[发明专利]基于数据挖掘的网络入侵检测方法

权利要求书

1.基于数据挖掘的网络入侵检测方法，其特征在于，所述方法包括以下步骤：

步骤一、利用Bro的分析函数定义事件引擎和规则引擎对已知的网络入侵类型进行分析，提取程序活动周期，获得已知的网络入侵类型对应的特征；

将已知的网络入侵类型对应的特征作为神经网络模型的输入，将已知的网络入侵类型作为神经网络模型的标签，通过训练获得网络入侵类型模型；

并对网络入侵类型模型进行验证，当网络入侵类型模型的分类准确率达到阈值后，作为建立好的网络入侵类型模型；

步骤二、利用不同已知类型的网络入侵检对象模拟网络入侵，同时通过布置ELK日志分析平台的主机进行对所有日志文件进行监控，并进行数据挖掘，获取在模拟网络入侵时发生异常的日志文件及对应日志文件中的异常数据；

基于ELK日志分析平台对发生发生异常的日志文件及对应日志文件中的异常数据作为重点监测对象；同时建立日志文件及日志文件中的异常数据对应的异常数据库；

步骤三、基于网络入侵类型模型，利用Bro的分析函数定义事件引擎和规则引擎进行实时进行网络入侵监控；同时对重点监测对象进行监控；

当进行网络入侵监控时，能够通过网络入侵类型模型确定对应网络入侵类型则发出报警信息，同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据，如果该日志文件及日志文件中的异常数据并没有在重点检测对象中，则将其加入重点检测对象中；

当进行网络入侵监控时不能通过网络入侵类型模型确定对应网络入侵类型，但是重点检测对象中对应的日志文件及日志文件中数据发生改变，则发出报警信息；并在用户确认的基础上，将发生改变的日志文件及日志文件中数据对应的网络通信作为已知网络入侵类型返回步骤一完善网络入侵类型模型；

当重点检测对象中对应的日志文件及日志文件中数据没有发生改变，但是除了重点检测对象中的日志文件及日志文件中数据以外的其他日志文件及日志文件中数据发生了变化，则发出提示信息，提示用户利用ELK日志分析平台对发生变化的日志文件及日志文件中数据进行分析，并进一步检查是否有网络入侵发生。

2.跟进权利要求1所述的基于数据挖掘的网络入侵检测方法，其特征在于，步骤一所述的网络入侵类型i对应的特征为

其中，程序活动周期内接收到的IP报文总数；程序活动周期内接收到的IP报文总字节数；程序活动周期内报文载荷中非ASCII字节的数量；为程序活动周期内内源地址建立的TCP连接的数量；为程序活动周期内不同目的IP地址数量；为程序活动周期内不同谜底端口的数量；为程序活动周期内UDP报文数量；为程序活动周期内TCP报文数量；为程序活动周期内ICMP报文数量；为程序活动周期内SMTP报文数量；为程序活动周期内HTTP报文数量。

3.跟进权利要求2所述的基于数据挖掘的网络入侵检测方法，其特征在于，步骤一所述的通过训练获得网络入侵类型模型的过程如下：

DBN网络模型底部由若干个RBM网络堆叠而成，即第一层为可视层，第二层至第六层为隐含层；顶层是分类层；

步骤1、初始化DBN网络的最大层数、每层节点数、最大迭代次数以及网络参数；

步骤2、将特征Tⁱ送入DBN网络的第一层，然后依据RBM原理得到DBN网络第二层隐含层的初始状态；之后再得到第一层的重构状态以及第二层的重构状态，根据重构状态与初始状态数值之间的差异进行其权值阈值的更新，重复上述过程直至最大迭代次数，结束该层RBM训练，完成第一个RBM层训练，即得到DBN第二层隐含层的状态；

步骤3、将DBN网络的第二层作为可视层，第三层作为隐含层，形成第二个RBM网络，按照步骤2完成第二个RBM层的训练，即得到DBN第三层隐含层的状态；

步骤4、依次训练得到DBN网络的各隐含层，直至得到第六层隐含层的状态；

步骤5、进入有监督训练过程，将DBN网络的第六层输出作为顶层分类器的输入，顶层输出为类别标签，对应已知的网络入侵类型；

再根据当前分类标签使用反向传播算法训练顶层分类器，并对DBN网络的各层参数进行微调；

步骤6、达到最大迭代次数或者满足规定的误差值，模型训练结束，得到网络入侵类型模型。