一种基于智能算法的入侵检测方法及系统与流程

本发明涉及入侵检测技术领域，尤其涉及一种基于智能算法的入侵检测方法及系统。

背景技术：

在信息安全中，入侵检测是一种非常普遍的威胁检测手段。

现有技术中的入侵检测系统，是基于经验的专家系统建立起的策略型入侵检测系统，在实践中往往根据需要最新的攻击事件，提取病毒样本，指定相应的防御策略。这种方法往往会需要大量人力以及严重的滞后性。面对未知攻击不能在第一时间进行预警并相应。

多分类策略的入侵检测系统(如：基于深度学习)可以较为准确的对网络数据包进行分类并预警。但同专家系统一样，存在较为严重的滞后性，以及其在多分类的过程中分类速度大大滞后于数据包传输速率。因而，在其面对海量数据或未知攻击时都存在较大提升空间。

技术实现要素：

本发明实施例提供一种基于智能算法的入侵检测方法及系统，用以解决现有技术中入侵检测需要依据最新的攻击事件，需要耗费大量的人力，检测的结果具有严重的滞后性等缺陷。

第一方面，本发明实施例提供一种基于智能算法的入侵检测方法，包括：

由待防御节点的检测器执行入侵检测，所述检测器是基于本地网络环境中的安全状态网络特征进行训练得到的；

所述检测器基于智能算法执行快速二分类判断，判断所述待防御节点为安全状态或受攻击状态。

优选地，所述判断所述待防御节点为受攻击状态时，具体包括：

将预警日志等信息发送至管理员终端；

将疑似攻击的网络数据包传输至云端或本地的防御服务器；

或自动执行本地预设的防御策略。

优选地，该方法还包括：

由本地或云端的防御服务器执行入侵检测，所述防御服务器收到疑似攻击的网络数据包时，基于所述智能算法对所述网络数据包进行多分类处理。

优选地，所述基于所述智能算法对所述网络数据包进行多分类处理，具体包括：

若所述多分类处理未匹配到对应的攻击类型时，则所述防御服务器将状态信息发送至管理员终端，由人工进行下一步处理；

若所述多分类处理匹配到对应的攻击类型时，则所述防御服务器执行预设的防御指令，将所述防御指令发送至所述待防御节点进行防御。

优选地，所述将所述防御指令发送至所述待防御节点进行防御，之后还包括：

所述防御服务器将类型信息与处理日志信息发送至所述管理员终端，由人工跟进核查。

优选地，该方法还包括：

由管理员终端执行入侵检测，当所述管理员终端接收到报警信息时，将所述报警信息发送至管理员；

若所述管理员终端接收到来自防御服务器的多分类匹配结果信息，则进行下一步防御操作。

优选地，所述若所述管理员终端接收到来自防御服务器的多分类匹配结果信息，则进行下一步防御操作，具体包括：

若所述管理员终端接收到来自防御服务器的多分类匹配成功结果信息，则选择是否人工干预所述防御服务器采取防御指令；

若所述管理员终端接收到来自防御服务器的多分类匹配失败结果信息，则由所述人工核查是否属于误报警信息。

优选地，所述由所述人工核查是否属于误报警信息，具体包括：

若所述人工核实为误报警信息，则由管理员将所述误报警信息对应的数据包进行预处理并提取特征；

若所述人工核实为攻击信息但未成功进行多分类，则由管理员将所述误报警信息对应的数据包进行预处理并提取特征，将所述特征写入所述防御服务器的多分类攻击特征库中，并预设对应的防御指令脚本。

第二方面，本发明实施例提供一种基于智能算法的入侵检测系统，包括：

待防御节点执行模块，用于由待防御节点的检测器执行入侵检测，所述检测器是基于本地网络环境中的安全状态网络特征进行训练得到的；所述检测器基于智能算法执行快速二分类判断，判断所述待防御节点为安全状态或受攻击状态；

防御服务器执行模块，用于由本地或云端的防御服务器执行入侵检测，所述防御服务器收到疑似攻击的网络数据包时，基于所述智能算法对所述网络数据包进行多分类处理；

管理员终端执行模块，用于由管理员终端执行入侵检测，当所述管理员终端接收到报警信息时，将所述报警信息发送至管理员；若所述管理员终端接收到来自防御服务器的多分类匹配结果信息，则进行下一步防御操作。

第三方面，本发明实施例提供一种电子设备，包括：

存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现任一项所述基于智能算法的入侵检测方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现任一项所述基于智能算法的入侵检测方法的步骤。

本发明实施例提供的基于智能算法的入侵检测方法及系统，通过结合待防御节点、防御服务器和管理员终端进行攻击防御，最大限度提高防御时效与效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的入侵检测防御的结构图；

图2为本发明实施例提供的一种基于智能算法的入侵检测方法流程图；

图3为本发明实施例提供的待防御节点报警系统的检测器生成步骤图；

图4为本发明实施例提供的待防御节点报警系统运转的步骤图；

图5为本发明实施例提供的另一种基于智能算法的入侵检测方法流程图；

图6为本发明实施例提供的防御服务器的工作步骤图；

图7为本发明实施例提供的又一种基于智能算法的入侵检测方法流程图；

图8为本发明实施例提供的管理员终端响应维护步骤图；

图9为本发明实施例提供的一种基于智能算法的入侵检测系统结构图；

图10为本发明实施例提供的电子设备的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决上述技术问题，本发明实施例提出了基于待防御节点、防御服务器和管理员终端三方面的攻击防御结构体系，如图1所示。

图2为本发明实施例提供的待防御节点报警系统的检测器生成步骤图，如图2所示，包括：

101，由待防御节点的检测器执行入侵检测，所述检测器是基于本地网络环境中的安全状态网络特征进行训练得到的；

102，所述检测器基于智能算法执行快速二分类判断，判断所述待防御节点为安全状态或受攻击状态。

具体地，步骤101中，提供由本地的待防御节点进行入侵检测报警，通过检测器来具体执行入侵检测，其中检测器是由入侵检测系统学习本地网络环境中的安全状态网络特征，并利用该安全状态网络特征训练生成仅可检测非安全状态网络特征的检测器，检测器利用智能算法实现多样化，进而提高检测效率避免陷入局部最优；

步骤102中，利用训练好的检测器，待防御节点采用智能算法实现快速二分类，即安全状态或受攻击状态判断，智能算法包括但不局限于基于否定选择的免疫算法、遗传算法、克隆选择算法、树突状细胞选择算法、粒子群算法、蚁群算法等。

此处，图3为本发明实施例提供的待防御节点报警系统的检测器生成步骤图，如图3所示，首先获取入侵检测数据集，将入侵检测数据集进行预处理，进一步筛查出安全数据，做特征提取，建立安全数据特征库，然后随机生成与安全数据特征库具有相同规格的若干检测器，将若干检测器与安全数据特征库数据进行匹配，如果匹配，则舍弃对应的检测器，如果不匹配，则将该成熟检测器初步存入成熟检测器集，再判断是否满足预设阈值条件，若满足则将该成熟检测器存入成熟检测器集中，待后续进行入侵检测使用，若不满足预设阈值条件，需对最优检测器进行克隆变异操作，再重新进行安全数据特征库匹配，直至生成满足条件的成熟检测器。

本发明实施例通过采用在待防御节点上采用二分类算法，利用二分类执行效率高，准确性高的特点实现本地受攻击即使报警，检测器利用智能算法实现多样化，进而提高检测效率避免陷入局部最优，使得本地网络设备在各自存在差异化的网络环境中定制化地实现对未知攻击的有效预警。

基于上述实施例，所述判断所述待防御节点为受攻击状态时，具体包括：

将预警日志等信息发送至管理员终端；

将疑似攻击的网络数据包传输至云端或本地的防御服务器；

或自动执行本地预设的防御策略。

具体地，当本地的待防御节点检测到异常时，会将预警日志等信息发送到管理员终端设备，将疑似攻击的网络数据包传输给云端或本地的防御服务器，亦可自动执行本地预设的常见防御策略，如当检测到疑似ddos攻击时，自动将源ip地址屏蔽等。

图4为本发明实施例提供的待防御节点报警系统运转的步骤图，如图4所示，首先抓取设备网络数据包进行预处理，在获取的成熟检测器集中选取成熟检测器，计算该成熟检测器与待判断数据的亲和度是否匹配；若不匹配，进一步判断是否达到最大迭代次数的要求，仍不满足要求则将亲和度最高的检测器进行克隆变异操作，将与安全数据特征库不匹配的检测器保留，重新计算亲和度；若匹配，则判定为异常数据，并将该异常数据发送至防御服务器进行多分类判断，并将异常警报发送给管理员终端。

本发明实施例通过利用待防御节点中的成熟检测器进行网络数据包的检测与处理，并通过将处理结果和后续操作分别发送至防御服务器和管理员终端进行，实现了入侵检测的并发处理和实时判断，提高了检测的效率和准确性。

基于上述任一实施例，图5为本发明实施例提供的另一种基于智能算法的入侵检测方法流程图，如图5所示，包括：

201，防御服务器执行入侵检测，所述防御服务器收到疑似攻击的网络数据包时，基于所述智能算法对所述网络数据包进行多分类处理；

202，所述防御服务器将类型信息与处理日志信息发送至所述管理员终端，由人工跟进核查。

具体地，由于入侵方式及入侵特征存在一定的共性，并且在分析入侵信息过程也会消耗大量系统资源，使用较高算力的防御服务器进行集中化处理。

步骤201中，当防御服务器收到本地网络节点疑似攻击网络数据包时，防御服务器利用智能算法对疑似攻击数据包进行多分类处理，分类包括ddos，probe，scan等，这里智能算法包括但不局限于深度学习相关算法，传统机器学习相关算法等。

步骤202中，当多分类成功匹配到对应的攻击类型后，防御服务器将类型信息与处理日志信息发送给管理员端，以便人工跟进核查。

本发明实施例通过采用性能较高的防御服务器进行集中化处理，能减少本地网络节点的处理负荷并减少本地节点的重复性处理流程。

基于上述任一实施例，所述基于所述智能算法对所述网络数据包进行多分类处理，具体包括：

若所述多分类处理未匹配到对应的攻击类型时，则所述防御服务器将状态信息发送至管理员终端，由人工进行下一步处理；

若所述多分类处理匹配到对应的攻击类型时，则所述防御服务器执行预设的防御指令，将所述防御指令发送至所述待防御节点进行防御。

具体地，当多分类处理未匹配到相应分类时，防御服务器将状态信息发送给管理员终端，由人工进行下一步处理；当多分类成功匹配到攻击类型后，防御服务器可执行预设的防御指令，将指令发送给本地网络节点进行防御，这里的防御措施包括但不局限于防火墙策略、访问控制等。

图6为本发明实施例提供的防御服务器的工作步骤图，如图6所示，首先抓取异常数据，将异常数据与攻击特征库进行特征匹配，判断是否与现有攻击特征库匹配，若判断不匹配，则发送求助信息给管理员终端，若判断匹配，则将供给特征信息、类别等信息发送至管理员终端，询问管理员终端是否有预设的应对策略，若没有应对策略，同样发送求助信息给管理员终端，若有应对策略，则防御服务器将防御指令发送至管理员终端。

本发明实施例通过防御服务器首先进行攻击判断，进一步和管理员终端进行协商操作，更为全面地提供了网络攻击的防御措施，有效应对各种突发的网络数据攻击，由于防御服务器可以为攻击进一步分析提供较强的算力，并且由于攻击信息分析存在较大共性，因此中心化处理分析攻击并进行防御相应具有高效率、低成本等优点。

基于上述任一实施例，图7为本发明实施例提供的又一种基于智能算法的入侵检测方法流程图，如图7所示，包括：

301，由管理员终端执行入侵检测，当所述管理员终端接收到报警信息时，将所述报警信息发送至管理员；

302，若所述管理员终端接收到来自防御服务器的多分类匹配结果信息，则进行下一步防御操作。

具体地，由于攻击的不可预测性以及突发性，本地入侵检测系统及防御服务器在执行基础预警及防御的基础上，通过管理员终端，更能便捷地为人工辅助干预提供便捷，这里的管理员终端包括但不局限于pc端，web端，移动设备端等

具体地，步骤301中，当管理员终端接收到报警信息时，会将该告警信息告知管理员，例如即时通过语音消息提醒等方式。

步骤302中，当管理员终端接收到来自防御服务器的多分类匹配成功结果的信息时，可以选择是否人工干预防御服务器采取防御指令。

此处，管理员终端需要对管理员的权限进行认证，图8为本发明实施例提供的管理员终端响应维护步骤图，如图8所示，首先进行管理员身份验证，认定具有相应权限的管理员才能操作管理员终端，由管理员终端判定是否有报警信息，如存在报警，管理员进一步核实该报警信息是否为误报信息，确认为误报信息时，将此安全信息提取特征写入安全信息特征库中；确认为非误报信息时，进一步判断是否成功进行多分类且有预设的防御指令；若判断未成功则转由管理员进行人工处理，将此攻击信息提取特征，进行人工攻击类型分类，并将防御策略信息写入服务器；若判断成功，管理员通过终端发布待防御执行预设指令命令，基于上述操作能间接提升检测器的检测准确度，降低系统的误报率与漏报率。

本发明实施例通过结合管理员终端的辅助，在节约人力成本的基础上最大限度地提高防御时效与效率。

基于上述任一实施例，所述若所述管理员终端接收到来自防御服务器的多分类匹配结果信息，则进行下一步防御操作，具体包括：

若所述管理员终端接收到来自防御服务器的多分类匹配成功结果信息，则选择是否人工干预所述防御服务器采取防御指令；

若所述管理员终端接收到来自防御服务器的多分类匹配失败结果信息，则由所述人工核查是否属于误报警信息。

其中，所述由所述人工核查是否属于误报警信息，具体包括：

若所述人工核实为误报警信息，则由管理员将所述误报警信息对应的数据包进行预处理并提取特征；

若所述人工核实为攻击信息但未成功进行多分类，则由管理员将所述误报警信息对应的数据包进行预处理并提取特征，将所述特征写入所述防御服务器的多分类攻击特征库中，并预设对应的防御指令脚本。

具体地，当管理员终端接收到来自防御服务器的多分类匹配失败结果信息时，由人工核查是否为属于误报警信息；当人工核实确为误报警信息后，管理员可以将此数据包进行预处理并提取特征，这里预处理智能算法包括但不局限于数值化、归一化、标准化、pca降维等，将此误报信息特征写入本地网络节点入侵检测系统中的安全态数据特征库中，进而降低本地网络节点的误报率，提高本地入侵检测系统的准确性、鲁棒性、动态性；当人工核实为攻击信息但未成功进行多分类后，管理员对此数据包进行预处理并提取特征，写入防御服务器的多分类攻击特征库中，并可预设相对应的防御指令脚本，进而降低防御服务器的应急处理时间，提高适应性，动态性，可移植性。

本发明实施例通过由管理员终端进行辅助的入侵检测，增加了由人工操作的环节，能更全面地提供检测判断的依据，提高了攻击检测的响应速度和效率，避免误操作。

图9为本发明实施例提供的一种基于智能算法的入侵检测系统结构图，如图9所示，包括：待防御节点执行模块91、防御服务器执行模块92和管理员终端执行模块93；其中：

待防御节点执行模块91用于由待防御节点的检测器执行入侵检测，所述检测器是基于本地网络环境中的安全状态网络特征进行训练得到的；所述检测器基于智能算法执行快速二分类判断，判断所述待防御节点为安全状态或受攻击状态；防御服务器执行模块92用于由本地或云端的防御服务器执行入侵检测，所述防御服务器收到疑似攻击的网络数据包时，基于所述智能算法对所述网络数据包进行多分类处理；管理员终端执行模块93用于由管理员终端执行入侵检测，当所述管理员终端接收到报警信息时，将所述报警信息发送至管理员；若所述管理员终端接收到来自防御服务器的多分类匹配结果信息，则进行下一步防御操作。

本发明实施例提供的基于智能算法的入侵检测方法及系统，通过结合待防御节点、防御服务器和管理员终端进行攻击防御，最大限度提高防御时效与效率。

基于上述任一实施例，所述待防御节点执行模块91具体用于将预警日志等信息发送至管理员终端；将疑似攻击的网络数据包传输至云端或本地的防御服务器；或自动执行本地预设的防御策略。

本发明实施例通过利用待防御节点中的成熟检测器进行网络数据包的检测与处理，并通过将处理结果和后续操作分别发送至防御服务器和管理员终端进行，实现了入侵检测的并发处理和实时判断，提高了检测的效率和准确性。

基于上述任一实施例，所述防御服务器执行模块92具体用于若所述多分类处理未匹配到对应的攻击类型时，则所述防御服务器将状态信息发送至管理员终端，由人工进行下一步处理；若所述多分类处理匹配到对应的攻击类型时，则所述防御服务器执行预设的防御指令，将所述防御指令发送至所述待防御节点进行防御。

本发明实施例通过防御服务器首先进行攻击判断，进一步和管理员终端进行协商操作，更为全面地提供了网络攻击的防御措施，有效应对各种突发的网络数据攻击，由于防御服务器可以为攻击进一步分析提供较强的算力，并且由于攻击信息分析存在较大共性，因此中心化处理分析攻击并进行防御相应具有高效率、低成本等优点。

基于上述任一实施例，所述管理员终端执行模块93具体用于若所述管理员终端接收到来自防御服务器的多分类匹配成功结果信息，则选择是否人工干预所述防御服务器采取防御指令；若所述管理员终端接收到来自防御服务器的多分类匹配失败结果信息，则由所述人工核查是否属于误报警信息。若所述人工核实为误报警信息，则由管理员将所述误报警信息对应的数据包进行预处理并提取特征；若所述人工核实为攻击信息但未成功进行多分类，则由管理员将所述误报警信息对应的数据包进行预处理并提取特征，将所述特征写入所述防御服务器的多分类攻击特征库中，并预设对应的防御指令脚本。

本发明实施例通过由管理员终端进行辅助的入侵检测，增加了由人工操作的环节，能更全面地提供检测判断的依据，提高了攻击检测的响应速度和效率，避免误操作。

图10示例了一种电子设备的实体结构示意图，如图10所示，该电子设备可以包括：处理器(processor)1010、通信接口(communicationsinterface)1020、存储器(memory)1030和通信总线1040，其中，处理器1010，通信接口1020，存储器1030通过通信总线1040完成相互间的通信。处理器1010可以调用存储器1030中的逻辑指令，以执行如下方法：由待防御节点的检测器执行入侵检测，检测器是基于本地网络环境中安全状态网络特征进行训练得到的；检测器基于智能算法执行快速二分类判断，判断待防御节点为安全状态或受攻击状态。

此外，上述的存储器1030中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：由待防御节点的检测器执行入侵检测，检测器是基于本地网络环境中安全状态网络特征进行训练得到的；检测器基于智能算法执行快速二分类判断，判断待防御节点为安全状态或受攻击状态

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。