專利名稱:基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域����,具體涉及一種基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法。
背景技術(shù):
企業(yè)內(nèi)部網(wǎng)絡(luò)遭受攻擊的情況防不勝防���,使企業(yè)深受網(wǎng)絡(luò)入侵的困擾�����。盡管目前國內(nèi)外已開發(fā)了各類入侵檢測(cè)系統(tǒng)����,但是,在核心算法方面���、在有效性���、自適應(yīng)性等方面以及在檢測(cè)率方面仍存在較多的問題,這也是國內(nèi)外專家仍然不懈地致力于開拓新思路的主要原因�。基于生物免疫的人工免疫系統(tǒng)在近幾年得到迅速發(fā)展���,由于它具有的分布性�����、多樣性�、魯棒性�、適應(yīng)性和特異識(shí)別等特性����,正是入侵檢測(cè)系統(tǒng)所希望具有的特性���,因此一些免疫機(jī)制和免疫算法被用來實(shí)現(xiàn)入侵檢測(cè)�。人工免疫系統(tǒng)是基于對(duì)生物免疫系統(tǒng)的研究而建立起來的一種仿生模型�����,生物免疫系統(tǒng)與入侵檢測(cè)的功能非常相似�。生物免疫系統(tǒng)的功能是保護(hù)肌體免受病毒的侵害��,入侵檢測(cè)系統(tǒng)的目的是保護(hù)計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)免受計(jì)算機(jī)病毒的侵害����。從信息處理的角度來看,生物免疫系統(tǒng)具備強(qiáng)大的識(shí)別����、學(xué)習(xí)和記憶的能力及分布式、自組織和多樣性特性����,這些顯著的特性使得人工免疫理論具有很大的魅力����。國內(nèi)外的著名學(xué)者對(duì)此進(jìn)行了研究并發(fā)表了大量論著�,提出了很多算法,建立了很多基于人工免疫算法的網(wǎng)絡(luò)入侵檢測(cè)模型����。目前的免疫算法主要包括克隆選擇算法、陰性選擇算法�、免疫遺傳算法,在此基礎(chǔ)產(chǎn)生了很多改進(jìn)的算法���。雖然人工免疫在應(yīng)用于入侵檢測(cè)系統(tǒng)的研究中已經(jīng)提出了很多理論成果及研究方法��,但到目前為止還沒有相關(guān)的基于人工免疫的入侵檢測(cè)產(chǎn)品����,這是由于自體集用于入侵檢測(cè)系統(tǒng)的局限性導(dǎo)致的第一�����,在建構(gòu)檢測(cè)器時(shí)不能決定選擇基于自體集還是異體集�����, 自體集一般過大導(dǎo)致不容易匹配,會(huì)增加系統(tǒng)的運(yùn)載負(fù)荷�,而異體集則缺乏檢測(cè)未知入侵的能力;第二����,對(duì)于某些特定的防護(hù)對(duì)象需要搜集的異體集數(shù)據(jù)量比自體集還要大;第三���, 傳統(tǒng)的自體集匹配時(shí)是基于位匹配��,這樣導(dǎo)致系統(tǒng)的計(jì)算量過大��,難以實(shí)現(xiàn)����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題是克服現(xiàn)有技術(shù)的不足�,提供了一種能夠減小自體集規(guī)模�����,極大減小數(shù)據(jù)匹配運(yùn)算量����,提高自體集匹配速率的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法。為解決上述技術(shù)問題��,本發(fā)明的技術(shù)方案如下
一種基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法��,包括如下步驟
(I)構(gòu)建自體集���,其具體步驟包括
(II)搜集網(wǎng)絡(luò)數(shù)據(jù)��,將網(wǎng)絡(luò)數(shù)據(jù)依次流過N層多叉樹提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性并存儲(chǔ)在N層多叉樹中�����;
(12)根據(jù)特征屬性將網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分�����,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)到文件�,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值Κ��。存儲(chǔ)在N層多叉樹結(jié)構(gòu)中�,其中,0 0 ^ j < Ji, Ji為第i層特征屬性的個(gè)數(shù)���,不等長(zhǎng)數(shù)據(jù)段在文件中的地址和特征屬性值在多叉樹結(jié)構(gòu)中的地址進(jìn)行映射�����,形成系統(tǒng)的自體集���; (2)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè)���,其具體步驟包括
(21)將網(wǎng)絡(luò)數(shù)據(jù)包按多叉樹的各層特征屬性進(jìn)行分類,提取網(wǎng)絡(luò)數(shù)據(jù)包的特征屬性
值�����;
(22)將網(wǎng)絡(luò)數(shù)據(jù)包的特征屬性值按按層依次跟自體集中的特征屬性值匹配�,對(duì)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行異常處理,匹配成功的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入自體集的文件中與文件中的數(shù)據(jù)記錄進(jìn)行匹配����,與自體集文件中的數(shù)據(jù)記錄匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)���。本發(fā)明在構(gòu)建自體集時(shí)將大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)按特征屬性分成N個(gè)不等長(zhǎng)的小塊數(shù)據(jù)段�����,將這N個(gè)特征屬性和數(shù)據(jù)段對(duì)應(yīng)的特征屬性值提取出來并映射到N層多叉樹中�����,網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配時(shí)按N個(gè)特征屬性層層匹配���,減少系統(tǒng)的運(yùn)算量�����,實(shí)現(xiàn)網(wǎng)絡(luò)流量包的快速定位�。上述方案中���,所述步驟(11)中利用抓包工具搜集網(wǎng)絡(luò)數(shù)據(jù)�,通過提取網(wǎng)絡(luò)數(shù)據(jù)的有用字段獲得N個(gè)特征屬性�。上述方案中,多叉樹中特征屬性和特征屬性值的具體存儲(chǔ)方式為
將1 N個(gè)特征屬性分別對(duì)應(yīng)到多叉樹的1 N層�����,在多叉樹的0層設(shè)定一個(gè)根結(jié)點(diǎn)���, 特征屬性值以指針數(shù)組的形式存儲(chǔ)在多叉樹結(jié)構(gòu)中���,設(shè)定第一類特征屬性值Ku作為根結(jié)點(diǎn)的子結(jié)點(diǎn)����,在Κ��。中�����,0彡j<Ji �����;第二類特征屬性值K�。又分別作為J1AKu的子節(jié)點(diǎn), 在K2」中�,0彡j < J2 ;依次類推�����,第N個(gè)特征屬性值���、分別作為JN_i個(gè)的子節(jié)點(diǎn),在 KN,j中�����,0 < j < Jn ;自體集文件的首個(gè)存儲(chǔ)地址映射到多叉樹第N層指針數(shù)組Kn,」��。本發(fā)明將多叉樹結(jié)構(gòu)與指針數(shù)組的存儲(chǔ)方法相結(jié)合�,克服了傳統(tǒng)算法中使用鏈表因遍歷造成的時(shí)間冗余,實(shí)現(xiàn)網(wǎng)絡(luò)流量包的快速定位����。上述方案中,所述方法還對(duì)所述步驟(12)中的N個(gè)不等長(zhǎng)數(shù)據(jù)段進(jìn)行編碼壓縮�����, 具體為
將N個(gè)不等長(zhǎng)數(shù)據(jù)段作為一個(gè)文本信息進(jìn)行填充��; 將填充后的數(shù)據(jù)段進(jìn)行切分獲得N個(gè)字符串小組����;
對(duì)每個(gè)字符串小組進(jìn)行不可逆的字符串變換,獲得唯一的具有固定長(zhǎng)度的小信息摘
要��;
將所述小信息摘要代替不等長(zhǎng)數(shù)據(jù)段作為自體集數(shù)據(jù)記錄存儲(chǔ)到文件中��。本發(fā)明將N個(gè)不等長(zhǎng)數(shù)據(jù)段作為一個(gè)大文本信息進(jìn)行填充切分獲得字符串小組, 將各個(gè)字符串小組通過m輪的非線性循環(huán)預(yù)算進(jìn)行不可逆的字符串變換獲得小信息摘要���, 極大減少了自體集的存儲(chǔ)空間�����,進(jìn)一步減少了網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配時(shí)的一次匹配量�,使系統(tǒng)的計(jì)算負(fù)荷減輕的同時(shí)又不影響自體集的數(shù)據(jù)匹配速率����。而且由于獲得的小信息摘要具有固定的長(zhǎng)度,使得自體集中存儲(chǔ)的數(shù)據(jù)規(guī)范化����,便于自體集的存儲(chǔ)管理,方便自體集的查找匹配�����,進(jìn)一步提高系統(tǒng)匹配速率����。上述方案中,所述步驟(2)還包括執(zhí)行基于概率隊(duì)列的匹配尋優(yōu)機(jī)制
當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容與自體集文件中的數(shù)據(jù)記錄匹配成功后���,啟動(dòng)尋優(yōu)機(jī)制�����,自動(dòng)將所述數(shù)據(jù)記錄置入文件的首個(gè)存儲(chǔ)地址���,位于所述數(shù)據(jù)記錄之前的數(shù)據(jù)記錄依次向后移動(dòng)一個(gè)存儲(chǔ)單元。本發(fā)明根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的集中性設(shè)置了所述尋優(yōu)機(jī)制�����,網(wǎng)絡(luò)數(shù)據(jù)集中性即網(wǎng)絡(luò)中的數(shù)據(jù)總是相伴而來�����,一個(gè)網(wǎng)絡(luò)數(shù)據(jù)到達(dá)后����,下一個(gè)即將到達(dá)的網(wǎng)絡(luò)數(shù)據(jù)與前一個(gè)網(wǎng)絡(luò)數(shù)據(jù)相似的概率很大。若即將到達(dá)的網(wǎng)絡(luò)數(shù)據(jù)與前一個(gè)網(wǎng)絡(luò)數(shù)據(jù)一樣�����,仍按前一個(gè)網(wǎng)絡(luò)數(shù)據(jù)的路徑一路匹配必然會(huì)導(dǎo)致系統(tǒng)重復(fù)計(jì)算�,造成系統(tǒng)資源浪費(fèi)���。本發(fā)明提出上述基于概率隊(duì)列的匹配尋優(yōu)機(jī)制這一機(jī)制能保證命中匹配率高的數(shù)據(jù)記錄首先進(jìn)行數(shù)據(jù)匹配,而幾乎不會(huì)命中匹配的數(shù)據(jù)記錄排在文件的最后����,幾乎不需要訪問。網(wǎng)絡(luò)中出現(xiàn)的數(shù)據(jù)能夠在隊(duì)列中率先找到可以匹配的數(shù)據(jù)����,因此可以避免重復(fù)計(jì)算,不僅減少了系統(tǒng)的運(yùn)算量��,還節(jié)約了匹配時(shí)間���,提高了自體集的匹配速率�����。上述方案中�,所述步驟(2)還包括執(zhí)行閾值機(jī)制 設(shè)定自體集的數(shù)據(jù)不匹配閾值�;
當(dāng)一個(gè)網(wǎng)絡(luò)數(shù)據(jù)連續(xù)出現(xiàn)并與自體集文件中的數(shù)據(jù)記錄匹配失敗時(shí),對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)累加連續(xù)記錄次數(shù)���;
當(dāng)所述網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)記錄次數(shù)達(dá)到數(shù)據(jù)不匹配閾值時(shí)�,則將所述網(wǎng)絡(luò)數(shù)據(jù)按特征屬性切分后添加到自體集文件中。本發(fā)明為應(yīng)對(duì)千變?nèi)f化的網(wǎng)絡(luò)形勢(shì)�����,需要對(duì)自體集進(jìn)行不斷地更新����,對(duì)自體集設(shè)置了上述閾值機(jī)制不斷對(duì)自體集中的數(shù)據(jù)記錄進(jìn)行更新��,使自體集能與不斷變化的網(wǎng)絡(luò)保持同步�����。上述方案中�,所述步驟(2)還包括執(zhí)行定時(shí)機(jī)制
在自體集中設(shè)置定時(shí)器,對(duì)自體集文件中的每條數(shù)據(jù)記錄分別計(jì)時(shí)�; 當(dāng)自體集文件中的數(shù)據(jù)記錄一經(jīng)被匹配,所述數(shù)據(jù)記錄的計(jì)時(shí)清零并重新計(jì)時(shí)����; 當(dāng)自體集文件中的數(shù)據(jù)記錄的計(jì)時(shí)達(dá)到定時(shí)器設(shè)定的定時(shí)時(shí)間,則啟動(dòng)清除命令��,將所述數(shù)據(jù)記錄從自體集中清除�����。本發(fā)明通過上述定時(shí)機(jī)制在一定時(shí)間范圍內(nèi)淘汰久置無用的數(shù)據(jù),不僅能應(yīng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的復(fù)雜性和多變性�����,又能有效控制自體集規(guī)模�,避免自體集由于閾值機(jī)制不斷更新使得其數(shù)據(jù)容量越來越大,而過大數(shù)據(jù)量的自體集會(huì)減緩匹配的速率���。與現(xiàn)有技術(shù)相比�����,本發(fā)明技術(shù)方案的有益效果是
(1)本發(fā)明利用多叉樹結(jié)構(gòu)以及將多叉樹結(jié)構(gòu)和指針數(shù)組的存儲(chǔ)方法相結(jié)合對(duì)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)按特征屬性進(jìn)行分塊��,極大地減小了數(shù)據(jù)匹配的運(yùn)算量��,實(shí)現(xiàn)網(wǎng)絡(luò)流量包的快速定位�����。(2)本發(fā)明對(duì)網(wǎng)絡(luò)數(shù)據(jù)按特征屬性進(jìn)行內(nèi)容切分獲得的數(shù)據(jù)段進(jìn)行編碼壓縮�����,規(guī)范自體集����,減小了自體集規(guī)模,進(jìn)一步提高了網(wǎng)絡(luò)數(shù)據(jù)匹配速率�。(3)本發(fā)明通過基于概率隊(duì)列的匹配尋優(yōu)機(jī)制對(duì)自體集中的數(shù)據(jù)記錄進(jìn)行快速尋優(yōu),更進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的快速匹配����,為網(wǎng)絡(luò)入侵的實(shí)時(shí)性提供了第三重保障�。(4)本發(fā)明的閾值機(jī)制和定時(shí)機(jī)制的完美結(jié)合完成了自體集的更新,對(duì)超過一定閾值的網(wǎng)絡(luò)數(shù)據(jù)加入自體集中�����,為自體集添加新元素�����,而在一定時(shí)間范圍內(nèi)又可以淘汰久置無用的數(shù)據(jù)��,不僅能應(yīng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的復(fù)雜性和多變性�,又能有效控制自體集規(guī)模。
圖1為本發(fā)明中構(gòu)建自體集的流程圖��;圖2為本發(fā)明中對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè)的流程圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的說明��。如圖1和圖2所示�,為本發(fā)明一種基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法的流程圖,其具體包括如下步驟
(Si)構(gòu)建自體集�����,其具體步驟包括
(Sll)利用抓包工具搜集網(wǎng)絡(luò)數(shù)據(jù)��,將網(wǎng)絡(luò)數(shù)據(jù)依次流過N層多叉樹��,通過提取網(wǎng)絡(luò)數(shù)據(jù)的有用字段獲得N個(gè)特征屬性并存儲(chǔ)在N層多叉樹中�;有用字段的選取是根據(jù)網(wǎng)絡(luò)上能夠最大表征網(wǎng)絡(luò)數(shù)據(jù)包類型的原則而設(shè)定的。(S12)根據(jù)特征屬性將網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分���,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)到文件���,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值Κ。存儲(chǔ)在N層多叉樹結(jié)構(gòu)中���,��,其中���,0<i<N��,0 ^ j < Ji, Ji為第i層特征屬性的個(gè)數(shù)�����,不等長(zhǎng)數(shù)據(jù)段在文件中的地址和特征屬性值在多叉樹結(jié)構(gòu)中的地址進(jìn)行映射���,形成系統(tǒng)的自體集;
步驟(S12)中還包括對(duì)N個(gè)不等長(zhǎng)數(shù)據(jù)段進(jìn)行編碼壓縮�����,具體為
(5121)將N個(gè)不等長(zhǎng)數(shù)據(jù)段作為一個(gè)文本信息進(jìn)行填充��;
(5122)將填充后的數(shù)據(jù)段進(jìn)行切分獲得N個(gè)字符串小組����;
(5123)對(duì)每個(gè)字符串小組進(jìn)行不可逆的字符串變換���,獲得唯一的具有固定長(zhǎng)度的小信息摘要����;
(5124)將所述小信息摘要代替數(shù)據(jù)段作為自體集數(shù)據(jù)記錄存儲(chǔ)到文件中。不等長(zhǎng)數(shù)據(jù)段的填充的長(zhǎng)度根據(jù)算法運(yùn)算情況進(jìn)行設(shè)定���,使其和算法運(yùn)算進(jìn)行配合����,以使其減輕網(wǎng)絡(luò)數(shù)據(jù)包一次匹配量的同時(shí)能夠使系統(tǒng)的計(jì)算負(fù)荷減輕又不致于影響自體集匹配速率�����。步驟(Sll)和步驟(S12)中多叉樹中特征屬性和特征屬性值的具體存儲(chǔ)方式為 將1 N個(gè)特征屬性分別對(duì)應(yīng)到多叉樹的1 N層����,在多叉樹的0層設(shè)定一個(gè)根結(jié)點(diǎn),
特征屬性值以指針數(shù)組的形式存儲(chǔ)在多叉樹結(jié)構(gòu)中����,設(shè)定第一類特征屬性值Ku作為根結(jié)點(diǎn)的子結(jié)點(diǎn),在Ku中��,0彡j<Ji �;第二類特征屬性值K。又分別作為J1AKu的子節(jié)點(diǎn)����,在K2,j中���,0彡j < J2 ;依次類推��,第N個(gè)特征屬性值KN,j (0彡j < Jn)分別作為JN_i個(gè) Kn-^j的子節(jié)點(diǎn)����,在Kn,」中,0彡j < Jn �����;自體集文件的首個(gè)存儲(chǔ)地址映射到多叉樹第N層指針數(shù)組Kn,」����。(S2)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè);當(dāng)構(gòu)建好自體集后就可以對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行入侵免疫檢測(cè)��,其具體步驟包括
(521)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè)���,將網(wǎng)絡(luò)數(shù)據(jù)包按多叉樹的各層特征屬性進(jìn)行分類,提取網(wǎng)絡(luò)數(shù)據(jù)包的特征屬性值����;
(522)將網(wǎng)絡(luò)數(shù)據(jù)包的特征屬性值按層依次跟自體集的特征屬性值匹配��,對(duì)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行異常處理��,匹配成功的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入自體集的文件中與文件中的數(shù)據(jù)進(jìn)行匹配��,與自體集文件中的數(shù)據(jù)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)�����。在利用自體集對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè)時(shí)�����,自體集還會(huì)根據(jù)與網(wǎng)絡(luò)數(shù)據(jù)的匹配情況啟動(dòng)基于概率隊(duì)列的匹配尋優(yōu)機(jī)制�����、閾值機(jī)制和定時(shí)機(jī)制對(duì)自體集的匹配機(jī)制進(jìn)行優(yōu)化��,并完成其自身的自主更新�,對(duì)自體集的規(guī)模進(jìn)行約束����。具體步驟包括(S23)執(zhí)行基于概率隊(duì)列的匹配尋優(yōu)機(jī)制當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容與自體集文件中的數(shù)據(jù)記錄匹配成功后����,啟動(dòng)尋優(yōu)機(jī)制��,自動(dòng)將所述數(shù)據(jù)記錄置入文件的首個(gè)存儲(chǔ)地址����,位于所述數(shù)據(jù)記錄之前的數(shù)據(jù)記錄依次向后移動(dòng)一個(gè)存儲(chǔ)單元。(S24)執(zhí)行閾值機(jī)制
(S241)設(shè)定自體集的數(shù)據(jù)不匹配閾值�;
(SM2)當(dāng)一個(gè)網(wǎng)絡(luò)數(shù)據(jù)連續(xù)出現(xiàn)并與自體集文件中的數(shù)據(jù)記錄匹配失敗時(shí)�����,對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)累加連續(xù)記錄次數(shù);
(SM3)當(dāng)所述網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)記錄次數(shù)達(dá)到數(shù)據(jù)不匹配閾值時(shí)��,則將所述網(wǎng)絡(luò)數(shù)據(jù)按特征屬性切分后添加到自體集文件中。(S25)執(zhí)行定時(shí)機(jī)制
(5251)在自體集中設(shè)置定時(shí)器�����,對(duì)自體集文件中的每條數(shù)據(jù)記錄分別計(jì)時(shí)��;
(5252)當(dāng)自體集文件中的數(shù)據(jù)記錄一經(jīng)被匹配,該條數(shù)據(jù)記錄的計(jì)時(shí)清零并重新計(jì)
時(shí)���;
(5253)當(dāng)自體集文件中的數(shù)據(jù)記錄的計(jì)時(shí)達(dá)到定時(shí)器設(shè)定的定時(shí)時(shí)間�,則啟動(dòng)清除命令,將該條數(shù)據(jù)記錄從自體集中清除�。上述步驟(S23)、(S24)和(S25)的執(zhí)行不分先后�����,其執(zhí)行是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)和自體集文件中的數(shù)據(jù)記錄的匹配情況而進(jìn)行的���。
權(quán)利要求
1.一種基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法,其特征在于����,包括如下步驟(1)構(gòu)建自體集�,其具體步驟包括(11)搜集網(wǎng)絡(luò)數(shù)據(jù),將網(wǎng)絡(luò)數(shù)據(jù)依次流過N層多叉樹提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性并存儲(chǔ)在N層多叉樹中��;(12)根據(jù)特征屬性將網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行切分��,獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段作為N個(gè)數(shù)據(jù)記錄存儲(chǔ)到文件,提取各個(gè)數(shù)據(jù)段對(duì)應(yīng)的特征屬性值Κ��。存儲(chǔ)在N層多叉樹結(jié)構(gòu)中��,其中,00 ^ j < Ji, Ji為第i層特征屬性的個(gè)數(shù)�,不等長(zhǎng)數(shù)據(jù)段在文件中的地址和特征屬性值在多叉樹結(jié)構(gòu)中的地址進(jìn)行映射��,形成系統(tǒng)的自體集�����;(2)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè)�,其具體步驟包括(21)將網(wǎng)絡(luò)數(shù)據(jù)包按多叉樹的各層特征屬性進(jìn)行分類,提取網(wǎng)絡(luò)數(shù)據(jù)包的特征屬性值�����;(22)將網(wǎng)絡(luò)數(shù)據(jù)包的特征屬性值按層依次跟自體集中的特征屬性值匹配���,對(duì)匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行異常處理�����,匹配成功的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入自體集的文件中與文件中的數(shù)據(jù)記錄進(jìn)行匹配�����,與自體集文件中的數(shù)據(jù)記錄匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)�����。
2.根據(jù)權(quán)利要求1所述的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法�,其特征在于,所述步驟(11)中利用抓包工具搜集網(wǎng)絡(luò)數(shù)據(jù)���,通過提取網(wǎng)絡(luò)數(shù)據(jù)的有用字段獲得N個(gè)特征屬性����。
3.根據(jù)權(quán)利要求1所述的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法����,其特征在于,多叉樹中特征屬性和特征屬性值的具體存儲(chǔ)方式為將1 N個(gè)特征屬性分別對(duì)應(yīng)到多叉樹的1 N層��,在多叉樹的0層設(shè)定一個(gè)根結(jié)點(diǎn)�, 特征屬性值以指針數(shù)組的形式存儲(chǔ)在多叉樹結(jié)構(gòu)中,設(shè)定第一類特征屬性值Κ��。作為根結(jié)點(diǎn)的子結(jié)點(diǎn)��,在Κ��。中,0彡j<Ji ���;第二類特征屬性值K�����。又分別作為J1AKu的子節(jié)點(diǎn)��, 在K2」中,0彡j < J2 �;依次類推,第N個(gè)特征屬性值����、分別作為JN_i個(gè)的子節(jié)點(diǎn),在 ΚΝ,」中���,0 < j < Jn �����;自體集文件的首個(gè)存儲(chǔ)地址映射到多叉樹第N層指針數(shù)組Kn,」����。
4.根據(jù)權(quán)利要求1所述的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法,其特征在于�����,所述方法還對(duì)所述步驟(12)中的N個(gè)不等長(zhǎng)數(shù)據(jù)段進(jìn)行編碼壓縮�,具體為將N個(gè)不等長(zhǎng)數(shù)據(jù)段作為一個(gè)文本信息進(jìn)行填充; 將填充后的數(shù)據(jù)段進(jìn)行切分獲得N個(gè)字符串小組���;對(duì)每個(gè)字符串小組進(jìn)行不可逆的字符串變換���,獲得唯一的具有固定長(zhǎng)度的小信息摘要;將所述小信息摘要代替不等長(zhǎng)數(shù)據(jù)段作為自體集數(shù)據(jù)記錄存儲(chǔ)到文件中��。
5.根據(jù)權(quán)利要求1所述的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法��,其特征在于��,所述步驟(2)還包括執(zhí)行基于概率隊(duì)列的匹配尋優(yōu)機(jī)制當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容與自體集文件中的數(shù)據(jù)記錄匹配成功后�,啟動(dòng)尋優(yōu)機(jī)制,自動(dòng)將所述數(shù)據(jù)記錄置入文件的首個(gè)存儲(chǔ)地址���,位于所述數(shù)據(jù)記錄之前的數(shù)據(jù)記錄依次向后移動(dòng)一個(gè)存儲(chǔ)單元��。
6.根據(jù)權(quán)利要求1所述的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法�����,其特征在于��,所述步驟(2)還包括執(zhí)行閾值機(jī)制設(shè)定自體集的數(shù)據(jù)不匹配閾值��;當(dāng)一個(gè)網(wǎng)絡(luò)數(shù)據(jù)連續(xù)出現(xiàn)并與自體集文件中的數(shù)據(jù)記錄匹配失敗時(shí)�,對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)累加連續(xù)記錄次數(shù);當(dāng)所述網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)記錄次數(shù)達(dá)到數(shù)據(jù)不匹配閾值時(shí)���,則將所述網(wǎng)絡(luò)數(shù)據(jù)根據(jù)自體集中的特征屬性切分后添加到自體集文件中�。
7.根據(jù)權(quán)利要求1至6任一項(xiàng)所述的基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法���, 其特征在于,所述步驟(2)還包括執(zhí)行定時(shí)機(jī)制在自體集中設(shè)置定時(shí)器�,對(duì)自體集文件中的每條數(shù)據(jù)記錄分別計(jì)時(shí); 當(dāng)自體集文件中的數(shù)據(jù)記錄一經(jīng)被匹配�,所述數(shù)據(jù)記錄的計(jì)時(shí)清零并重新計(jì)時(shí); 當(dāng)自體集文件中的數(shù)據(jù)記錄的計(jì)時(shí)達(dá)到定時(shí)器設(shè)定的定時(shí)時(shí)間�����,則啟動(dòng)清除命令��,將所述數(shù)據(jù)記錄從自體集中清除。
全文摘要
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域�,具體涉及一種基于自體集規(guī)模約束的網(wǎng)絡(luò)入侵免疫檢測(cè)方法。其包括步驟首先構(gòu)建自體集����,搜集網(wǎng)絡(luò)數(shù)據(jù)提取網(wǎng)絡(luò)數(shù)據(jù)的N個(gè)特征屬性;將網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容切分獲得N個(gè)不等長(zhǎng)數(shù)據(jù)段存儲(chǔ)到文件��,提取對(duì)應(yīng)的特征屬性值存在N層多叉樹結(jié)構(gòu)中�����,形成系統(tǒng)的自體集����;然后對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵免疫檢測(cè),將網(wǎng)絡(luò)數(shù)據(jù)包按多叉樹的各層特征屬性進(jìn)行分類���,提取特征屬性值并按層依次跟自體集的特征屬性值匹配����,匹配不成功則進(jìn)行異常處理����,匹配成功則進(jìn)入自體集文件中進(jìn)行匹配�,匹配不成功的網(wǎng)絡(luò)數(shù)據(jù)即為入侵?jǐn)?shù)據(jù)�����。本發(fā)明規(guī)范自體集存儲(chǔ)結(jié)構(gòu)�����,優(yōu)化自體集匹配制����,提高網(wǎng)絡(luò)流量包與自體數(shù)據(jù)的匹配速率,完成自體集自主更新��,實(shí)現(xiàn)自體集的規(guī)模約束���。
文檔編號(hào)H04L29/06GK102427415SQ20111040264
公開日2012年4月25日 申請(qǐng)日期2011年12月7日 優(yōu)先權(quán)日2011年12月7日
發(fā)明者康啟超, 張清華, 楊忠明, 沈巖, 申林, 秦勇, 高苗粉, 黃廣文 申請(qǐng)人:廣東石油化工學(xué)院