[发明专利]云入侵统计检测方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及云入侵统计检测方法。 

背景技术

现有的入侵检测方法可分如下几种类型： 

    基于网络的入侵检测系统以网络数据报作为分析的数据来源，其分析模块通常使用模式匹配等技术来识别攻击行为。

基于主机的入侵检测系统以系统的事件和系统的日志作为分析的数据来源，例如文件的访问、系统的服务信息等，它一般运行在每一台需要保护的主机中。 

    异常检测（基于行为的检测）基于行为的检测的前提是认为入侵是异常活动的子集，它根据使用者的行为或资源使用状况的正常程度来判断是否入侵，通过将当前主体的活动情况和用户轮廓进行比较以发现入侵，所以也被称为异常检测。 

    误用检测（基于知识的检测）基于知识的检测是指运用已知的攻击方法，根据定义好的入侵模式，通过判断这些入侵模式是否出现来检测，基于知识的检测也称为误用检测。 

当前入侵检测的研究中，大多采用SVM、神经网络等算法。 

但是目前的入侵检测方法均存在如下缺陷：需要统计大量的原始数据，并做复杂的数据处理，对处理后的数据格式要求较高，检测的实时性要求会受一定限制。需要选择合适的分类算法，分类算法的不同对检测结果影响很大。 

发明内容

为了解决现有技术中的问题，本发明提供了一种云入侵统计检测方法。 

本发明提供了一种云入侵统计检测方法，包括如下步骤： 

A获取数据包；

B得到数据包的特征在一定时间窗内的波形；

C选择能够代表波形的数字特征；

D将数字特征输入分类器进行训练；

E根据训练结果进行决策融合，从而确定该数据包是否有攻击行为。

作为本发明的进一步改进，在所述步骤A中，从网关获取数据包。 

作为本发明的进一步改进，在所述步骤B中包括如下步骤： 

       B1.对数据包进行解析；

       B2.选择数据包的特征；

   B3. 根据特征不同的情况对数据进行预处理，得到各个特征在一定时间窗内的波形。

作为本发明的进一步改进，在所述步骤B2中，所述特征包括帧长度或端口。 

作为本发明的进一步改进，在所述步骤B3中，所述预处理包括量化或编码。 

作为本发明的进一步改进，在所述步骤C中还包括进行数字特征的计算，包括众数计算、中位数计算、平均数计算、方差计算。 

作为本发明的进一步改进，在所述步骤E中，决策融合包括多数投票规则和平均后验概率规则。 

作为本发明的进一步改进，在所述步骤D中，分类器至少为两个。 

本发明的有益效果是：本发明的云入侵统计检测方法对数据进行统计与判断，具有较高的实时性；同时，根据一段时间内的数据帧进行判断并且采用多分类器进行决策融合，可以增加准确率。 

附图说明

图1是本发明云入侵统计检测方法流程图。 

图2是本发明云入侵统计检测方法一实施例的流程图。 

具体实施方式

如图1所示，本发明公开了一种云入侵统计检测方法，包括如下步骤：在步骤S1中，获取数据包。在步骤S2中，得到数据包的特征在一定时间窗内的波形。在步骤S3中，选择能够代表波形的数字特征。在步骤S4中，将数字特征输入分类器进行训练。在步骤S5中，根据训练结果进行决策融合，从而确定该数据包是否有攻击行为。 

在所述步骤S1中，从网关获取数据包，减少大量的数据处理时间。如图2所示，在所述步骤S2中包括如下步骤：在步骤S21中，对数据包进行解析。在步骤S22中，选择数据包的特征，该特征包括帧长度或端口。在步骤S23中，根据特征不同的情况对数据进行预处理，得到各个特征在一定时间窗内的波形，该预处理包括量化或编码；针对入侵检测系统的实时性等一些要求，我们统计一定时间窗长度内的数据包，以此作为原始数据集合，另外，由于数据集中各特征的取值量纲不同，在分类训练之前对数据进行标准化处理，假设对特征xi进行标准化，用以下变换公式: 

其中x_min是x_i中的最小值，x_max是x_i中的最大值。