[发明专利]一种基于模拟退火融合算法的分布式入侵检测方法及系统

说明书

本发明提出了一种基于模拟退火融合算法的分布式入侵检测方法及系统，具体来说，实时获取当前网络行为第一数据包并进行初始检测，基于模拟退火算法判断初始检测后的第二数据包是否存在异常，若异常，则对异常数据包进行分析并生成基于不同类别的网络行为检测结果数据。在本发明中，通过双重检测以及关联式分析处理得到最终的检测结果数据，充分利用了模拟退火的全局寻优能力，提高了入侵检测模型的准确率和执行效率。

技术领域

本发明属于网络检测领域，具体涉及一种基于模拟退火融合算法的分布式入侵检测方法及系统。

背景技术

入侵检测是指试图监视和尽可能阻止有害信息的入侵，或其他能够对用户的系统和网络资源产生危害的行为。基于网络的入侵检测，这种类型一般安装在需要保护的网段中，利用网络侦听技术实时监视网段中传输的各种数据包，并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时版发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的权软件与硬件的组合便是入侵检测系统。

目前关于入侵检测的方式包括基于神经网络的异常检测，其缺点在于计算量大，会影响检测的实时性要求；基于数据挖掘的入侵检测方法，可以检测未知的入侵行为，但是误报率高。虽然目前也有基于模拟退火算法的入侵检测方法的研究，但是该方法是基于K均值聚类的入侵检测，但是该检测方法仅标识了攻击行为或正常行为，并未对网络行为数据进行关联，因此，检测效果并不是很理想。

发明内容

为解决上述技术问题，本发明提出了一种基于模拟退火融合算法的分布式入侵检测方法及系统，通过初始检测以及基于模拟退火算法的检测双重检测后得到检测结果，并进行关联后形成最终的检测结果数据，本发明的检测方法充分利用了模拟退火的全局寻优能力，提高了入侵检测模型的准确率和执行效率。

根据本发明的实施例，本发明提出了一种基于模拟退火融合算法的分布式入侵检测方法，该方法包括：

实时获取当前网络行为第一数据包并进行初始检测，基于模拟退火算法判断初始检测后的第二数据包是否存在异常，若异常，则对异常数据包进行分析并生成基于不同类别的网络行为检测结果数据。

优选的，所述实时获取当前网络行为第一数据包并进行初始检测还包括，对所述第一数据包的包头、数据包内容进行检测。

优选的，基于模拟退火算法判断第二数据包是否存在异常，若异常，则对异常数据包进行分析并生成基于不同类别的网络行为检测结果数据，具体包括，设置模拟退火算法模型，通过所述模拟退火算法模型对初始检测后的网络行为第二数据包进行分析，判断所述第二数据包中的数据值是否满足预设条件，若满足，则将该第二数据包赋值“正常”标签，否则赋值“攻击”标签。

优选的，所述设置模拟退火算法模型，通过所述模拟退火算法模型对初始检测后的网络行为第二数据包进行分析，具体为，初始化算法模型，设置初始温度T＝100℃,最小温度为Tmin，并且赋值循环次数N为1，定义适应度函数以及突跳概率，同时在满足Metropolis准则，从而得到最优值，并在重复算法过程中得到最终的样本集，分析该样本集中数据与预设条件的关系，得到不同类别网络行为初始检测结果数据。

优选的，得到不同类别网络行为初始检测结果数据之后还包括，将所述初始检测结果数据与预先存储的网络行为正常数据进行关联，判断是否已经存在初始检测结果数据对应的标签数据，若存在，则直接形成最终检测结果数据，否则，存储所述标签数据及其对应的检测结果数据形成最终的检测结果数据。

根据本发明的目的，本发明还提出了一种基于模拟退火融合算法的分布式入侵检测系统，所述系统包括：

初始检测模块，用于实时获取当前网络行为第一数据包并进行初始检测；