[发明专利]一种基于仿射聚类分析的入侵检测方法

说明书

技术领域

本发明属于信息安全技术领域，提出了基于仿射聚类分析(affinity propagation clustering)方法建立入侵检测数据库，并据此结果划分安全等级的方法，本发明的入侵检测方法主要应用于信息安全管理系统。

背景技术

随着计算机网络的迅速发展和广泛使用，网上的数据也频繁受到黑客的攻击和篡改，网络安全变得越来越重要。目前，常用的安全技术，如信息加密、防火墙等，可以作为保护网络的第一道防线，但仅应用上述技术是不够的，比如目前广泛使用的防火墙技术不能阻止内部攻击，不能提供实时检测等，人们由此提出了网络安全的第二道防线-入侵检测技术。入侵检测用于识别非授权使用计算机系统的个体(如黑客)和虽有合法授权但滥用其权限的用户(如内部攻击)。现有的入侵检测系统大都采用专家系统或基于统计的方法，这需要较多的经验，而数据挖掘(data mining)方法的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和规律，而不依赖经验。

聚类分析是数理统计中的一种多元分析方法，它是用数学方法定量地确定样本的亲疏关系，从而客观地划分类型事物之间的界限。目前，聚类分析已广泛应用在各行各业，通常将被聚类的事物称为样本或实体，将被聚类的一组事物称为样本集。聚类法的基本思想认为，我们所研究的对象中各实体之间存在着程度不同的相似性，于是，根据众多单位的多个观测指标，找出能够度量各单位之间相似程度的统计量，以其作为划分类型的依据，将一些相似程度较大的单位聚合为一类，而将另外一些彼此相似程度较大的单位聚合为另一类。

运用数据挖掘中的仿射聚类分析方法建立入侵检测模型数据库的优点是：能高度自动化地分析原有数据，作出归纳性推理，从中挖掘出潜在的模式，预测出客户的行为，更重要的是它能够优化或完全抛弃既有的模型，对入侵行为重新划分并用显示或隐式的方法进行描述。该方法具有较强的实用性和自适应功能，利用此技术实现网络安全目前在国内外都是一种新的尝试。

入侵检测是对入侵行为的发觉。入侵检测系统将收集到的信息加以分析，判断网络中是否有违反安全策略的行为和遭到攻击的迹象，若找到入侵痕迹，认为与正常行为相符合的行为是正常行为，与攻击行为相符合的是入侵行为，二者都不符合的，则认为是异常数据，将其加入到数据仓库中作进一步分析。

入侵检测系统的基本框架如图1所示，该系统通过引擎观察原始数据，并计算用于模型评估的特征；检测器获取引擎的数据并利用检测模型评估它是否是一个攻击；数据仓库被用作数据和模型的中心存储地；检测模型生成单元实时生成自适应的入侵检测模型，该入侵检测模型送至检测器实时检测入侵行为。在整个检测系统中，自适应的入侵检测模型的产生无疑对入侵行为的辨识起着决定作用，如何快速准确地产生入侵检测模型就至关重要。

发明内容

入侵检测模型能否高效、准确地辨析海量的用户行为数据，并尽可能降低误判率、漏判率是判断一个入侵检测系统成功与否的标志。数据挖掘技术是一种决策支持过程，其主要基于人工智能(AI)、机器学习统计等技术，能从大量数据中提取或挖掘知识。本发明采用了具有可伸缩性、高维性、能处理不同类型属性、可按各种约束聚类等优点的仿射聚类方法建立入侵检测模型。

本发明采用的技术方案为：一种基于仿射聚类分析的入侵检测方法，包括以下步骤：

步骤1，建立入侵检测数据库的特征数据向量；

步骤2，所述特征数据向量作为仿射聚类分析的输入数据向量，对计算机网络上的用户行为数据向量进行仿射聚类分析，所述仿射聚类分析的方法包括如下步骤，

步骤21，建立特征数据向量的测度矩阵，其中，以相关系数作为各特征数据向量之间的相似度；

步骤21，对特征数据向量进行仿射聚类分析，得出识别结果。

优选地，所述特征数据向量包括一个时间窗口内目标主机是与当前连接相同的连接次数、出现SYN错误的连接在所述一个时间窗口内目标主机是与当前连接相同的连接次数中所占的百分比、目标端口相同的连接所占的百分比、目标端口不同的连接所占的百分比、目标端口与当前连接相同的连接次数、出现SYN错误的连接在所述目标端口与当前连接相同的连接次数中所占的百分比和目标主机不同的连接所占的百分比中的至少一个数据。

优选地，上述步骤2中的仿射聚类分析的方法如下：

首先，计算两个特征数据向量x_i，x_j的相似度s(i，j)，

s(i，j)＝-corr(x_i，x_j)，其中，1≤i≤N，1≤j≤N，N为待进行仿射聚类分析的行为数据的个数；