[发明专利]无线网络入侵检测方法、装置及电子设备

说明书

本发明实施例提供了一种无线网络入侵检测方法、装置及电子设备，方法包括：获取当前数据包对应的预设的网络流量特征的当前特征值；将所述当前特征值与预先训练的各个聚类类别的特征值进行相似度计算，获得针对所述各个聚类类别的多个第一相似度计算结果；根据所述多个第一相似度计算结果，确定所述当前特征值所属的聚类类别；若所述当前特征值所属的聚类类别被标记为异常，则确定所述无线网络被入侵。本发明实施例中，当入侵方式稍有变化时，亦可以通过当前特征值与各聚类类别的第一相似度，确定无线网络是否被入侵，提高了入侵检测的准确性。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种无线网络入侵检测方法、装置及电子设备。

背景技术

随着网络技术的不断发展，无线网络的使用场景越来越广泛，越来越多的人通过无线终端访问无线网络，由于无线网络是采用射频技术进行网络连接及传输的开放式系统，任何无线信号覆盖范围内的无线终端，均可以对无线网络发起攻击，因此，进行入侵检测，保证无线网络的安全性至关重要。

在进行无线网络入侵检测时，通常对待检测的数据包进行解析，然后将上述解析后的数据包和预设的异常数据包特征库的特征进行匹配，若解析后的待检测数据包与异常数据包特征库中某一特征完全匹配，即待检测的数据包具有异常数据包特征，则确定该待检测数据包为异常数据包。

采用上述方法进行无线网络入侵检测时，当入侵的方式稍有变化时，就无法识别出异常数据包，因此，无线入侵检测的准确度不高。

发明内容

本发明实施例的目的在于提供一种无线网络入侵检测方法、装置及电子设备，以提高入侵检测的准确性。具体技术方案如下：

第一方面，本发明实施例提供了一种无线网络入侵检测方法，所述方法包括：

获取当前数据包对应的预设的网络流量特征的当前特征值；

将所述当前特征值与预先训练的各个聚类类别的特征值进行相似度计算，获得针对所述各个聚类类别的多个第一相似度计算结果；所述各个聚类类别被标记为正常或异常；所述各个聚类类别的特征值为：在训练过程中确定的该聚类类别对应的预设的网络流量特征的特征值；

根据所述多个第一相似度计算结果，确定所述当前特征值所属的聚类类别；

若所述当前特征值所属的聚类类别被标记为异常，则确定所述无线网络被入侵。

进一步的，所述获取当前数据包对应的预设的网络流量特征的当前特征值的步骤，包括：

对所述当前数据包进行解析，获得所述当前数据包自身的数据特征的特征值；

获得在接收到所述当前数据包之前预设时间内接收到的多个数据包中，各个指定帧的统计信息，作为基于时间的第一网络流量特征的特征值；

获得在接收到所述当前数据包之前预设接入次数中各个指定接入指标的统计信息，和/或在接收到所述当前数据包之前接收到的预设个数的数据包中，重发数据包的统计信息，作为基于数量的第二网络流量特征的特征值；

将所述当前数据包自身的数据特征的特征值、所述基于时间的第一网络流量特征的特征值以及所述基于数量的第二网络流量特征的特征值作为所述当前特征值。

进一步的，所述各个聚类类别，采用如下步骤训练获得：

获取样本数据包集合中各个样本数据包对应的预设的网络流量特征的各个样本特征值，构成样本特征值集合；

基于所述各个样本特征值的相似度，对所述样本特征值集合中的各个样本特征值进行聚类，获得多个聚类类别和每个聚类类别对应的预设的网络流量特征的特征值；

将符合预设正常聚类类别条件的聚类类别标记为正常，将不符合预设正常聚类类别条件的聚类类别标记为异常。