[发明专利]一种面向云计算环境的认知入侵检测方法

权利要求书

1.一种面向云计算环境的认知入侵检测方法，其特征在于，包括如下步骤：

步骤1，云计算环境中数据预处理单元接收到流量异常的数据包，对数据包中的数据进行规则化预处理，从而获取包含有特征向量的数据包文件，并把预处理后的数据包分别发到数据库和数据包检测单元中；

步骤2，所述数据库接收并存储带有特征向量数据的数据包文件，并根据存入的数据包建立日志记录；

步骤3，建立认知规则库，认知规则库中包含有已知入侵行为特征数据；

步骤4，数据包检测单元根据已经建立起来的认知规则库中的信息进行规则匹配，若发现符合的匹配规则，则向入侵检测引擎单元报警，入侵检测引擎单元根据收到的报警信息向事件处理单元发送指令，事件处理单元收到指令后进行发出警报以及切断网络；

步骤5，如果数据包检测单元没有发现符合的匹配规则，则表示无法识别该数据包中的攻击种类，则由数据库将该数据包的信息传给云推理学习模块做入侵可能性进行评估；

步骤6，建立云规则，在无网络连接时，云认知推理机根据数据库中的特征向量数据为训练样本建立起云规则化的数据库单元；

步骤7，判断无法识别的攻击种类，网络连接时，云认知推理机接收无法识别攻击种类的数据包的特征向量数据，云认知推理机采用基于遗传算法的特征向量提取算法对征向量数据进行优化选择获得最优选的入侵特征向量，该入侵特征向量和建立的运管站数据库比对，激活多条定性云规则，通过云认知推理机进行不确定性推理，确定入侵种类，并把结果发送至入侵检测引擎单元；

步骤8，最优选的入侵特征向量发送至原云规则化数据库中修正、更新成为型的云规则化数据库；

步骤9，最优选的入侵特征向量发送至统计分析单元中，统计分析单元根据入侵特征向量的日志记录判断是否构成网络入侵，把判断的结果发至入侵检测引擎单元和事件处理单元，同时把最优选的入侵特征向量的数据信息发送至认知规则库中进行更新；

步骤10，所述入侵检测引擎单元接收来自云认知推理机的推理结果和来自统计分析单元的判断结果，向事件处理单元发送指令；

步骤11，所述事件处理单元收到来自入侵检测引擎单元和统计分析单元的指令后进行发出警报以及切断网络。

2.根据权利要求1所述的面向云计算环境的认知入侵检测方法，其特征在于，所述步骤6中的基于遗传算法的特征向量提取算法的具体步骤如下：

1)设定进化代数g＝0，生成包含n个个体的初始化群体P(g)；

2)在该群体中对每个个体估值，计算各自适应度f(x)；

3)根据个体适应度f(x)，从P(g)中选择两个个体作为父代(适应度值越大，选中的机会越大)，根据交叉概率，让选出的两个个体进行交叉产生新的后代(如果交叉概率为0，即不进行交叉，则后代就是父代的完全复制)，再根据变异概率，新生后代在各自基因座产生变异；重复上述步骤，产生新个体，将最后生成的个体形成新的群体P(g+1)；

4)将新产生的群体P(g+1)作为后续进化操作所需的群体，令进化代数g＝g+1；

5)若终止条件满足，则算法结束，返回在当前群体中最好的个体，即最优解；

6)若终止条件不满足，则跳至步骤2)继续该遗传算法。

3.根据权利要求1所述的面向云计算环境的认知入侵检测方法，其特征在于，所述步骤6中所述的不确定性推理具体步骤如下：

Step1，经过数据预处理后的一组未知入侵特征向量(X₁,X₂…X_n)，每个X_i根据3En原则：|Ex-X_i|＜3En激活规则；

Step2，每条被激活规则对应正向云发生器推理输出云滴(drop x_i,y_i)，其中xi∈(X1,X2…Xn)，yi是xi的确定度；

Step3，逆向云发生器在云滴drop(x₁,y₁),…(x_n,y_n)的基础上得到虚拟云的数值特征：E_xij，E_nij，H_eij；

Step4，再将x_i代入虚拟云中得到它的确定度；

Step5，对每个x_i重复Step2-5过程，分别得到对应的确定度；

Step6，依据最大确定度原则确定入侵类型。