[发明专利]一种入侵检测方法及系统

说明书

本发明公开了一种入侵检测方法及系统，通过有标识的分组采集网络流量数据，避免了传统方法针对单个网络流量数据进行采集分析导致检测不准确的问题；将每个网络流量数据特征的分布曲线拟合成行为分布特征曲线之后再进行攻击行为的类型检测识别，将多维的网络流量数据特征的分布特征降为一维的行为分布特征，有利于网络流量数据特征与机器学习进行更好地结合，有利于提高检测结果的准确性。利用行为分布特征曲线的行为分布特征值进行机器学习训练，只需要基础的神经网络模型即可完成训练任务，避免了传统方法对机器学习神经网络的过度依赖。使得本发明提供的入侵检测方法能够更加简单、高效、准确地完成入侵检测。

技术领域

本发明涉及网络安全入侵检测技术领域，具体涉及一种入侵检测方法及系统。

背景技术

根据使用的数据和检测策略，入侵检测可分为基于网络的入侵检测、基于主机的入侵检测系统、基于特征的入侵检测、基于异常的入侵检测等。这些方法基于网络流量数据、主机行为数据以及融合网络和主机数据来识别攻击或异常行为。

入侵检测领域中的现有技术对机器学习模型过度依赖。通过构建越来越复杂的机器学习模型，或利用组合机器学习模型的方法追求更好的检测性能。此外，为了能在特定数据集上得到更好的检测性能，大量的入侵检测方法会利用特征工程策略来选择能够得到更好检测性能的特征指标。这使得很多入侵检测方法不具备良好的适用性，且难部署、难使用。

现有的入侵检测方法还缺少对网络行为特征的研究，针对网络行为特征的研究不够深入，且无法与机器学习模型进行有效的结合。很多方法提出了一些特征研究后仅利用阈值信息进行异常检测。同时随着机器学习的兴起，许多研究甚至放弃了对网络行为的深入研究。

发明内容

有鉴于此，本发明提供了一种入侵检测方法及系统，能够简单、高效的完成入侵检测。

本发明采用的具体技术方案如下:

一种入侵检测方法，包括：

分组采集网络流量数据，获取网络流量数据特征；

分别计算获得每个网络流量数据特征的分布特征曲线；

根据所述每个网络流量数据特征的分布特征曲线，拟合获得行为分布特征曲线；

根据所述行为分布特征曲线，检测判断对应的攻击行为的类型。

进一步地，所述分组采集网络流量数据，包括：

以源IP和目的IP作为标识信息采集所述网络流量数据，并设置每组所述网络流量数据的采集下限M和采集上限N，其中，若当前行为的数据量低于所述采集下限M，则认为当前行为是无效行为，若当前行为的数据量高于所述采集上限N，则删除第一条采集数据，加入新的采集数据，维持数据量等于所述采集上限N，其中，M和N均为整数。

进一步地，所述网络流量数据特征包括：行为的持续时间、前后两个方向的包数、前后两个方向的字节数以及前后两个方向的响应时间。

进一步地，分别计算获得每个网络流量数据特征的分布特征曲线，包括：

计算每个所述网络流量数据特征的比例分布信息，获得每个所述网络流量数据特征的频域信息，将所述频域信息带入傅里叶级数实值公式获得每个所述网络流量数据特征的分布特征曲线，其中，所述分布特征曲线用公式表示为：

F_d(t)＝∑x_nsin(p_n*2*π*t)

其中，x_n是网络流量数据特征的取值，p_n为x_n的比例概率，t为数量参数。

进一步地，根据所述每个网络流量数据特征的分布特征曲线，拟合获得行为分布特征曲线，包括：