[发明专利]一种基于频繁片段规则的网络入侵检测方法

摘要

一种基于频繁片断规则的网络入侵检测方法，属于网络安全领域，包括频繁片段规则库生成和网络入侵检测。首先对已知行为属性的数据流按照行为特征集合S－(特征1，特征2，...特征j)|T(数据流属性)的方式提取行为特征值集合G；然后将k个(2≤k≤8)相邻行为特征值集合G组合成频繁片段H；再对频繁片段H进行分类和计算置信度最终形成频繁片段规则库。检测待测数据流时，先提取其行为特征值集合G′；再组合集合G′形成频繁片段H′；最后将频繁片段H′与频繁片段规则库中的频繁片段H比对，若在库中找到一个T值为“异常”且置信度＞50％的频繁片段与一个频繁片段H′相同，则认为待测数据流据流为异常数据流。本发明网络入侵检测准确，误报率低；能检测未知网络入侵行为；还可以用于恶意程序检测。

主权项

1、一种基于频繁片段规则的网络入侵检测方法，包括频繁片段规则库生成过程和网络入侵检测过程；所述频繁片段规则库生成过程具体包括以下步骤：步骤1、选取一条具有已知行为属性为正常或者异常的数据流D(d1d2d3Ldn)，其中n表示数据流D(d1d2d3Ldn)由n个数据包构成；步骤2、设定由2-6个不同行为特征组成的行为特征集合S-(行为特征1，行为特征2，...行为特征j)|T，其中：2≤j≤6；T表示该数据流的属性，即该数据流为正常行为数据流或异常行为数据流；步骤3、根据步骤2所设定的行为特征集合S，对步骤1所选取的数据流D(d1d2d3Ldn)的每个数据包，提取其行为特征值集合G-(|行为特征1|，|行为特征2|，...，|行为特征j|)|T，其中：“|*|”表示行为特征“*”的具体值，当该数据包没有某个行为特征时，令该行为特征的值为“空”；当该数据包所属的数据流为正常行为数据流时，令T＝1；当该数据包所属的数据流为异常行为数据流时，令T＝0；这样，对于由n个数据包构成的数据流，一共可得到n个特征值集合G；步骤4、对于步骤3产生的n个行为特征值集合G，将其中任意k个，2≤k≤8，相邻数据包所产生的k个行为特征值集合G组合在一起，得到一个频繁片段H-(G1，G2，G3，...，Gk)，一共得到n-k个频繁片段；步骤5、重复步骤1-步骤4，提取下一条已知行为属性数据流的每个数据包的行为特征值集合G并得到所有频繁片段，当已知行为属性数据流的条数m≥50时进行下一步操作；步骤6、对步骤5所得的所有频繁片段进行分类，将所有k个行为特征值集合G完全相同的频繁片段归属于同一类频繁片段；步骤7、经步骤6对所有频繁片段进行分类后，设所有频繁片段的数量为A，所有频繁片段的类型的数量为B，分别计算每一类型频繁片段的置信度：某一类型频繁片段的置信度＝该类型频繁片段的重复个数/(该类型频繁片段的重复个数+与该类型频繁片段相类似的频繁片段的重复个数)×100％；这里，与该类型频繁片段相类似的频繁片段指的是频繁片段的所有k个行为特征值集合G中，所有的行为特征值相同而T值相反的另一类型的频繁片段；经上述处理之后，得到具有相应置信度的频繁片段-频繁片段规则，将所有频繁片段规则置于一个库中，形成频繁片段规则库；所述网络入侵检测过程包括以下步骤：步骤8、输入待测数据流D′(d1d2d3Ldn)；步骤9、对待测数据流D′(d1d2d3Ldn)的每个数据包，提取其行为特征值集合G′-(|行为特征1|，|行为特征2|，...，|行为特征j|)，其中：“|*|”表示行为特征“*”的具体值，当该数据包没有某个行为特征时，令该行为特征的值为“空”；一共可得到n个特征值集合G′；步骤10、对于步骤9产生的n个行为特征值集合G′，将其中任意k个，2≤k≤8，相邻数据包所产生的k个行为特征值集合G′组合在一起，得到一个频繁片段H′-(G1′，G2′，G3′，...，Gk′)，一共得到n-k个频繁片段；步骤11、将步骤10所得的n-k个频繁片段与步骤7所得的频繁片段规则库中的频繁片段在不考虑T值和置信度的情况下进行比对，若在频繁片段规则库中找到一个T值为“0”且置信度＞50％的频繁片段规则所对应的在不考虑T值和置信度的情况下的频繁片段与步骤10所得的n-k个频繁片段中的某一个频繁片段相同，则认为步骤8所述的待测数据流据流D′(d1d2d3Ldn)为异常数据流，并进行报警；否则，认为步骤8所述的待测数据流据流D′(d1d2d3Ldn)为正常数据流，不进行报警。