[发明专利]一种基于Plackett-Luce模型的网络入侵检测方法

说明书

本发明公开了一种基于Plackett‑Luce模型的网络入侵检测方法，属于网络安全技术领域，包括根据用户在网络中产生的网络流量数据，利用Plackett‑Luce模型得到用户对不同时间网络流量的偏好值，通过偏好值确定用户对不同网络流量的偏好关系和网络流量占优次数，然后根据Plackett‑Luce模型的对数似然函数，用极大似然估计方法构建迭代函数，最后将网络流量的占优次数标准化后代入迭代函数计算得出每次网络流量的观测权重，将其作为检测结果对网络流量进行检检测，解决了以用户的网络流量数据为基础，采用Plackett‑Luce模型判断用户网络流量是否存在异常的技术问题，充分考虑了不同用户行为习惯不一致，能够更好的判断网络中是否存在入侵行为。

技术领域

本发明属于网络安全技术领域，涉及一种基于Plackett-Luce模型的网络入侵检测方法。

背景技术

入侵检测指的是从网络或者电脑系统中的某些关键信息点入手，搜索相关的信息，对该信息进行深入的研究分析。通过对比检测发现该计算机系统或者网络中是否存在违反安全策略的行为，是一项提前预支入侵攻击痕迹的安全技术，简单的说，入侵检测就是通过相关数据的搜索对比的异常情况，以此来发现网络入侵攻击行为。

入侵检测技术主要下四种：基于统计的异常检测技术、基于预测模式生成的异常检测技术、基于神经网络的入侵检测技术和基于数据挖掘的入侵检测技术。

基于统计的异常检测技术，主要依靠异常检测器观察主题的日常活动，然后产生刻画这些活动的行为状态。每一个行为状态保存记录当前主体的行为，并按照一定时间将当前的实时状态与存储的状态进行合并对比。通过比较当前的状态与已经存储的状态的区别来判断系统的异常行为，从而检测出网络的入侵行为。

基于预测模式生成的异常检测技术首先将事件的序列假定为遵循可辩别的模式，而不是随机出现的。该方法可以考虑到时间的序列及相互联系，系统通过总结分析后产生一定的规律集，存储于主机之中，随着系统的变化，并能动态地修改系统中的规则。

基于神经网络的入侵检测系统是指在人工神经网络在，单个神经元的结构和功能是十分简单和有限的，但是就是由这些众多结构简单、功能有限的单个神经元的“微观”活动，构成了结构复杂的“宏观效应”，从而完成各种复杂的信息识别和任务处理工作。神经网络相对于传统的计算模型相比最大的优势在于具有自组织、自学习推理的自适应能力。

基于数据挖掘的入侵检测技术将数据挖掘技术和入侵检测技术进行结合，利用数据挖掘技术从大量审计数据或数据流中提取出所需要的信息，并用这些信息去检测网络入侵。

传统的方法根据用户对网络流量判断是否存在网络入侵，大部分方法都是通过用户网络流量数据直接计算，但是由于用户个人行为习惯不同，导致网络流量数据不具备可比较性。通过网络流量数据计算出的网络是否存在入侵结果不能准确反映出在网络中用户行为是否存在异常。

发明内容

本发明的目的是提供一种基于Plackett-Luce模型的网络入侵检测方法，解决了以用户的网络流量数据为基础，采用Plackett-Luce模型判断用户网络流量是否存在异常的技术问题。

为实现上述目的，本发明采用如下技术方案：

一种基于Plackett-Luce模型的网络入侵检测方法，包括如下步骤：

步骤1：建立流量监控服务器、统计服务器、函数构建服务器和观测权重计算服务器，流量监控服务器、统计服务器、函数构建服务器和观测权重计算服务器之间通过互联网相互通信；

流量监控服务器用于监视并记录用户每天使用的网络流量数值；

步骤2：统计服务器从流量监控服务器中调取用户每天使用的网络流量数值；