[发明专利]入侵检测方法和装置

说明书

本发明实施例提供一种入侵检测方法和装置，涉及通信领域，能够提高入侵检测的效率及准确性。该方法包括：获取终端的数据集；数据集包括多个样本点；根据聚类算法对数据集进行聚类处理，获得约简数据集；聚类算法用于根据阈值和数据集中的代表点对数据集中除代表点外的其他样本点进行聚类处理，阈值与第一簇的样本点数量和第二簇的样本点数量有关；第一簇为代表点所在的簇，第二簇包括第一簇中的所有样本点和第一样本点，第一样本点为数据集中除第一簇中的样本点外的其他样本点；约简数据集包括多个代表点；根据约简数据集确定入侵数据集；入侵数据集包括数据集中的异常样本点。本发明用于网络入侵检测。

技术领域

本发明涉及通信领域，尤其涉及一种入侵检测方法和装置。

背景技术

随着计算机系统的发展，计算机系统通过互联网传递的各种工作和生活信息也越来越多。且由于互联网的发展，千兆网络、万兆网络所带来的海量数据流量对网络安全的影响也越来越重，随着海量数据流量攻击与入侵计算机系统的方式也层出不穷。确保网络安全成为计算机系统及互联网发展的一项重要任务。

入侵检测技术是一种在入侵攻击对计算机系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱除入侵攻击的技术。鉴于目前互联网通信中的海量数据流量，入侵检测技术主要从网络流量表征维数进行数据挖掘，以实现降维分析目标。样本约简作为入侵检测技术的算法之一，在尽可能保障数据特性前提下来精简数据量，以满足从原始数据集中获取样本约简子集，利用样本约简子集进行入侵检测分析，有助于降低数据挖掘算法中数据处理的成本和时间。目前的数据约简算法，如快速压缩近邻算法(fast condensednearest neighbor，FCNN)和迭代过滤算法(iterative case filtering algorithm，ICF)虽然可以对海量数据流量进行一定的压缩，但其压缩比率或分类精度无法满足大数据发展的需求，可能导致根据约简后的数据进行入侵检测的失败。

发明内容

本发明的实施例提供一种入侵检测方法和装置，用于提高入侵检测的效率及准确性。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种入侵检测方法，包括：获取终端的数据集；数据集包括多个样本点；根据聚类算法对数据集进行聚类处理，获得约简数据集；聚类算法用于根据阈值和数据集中的代表点对数据集中除代表点外的其他样本点进行聚类处理，阈值与第一簇的样本点数量和第二簇的样本点数量有关；第一簇为代表点所在的簇，第二簇包括第一簇中的所有样本点和第一样本点，第一样本点为数据集中除第一簇中的样本点外的其他样本点；约简数据集包括多个代表点；根据约简数据集确定入侵数据集；入侵数据集包括数据集中的异常样本点。

第二方面，提供一种入侵检测装置，包括：获取模块，用于获取终端的数据集；数据集包括多个样本点；聚类模块，用于根据聚类算法对获取模块获取的数据集进行聚类处理，获得约简数据集；聚类算法用于根据阈值和数据集中的代表点对数据集中除代表点外的其他样本点进行聚类处理，阈值与第一簇的样本点数量和第二簇的样本点数量有关；第一簇为代表点所在的簇，第二簇包括第一簇中的所有样本点和第一样本点，第一样本点为数据集中除第一簇中的样本点外的其他样本点；约简数据集包括多个代表点；检测模块，用于根据聚类模块获得的约简数据集确定入侵数据集；入侵数据集包括数据集中的异常样本点。

第三方面，提供一种入侵检测装置，包括：存储器、处理器、总线和通信接口；存储器用于存储计算机执行指令，处理器与存储器通过总线连接；当入侵检测装置运行时，处理器执行存储器存储的计算机执行指令，以使入侵检测装置执行如第一方面提供的入侵检测方法。

第四方面，提供一种计算机可读存储介质，包括：计算机执行指令，当计算机执行指令在计算机上运行时，使得计算机执行如第一方面提供的入侵检测方法。