[发明专利]一种网络入侵检测方法、系统、设备和可读存储介质

权利要求书

1.一种网络入侵检测方法，其特征在于，包括以下步骤，

步骤1，选取网络入侵检测数据集；

步骤2，根据访问的网络流量选取攻击特征行为；

步骤3，根据步骤2选取的代表性特征行为属性，依据访问网络流量的二维端口矩阵组合分类构造数据分类器，通过数据分类器得出二维端口矩阵组合分类的网络流量频数分布；

步骤4，依据网络流量频数分布建立Logit模型，通过Logit模型对网络流量进行攻击识别；

步骤5，输出识别结果Y，并将攻击识别结果Y与概率切割值pi进行比较，当Y大于概率切割值pi时，输出Y＝1，判定网络流量属于网络攻击，反之，输出Y＝0，判断网络流量属于正常行为。

2.根据权利要求1所述的一种网络入侵检测方法，其特征在于，步骤1中，所述数据集为CIC-IDS2017数据集。

3.根据权利要求1所述的一种网络入侵检测方法，其特征在于，步骤2中，所述攻击特征行为的攻击类型包括PortScan、DDos、FTP-Patator、Dos Hulk、Dos GoldenEye、DosSlowhttp、Dos Slowloris、Heartbleed、SSH-Patator、Web Attack-Brute Force、WebAttack-SQL Injection、Web Attack-XSS、Infiltration、Bot。

4.根据权利要求1所述的一种网络入侵检测方法，其特征在于，步骤3中，所述二维端口矩阵组合分类包括w_w、r_w、d_w、w_r、r_r、d_r、w_d、r_d和d_d；

其中w为公认端口；r为注册端口；d为动态端口。

5.根据权利要求1所述的一种网络入侵检测方法，其特征在于，步骤4中，所述Logit模型公式为：

式中，解释变量X＝(X₁,X₂,…,X_k)是1*k维向量，P(Y＝1)是Y＝1的概率，(α₁，α₂，…，α_k)是X的线性模型的估计值，ε是随机变量误差值。

6.根据权利要求5所述的一种网络入侵检测方法，其特征在于，步骤5中，因变量Y的公式为：

其中，p_i为切割值，取值范围为[0，1]。

7.一种网络入侵检测系统，其特征在于，包括网络入侵检测数据集模块、选取模块、数据分类器模块、Logit模型模块和输出比较模块；

所述网络入侵检测数据集模块用于提供网络入侵检测数据集；

所述选取模块用于选取网络流量的攻击特征行为；

所述数据分类器模块用于根据网络流量的二维端口矩阵组合分类和网络流量的攻击特征行为确定网络流量频数分布；

所述Logit模型模块用于依据网络流量频数分布对网络流量进行攻击识别；

所述输出比较模块用于将攻击识别结果Y与概率切割值pi进行比较，当Y大于概率切割值pi时，输出Y＝1，判定网络流量属于网络攻击，反之，输出Y＝0，判断网络流量属于正常行为。

8.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-6任意一项所述的一种网络入侵检测方法的步骤。

9.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-6任意一项所述的一种网络入侵检测方法的步骤。