[发明专利]基于新颖发现和窗函数的分类融合入侵检测方法

说明书

技术领域

本发明属于网络安全技术领域，特别是涉及一种入侵检测方法，可 用于检测网络异常入侵行为。

背景技术

入侵检测系统IDS是一种对网络传输进行即时监视，在发现可疑 传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网 络安全设备的不同之处在于，IDS是一种积极主动的安全防护设备。

入侵检测系统IDS以信息来源的不同和检测方法的差异分为几 类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测 方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入 侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量 流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当 挂接在所有所关注流量都必须流经的链路上。在这里，″所关注流量″ 指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报 文。在如今的网络拓扑中，已经很难找到以前的集线器HUB式的共 享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式 的网络结构。因此，IDS在交换式网络中的位置一般选择在：(1)尽可 能靠近攻击源；(2)尽可能靠近受保护资源，这些位置通常是：服务器 区域的交换机上、Internet接入路由器之后的第一台交换机上、重点 保护网段的局域网交换机上。

针对于预定义信息的类型，入侵检测系统IDS又可分为两类：一 种基于标志，另一种基于异常情况。

对于基于标识的检测方法来说，首先要定义违背安全策略的事件 的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在 所收集到的数据中出现。

而基于异常的检测方法则是先定义一组系统“正常”情况的数值， 如CPU利用率、内存利用率、文件校验和等，这类数据可以人为定 义，也可以通过观察系统、并用统计的办法得出，然后将系统运行时 的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种 检测方式的核心在于如何定义所谓的“正常”情况。

两种检测方法所得出的结论有非常大的差异。基于标志检测方法 的核心是维护一个知识库，对于已知的攻击，它可以详细、准确的报 告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更 新。基于异常的检测方法则无法准确判别出攻击的手法，但它可以判 别更广泛甚至未发觉的攻击。

现有的基于异常的入侵检测的方法很多，如神经网络方法、支持向量 机分类方法等、其中支持向量机分类方法存在着检测率不够高，计算复杂 度较高不适用于复杂的入侵检测等问题。

发明内容

本发明的目的在于克服以上所述的支持向量机分类方法的缺点，提出 了一种基于新颖发现和窗函数的分类融合入侵检测方法，以提高入侵检测 的检测率，降低虚警率和复杂度。

本发明的技术方案是：将网络行为向量化作为样本，对正常的网络行 为当作训练样本进行建模，用两种不同的方法对未知的网络行为进行检 测，根据融合的测试结果来确定是否要采取预警措施。具体实现步骤如下：

(1)当主机进行网络数据包的传送时，对主机的网络行为进行采集， 得到描述网络行为的数据集，并对该数据集进行映射和归一化后得到特征 向量；

(2)从已采集到的数据集中选择非入侵行为的正常数据的特征向量 作为训练样本集，并用SVND算法训练生成第一分类器，使得样本集经 过非线性核函数映射到特征空间得到向量模型产生决策函数f，该函数记 正常样本输出为+1，异常样本输出为-1；

(3)重新采集新的网络行为数据集作为新样本输入，计算其决策函 数f值，并通过指数转换将该函数f输出的结果转换成概率估计形式；

(4)将步骤(2)中的正常数据的特征向量作为训练样本集，用 PARZEN窗函数方法对其进行概率密度分布估计来训练第二分类器；

(5)将步骤(3)中的新的数据集作为新样本输入，根据贝叶斯决策， 对异常样本进行预先建模，并根据步骤(4)中的概率密度分布估计设定 概率密度阈值，如果新样本的概率密度分布估计值大于该阈值分类器输出 为正常，反之则记为异常；

(6)将以上第一分类器与第二分类器的输出结果按如下公式进行加 权融合：