[发明专利]一种网络入侵的检测方法

说明书

【技术领域】

本发明涉及计算机技术领域，尤其涉及一种网络入侵的检测方法。

【背景技术】

目前已有许多网络入侵检测系统被开发出来，但大部分采用基于知识工程的方法。常用的检测技术包括：

(1)专家系统：采用一系列的检测规则分析入侵的特征行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构(也可以是复合结构)，条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

(2)基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordinate attack)和多层攻击(multi-stage attack)。

(3)简单模式匹配(Pattern Matching)：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。

(4)软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。

上述现有技术中的各种方法的缺点普遍在于系统的灵活性和准确性不够，不能有效识别新型攻击，自适应能力不足。

【发明内容】

本发明所要解决的技术问题是，提供一种网络入侵的检测方法，降低入侵检测得开销，提高入侵检测系统的效率。

为了解决上述问题，本发明提供了一种网络入侵的检测方法，包括如下步骤：构建系统模型，所述系统模型中包括表现型模式和基因型模式；将模型中的表现型模式映射成基因型模式；提供入侵的检测和被检测模式，并表示为向量，根据所表示的向量结构设计算法，以检测网络入侵。

作为可选的技术方案，所述系统的基因型模式采用多阶模式，所述多阶模式为四阶。

作为可选的技术方案，将基因型模式中的数值型属性离散化为区间值，以便于模式间的比较。

作为可选的技术方案，所述向量为八维向量，分为服务类型、源地址、源端口、目的地址、时延、源端发送字节数、目的端发送字节数和状态八部分。

本发明的优点在于，将二进制位转化为对应的模糊集大大缩短了抗体的长度，将克隆选择和否定选择相结合，使抗体进行否定选择时时空开销降低，提高了入侵检测的效率。

【附图说明】

附图1所示是本发明所述基于免疫原理的入侵检测模型的概念级描述示意图；

附图2所示是本发明所述抗体的二进制表示模型示意图。

【具体实施方式】

下面结合附图对本发明提供的一种网络入侵的检测方法具体实施方式做详细说明。

本具体实施方式所述方法包括如下步骤：步骤S10，构建系统模型，所述系统模型中包括表现型模式和基因型模式；步骤S11，将模型中的表现型模式映射成基因型模式；步骤S12，提供入侵的检测和被检测模式，并表示为向量，根据所表示的向量结构设计算法，以检测网络入侵。

参考步骤S10，构建系统模型，所述系统模型中包括表现型模式和基因型模式。

对人工免疫原理的应用是功能上的模拟而非所有部件的实现。在生物体中，抗体对抗原物质的识别是依靠抗体表面的受体与特定抗原的抗原决定基问化学健的“结合”，安全系统中的检测是指检测模式和被检测模式间的匹配。我们在原来建立的入侵检测系统模型时基础上引入人工免疫的概念，构建了一个更加精确合理的模型。模型综合考虑精确性和效率，对模型的概念级描述请参考附图1中的内容。