng)絡(luò)安全設(shè)備的歷史運行日志做為訓(xùn)練樣本集使用人工智能算法通過訓(xùn)練學(xué)習(xí)得到多分類模型,即入侵檢測系統(tǒng)�����。目前入侵檢測的解決方案��,主要是利用神經(jīng)網(wǎng)絡(luò)�����、支持向量機(jī)等單學(xué)習(xí)機(jī)方法���,而這些單分類器方法均為不穩(wěn)定分類算法����,所謂不穩(wěn)定分類算法就是指訓(xùn)練樣本集發(fā)生一個微小的變化�����,分類器的分類結(jié)果就會產(chǎn)生巨大變化�����。雖然經(jīng)多年研究�,通過各種群智能優(yōu)化算法已使單分類器的穩(wěn)定性有所提高,但單學(xué)習(xí)機(jī)的方法誤差相對較大����、運算速度偏慢、入侵檢測系統(tǒng)的泛化能力低����。泛化能力是指,若某個模型只針對某類問題具有較好的效果�����,對于其他類別問題性能較弱���,則其泛化能力有限�����;反之�,某個模型對于多個類別問題均有較好性能���,則其泛化能力較好����。當(dāng)前主要有兩大類入侵檢測技術(shù),分別是基于誤用技術(shù)�����、基于異常技術(shù)�����?;谡`用技術(shù)是指,假設(shè)所有可能出現(xiàn)的網(wǎng)絡(luò)攻擊類別(“DoS”���、“信息收集類攻擊”��、“信息欺騙類攻擊”��、“利用類攻擊”)均已知�,將待測記錄來匹配這些已知網(wǎng)絡(luò)攻擊類別�����?�;谡`用技術(shù)的優(yōu)勢在于誤報率較低����、對于已知類別的網(wǎng)絡(luò)攻擊判斷迅速,缺點是對于未知種類網(wǎng)絡(luò)攻擊的辯識率低下�����?���;诋惓<夹g(shù)是指,事先根據(jù)規(guī)則定義好“正?��!本W(wǎng)絡(luò)行為的特征��,將待測記錄來匹配該特征�,凡是不匹配的網(wǎng)絡(luò)行為均認(rèn)定為網(wǎng)絡(luò)攻擊�����?���;诋惓<夹g(shù)的優(yōu)勢在于漏報率較低、對于未知類別網(wǎng)絡(luò)攻擊的判斷迅速���,缺點是誤報率偏高���?!奥﹫蟆笔侵笇⒈臼枪舻木W(wǎng)絡(luò)行為認(rèn)定為正常��,“誤報”是指將本是正常的網(wǎng)絡(luò)行為認(rèn)定為攻擊��。由此可見�����,入侵檢測系統(tǒng)的核心性能要求是準(zhǔn)確性和實時性��,目前基于單學(xué)習(xí)機(jī)的解決方案在這兩方面均有不足���。為了改善入侵檢測系統(tǒng)的準(zhǔn)確性�,本發(fā)明采用D-S數(shù)據(jù)融合方式集成多個基于粒子群算法優(yōu)化的核心向量機(jī)設(shè)計入侵檢測系統(tǒng)��,該算法的最大優(yōu)勢在于針對某待測網(wǎng)絡(luò)行為�����,通過D-S數(shù)據(jù)融合方式綜合判斷多個初級入侵檢測模型的初步判斷結(jié)果推出最終推論���,從而得到高精度的分類模型�,并且為了降低誤報率和漏報率��,設(shè)計了復(fù)合式入侵檢測模型���,即由多個改進(jìn)核心向量機(jī)并行工作來同時完成誤用入侵檢測和異常入侵檢測�。為了改善入侵檢測系統(tǒng)的實時性�,本發(fā)明選擇核心向量機(jī)作為入侵檢測的核心算法,從而使得在盡量不降低精度的情況下提高入侵檢測系統(tǒng)的速度����。
發(fā)明內(nèi)容
針對上述背景技術(shù)中提到的目前基于單分類器的入侵檢技術(shù)、僅僅依靠誤用技術(shù)或異常技術(shù)的入侵檢測實施方案中普遍存在的入侵檢測精度低����、實時型差、漏報率和誤報率偏高���、泛化能力差等缺陷����,本發(fā)明提出了一種基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合式入侵檢測方法���。本發(fā)明的技術(shù)方案是通過如下技術(shù)方案實現(xiàn)的:一種基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合式入侵檢測方法��,包含如下步驟:步驟1:從目標(biāo)網(wǎng)絡(luò)一段連續(xù)時間的網(wǎng)絡(luò)安全設(shè)備日志中提取誤用入侵檢測和異常入侵檢測所需要的各時間監(jiān)測點的特征數(shù)據(jù)�����,并將所述特征數(shù)據(jù)轉(zhuǎn)換為矩陣形式的特征向量集合��;所述網(wǎng)絡(luò)安全設(shè)備日志的歷史記錄中包括下述特征數(shù)據(jù):時間監(jiān)測點���、Xl��,X2,…����,Xn屬性的監(jiān)測數(shù)據(jù)和已知入侵檢·測結(jié)果的已知網(wǎng)絡(luò)行為����;步驟2:將所述歷史記錄中的特征數(shù)據(jù)分別構(gòu)造為黑、白名單數(shù)據(jù)樣本子集�;步驟3:對黑、白名單數(shù)據(jù)樣本子集進(jìn)行訓(xùn)練���,分別得到初級誤用入侵檢測模型和初級異常檢測模型�����,并計算出兩種檢測模型的精度����;步驟4:通過D-S證據(jù)理論結(jié)合步驟3中所述兩種檢測模型的精度����,實現(xiàn)初級誤用入侵檢測模型和初級異常檢測模型的數(shù)據(jù)融合,從而得到復(fù)合入侵檢測模型以及該檢測模型的聯(lián)合置信區(qū)間�;步驟5:先通過所述初級誤用入侵檢測模型和初級異常檢測模型判斷出待測網(wǎng)絡(luò)行為的類別標(biāo)號,再根據(jù)所述復(fù)合入侵檢測模型判斷出最終檢測結(jié)果�����。進(jìn)一步地���,所述步驟I中特征向量集合的列數(shù)為n+2���,行數(shù)為歷史記錄的條數(shù)。進(jìn)一步地��,所述步驟2包括如下步驟:步驟2.1:設(shè)定各樣本子集中每條樣本均包括n+2個特征屬性��,其中第一條特征屬性為該樣本的時間監(jiān)測點,第2至第n+1條特征屬性分別對應(yīng)該時間監(jiān)測點的Xl��,X2,…��,Xn屬性的監(jiān)測數(shù)據(jù)����,第n+2條特征屬性對應(yīng)目標(biāo)網(wǎng)絡(luò)當(dāng)時的已知網(wǎng)絡(luò)行為;步驟2.2:將步驟2.1中各屬性Xl�����,X2�,…,Xn的監(jiān)測數(shù)據(jù)按照各自的取值范圍全部歸一化到[O, I]區(qū)間;步驟2.3:將誤用入侵檢測和異常入侵檢測中所有的已知網(wǎng)絡(luò)行為分別設(shè)定為數(shù)值型類別標(biāo)號��;步驟2.4:以步驟2.2歸一化以后的各類特征X1, X2,…���,為改進(jìn)核心向量機(jī)的輸入量��,以步驟2.3誤用入侵檢測的類別標(biāo)號作為改進(jìn)核心向量機(jī)的輸出量���,構(gòu)造成黑名單數(shù)據(jù)樣本子集;步驟2.5:以步驟2.2歸一化以后的各類特征X1, X2,…,Xn作為改進(jìn)核心向量機(jī)的輸入量���,以步驟2.3異常入侵檢測的類別標(biāo)號作為改進(jìn)核心向量機(jī)的輸出量�����,構(gòu)造成白名單數(shù)據(jù)樣本子集。進(jìn)一步地���,所述已知網(wǎng)絡(luò)行為包括“正?��!薄ⅰ熬芙^服務(wù)類攻擊”���、“利用類攻擊”��、“信息收集類攻擊”��、“信息欺騙類攻擊”和“未知種類網(wǎng)絡(luò)攻擊”���,將上述六種已知網(wǎng)絡(luò)行為的類別標(biāo)號設(shè)定為_2、-1�、0、+1、+2�����、+3����。
進(jìn)一步地,所述步驟3包括如下步驟:步驟3.1:設(shè)定改進(jìn)核心向量機(jī)的訓(xùn)練參數(shù)���,所述訓(xùn)練參數(shù)包括核函數(shù)類型�����、粒子群算法最大迭代次數(shù)�����、粒子群算法種群規(guī)模和粒子群算法的適應(yīng)度函數(shù)�����;步驟3.2:分別將黑�、白名單數(shù)據(jù)樣本子集輸入到改進(jìn)核心向量機(jī)中進(jìn)行訓(xùn)練以得到初級誤用入侵檢測模型和初級異常入侵檢測模型���;步驟3.3:在得到初級誤用入侵檢測模型和和初級異常入侵檢測模型的同時����,通過粒子群算法動態(tài)搜索出改進(jìn)核心向量機(jī)的其他訓(xùn)練參數(shù),所述其他訓(xùn)練參數(shù)包括懲罰因子C�、核函數(shù)的核寬參數(shù)σ和損失函數(shù)參數(shù)ε ;步驟3.7:將所述初級誤用入侵檢測模型和初級異常入侵檢測模型的類別標(biāo)號與所述網(wǎng)絡(luò)安全設(shè)備日志歷史記錄中的已知網(wǎng)絡(luò)行為的類別標(biāo)號進(jìn)行比對�����,以得到初級誤用入侵檢測模型和初級異常入侵檢測模型的精度����;進(jìn)一步地����,所述步驟3.2和步驟3.5中,分別采用最小包含球算法進(jìn)行訓(xùn)練�����。進(jìn)一步地�����,所述步驟4包括如下步驟:步驟4.1:構(gòu)造基于D-S證據(jù)理論識別框架的復(fù)合入侵檢測模型,所述識別框架為初級誤用入侵檢測模型和初級異常入侵檢測模型的精度并集���;步驟4.2:將每個初級誤用入侵檢測模型和初級異常入侵檢測模型的輸出作為一個獨立的證據(jù)體��;步驟4.3:確定各證據(jù)體的基本概率分配函數(shù)�;步驟4.4:利用基本概率分配函數(shù)計算各證據(jù)體對識別框架中所有已知網(wǎng)絡(luò)行為的信度函數(shù)和似真函數(shù)��;步驟4.5:利用D-S證據(jù)融合法則計算上述證據(jù)體聯(lián)合作用下的信度函數(shù)Bel和似真函數(shù)P ;步驟4.6:通過信度函數(shù)Bel和似真函數(shù)P����,得到證據(jù)體對識別框架中所有已知網(wǎng)絡(luò)行為的聯(lián)合置信區(qū)間[Bel,pi]�。進(jìn)一步地,所述步驟5包括如下步驟:步驟5.1:通過初級誤用入侵檢測模型和初級異常入侵檢測模型辨識出待測網(wǎng)絡(luò)行為的類別標(biāo)號;步驟5.2:通過復(fù)合入侵檢測模型得到該待測網(wǎng)絡(luò)行為的最終檢測結(jié)果���。進(jìn)一步地�,在步驟5.2的所述復(fù)合入侵檢測模型中�����,如果初級誤用入侵檢測模型的類別標(biāo)號與初級異常入侵檢測模型的類別標(biāo)號相同�,則直接輸出最終檢測結(jié)果;如果初級誤用入侵檢測模型的類別標(biāo)號與初級異常入侵檢測模型的類別標(biāo)號不同��,則分別求得初級誤用入侵檢測模型和初級異常入侵檢測模型的置信度,選取置信度高的入侵檢測模型的數(shù)值型類別標(biāo)號作為最終檢測結(jié)果�����。本發(fā)明的有益效果如下:本發(fā)明的復(fù)合式入侵檢測方法利用D-S證據(jù)融合集成了多個改進(jìn)核心向量機(jī)完成對入侵檢測的綜合推斷�。采用本發(fā)明對目標(biāo)網(wǎng)絡(luò)進(jìn)行入侵檢測,既克服了原有基于單分類器入侵檢測技術(shù)中普遍存在的檢測精度低��、泛化能力差等缺陷�����,而且通過核心向量機(jī)的使用還大大提高了入侵檢測系統(tǒng)的實時性�。此外基于誤用技術(shù)和異常技術(shù)的復(fù)合式入侵檢測不但對于各已知網(wǎng)絡(luò)攻擊種類具有較高的識別精度,同時對于未知種類的網(wǎng)絡(luò)攻擊也有較高的判別精度�����。
圖1為本發(fā)明復(fù)合式入侵檢測方法的流程圖���;圖2為復(fù)合式入侵檢測數(shù)據(jù)樣本集的生成過程的流程圖;圖3為改進(jìn)核心向量機(jī)數(shù)據(jù)融合的工作流程具體實施例方式下面結(jié)合附圖�,詳細(xì)說明本發(fā)明方法的實施過程。應(yīng)該強(qiáng)調(diào)的是��,下述說明僅僅是示例性的,而不是為了限制本發(fā)明的范圍及其應(yīng)用���。入侵檢測是對入侵行為的檢測���,入侵檢測系統(tǒng)通過收集網(wǎng)絡(luò)及計算機(jī)系統(tǒng)內(nèi)所有關(guān)鍵節(jié)點的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略行為及被攻擊跡象����。入侵檢測的數(shù)據(jù)來源是各種網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS��、IPS等)的日志��,這些設(shè)備會實時的記錄每個時間監(jiān)測點目標(biāo)網(wǎng)絡(luò)的活動情況以便分析目標(biāo)網(wǎng)絡(luò)的運行情況�。但目標(biāo)網(wǎng)絡(luò)中往往是同時使用多種品牌的網(wǎng)絡(luò)安全設(shè)備,其功能各異���,因而需要對各網(wǎng)絡(luò)安全設(shè)備上報的日志做融合處理�����,即合并各類日志的不同數(shù)據(jù)字段��。所以入侵檢測模型需要處理�����、分析的原始數(shù)據(jù)具有數(shù)據(jù)量大�����、維數(shù)高等特點����,通常合并后的日志文件都以MB,甚至GB為存儲單位����,并且日志中每條記錄的維數(shù)都有幾十維,甚至上百維��。本發(fā)明采用誤用入侵檢測和異常入侵檢測并行工作模型�����,分別從黑名單和白名單角度對待測網(wǎng)絡(luò)行為進(jìn)行判斷��,并且利用D-S數(shù)據(jù)融合技術(shù)進(jìn)行推理以提高入侵檢測準(zhǔn)確度�,本發(fā)明選用核心向量機(jī)作為分類器有效提高了運算速度���。這樣從局部到整體�����,使Bagging算法能適用更一般的入侵檢測問題���。圖1是本發(fā)明方法的流程圖�,可以看出��,本發(fā)明方法包括如下步驟步驟1:數(shù)據(jù)預(yù)處理�����,從網(wǎng)絡(luò)安全設(shè)備日志中提取誤用入侵檢測和異常入侵檢測所需的特征數(shù)據(jù)及其對應(yīng)的時間�����;步驟2 :構(gòu)造數(shù)據(jù)樣本集��,將步驟I所統(tǒng)計到的數(shù)據(jù)按照時間監(jiān)測點由前到后的順序構(gòu)造為黑名單數(shù)據(jù)樣本子集和白名單數(shù)據(jù)樣本子集���,以供改進(jìn)核心向量機(jī)(CVM-PSO)訓(xùn)練;步驟3 :訓(xùn)練初級入侵檢測模型�,改進(jìn)核心向量機(jī)(CVM-PSO)通過對黑名單數(shù)據(jù)樣本子集的訓(xùn)練得到初級誤用入侵檢測模型,改進(jìn)核心向量機(jī)(CVM-PSO)通過對白名單數(shù)據(jù)樣本子集的訓(xùn)練得到初級異常檢測模型����,初級誤用入侵檢測模型和初級異常入侵檢測模型的序列組成初級入侵檢測模型;步驟4 :得到最終入侵檢測模型���,利用D-S證據(jù)理論計算各種初級誤用入侵檢測模型和初級異常入侵檢測模型的精度�、信任函數(shù)�����、似真函數(shù)及其聯(lián)合置信區(qū)間�,依據(jù)D-S規(guī)則從而完成多個初級入侵檢測模型的數(shù)據(jù)融合,得到最終入侵檢測模型�����;步驟5 :利用基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合入侵檢測模型完成入侵檢測���,對于某條待測網(wǎng)絡(luò)設(shè)備日志記錄將其輸入到各種初級入侵檢測模型以得到初步推斷結(jié)果�����,并利用各種入侵檢測模型的聯(lián)合置信區(qū)間對初步推斷結(jié)果進(jìn)行數(shù)據(jù)融合以得到最終入侵檢測結(jié)果。
所述步驟I由以下步驟組成:步驟1.1:特征選取�,設(shè)定網(wǎng)絡(luò)安全設(shè)備(如防火墻����、IDS��、IPS等)日志的各類屬性作為本方法的數(shù)據(jù)特征����。誤用入侵檢測和異常入侵檢測的數(shù)據(jù)來源相同,唯一的區(qū)別在于前者對各類已知攻擊類型的網(wǎng)絡(luò)行為描述更為關(guān)注��,后者對已知正常的網(wǎng)絡(luò)行為描述更為關(guān)注�����,因此日志里的各類屬性可既作為誤用入侵檢測特征�����,又作為異常入侵檢測特征����;步驟1.2:數(shù)據(jù)統(tǒng)計,從網(wǎng)絡(luò)安全設(shè)備(如防火墻�、IDS、IPS等)日志的歷史記錄中統(tǒng)計各類特征X1, X2,…����,Xn所對應(yīng)的數(shù)據(jù),并將所述特征數(shù)據(jù)轉(zhuǎn)換為矩陣形式的特征向量集合�,該特征向量集合的列數(shù)為Π+2,行數(shù)為歷史記錄的條數(shù)��;網(wǎng)絡(luò)安全設(shè)備日志的歷史記錄中包括下述特征數(shù)據(jù):時間監(jiān)測點�����、X1, χ2�����,…�����,Xn屬性的監(jiān)測數(shù)據(jù)和已知入侵檢測結(jié)果的已知網(wǎng)絡(luò)行為����。設(shè)已知目標(biāo)網(wǎng)絡(luò)一段連續(xù)時間的安全設(shè)備日志,按照步驟I的方法進(jìn)行數(shù)據(jù)預(yù)處理:記錄中包含有時間監(jiān)測點信息���、Xl���,X2,…�,\屬性的監(jiān)測數(shù)據(jù)、以及入侵檢測結(jié)果“正?���!薄ⅰ熬芙^服務(wù)類攻擊(以下簡稱DoS)”�����、“利用類攻擊”���、“信息收集類攻擊”�、“信息欺騙類攻擊”���、“未知種類網(wǎng)絡(luò)攻擊”���,現(xiàn)按照圖2的方法將日志記錄改造成改進(jìn)核心向量機(jī)可讀的數(shù)據(jù)樣本集。首先���,樣本集中每條樣本均包含n+2個特征屬性��,其中第一條為該樣本的時間監(jiān)測點���,第2至第n+1條特征屬性分別對應(yīng)該時間監(jiān)測點的Xl�����,X2,…�����,Xn屬性的監(jiān)測數(shù)據(jù)�,第n+2條特征屬性對應(yīng)目標(biāo)網(wǎng)絡(luò)當(dāng)時的入侵檢測結(jié)果����;其次,執(zhí)行步驟2.1:數(shù)據(jù)歸一化�����。將數(shù)據(jù)樣本集中各屬性X1, X2,…���,Xn的數(shù)值按
照各自的取值范圍通過公式
權(quán)利要求
1.一種基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合式入侵檢測方法����,其特征在于,該方法包含如下步驟: 步驟1:從目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全設(shè)備日志中提取誤用入侵檢測和異常入侵檢測所需要的各時間監(jiān)測點的特征數(shù)據(jù)��,并將所述特征數(shù)據(jù)轉(zhuǎn)換為矩陣形式的特征向量集合�;所述網(wǎng)絡(luò)安全設(shè)備日志的歷史記錄中包括下述特征數(shù)據(jù):時間監(jiān)測點、Xl���,X2,…,Xn屬性的監(jiān)測數(shù)據(jù)和已知入侵檢測結(jié)果的已知網(wǎng)絡(luò)行為����; 步驟2:將所述歷史記錄中的特征數(shù)據(jù)分別構(gòu)造為黑、白名單數(shù)據(jù)樣本子集�; 步驟3:對黑、白名單數(shù)據(jù)樣本子集進(jìn)行訓(xùn)練�����,分別得到初級誤用入侵檢測模型和初級異常檢測模型���,并計算出兩種檢測模型的精度����; 步驟4:通過D-S證據(jù)理論結(jié)合步驟3中所述兩種檢測模型的精度,實現(xiàn)初級誤用入侵檢測模型和初級異常檢測模型的數(shù)據(jù)融合�,從而得到復(fù)合入侵檢測模型以及該檢測模型的聯(lián)合置信區(qū)間; 步驟5:先通過所述初級誤用入侵檢測模型和初級異常檢測模型判斷出待測網(wǎng)絡(luò)行為的類別標(biāo)號�,再根據(jù)所述復(fù)合入侵檢測模型判斷出最終檢測結(jié)果。
2.根據(jù)權(quán)利要求1所述的復(fù)合式入侵檢測方法����,其特征在于,所述步驟I中特征向量集合的列數(shù)為n+2,行數(shù)為歷史記錄的條數(shù)�����。
3.根據(jù)權(quán)利要求1所述的復(fù)合式入侵檢測方法����,其特征在于,所述步驟2包括如下步 驟: 步驟2.1:設(shè)定各樣本子集中每條樣本均包括n+2個特征屬性����,其中第一條特征屬性為該樣本的時間監(jiān)測點,第2至第n+1條特征屬性分別對應(yīng)該時間監(jiān)測點的Xl����,X2,…,Xn屬性的監(jiān)測數(shù)據(jù)����,第n+2條特征屬性對應(yīng)目標(biāo)網(wǎng)絡(luò)當(dāng)時的已知網(wǎng)絡(luò)行為���; 步驟2.2:將步驟2.1中各屬性Xl,X2,…����,Xn的監(jiān)測數(shù)據(jù)按照各自的取值范圍全部歸一化到[O, I]區(qū)間; 步驟2.3:將誤用入侵檢測和異常入侵檢測中所有的已知網(wǎng)絡(luò)行為分別設(shè)定為數(shù)值型類別標(biāo)號���; 步驟2.4:以步驟2.2歸一化以后的各類特征X1, X2,…,Xn作為改進(jìn)核心向量機(jī)的輸入量���,以步驟2.3誤用入侵檢測的類別標(biāo)號作為改進(jìn)核心向量機(jī)的輸出量�,構(gòu)造成黑名單數(shù)據(jù)樣本子集����; 步驟2.5:以步驟2.2歸一化以后的各類特征X1, X2,…,Xn作為改進(jìn)核心向量機(jī)的輸入量����,以步驟2.3異常入侵檢測的類別標(biāo)號作為改進(jìn)核心向量機(jī)的輸出量,構(gòu)造成白名單數(shù)據(jù)樣本子集�。
4.根據(jù)權(quán)利要求3的復(fù)合式入侵檢測方法�,其特征在于�,所述已知網(wǎng)絡(luò)行為包括“正常”����、“拒絕服務(wù)類攻擊”、“利用類攻擊”����、“信息收集類攻擊”、“信息欺騙類攻擊”和“未知種類網(wǎng)絡(luò)攻擊”����,將上述六種已知網(wǎng)絡(luò)行為的類別標(biāo)號設(shè)定為_2、-1�、0、+1��、+2�、+3。
5.根據(jù)權(quán)利要求1的復(fù)合式入侵檢測方法�,其特征在于,所述步驟3包括如下步驟: 步驟3.1:設(shè)定改進(jìn)核心向量機(jī)的訓(xùn)練參數(shù)�����,所述訓(xùn)練參數(shù)包括核函數(shù)類型、粒子群算法最大迭代次數(shù)����、粒子群算法種群規(guī)模和粒子群算法的適應(yīng)度函數(shù); 步驟3.2:分別將黑���、白名單數(shù)據(jù)樣本子集輸入到改進(jìn)核心向量機(jī)中進(jìn)行訓(xùn)練以得到初級誤用入侵檢測模型和初級異常入侵檢測模型�;步驟3.3:在得到初級誤用入侵檢測模型和和初級異常入侵檢測模型的同時���,通過粒子群算法動態(tài)搜索出改進(jìn)核心向量機(jī)的其他訓(xùn)練參數(shù)�����,所述其他訓(xùn)練參數(shù)包括懲罰因子C、核函數(shù)的核寬參數(shù)σ和損失函數(shù)參數(shù)ε ���; 步驟3.4:將所述初級誤用入侵檢測模型和初級異常入侵檢測模型的類別標(biāo)號與所述網(wǎng)絡(luò)安全設(shè)備日志歷史記錄中的已知網(wǎng)絡(luò)行為的類別標(biāo)號進(jìn)行比對���,以得到初級誤用入侵檢測模型和初級異常入侵檢測模型的精度。
6.根據(jù)權(quán)利要求5所述的復(fù)合式入侵檢測方法���,其特征在于���,所述步驟3.2和步驟3.5中�,分別采用最小包含球算法進(jìn)行訓(xùn)練�。
7.根據(jù)權(quán)利要求1所述的復(fù)合式入侵檢測方法,其特征在于�,所述步驟4包括如下步驟: 步驟4.1:構(gòu)造基于D-S證據(jù)理論識別框架的復(fù)合入侵檢測模型,所述識別框架為初級誤用入侵檢測模型和初級異常入侵檢測模型的精度并集���; 步驟4.2:將每個初級誤用入侵檢測模型和初級異常入侵檢測模型的輸出作為一個獨立的證據(jù)體�; 步驟4.3:確定各證據(jù)體的基本概率分配函數(shù)�����; 步驟4.4:利用基本概率分配函數(shù)計算各證據(jù)體對識別框架中所有已知網(wǎng)絡(luò)行為的信度函數(shù)和似真函數(shù)���; 步驟4.5:利用D-S證據(jù)融合法則計算上述證據(jù)體聯(lián)合作用下的信度函數(shù)Bel和似真函數(shù)P ; 步驟4.6:通過信度函數(shù)Bel和似真函數(shù)P��,得到證據(jù)體對識別框架中所有已知網(wǎng)絡(luò)行為的聯(lián)合置信區(qū)間[Bel, pi]���。
8.根據(jù)權(quán)利要求1所述的復(fù)合式入侵檢測方法,其特征在于�,所述步驟5包括如下步驟: 步驟5.1:通過初級誤用入侵檢測模型和初級異常入侵檢測模型辨識出待測網(wǎng)絡(luò)行為的類別標(biāo)號; 步驟5.2:通過復(fù)合入侵檢測模型得到該待測網(wǎng)絡(luò)行為的最終檢測結(jié)果。
9.根據(jù)權(quán)利要求8所述的復(fù)合式入侵檢測方法���,其特征在于��,在步驟5.2的所述復(fù)合入侵檢測模型中���, 如果初級誤用入侵檢測模型的類別標(biāo)號與初級異常入侵檢測模型的類別標(biāo)號相同,則直接輸出最終檢測結(jié)果��; 如果初級誤用入侵檢測模型的類別標(biāo)號與初級異常入侵檢測模型的類別標(biāo)號不同�����,則分別求得初級誤用入侵檢測模型和初級異常入侵檢測模型的置信度��,選取置信度高的入侵檢測模型的數(shù)值型類別標(biāo)號作為最終檢測結(jié)果��。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中基于改進(jìn)核心向量機(jī)數(shù)據(jù)融合的復(fù)合式入侵檢測方法��。本發(fā)明從目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全設(shè)備日志中提取誤用入侵檢測和異常入侵檢測所需要的各時間監(jiān)測點的特征數(shù)據(jù)����;將特征數(shù)據(jù)分別構(gòu)造為黑�、白名單數(shù)據(jù)樣本子集;對黑、白名單數(shù)據(jù)樣本子集進(jìn)行訓(xùn)練�����,分別得到初級誤用入侵檢測模型和初級異常檢測模型��;通過D-S證據(jù)理論實現(xiàn)初級誤用入侵檢測模型和初級異常檢測模型的數(shù)據(jù)融合��,從而得到復(fù)合入侵檢測模型以及該檢測模型的聯(lián)合置信區(qū)間����;得到最終檢測結(jié)果。本發(fā)明在提高入侵檢測系統(tǒng)實時性��,降低入侵檢測系統(tǒng)漏報率和誤報率方面���,以及提高入侵檢測系統(tǒng)泛化能力方面�����,均有較好的性能����。
文檔編號G06F21/55GK103077347SQ20121056425
公開日2013年5月1日 申請日期2012年12月21日 優(yōu)先權(quán)日2012年12月21日
發(fā)明者王宇飛, 鄭曉崑, 徐志博, 梁瀟, 王志皓, 白云 申請人:中國電力科學(xué)研究院, 國家電網(wǎng)公司