[发明专利]基于模糊隐条件随机场模型的网络入侵检测方法及系统

说明书

技术领域

本发明涉及一种网络入侵检测方法，特别涉及一种基于模糊隐条件随机场模型的网络入侵检测方法及系统。

背景技术

在互联网建设早期，网络结构和攻击手段都相对简单，网络安全体系主要是以防护为主体，依靠防火墙、加密和身份认证等手段来实现。随着互联网技术的高速发展以及应用地逐步广泛，黑客攻击手段也日趋复杂多样，仅仅依靠传统的操作系统加固和单纯防火墙策略等静态安全防御技术已经远达不到现代高安全网络的需要。因此，以网络安全立体纵深、多层次防御的角度为立足点，设计出行之有效的入侵检测方法成为了当务之急。

现有的网络入侵检测方法有：(1)基于隐马尔科夫模型的网络入侵检测方法，该方法的最大缺点是没有充分地考虑相邻时刻特征之间的相关性和标记之间的相关性，忽略了这些相关性会严重影响入侵检测效果，导致入侵检测效率低等问题的出现；(2)基于朴素贝叶斯分类器模型的网络入侵检测方法，该方法不能处理基于特征组合所产生的变化结果，并且在目标分类的问题中容易产生较大的错误率；(3)基于数据挖掘模型的网络入侵检测方法，由于该方法是对大量的历史数据进行处理，因此，在学习和评价阶段的计算成本高，实时性实施困难；(4)基于最大熵马尔可夫模型的网络入侵检测方法，该方法对状态序列的计算是局部的，会产生标记偏见等问题；(5)基于条件随机场模型的网络入侵检测方法，该方法不能捕获含隐状态变量的间接结构，要达到较高的检测率，需要有庞大的训练数据集，训练速度慢，影响整体入侵检测效率。

因此，急需一种具有训练速度快、检测效果好、较好推广应用前景等优点的网络入侵检测方法及系统。

发明内容

有鉴于此，本发明所要解决的技术问题是提供一种基于模糊隐条件随机场模型的网络入侵检测方法。该方法针对网络攻击的特点和现有网络入侵检测方法存在的问题，为了对网络入侵行为做出准确的检测，解决由于不精确和模糊的信息造成的观察序列不确定性和长距离相关性等问题，并实现在训练数据集较小的情况下，提高检测率和训练速度，保证网络入侵检测的较好效果。

本发明的目的之一是提出一种基于模糊隐条件随机场模型的网络入侵检测方法；本发明的目的之二是提出一种基于模糊隐条件随机场模型的网络入侵检测系统。

本发明的目的之一是通过以下技术方案来实现的：

本发明提供的基于模糊隐条件随机场模型的网络入侵检测方法，包括以下步骤：

步骤一：利用网络数据采集工具收集网络实例，随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集；

步骤二：对收集的网络实例进行预处理；

步骤三：将预处理后的网络实例进行特征选择；

步骤四：模糊隐条件随机场模型利用所选特征训练生成检测模型；

步骤五：利用步骤四中生成的检测模型对实际运行中的网络实例进行检测；

步骤六：对网络入侵检测做相应处理，当检测为异常网络实例时，阻止网络实例；当检测为正常网络实例时，允许网络实例运行。

进一步，所述网络实例预处理，在对模糊隐条件随机场模型训练、检测前利用以下模糊函数对数据进行模糊化处理：

sigmf(x,[A,C])＝1/(1+EXP(-A×(x-C)))；

其中，sigmf()表示模糊化处理函数；A和C为模糊函数的控制参数；x表示训练数据中特征的实际数值。

进一步，步骤三中，针对网络攻击类型的特点，依据多次试验结果和理论分析，对每一类攻击进行特征选择；步骤四中，模糊隐条件随机场利用每种攻击所选择的特征进行训练，得到模糊隐条件随机场各参数的值，从而建立攻击类型所对应的检测模型。

进一步，在给定观察序列n的条件下，运用模糊隐条件随机场模型根据观察序列n及定义在其上的隐状态集合H和标签m建立如下联合概率模型：