一种局域网内网入侵的智能检测方法

一种局域网内网入侵的智能检测方法
【专利摘要】本发明公开了一种局域网内网入侵的智能检测方法，包括数据采集步骤、数据检测分析步骤和数据显示步骤，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行：（1）采集数据的模型化处理步骤，包括如下两种方式：S202、FCM聚类过程计算；S203、智能化计算；（2）指标评价分析步骤，分析指标包括检测率和检测度，其中，检测率Dr（detection?rate）：Dr=ni/Ni；检测度：Du=mi/Mi-Fi/Si；（3）得出结论步骤：得到入侵数、攻击类型数和分类攻击数。本发明完善对网络入侵检测的高效和智能化，使现有的入侵检测系统的防护手段得到进一步提高。
【专利说明】—种局域网内网入侵的智能检测方法
【技术领域】
[0001]本发明涉及一种智能检测方法，更具体的说，涉及一种局域网内网入侵的智能检测方法。
【背景技术】
[0002]随着网络技术的逐步发展，网络环境变得更加复杂，越来越多的内网系统遭到入侵攻击的威胁。为了确保网络信息的传输安全，有以下几个问题:对网络上信息的监听、对用户身份的仿冒、对网络上信息的篡改、对发出的信息予以否认、对信息进行重发。对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门、无法阻止网络内部攻击、无法实现实时入侵检测、无法有效监测拦截病毒传播等。因此很多组织致力于提出更强大的主动策略来保障网络的安全性，入侵检测作为一种积极主动的安全防护技
术，成为一个有效的解决途径。入侵检测系统(IDS-1ntrusion Detection System)是网
络防火墙的有力补充，能够为网络安全提供实时的入侵检测并采取相应的防护手段，因而，入侵检测系统技术就越来越受到重视，如何高效地检测、记录、警报、响应内网入侵检测，已成为研究热点和难点问题。

【发明内容】

[0003]本发明所要解决的技术问题是，克服现有技术的缺点，提供一种完善的、高效的、智能的局域网内网入侵的智能检测方法。
[0004]为了解决以上技术问题，本发明提供一种局域网内网入侵的智能检测方法，包括数据采集步骤、数据检测分析步骤和数据显示步骤，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行:
[0005](I)采集数据的模型化处理步骤，所述采集数据的模型化处理步骤包括如下两种方式:
[0006]S202、FCM聚类过程计算，按照FCM聚类过程方法计算，得出传统方法的入侵数、攻击类型数和分类攻击数；
[0007]S203、智能化计算，采用基于智能化的FCM聚类过程方法进行计算，得出新型智能算法方法的入侵数、攻击类型数和分类攻击数；
[0008](2)指标评价分析步骤，分析指标包括检测率和检测度，其中，
[0009]检测率Dr (detection rate) Ar=IiiA^i,其中Iii表示第i个数据集中被正确检测到的某一类攻击数据量，Ni表示第i个数据集中该类攻击数据总量；
[0010]检测度Au=HIiZX-VSi,其中HIi表示第i个数据集中被正确检测到的入侵数据量，Hii表示第i个数据集中包含的入侵数据总量，Fi表示第i个数据集中被错误划分成入侵数据的正常数据数量，Si表示第i个数据集中包含的正常数据总量；
[0011](3)得出结论步骤:得到入侵数、入侵数据的检测率和检测度。
[0012]本发明技术方案的进一步限定为，步骤S202FCM聚类过程计算的具体方法为:[0013]S301，数据采集步骤的数据集中聚类数目C，模糊加权指数m，迭代终止误差ε，最大迭代次数Τ,随机初始化各类中心点V, t=l ；
[0014]步骤S302，计算隶属度矩阵、目标函数J和各类数据集新的中心点；
[0015]步骤S303，计算两代的目标函数差值是否在精度范围ε。
[0016]步骤S304，输出中心点V和目标函数J。
[0017]进一步地,步骤S203智能化计算的具体方法为:
[0018]步骤S401，数据采集步骤的数据集中类数目C，群体规模，差分进化初始参数；
[0019]步骤S402，进化代数计数器t=0，将样本大小为η的数据集划分为w个子集，计算FCM算法的聚类中心，得到初始种群；
[0020]步骤S403，计算目标函数，进行适应度评价；
[0021]步骤S404，通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率；
[0022]步骤S405，是否达到设计的进化代数，如果否，则执行S406，如果是则执行S407 ；
[0023]步骤S406，继续通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率，执行S405 ；
[0024]步骤S407，返回当前种群中适应度最大的个体，应用FCM聚类过程计算隶属度矩阵，计算目标函数，输出结果V，J。
[0025]本发明的有益效果是:本发明提供的一种局域网内网入侵的智能检测方法，综合了网络入侵的复杂性信息，借助了已有的模糊C均值聚类算法技术，采用了具有智能性的差分进化算法，实现并进一步完善对网络入侵检测的高效和智能化，使现有的入侵检测系统的防护手段得到进一步提高。
【专利附图】

【附图说明】
[0026]图1为本发明的局域网内网入侵的智能检测装置的结构示意图；
[0027]图2为本发明的局域网内网入侵的智能检测方法的流程示意图；
[0028]图3为本发明中FCM聚类过程计算的具体方法的流程示意图；
[0029]图4为本发明中智能化计算的具体方法的流程示意图；
[0030]图5为本发明中FCM聚类过程计算的具体方法的计算结果示意；
[0031]图6为本发明中智能化计算的具体方法的计算结果示意。
【具体实施方式】
[0032]实施例1
[0033]本实施例提供的一种局域网内网入侵的智能检测装置，其结构如图1所示，包括信息采集器、信息检测器和信息输出器，信息采集器的入口通过网线与局域网的入口连接，信息采集器的出口通过网线与信息检测器的入口连接，信息检测器的出口通过网线与信息输出器的入口连接，上述信息采集器、信息检测器和信息输出器之间均通过WEB局域网络通信线路相互通信。
[0034]信息采集器用于采集局域网内信息，包括采集接口装置和采集微处理，采集接口装置与采集微处理通过信息通道连通，以便将所采集的数据信息发送至微处理器。信息通道包括内外网数据通信线路、计算数据通信线路和/或检测数据通信线路。
[0035]信息检测器用于对采集的信息进行检测分析并判断其是否为入侵信息。信息检测器包括信息收发装置、信息存储装置、信息处理装置、模型存储器、信息显示装置和检测信息反馈装置。
[0036]信息收发装置接收并转发所述信息采集器采集的数据，并对信息进行预处理，将各类不同信息格式转化为统一标准格式，以便后续的信息处理单元顺利进行信息处理。信息存储装置将接收的信息进行缓存，避免信息处理装置的拥堵，有利于负载均衡。信息处理装置通过预设的检测模型对信息是否为入侵信息进行处理。模型存储器用于存储检测模型的，以便将其存储的计算模型信息提供给信息处理单元。信息显示装置将检测分析结果输出及显示，检测信息反馈装置将采用的检测模型进行输出。
[0037]上述各装置的连接关系为:所述信息收发装置的入口与所述信息采集器连接，所述信息收发装置的出口与所述信息存储装置的入口连接。所述信息存储装置为高速数据缓存器，其出口与所述信息处理装置的入口连接。所述信息处理装置为ARM9S3C2440，其出口与所述信息显示装置和所述信息反馈装置的入口连接，并根据信息输出子系统输入设备发出的控制指令获取检测信息存储单元所存储的预处理的数据信息，通过通用模型接口单元获得来自模型存储单元的各类计算模型信息，并且基于该计算模型信息通过预处理的数据信息进行检测计算分析，将分析结果分别发送至信息显示装置和信息反馈装置。所述信息显示装置和所述信息反馈装置的出口分别与所述信息输出器的入口连接，信息显示装置接收来自信息处理器的检测分析结果，并且根据指令将检测分析结果通过通信总线传输到信息输出器，以显示出后检测分析结果，信息反馈装置与信息处理器相连，接收来自信息处理器的检测分析结果，并且根据指令将检测分析相关结果信息通过通信总线传输到信息输出器，供信息输出器将相关结果信息反馈给用户。所述模型存储器通过通用接口与所述信息处理装置连接。
[0038]信息输出器用于展不并输出检测分析结论，包括信息输出微处理器和信息输出设备，所述信息输出微处理的入口与所述信息显示装置和信息反馈装置的出口连接，所述信息输出微处理其的出口与所述信息输出设备连接。
[0039]上述局域网内网入侵的智能检测装置的工作方法为:
[0040]⑴数据采集，步骤S201，通过信息采集器进行数据采集，通过内外网数据信息线路采集内外网数据，所采集的数据信息均传输至信息检测器；
[0041]⑵检测计算分析，由信息检测器中的信息收发装置通过WEB局域网络通信线路接收信息采集器采集的数据信息，对数据信息进行预处理，将预处理过的数据信息存入信息存储装置，信息处理装置根据操作指令获取信息存储装置的预处理的数据信息，以及通过通用接口获取模型存储装置的各类计算模型信息，如FCM聚类过程方法计算模型(公式)、基于智能化的FCM聚类过程计算方法(公式)、评价指标计算模型(公式)等进行相关后检测计算分析具体检测计算分析步骤包括数据采集步骤、数据检测分析步骤和数据显示步骤，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行:
[0042](I)采集数据的模型化处理步骤，所述采集数据的模型化处理步骤包括如下两种方式:
[0043]S202、FCM聚类过程计算，按照FCM聚类过程方法计算，得出传统方法的入侵数、攻击类型数和分类攻击数。
[0044]FCM聚类过程计算的具体方法为:
[0045]S301，数据采集步骤的数据集中聚类数目C，模糊加权指数m，迭代终止误差ε，最大迭代次数Τ,随机初始化各类中心点V, t=l ；
[0046]步骤S302，计算隶属度矩阵、目标函数J和各类数据集新的中心点；
[0047]步骤S303，计算两代的目标函数差值是否在精度范围ε。
[0048]步骤S304，输出中心点V和目标函数J。
[0049]S203、智能化计算，采用基于智能化的FCM聚类过程方法进行计算，得出新型智能算法方法的入侵数、攻击类型数和分类攻击数。
[0050]将得到的入侵数据分离出来构成入侵数据集，运用聚类算法按照不同的攻击类型将入侵数据集划分为dos、probing、r21以及u2r共4类。①dos:denial_of-service,拒绝服务攻击；本数据集中包含的具体的攻击有:back, neptune, land, pod, smurf, teardrop ；
②probing:surveillance and probing系统漏洞探测，端口监视或扫描。本数据集中包含的具体的攻击有:ipsweep, portsweep, satan, nmap ；(3) r21:unauthorized access froma remote machine to a local machine远程攻击。本数据集中包含的具体的攻击有:ftp_write, guess_passwd, imap, multihop, phf, spy, warezclient, warezmaster ；@ u2r:unauthorized access to local superuser privileges by a local unpivileged user本地用户权限提升攻击。
[0051]假设Χ={Χι，Χ2，...，Χη}为待处理的数据集，Xi= {xn, Xi2,..., XiJ为为数据集中的一个数据样本，对应于模式空间的一个点，数据集X的样本个数为η，每一个数据样本的特征(属性)数量为t，Xij表示样本Xi
[0052]的第j个属性值。FCM算法的目标就是，根据给定的聚类个数c将数据集划分为c个模糊子集X1, X2,, xn。其目标函数为:
[0053]
【权利要求】
1.一种局域网内网入侵的智能检测方法，包括数据采集步骤、数据检测分析步骤和数据显示步骤，其特征在于，所述数据检测分析步骤基于数据采集步骤的数据集进行，具体按如下步骤进行: (1)采集数据的模型化处理步骤，所述采集数据的模型化处理步骤包括如下两种方式: 5202、FCM聚类过程计算，按照FCM聚类过程方法计算，得出传统方法的入侵数、攻击类型数和分类攻击数； 5203、智能化计算，采用基于智能化的FCM聚类过程方法进行计算，得出新型智能算法方法的入侵数、攻击类型数和分类攻击数； (2)指标评价分析步骤，分析指标包括检测率和检测度，其中， 检测率Dr (detection rate) Ar=I^Ni,其中Iii表示第i个数据集中被正确检测到的某一类攻击数据量，Ni表示第i个数据集中该类攻击数据总量； 检测度=Du=IVM1-FiZiSi,其中Hii表示第i个数据集中被正确检测到的入侵数据量，Hii表示第i个数据集中包含的入侵数据总量，Fi表示第i个数据集中被错误划分成入侵数据的正常数据数量，Si表示第i个数据集中包含的正常数据总量； (3)得出结论步骤:得到入侵数、入侵数据的检测率和检测度。
2.根据权利要求1所 述的一种局域网内网入侵的智能检测方法，其特征在于，步骤S202FCM聚类过程计算的具体方法为: S301，数据采集步骤的数据集中聚类数目C，模糊加权指数m，迭代终止误差ε，最大迭代次数Τ,随机初始化各类中心点V, t=l ； 步骤S302，计算隶属度矩阵、目标函数J和各类数据集新的中心点； 步骤S303，计算两代的目标函数差值是否在精度范围ε ； 步骤S304，输出中心点V和目标函数J。
3.根据权利要求1所述的一种局域网内网入侵的智能检测方法，其特征在于，步骤S203智能化计算的具体方法为: 步骤S401，数据采集步骤的数据集中类数目C，群体规模，差分进化初始参数； 步骤S402，进化代数计数器t=0，将样本大小为η的数据集划分为w个子集，计算FCM算法的聚类中心，得到初始种群； 步骤S403，计算目标函数，进行适应度评价； 步骤S404，通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率； 步骤S405，是否达到设计的进化代数，如果否，则执行S406，如果是则执行S407 ； 步骤S406，继续通过选择、交叉、变异的方法差分进化操作，计算得到种群规模、进化代数、交叉概率、变异概率，执行S405 ； 步骤S407，返回当前种群中适应度最大的个体，应用FCM聚类过程计算隶属度矩阵，计算目标函数，输出结果V，J。
【文档编号】G06F21/56GK103795595SQ201410050657
【公开日】2014年5月14日 申请日期:2014年2月13日 优先权日:2014年2月13日
【发明者】杨启帆 申请人:杨启帆