[发明专利]一种面向云计算环境的认知入侵检测方法

摘要

本发明公开了一种面向云计算环境的认知入侵检测方法，包括数据预处理单元、数据包检测单元、数据库、认知规则库、入侵检测引擎单元事件处理单元、云认知推理机和统计分析单元，其中云认知推理学习模块采用遗传算法对特征向量进行优化，使所需的训练时间和监测时间比其他方法短，其次，实时在线的检测能力较强，最后，在云计算的环境中充分利用云计算进行大规模并行计算和大数据量处理的能力，使运算能力大大加强，使系统更加安全高效。

主权项

1.一种面向云计算环境的认知入侵检测方法，其特征在于，包括如下步骤：/n步骤1，云计算环境中数据预处理单元接收到流量异常的数据包，对数据包中的数据进行规则化预处理，从而获取包含有特征向量的数据包文件，并把预处理后的数据包分别发到数据库和数据包检测单元中；/n步骤2，所述数据库接收并存储带有特征向量数据的数据包文件，并根据存入的数据包建立日志记录；/n步骤3，建立认知规则库，认知规则库中包含有已知入侵行为特征数据；/n步骤4，数据包检测单元根据已经建立起来的认知规则库中的信息进行规则匹配，若发现符合的匹配规则，则向入侵检测引擎单元报警，入侵检测引擎单元根据收到的报警信息向事件处理单元发送指令，事件处理单元收到指令后进行发出警报以及切断网络；/n步骤5，如果数据包检测单元没有发现符合的匹配规则，则表示无法识别该数据包中的攻击种类，则由数据库将该数据包的信息传给云推理学习模块做入侵可能性进行评估；/n步骤6，建立云规则，在无网络连接时，云认知推理机根据数据库中的特征向量数据为训练样本建立起云规则化的数据库单元；/n步骤7，判断无法识别的攻击种类，网络连接时，云认知推理机接收无法识别攻击种类的数据包的特征向量数据，云认知推理机采用基于遗传算法的特征向量提取算法对征向量数据进行优化选择获得最优选的入侵特征向量，该入侵特征向量和建立的运管站数据库比对，激活多条定性云规则，通过云认知推理机进行不确定性推理，确定入侵种类，并把结果发送至入侵检测引擎单元；/n步骤8，最优选的入侵特征向量发送至原云规则化数据库中修正、更新成为型的云规则化数据库；/n步骤9，最优选的入侵特征向量发送至统计分析单元中，统计分析单元根据入侵特征向量的日志记录判断是否构成网络入侵，把判断的结果发至入侵检测引擎单元和事件处理单元，同时把最优选的入侵特征向量的数据信息发送至认知规则库中进行更新；/n步骤10，所述入侵检测引擎单元接收来自云认知推理机的推理结果和来自统计分析单元的判断结果，向事件处理单元发送指令；/n步骤11，所述事件处理单元收到来自入侵检测引擎单元和统计分析单元的指令后进行发出警报以及切断网络。/n