基于云模型的入侵檢測數(shù)據(jù)劃分方法
【專利摘要】本發(fā)明提供一種基于云模型的入侵檢測數(shù)據(jù)劃分方法。技術(shù)方案包括5個(gè)步驟:步驟①:建立云模型數(shù)據(jù)��;步驟②:計(jì)算云模型特征�;步驟③:輸入待檢測入侵檢測數(shù)據(jù);步驟④:計(jì)算數(shù)據(jù)屬性隸屬度��;步驟⑤:劃分信號(hào)類別�����。本發(fā)明的有益效果:在進(jìn)行入侵檢測數(shù)據(jù)屬性判斷時(shí)����,改變了以往依靠主觀經(jīng)驗(yàn)對(duì)數(shù)據(jù)的信號(hào)含義進(jìn)行劃分的方式,通過入侵檢測數(shù)據(jù)屬性隸屬度的定量分析來劃分信號(hào)含義;在后續(xù)的DCA異常檢測中�,提高了入侵檢測的檢測率,降低了虛警率�����,具備計(jì)算量小�,實(shí)時(shí)性好等優(yōu)點(diǎn)。
【專利說明】基于云模型的入侵檢測數(shù)據(jù)劃分方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】����,涉及一種在網(wǎng)絡(luò)中利用云模型來判斷入侵檢測數(shù) 據(jù)中危險(xiǎn)屬性從而進(jìn)行信號(hào)劃分的方法。
【背景技術(shù)】
[0002] IDS (Intrusion Detection System,入侵檢測系統(tǒng))是人們?cè)噲D解決網(wǎng)絡(luò)入侵的 一個(gè)途徑����,研究人員開發(fā)出不同的IDS來識(shí)別和阻止入侵事件的發(fā)生。目前����,有些IDS的原 理是通過模擬人工免疫系統(tǒng)的免疫過程來解決入侵檢測領(lǐng)域的問題,這種IDS具有快速��、 準(zhǔn)確的免疫識(shí)別特性���,能夠?qū)φ5挠?jì)算機(jī)行為和入侵的有害行為進(jìn)行有效劃分����,同時(shí)具 有的魯棒性����、自適應(yīng)性和自學(xué)習(xí)性等多種特性,這也正是現(xiàn)代入侵檢測技術(shù)所追求的�。
[0003] 異常檢測是入侵檢測的一種類型?���;谖kU(xiǎn)理論的異常檢測方法中最典型的一種 算法是DCA(Dendritic Cell Algorithm,樹突狀細(xì)胞方法),該方法作為危險(xiǎn)理論的實(shí)現(xiàn)方 法�����,不需要額外的檢測器訓(xùn)練時(shí)間�����,方法計(jì)算量小����,占用的計(jì)算資源也非常少。DCA首先將入 侵檢測數(shù)據(jù)劃分成三種信號(hào)再進(jìn)行后續(xù)處理����,目前劃分信號(hào)的主要做法是對(duì)監(jiān)測到的入侵 檢測數(shù)據(jù)屬性從主觀經(jīng)驗(yàn)上根據(jù)信號(hào)含義進(jìn)行劃分�����,這種做法只能定性地描述三種信號(hào)的 含義��,不能從定量的角度進(jìn)行更細(xì)致的描述劃分�����。
[0004] 云模型是一種建立在模糊集理論和概率論的基礎(chǔ)上���,將定性概念轉(zhuǎn)變成定量表示 的數(shù)學(xué)工具。由于云模型能準(zhǔn)確的用語言值反應(yīng)出事物的不確定性�����,目前已經(jīng)成功用于數(shù) 據(jù)挖掘����、知識(shí)發(fā)現(xiàn)、網(wǎng)絡(luò)安全預(yù)測以及入侵檢測等領(lǐng)域�。由于入侵檢測數(shù)據(jù)是對(duì)多個(gè)對(duì)象和 屬性進(jìn)行監(jiān)控和檢測,對(duì)實(shí)時(shí)性的要求很高����,而云模型則可以以較小的計(jì)算量完成對(duì)定性 概念和定量表示之間的轉(zhuǎn)換����,符合入侵檢測實(shí)時(shí)性的需求����。云模型從數(shù)據(jù)處理的角度解決 了入侵檢測數(shù)據(jù)多維性���、難處理以及計(jì)算量大等難點(diǎn)��,為人工免疫理論在入侵檢測上的應(yīng) 用鋪平了道路��。因此���,本發(fā)明將云模型引入入侵檢測【技術(shù)領(lǐng)域】,提高了入侵檢測的準(zhǔn)確性和 實(shí)時(shí)性���。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明提供一種基于云模型的入侵檢測數(shù)據(jù)劃分方法�,該方法的輸出作為DCA的 三種輸入信號(hào)����,實(shí)現(xiàn)了對(duì)入侵檢測數(shù)據(jù)的定性劃分����,提高了 DCA后續(xù)異常檢測的準(zhǔn)確性�����。
[0006] 本發(fā)明的技術(shù)方案是:一種基于云模型的入侵檢測數(shù)據(jù)劃分方法��,其特征在于�,包 括下述步驟:
[0007] 步驟①:建立云模型數(shù)據(jù)。
[0008] 從入侵檢測標(biāo)準(zhǔn)數(shù)據(jù)集中選取N個(gè)正常數(shù)據(jù)存入矩陣X = [Xij]NXM中形成云模型 數(shù)據(jù)�,其中N的大小根據(jù)所需云模型的規(guī)模確定,M代表標(biāo)準(zhǔn)數(shù)據(jù)集的屬性數(shù)�。
[0009] 步驟②:計(jì)算云模型特征。
[0010] 利用下列公式計(jì)算云模型第j屬性的期望Ex』��、熵Erij���、超熵He』�����、卡方值CSj和權(quán)重 因子P」���,j = 1�,2,…����,M:
【權(quán)利要求】
1. 一種基于云模型的入侵檢測數(shù)據(jù)劃分方法,其特征在于�,包括下述步驟: 步驟①:建立云模型數(shù)據(jù): 從入侵檢測標(biāo)準(zhǔn)數(shù)據(jù)集中選取N個(gè)正常數(shù)據(jù)存入矩陣X= [Xi」NXM中形成云模型數(shù)據(jù), 其中N的大小根據(jù)所需云模型的規(guī)模確定����,M代表標(biāo)準(zhǔn)數(shù)據(jù)集的屬性數(shù): 步驟②:計(jì)算云模型特征: 利用下列公式計(jì)算云模型第j屬性的期望Exj�、熵Enj、超熵He」�����、卡方值CSj和權(quán)重因子Pj,j= 1�,2,…,M:
步驟③:輸入待檢測入侵檢測數(shù)據(jù): 將K個(gè)待檢測入侵檢測數(shù)據(jù)存入矩陣Z= [Zi^_]KXM�����,從云模型數(shù)據(jù)中隨機(jī)選取K個(gè)正 常數(shù)據(jù)存入矩陣Y= [y^』]ΚΧΜ�����,其中K〈N; 步驟④:計(jì)算數(shù)據(jù)屬性隸屬度。 利用下列公式分別計(jì)算正常數(shù)據(jù)的第j屬性隸屬度和待檢測入侵檢測數(shù)據(jù)的第j屬性隸屬度μ'j:
上述公式中����,五v,= ,En����,是以EnjS均值、HejS標(biāo)準(zhǔn)差的正態(tài) -JNJN 隨機(jī)數(shù)��; 步驟⑤:劃分信號(hào)類別: 針對(duì)待檢測入侵檢測數(shù)據(jù)�,依據(jù)以下情況劃分信號(hào): 若Eμ' ^ >Eμ^將K個(gè)待檢測入侵檢測數(shù)據(jù)劃分為DS危險(xiǎn)信號(hào); 若Eμ' ^ >Eh且Varμ' ^ <Varμρ將K個(gè)待檢測入侵檢測數(shù)據(jù)劃分為PAMPS病 原相關(guān)分析模式信號(hào)��; 若Eμ' ^ <El·^�,將K個(gè)待檢測入侵檢測數(shù)據(jù)劃分為SS安全信號(hào); 其中��,,Var^j ��, μ] N jN 1 N Σ::Μ-印/)2 Varpi =y-1 --〇 J N
【文檔編號(hào)】H04L29/08GK104239785SQ201410520551
【公開日】2014年12月24日 申請(qǐng)日期:2014年9月30日 優(yōu)先權(quán)日:2014年9月30日
【發(fā)明者】張琛, 王文浩 申請(qǐng)人:中國人民解放軍國防科學(xué)技術(shù)大學(xué)