的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢 測(cè)，得到預(yù)測(cè)輸出值Y，當(dāng)Y為1時(shí)，表示為正常網(wǎng)絡(luò)連接；當(dāng)Y為-1時(shí)，表示異常網(wǎng)絡(luò)連接， 即發(fā)生了入侵事件。檢測(cè)結(jié)果也存入支持向量庫(kù)。若發(fā)現(xiàn)入侵，則調(diào)用系統(tǒng)響應(yīng)模塊采取 相應(yīng)的響應(yīng)策略。若實(shí)際檢測(cè)有誤，則進(jìn)行誤差分析，并重新訓(xùn)練SVM分類器。SVM分類器 的訓(xùn)練是個(gè)不斷重復(fù)的過(guò)程，通過(guò)多次訓(xùn)練，使SVM分類器的分類精度不斷提高。
[0036] 具體流程見(jiàn)說(shuō)明書附圖的圖2。
[0037] 封裝有入侵檢測(cè)系統(tǒng)的容器自己有固有的運(yùn)行模式，并在Docker的運(yùn)行周期中 一直實(shí)行實(shí)時(shí)檢測(cè)，一旦此模式改變則說(shuō)明有外來(lái)入侵，直接發(fā)送入侵信息。
[0038] 當(dāng)發(fā)現(xiàn)有外來(lái)入侵，識(shí)別外來(lái)入侵信息，定位以被入侵的容器，通過(guò)docker的指 令docker stop來(lái)終止這個(gè)容器的運(yùn)行，或者直接通過(guò)docker rm直接刪除被入侵的容器。
[0039] 本發(fā)明中所用支持向量機(jī)主動(dòng)學(xué)習(xí)的入侵檢測(cè)算法的具體如下：
[0040] 1、支持向量機(jī)是一種能在訓(xùn)練樣本數(shù)很小的情況下達(dá)到很好分類推廣能力的學(xué) 習(xí)算法，它較好地解決了小樣本學(xué)習(xí)問(wèn)題，同時(shí)具有很好的泛化能力。
[0041] 2、將支持向量機(jī)主動(dòng)學(xué)習(xí)運(yùn)用于入侵檢測(cè)，通過(guò)SVM主動(dòng)學(xué)習(xí)算法不僅降低了學(xué) 習(xí)代價(jià)，而且在訓(xùn)練樣本集較少的情況下，獲得的分類器檢測(cè)效率更高，同時(shí)分類速度也得 到提尚。
[0042] 3、算法實(shí)現(xiàn)分類的過(guò)程是：首先寫出最小化規(guī)則風(fēng)險(xiǎn)函數(shù)，然后根據(jù)最小化規(guī)則 風(fēng)險(xiǎn)函數(shù)尋找最優(yōu)分類超平面。最后就可根據(jù)最優(yōu)分類面來(lái)對(duì)數(shù)據(jù)進(jìn)行分類。
[0043] 4、支持向量機(jī)的主動(dòng)學(xué)習(xí)過(guò)程：
[0044] (1)從候選樣本集U中選擇i個(gè)樣本并正確標(biāo)注其類別，構(gòu)造初始訓(xùn)練樣本集T， 使T中至少包含一個(gè)輸出y為1和一個(gè)輸出y為-1的樣本；
[0045] (2)根據(jù)訓(xùn)練集T構(gòu)造SVM分類器f;
[0046] (3)對(duì)U中所有樣本使用f，標(biāo)注為(X，^)，其中^為分類器f給向量X預(yù)先打 vy 上的標(biāo)注；
[0047] (4)從樣本集U中選擇一個(gè)離分類邊界最近的未標(biāo)注樣本（X，）； V
[0048] (5)將該樣本正確標(biāo)注后加入訓(xùn)練集T中（y為x的正確標(biāo)注）；
[0049] (6)計(jì)算檢測(cè)精度；
[0050] (7)檢測(cè)精度達(dá)到某一設(shè)定值，算法終止，返回f;否則重復(fù)第2步。
[0051] 5、檢測(cè)階段：
[0052] 1.通過(guò)捕獲流進(jìn)主機(jī)和Docker容器間的數(shù)據(jù)流，完成數(shù)據(jù)采集工作。
[0053] 2?檢測(cè)階段對(duì)數(shù)據(jù)的處理。
[0054]e)將捕獲的數(shù)據(jù)包進(jìn)行特征提取。
[0055]f)將所有類型的數(shù)據(jù)轉(zhuǎn)換成以二進(jìn)制表示的數(shù)字形式。轉(zhuǎn)化是采用基于距離度量 函數(shù)HVDM(異構(gòu)距離函數(shù)）的方法，對(duì)數(shù)據(jù)進(jìn)行歸一化處理。
[0056]g)對(duì)這些特征值的范圍進(jìn)行處理，使得每類特征數(shù)據(jù)的取值范圍在[0, 1]中，經(jīng) 過(guò)上述過(guò)程數(shù)據(jù)的預(yù)處理，轉(zhuǎn)化為支持向量機(jī)能夠處理的向量化形式。
[0057]h)將處理的數(shù)據(jù)存入支持向量庫(kù)。支持向量庫(kù)中保存了SVM訓(xùn)練數(shù)據(jù)、實(shí)時(shí)檢測(cè) 數(shù)據(jù)及檢測(cè)結(jié)果。
[0058] 3.將進(jìn)過(guò)數(shù)據(jù)預(yù)處理的數(shù)據(jù)包進(jìn)行檢測(cè)，得到預(yù)測(cè)輸出值y，當(dāng)y為1是，表示為 正常網(wǎng)絡(luò)通信；當(dāng)y為-1時(shí)，表示異常的網(wǎng)絡(luò)通信，即有外來(lái)事件入侵Docker容器。
[0059] 4.檢測(cè)結(jié)果存入支持向量庫(kù)。
[0060] 5?將入侵檢測(cè)系統(tǒng)以app的形式封裝到Docker的容器中，將此容器和主機(jī)組成 host主機(jī)模式，而其它容器以bridge網(wǎng)橋形式和主機(jī)進(jìn)行網(wǎng)絡(luò)通信。
[0061] 6.當(dāng)檢測(cè)到入侵時(shí)，封裝有入侵檢測(cè)系統(tǒng)的容器通過(guò)和主機(jī)的網(wǎng)絡(luò)連接給被入侵 的容器發(fā)送指令dockerstop來(lái)終止被入侵容器的運(yùn)行，或者發(fā)送指令dockerrm直接刪 除被入侵的容器。
[0062] 7.若時(shí)間檢測(cè)有誤，則進(jìn)行誤差分析，并重新訓(xùn)練SVM分類器。SVM分類器是個(gè)不 斷重復(fù)的過(guò)程，通過(guò)多次訓(xùn)練，使SVM分類器的分類精度不斷提高。
[0063] 本發(fā)明方法的關(guān)鍵在于將合適的入侵檢測(cè)系統(tǒng)應(yīng)用于docker中，通過(guò)對(duì)docker 運(yùn)行過(guò)程的分析，將支持向量機(jī)的主動(dòng)學(xué)習(xí)算法應(yīng)用于docker中，完成docker的入侵檢 測(cè)。然后根據(jù)docker的運(yùn)行特性，及時(shí)阻止被入侵的容器或直接將此容器刪除。從而保證 其它容器工作的安全性。
【主權(quán)項(xiàng)】
1. 一種基于Docker虛擬化的信息系統(tǒng)入侵檢測(cè)方法，其特征在于，包括如下步驟：通 過(guò)監(jiān)聽(tīng)主機(jī)和容器間網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲取數(shù)據(jù)來(lái)源，然后通過(guò)捕獲的數(shù)據(jù)流完成數(shù)據(jù)的 采集工作，進(jìn)而經(jīng)過(guò)支持向量機(jī)的學(xué)習(xí)和分類，區(qū)分正常信息和外來(lái)入侵，實(shí)現(xiàn)對(duì)外來(lái)入侵 的檢測(cè)。2. 如權(quán)利要求1所述的一種基于Docker虛擬化的信息系統(tǒng)入侵檢測(cè)方法，其特征在 于：其中支持向量機(jī)的學(xué)習(xí)和分類過(guò)程分為兩個(gè)階段，第一個(gè)階段為訓(xùn)練階段，使用支持向 量庫(kù)中的訓(xùn)練數(shù)據(jù)訓(xùn)練SVM即支持向量機(jī)分類器，訓(xùn)練時(shí)采用SVM主動(dòng)學(xué)習(xí)算法，具體如 下： 第一個(gè)階段，訓(xùn)練階段： (1) 從候選樣本集u中選擇i個(gè)樣本并正確標(biāo)注其類別，構(gòu)造初始訓(xùn)練樣本集T，使T 中至少包含一個(gè)輸出y為1和y為-1的樣本；其中候選樣本集u是指未帶類別標(biāo)注的候選 樣本集u，每次從u中采樣個(gè)數(shù)為1 ; (2) 根據(jù)訓(xùn)練集T構(gòu)造 SVM分類器f即分類器，預(yù)標(biāo)記樣本； (3) 對(duì)u中所有樣本使用f，標(biāo)注為（X，^ )，其中~為分類器f給向量X預(yù)先打上的 標(biāo)注； (4) 從樣本集u中選擇一個(gè)離分類邊界最近的未標(biāo)注樣本CX:，Λ ); ：y (5) 將該樣本正確標(biāo)注后加入訓(xùn)練集T中，其中y為x的正確標(biāo)注； (6) 計(jì)算檢測(cè)精度； (7) 當(dāng)檢測(cè)精度大于等于95%時(shí)，算法終止，返回f;否則重復(fù)第（2)步； 第二個(gè)階段，檢測(cè)階段： (1) 通過(guò)捕獲流進(jìn)主機(jī)和Docker容器間的數(shù)據(jù)流，完成數(shù)據(jù)采集工作； (2) 檢測(cè)階段對(duì)數(shù)據(jù)的處理： a) 將捕獲的數(shù)據(jù)包進(jìn)行特征提??； b) 將所有類型的數(shù)據(jù)轉(zhuǎn)換成以二進(jìn)制表示的數(shù)字形式，具體是采用基于距離度量函數(shù) HVDM即異構(gòu)距離函數(shù)的方法，對(duì)數(shù)據(jù)進(jìn)行歸一化處理； c) 對(duì)這些特征值的范圍進(jìn)行處理，使得每類特征數(shù)據(jù)的取值范圍在[〇，1]中，經(jīng)過(guò)上 述過(guò)程數(shù)據(jù)的預(yù)處理，轉(zhuǎn)化為支持向量機(jī)能夠處理的向量化形式； d) 將處理的數(shù)據(jù)存入支持向量庫(kù)，支持向量庫(kù)中保存了 SVM訓(xùn)練數(shù)據(jù)、實(shí)時(shí)檢測(cè)數(shù)據(jù) 及檢測(cè)結(jié)果； (3) 將進(jìn)過(guò)數(shù)據(jù)預(yù)處理的數(shù)據(jù)包進(jìn)行檢測(cè)，得到預(yù)測(cè)輸出值y，當(dāng)y為1是，表示為正常 網(wǎng)絡(luò)通信；當(dāng)y為-1時(shí)，表示異常的網(wǎng)絡(luò)通信，即有外來(lái)事件入侵Docker容器； (4) 檢測(cè)結(jié)果存入支持向量庫(kù)； (5) 將入侵檢測(cè)系統(tǒng)以app的形式封裝到Docker的容器中，將此容器和主機(jī)組成host 主機(jī)模式，而其它容器以bridge網(wǎng)橋形式和主機(jī)進(jìn)行網(wǎng)絡(luò)通信； (6) 當(dāng)檢測(cè)到入侵時(shí)，封裝有入侵檢測(cè)系統(tǒng)的容器通過(guò)和主機(jī)的網(wǎng)絡(luò)連接給被入侵的 容器發(fā)送指令docker stop來(lái)終止被入侵容器的運(yùn)行，或者發(fā)送指令docker rm直接刪除 被入侵的容器； (7)若時(shí)間檢測(cè)有誤，則進(jìn)行誤差分析，并重新訓(xùn)練SVM分類器。
【專利摘要】本發(fā)明涉及一種基于Docker虛擬化的信息系統(tǒng)入侵檢測(cè)方法。其特點(diǎn)是，包括如下步驟：通過(guò)監(jiān)聽(tīng)主機(jī)和容器間網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲取數(shù)據(jù)來(lái)源，然后通過(guò)捕獲的數(shù)據(jù)流完成數(shù)據(jù)的采集工作，進(jìn)而經(jīng)過(guò)支持向量機(jī)的學(xué)習(xí)和分類，區(qū)分正常信息和外來(lái)入侵，實(shí)現(xiàn)對(duì)外來(lái)入侵的檢測(cè)。本發(fā)明方法的有益效果是：(1)將入侵檢測(cè)系統(tǒng)以軟件app的形式封裝到docker的容器中，這樣就很好的利用了Docker的特性、節(jié)約了空間。(2)將裝有入侵檢測(cè)系統(tǒng)的容器和主機(jī)組成host主機(jī)模式，和主機(jī)共享網(wǎng)絡(luò)環(huán)境，而其它容器以bridge網(wǎng)橋模式和主機(jī)進(jìn)行網(wǎng)絡(luò)通信，當(dāng)檢測(cè)到入侵時(shí)入侵檢測(cè)系統(tǒng)通過(guò)主機(jī)直接將被入侵的容器停止運(yùn)行或直接回收刪除。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105072115
【申請(qǐng)?zhí)枴緾N201510493202
【發(fā)明人】沙衛(wèi)國(guó), 于燁, 孫寅, 李斌, 劉思堯, 李強(qiáng), 施科峰
【申請(qǐng)人】國(guó)家電網(wǎng)公司, 國(guó)網(wǎng)寧夏電力公司信息通信公司
【公開(kāi)日】2015年11月18日
【申請(qǐng)日】2015年8月12日