[发明专利]一种基于整合相关性分析与分级聚类的入侵检测方法

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种整合相关性分析与分级聚类(hierarchical clustering)的入侵检测方法，主要应用于信息安全管理系统。

背景技术

随着计算机网络的普及，网络信息安全问题日益突出。入侵检测系统(IDS)作为信息安全保障中的一个重要环节，采用主动防御策略，在不影响网络性能的前提下对网络进行监测，通过对从计算机网络或计算机系统中的若干关键点收集的信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测从技术上分为误用检测和异常检测两类，前者通过特征匹配检测是否发生入侵，对已知入侵的检测准确、快速，但不能检测未知入侵类型；后者则是在建立正常模型的基础上，将实际行为与之比较，通过分析是否存在偏离来判断入侵行为，该方法不仅能检测出已知入侵，还能检测未知入侵。目前异常检测已成为当前入侵检测系统研究的热点之一。

聚类分析又称群分析，是研究(样品或指标)分类问题的一种多元统计方法，所谓类足指相似元素的集合。而聚类就是按照一定的要求和规律对事物进行区分和分类的过程，在这一过程中没有任何关于类分的先验知识，没有教师指导，仅靠事物间的相似性作为类属划分的准则，即同一聚类之间最小化，而不同聚类之间数据最大化。分层聚类方法将数据集按不同层次逐层分割。在此，入侵检测模型能否高效、准确地辨析海量的用户行为数据，是判断一个入侵检测系统成功与否的标志，因此，如何使分层聚类方法能高效地从存储在数据库、数据仓库或其它信息库中的大量数据中发现有用知识的过程，减小聚类处理时间是一个亟待解决的问题。

分级聚类算法突破了非系统聚类法的很多限制，比如说生物学家用系统分类法来划分数据，动物和植物首先被分成种species，进一步的聚合成属classe，科order，目family，纲genera，门phyla。每一个分类水平都聚合了前一个水平的几个成员，如图1所示，属classe1122聚合了种species11221和11222等，科order112聚合了属classe1121和1122等，目family11聚合了order111和112，纲genera1聚合了目family11和12，纲genera2聚合了family21和22，门phyla聚合了纲genera1和2，系统聚类法就是从这个思想上发展而来的。

发明内容

本发明的目的在于提供一种能解决入侵检测聚类分析中海量运算和有效实施数据聚类的入侵检测方法。

本发明采用的技术方案为：一种基于整合相关性分析与分级聚类的入侵检测方法，包括以下步骤：

步骤1建立入侵检测数据库的特征数据向量；

步骤2：进行相关性分析：计算计算机网络上的用户行为数据向量集中的每个特征数据向量和其余特征数据向量间的最大相关系数，排除与其余特征向量的最大相关系数小于一相关系数阈值的特征数据向量；

步骤3：对经相关系数阈值选取后保留下来的特征数据向量进行分级聚类，分级聚类中采用的两个特征数据向量之间的距离量度其中，corr(v_i，v_j)是特征数据向量v_i和v_j间的相关系数，‖v_i-v_j‖为特征数据向量v_i和v_j间的欧拉距离。

优选地，步骤2在确定相关系数阈值的方法为：首先通过bootstrap自助统计法拟合出所有特征数据向量的最大相关系数的正态分布，并获得得到的正态分布的平均值mean和标准差std；再通过正态累积分布的求逆函数求出对应于统计检验值的相关系数阈值。

优选地，所述统计检验值小于等于0.05。

优选地，所述特征数据向量包括一个时间窗口内目标主机是与当前连接相同的连接次数、出现SYN错误的连接在所述一个时间窗口内目标主机是与当前连接相同的连接次数中所占的百分比、目标端口相同的连接所占的百分比、目标端口不同的连接所占的百分比、目标端口与当前连接相同的连接次数、出现SYN错误的连接在所述目标端口与当前连接相同的连接次数中所占的百分比和目标主机不同的连接所占的百分比中的至少一个数据。

优选地，步骤3中进行分级聚类的方法为：用距离量度d_ST指定的方法计算用户行为数据向量集中的各特征数据向量之间的距离向量；再利用最短距离法计算所述距离向量的系统聚类树；最后，根据系统聚类树创建分类。