[发明专利]基于数据包的入侵检测方法、装置及存储介质有效
| 申请号: | 201811144177.3 | 申请日: | 2018-09-29 |
| 公开(公告)号: | CN109510811B | 公开(公告)日: | 2022-08-09 |
| 发明(设计)人: | 龙春;魏金侠;赵静;杨帆 | 申请(专利权)人: | 中国科学院计算机网络信息中心 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06K9/62 |
| 代理公司: | 北京知舟专利事务所(普通合伙) 11550 | 代理人: | 郭韫 |
| 地址: | 100083 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 数据包 入侵 检测 方法 装置 存储 介质 | ||
本发明实施例公开了一种基于数据包的入侵检测方法、装置及存储介质,涉及网络安全领域。本发明的方法包括:在入侵检测过程中,将数据流划分为数据包;基于所述数据包生成训练包样本集和测试包样本集,其中,所述训练包样本集中包括至少一个训练样本,测试包样本集中包括至少一个测试包样本;将所述训练包样本集作为输入,训练得到强分类器,所述强分类器由多个基分类器构成;基于所述强分类器,构建入侵检测模型;将所述测试包样本集作为输入,对所述入侵检测模型进行测试,并得到测试结果,所述测试结果包括正常状态和异常状态。本发明能够提高入侵检测的性能。
技术领域
本发明涉及网络安全领域,尤其涉及一种基于数据包的入侵检测方法、装置及存储介质。
背景技术
随时网络安全技术的发展,入侵检测成为日益关注的问题。
现有的入侵检测方法大多是基于单个数据流的检测,但是将这些方法直接应用于持续性攻击行为(连续多条异常流量)的检测中,并不能准确实时的反映网络安全状况。比如对DDOS攻击进行检测,仅仅对某一条数据流进行分析并不能检测出入侵行为。并且对于持续攻击行为的检测,利用单条数据流进行逐条连续检测方法在一定程度上也降低了算法的性能。
发明内容
本发明的实施例提供一种于数据包的入侵检测方法、装置及存储介质,能够解决入侵检测性能低的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供一种基于数据包的入侵检测方法,包括:
在入侵检测过程中,将数据流划分为数据包;
基于所述数据包生成训练包样本集和测试包样本集,其中,所述训练包样本集中包括至少一个训练样本,测试包样本集中包括至少一个测试包样本;
将所述训练包样本集作为输入,训练得到强分类器,所述强分类器由多个基分类器构成;
基于所述强分类器,构建入侵检测模型;
将所述测试包样本集作为输入,对所述入侵检测模型进行测试,并得到测试结果,所述测试结果包括正常状态和异常状态。
结合第一方面,在第一方面的第一种可能的实现方式中,所述基于所述数据包生成训练包样本集和测试包样本集包括:
对所述数据包中的各样本特征进行特征归一化处理,其中,所述数据包中包括多个样本,每个所述样本中包括多个样本特征;
对各归一化处理后的样本特征进行距离变换;
对距离变换后的各样本特征进行映射处理,得到各所述样本分别对应的特征向量;
基于各所述样本分别对应的特征向量,在各所述样本中选择多个样本作为训练包样本,得到所述训练包样本集;并在各所述样本中选择多个样本作为测试包样本,得到所述测试包样本集。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述对所述数据包中的各样本特征进行特征归一化处理,包括:
根据公式得到数据包矩阵,其中,所述数据包由m 个样本构成,每个样本由n个特征构成,xi=(xi1,xi2,…,xin),i=1,…,m为每个样本的特征向量,xlk为第l个样本的第k个特征;
根据公式对数据包矩阵进行特征归一化变换,其中,X为归一化处理后的样本特征,中所有元素为[0,1]之间的值。
结合第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述对各归一化处理后的样本特征进行距离变换,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院计算机网络信息中心,未经中国科学院计算机网络信息中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811144177.3/2.html,转载请声明来源钻瓜专利网。
