[发明专利]云计算环境中的自主分析入侵检测方法及系统

摘要

本发明涉及一种云计算环境中的自主分析入侵检测方法，通过改进的BP神经网络训练入侵检测器，通过入侵检测器实时对经过预处理过的网络流量异常的网络数据包进行检测，检测出的异常数据经入侵检测器的识别处理，识别出已知类型的网络入侵行为，对于无法识别类型的网络入侵行为进行特征提取以作为训练样本进行自主学习，以供识别出新类型的网络入侵行为。本发明还涉及一种入侵检测系统，包括数据采集模块、数据预处理模块、入侵检测器、资源调度模块、响应和告警模块、数据库和容错模块，从而完成网络入侵行为的检测和识别。本发明中的入侵检测方法和系统建立了云计算环境中对网络入侵进行自主分析与检测的新途径，检测率高，扩展性好。

主权项

一种云计算环境中的自主分析入侵检测方法，其特征在于包括如下步骤：步骤1、利用包含有正常网络行为数据和不同类型的已知网络入侵行为数据组成的训练样本，采用改进的BP神经网络算法训练以获取入侵检测器，使得该入侵检测器能够完成对已知类型的网络入侵行为的检测和识别，同时能够实现对未知类型的网络入侵行为自动进行特征提取；改进的BP神经网络算法的训练过程如下：1.1)、改进的BP神经网络具有输入层、至少一层隐含层、输出层，初始化该改进的BP神经网络的参数，同时设定该改进的BP神经网络的训练精度ε，统计训练样本的组数N，确定该改进的BP神经网络的初始学习率η(0)；1.2)、随机产生一组改进的BP神经网络的初始权值W(0)；1.3)、输入层读取一组训练样本X_j＝(x_j1,x_j2,...,x_ji,...,x_jn)^T，根据该改进的BP神经网络的训练精度ε计算获取训练样本X_j＝(x_j1,x_j2,...,x_ji,...,x_jn)^T对应的期望输出为d_j＝(d_j1,d_j2,...,d_jk,...,d_jl)^T；在数据的正向传播过程中，输入层读取的训练样本经过计算最终获取的输出层的输出为O_j＝(o_j1,o_j2,...,o_jk,...,o_jl)^T；其中j＝1,2,3,...,N；1.4)、计算训练样本X_j＝(x_j1,x_j2,...,x_ji,...,x_jn)^T对应的误差值E_j：$E_j=\frac{1}{2}\underset{k=1}{\overset{l}{\&Sigma;}}{(d_k-O_k)}^2---\left(1\right);$其中，l为该改进的BP神经网络的输出层节点数；1.5)、判断输入层读取的训练样本数j是否达到训练样本总数N，如果是，执行步骤1.6)，如果不是，返回步骤1.3)；1.6)、计算改进的BP神经网络本次网络训练的总误差E(s)；$E\left(s\right)=\frac{1}{2}\underset{j=1}{\overset{N}{\&Sigma;}}\underset{k=1}{\overset{l}{\&Sigma;}}{(d_{jk}-o_{jk})}^2---\left(2\right);$其中s为本次网络训练的迭代次数，s＝1,2,3...；1.7)、判断E(s)是否大于ε，如果是则执行步骤1.8)，如果否则结束训练；1.8)、判断s‑1是否等于0，如果是则执行步骤1.10)，如果否则执行步骤1.9)；1.9)、判断本次网络训练的总误差E(s)和相邻上次网络训练的总误差E(s‑1)大小，并计算下次迭代的学习率η(s+1)；$\mathrm{\&eta;}(s+1)=\left\{\begin{array}{cc}a\&times;\mathrm{\&eta;}\left(s\right)& E\left(s\right)\&lt;E(s-1)\\ b\&times;\mathrm{\&eta;}\left(s\right)& E\left(s\right)\&gt;E(s-1)\\ \mathrm{\&eta;}\left(s\right)& E\left(s\right)=E(s-1)\end{array}\right.---\left(3\right);$其中，1<a<2，1<b<1；相邻两次误差函数值的大小关系动态调整学习率；当新的总误差E(s)小于旧误差E(s‑1)时，说明误差正在减小，将学习率扩大到原来的a倍，加快收敛步伐；当新的总误差E(s)大于旧的总误差E(s‑1)时，说明权重在此次迭代中被过调，应该立即缩小学习率到原来的b倍，避免越过此梯度方向上的最佳网络权值；1.10)、计算下次迭代网络权值W(s+1)；$W(s+1)=W\left(s\right)-\mathrm{\&eta;}\left(s\right)\&times;\frac{\&part;E\left(s\right)}{\&part;W\left(s\right)}---\left(4\right);$其中，W(s)为当次迭代的网络权值；1.11)、返回步骤1.3)；步骤2、监听网络入口端的网络流量，当网络流量产生异常时，采集自云计算环境向网络入口端传送的网络数据包；步骤3、对采集的网络数据包进行规则化预处理以对网络数据包进行特征抽取，从而获取包含有网络行为特征的网络行为特征数据集；步骤4、入侵检测器读取网络行为特征数据集，将偏离网络正常行为特征数据的网络异常行为特征数据检测出来，同时对网络异常行为的网络入侵类型进行识别；如果入侵检测器识别为已知类型的网络入侵行为，则进行该类型入侵行为的告警，同时做出相应的入侵响应；同时将网络正常行为特征数据和已知入侵行为特征数据送入到数据库中以供作为训练样本使用；如果网络异常行为特征为入侵检测器无法识别类型的网络入侵行为，则提取该网络入侵行为特征数据的特征值并存入到规则数据库中，进而分类整理形成新的训练样本集；步骤5、利用步骤1中的改进的BP神经网络算法训练规则数据库中的训练样本集，以供训练获取新的入侵检测器，从而完成对网络入侵数据的自主分析和检测，则这些新的类型的网络入侵行为发生时，能被检测并识别。