云計算環(huán)境中的自主分析入侵檢測方法及系統的制作方法
【技術領域】
[0001] 本發(fā)明設及一種網絡入侵檢測技術領域����,本發(fā)明還設及一種云計算環(huán)境中的自主 分析入侵檢測系統,還設及一種云計算環(huán)境中的自主分析入侵檢測方法��。
【背景技術】
[0002] 計算機網絡信息系統是當今社會中最為重要的信息交互平臺�,網絡技術的迅速發(fā) 展�����,在給人們帶來高效和便捷的同時��,網絡入侵也越來越頻繁�,從而導致網絡安全事件激 增。與此同時�����,隨著大數據和云計算時代的來臨,網絡用戶迅猛增長�����,網絡安全問題日趨嚴 重��,攻擊方式也一直在更新���,單一的W防火墻為主的被動防御方式已經無法保證系統的安 全��。
[0003] 入侵檢測系統(Intrusion Deteetion System,IDS)是一種主動防御的技術����,可W 從網絡系統中提取關鍵信息��,并迅速的對內部或外部的網絡入侵做出判斷和保護��。因此���,網 絡入侵檢測系統作為一種主動安全防范措施�����,可W攔截各種網絡入侵和攻擊����,一直是網絡 安全研究領域的研究熱點。
[0004] 然而�,隨著云技術的發(fā)展,網絡入侵在云計算中呈現出新的特點���。由于云計算所擁 有的強大計算能力和豐富的存儲資源使得網絡入侵在云計算中具有更強的破壞力����,對于目 前的云計算而言���,5日日5(5〇的*日'6-日3-日-561'¥�;[�����。6)服務�����、��?日日5�����。1日1�����;1!'01'111-日3-日-561'¥�����;[����。6)月良 務及IaaSQnfrastructure as a Service)服務都還處于初期,運便使云環(huán)境中的網絡入 侵有了可乘之機�,運些攻擊易于實施卻難于防范,因此不能將已有的入侵檢測技術直接應 用到云計算中�,運就需要對云計算中的入侵檢測技術展開專口的研究����。當前,云計算環(huán)境中 的入侵檢測技術也相繼得到了研究和發(fā)展�,人們利用貝葉斯分類器、隱馬爾科夫模型�����、遺傳 算法及神經網絡等方法提出一些針對云計算環(huán)境中網絡入侵的入侵檢測模型,運些基于人 工智能入侵檢測模型的提出其目的就是不但要檢測網絡中的己知攻擊還要檢測出未知的 網絡入侵��。然而上述運些研究都只是簡單的將各種檢測手段應用到云環(huán)境的入侵檢測系統 中��,并沒有考慮面臨海量入侵檢測數據時檢測系統對入侵信息的自主分析性能�����。當數據量 非常大時�,如果系統不能實現自主檢測,將會使系統對網絡入侵的檢測效率大大降低�����。
[0005] 由于網絡入侵的變化性和多樣性�����,在云計算環(huán)境中如何能實現對攻擊的自主分析 和防御是網絡安全的重要課題之一����。由于人工神經網絡具有自組織�����、自學習及推理的自適 應能力,可W利用大量入侵實例對其進行訓練學習��,從而獲得檢測的能力���。對于一些無法識 別特征的網絡入侵����,神經網絡可W通過已獲得的樣本訓練網絡����,運樣可W很好的識別未知 的攻擊,提高了檢測的效率�����。然而����,由于云計算中網絡入侵的不可預測性,使得已有的入侵 檢測方法受到極大限制����。
【發(fā)明內容】
[0006] 本發(fā)明所要解決的第一個技術問題是針對上述現有技術提供一種能夠對云計算 環(huán)境中海量的入侵檢測數據進行實時檢測���,不僅能夠識別已知的網絡入侵,還能對未知的 網絡入侵做自主分析�,檢測率高、可擴展性強的自主分析入侵檢測方法����。
[0007] 本發(fā)明所要解決的第二個技術問題是針對上述現有技術提供一種能夠對云計算 環(huán)境中的已知和未知的網絡入侵進行檢測,并能對網絡入侵進行自主分析的入侵檢測系 統��。
[0008] 本發(fā)明解決上述第一個技術問題所采用的技術方案為:一種云計算環(huán)境中的自主 分析入侵檢測方法�,其特征在于包括如下步驟:
[0009] 步驟1、利用包含有正常網絡行為數據和不同類型的已知網絡入侵行為數據組成 的訓練樣本��,采用改進的BP神經網絡算法訓練W獲取入侵檢測器�,使得該入侵檢測器能夠 完成對已知類型的網絡入侵行為的檢測和識別,同時能夠實現對未知類型的網絡入侵行為 自動進行特征提?���。?br>[0010] 改進的BP神經網絡算法的訓練過程如下:
[0011] 1.1)���、改進的BP神經網絡具有輸入層����、至少一層隱含層��、輸出層�,初始化該改進的 BP神經網絡的參數,同時設定該改進的BP神經網絡的訓練精度e����,統計訓練樣本的組數N,確 定該改進的BP神經網絡的初始學習率MO);
[0012] 1.2)�����、隨機產生一組改進的BP神經網絡的初始權值W(O);
[001���;3]l.3)��、輸入層讀取一組訓練樣本Xj=(Xjl���,Xj2,...�����,Xji,...����,Xjn)T,根據該改進的BP 神經網絡的訓練精度e計算獲取訓練樣本��、=(x山XW, . . .���,x山...����,Xw)T對應的期望輸出 為dj = (dji,dj2,. . . ,djk, . . . ,dji)T;
[0014]在數據的正向傳播過程中��,輸入層讀取的訓練樣本經過計算最終獲取的輸出層的 輸出為化二(Ojl, 〇j2 , . . . , Ojk, . . . ,Ojl)T;其中 j = l,2,3,... ,N;
[001引 1.4)�����、計算訓練樣本Xj=(Xjl����,Xj2, . . .,Xji, . . .����,Xjn)T對應的誤差值Ej:
(1):
[0017] 其中���,I為該改進的BP神經網絡的輸出層節(jié)點數;
[0018] 1.5)���、判斷輸入層讀取的訓練樣本數j是否達到訓練樣本總數N,如果是�,執(zhí)行步驟 1.6),如果不是����,返回步驟1.3);
[0019] 1.6)、計算改進的BP神經網絡本次網絡訓練的總誤差E(S);
P);
[0021] 其中S為本次網絡訓練的迭代次數�����,s = l���,2,3...;
[0022] 1.7)��、判斷E(S)是否大于e��,如果是則執(zhí)行步驟1.8)����,如果否則結束訓練;
[0023] 1.8)����、判斷S-I是否等于0,如果是則執(zhí)行步驟1.10),如果否則執(zhí)行步驟1.9);
[0024] 1.9)���、判斷本次網絡訓練的總誤差E(S)和相鄰上次網絡訓練的總誤差E(S-I)大 小�����,并計算下次迭代的學習率n(s+l); "X W (.V) £X.v) < £- (.V -1)
[002引 qb 十 1)二/�,x?7('v) £(.s.) >£-(.�����、'-1) (�;3), n(.v) E(S)= E(S-\)
[0026]其中,Ka<2���,l<b<l;
[0027]相鄰兩次誤差函數值的大小關系動態(tài)調整學習率���;當新的總誤差E(S)小于舊誤差 E(S-I)時,說明誤差正在減小�,將學習率擴大到原來的a倍�,加快收斂步伐�����;當新的總誤差E (S)大于舊的總誤差E(S-I)時�,說明權重在此次迭代中被過調,應該立即縮小學習率到原來 的b倍�,避免越過此梯度方向上的最佳網絡權值��;
[002引1.10)��、計算下次迭代網絡權值W(s+1);
(4);
[0030] 其中�,W(S)為當次迭代的網絡權值;
[0031] 1.11)�、返回步驟 1.3);
[0032] 步驟2、監(jiān)聽網絡入口端的網絡流量����,當網絡流量產生異常時,采集自云計算環(huán)境 向網絡入口端傳送的網絡數據包����;
[0033] 步驟3、對采集的網絡數據包進行規(guī)則化預處理W對網絡數據包進行特征抽取����,從 而獲取包含有網絡行為特征的網絡行為特征數據集���;
[0034] 步驟4、入侵檢測器讀取網絡行為特征數據集�,將偏離網絡正常行為特征數據的網 絡異常行為特征數據檢測出來,同時對網絡異常行為的網絡入侵類型進行識別�����;
[0035] 如果入侵檢測器識別為已知類型的網絡入侵行為��,則進行該類型入侵行為的告 警���,同時做出相應的入侵響應��;同時將網絡正常行為特征數據和已知入侵行為特征數據送 入到數據庫中W供作為訓練樣本使用�;
[0036] 如果網絡異常行為特征為入侵檢測器無法識別類型的網絡入侵行為���,則提取該網 絡入侵行為特征數據的特征值并存入到規(guī)則數據