[发明专利]视频前端设备聚类分析入侵检测方法

权利要求书

1.视频前端设备聚类分析入侵检测方法，其特征在于，检测方法以旁路的形式接入视频专网，通过聚类分析器、事件产生器、事件分析器、响应单元的组合，实现应用于视频前端设备入侵检测的框架，结合误用检测与聚类分析，提出改进K-means算法中对视频流数据的清洗，定义威胁度计算衡量数据对象相似度，并对所述改进K-means的算法流程在初始k值优化角度进行调整，并提出检出率、误报率的质量评估办法；

其中，所述事件产生器用于承担视频前端设备数据流量的捕获与解码，形成符合统一模型的检测元数据，所述检测元数据发送至事件分析器，实现预处理和误用检测，由所述聚类分析器实现增强检测后，通过所述响应单元完成结果输出；

所述威胁度计算衡量数据对象相似度过程中，先对数据进行标准化处理，使得计算的相速度数值介于(0，1)之间，其基础公式为：

定义p表示结构体中协议类型对象，协议类型一致则该项的差值为0，协议类型不一致则该项的差值为1；K＝{k₁,k₂,k₃,…,k_n}表示结构体中元素对象数据包内容的各部分；

设协议类型以及数据包内容对威胁度的影响为TD，TD数值越大，说明两数据包相似程度越大，具有的相似威胁度越高；

当TD＝0说明两数据包差别极大，无相似威胁度，则符合如下公式：

2.根据权利要求1所述的视频前端设备聚类分析入侵检测方法，其特征在于，所述视频前端设备的数据处理对象是视频专网中的数据包，无用数据包含非视频前端设备数据与视频图像数据。

3.根据权利要求1所述的视频前端设备聚类分析入侵检测方法，其特征在于，定义函数Sum表示源IP与目的IP在威胁情报数据库中出现的频次，定义函数Exist表示目的端口是否存在于预设规则中，存在则为1，不存在则为0；威胁度平衡公式BAL如下：

4.根据权利要求3所述的视频前端设备聚类分析入侵检测方法，其特征在于，所述威胁度平衡公式BAL用以平衡因相似度考量而容易忽略的威胁以及端口动态变化对聚类产生的影响。

5.根据权利要求1所述的视频前端设备聚类分析入侵检测方法，其特征在于，所述改进K-means算法中考虑了视频前端入侵检测的特点，引入威胁度定义以及对初始k值的选取进行优化。

6.根据权利要求5所述的视频前端设备聚类分析入侵检测方法，其特征在于，所述引入威胁度定义以及对初始k值的选取进行优化，其实现步骤如下：

S1、初始化时，预先设定迭代次数t，选取k个预设的威胁模型作为初始的聚类中心，定义为a；

S2、针对数据集中的每个网络数据包，计算它的威胁度，并分配该数据对象给威胁度最相近的聚类中心；

S3、重新计算并定义调整后的簇的聚类中心，直到达到迭代次数t或聚类中心无法再移动；否则，反复执行步骤S2、S3操作；

S4、输出最终形成的k个簇，每个簇包含相似的威胁行为，不同的簇体现威胁行为的区别。

7.根据权利要求6所述的视频前端设备聚类分析入侵检测方法，其特征在于，在步骤S1中，a＝a₁,a₂,…a_k。

8.根据权利要求6所述的视频前端设备聚类分析入侵检测方法，其特征在于，所述数据包为一个由协议类型、端口、IP以及数据包四个元素构成的结构体。