一種面向云計算的網絡入侵檢測方法及系統(tǒng)與流程

文檔序號：12739492閱讀：來源：國知局

技術特征：

1.一種網絡入侵檢測方法，其特征在于，包括：

生成用于判別網絡入侵行為的偽梯度提升決策樹集合；

根據各偽梯度提升決策樹對應的非葉子節(jié)點的分類特征，確定各所述偽梯度提升決策樹的權重信息；

分別采用所述偽梯度提升決策樹對接收到的網絡行為記錄進行并行判斷，得到獨立判斷結果；

將各所述獨立判斷結果分別與對應的權重信息相乘，生成判斷所述網絡行為記錄是否為網絡攻擊的最終結果信息。

2.如權利要求1所述的網絡入侵檢測方法，其特征在于，所述生成用于判別網絡入侵行為的偽梯度提升決策樹集合包括：

采用并行的方式抽取多個訓練數據集，所述訓練數據集包含多個在網絡行為日志中抽取的記錄；

采用并行的方式對每個訓練數據集計算偽梯度提升決策樹。

3.如權利要求2所述的網絡入侵檢測方法，其特征在于，所述采用并行的方式對每個訓練數據集計算偽梯度提升決策樹包括：

計算所述訓練數據集的經驗熵；

計算所述訓練數據集相對于特征的經驗條件熵；

計算所述訓練數據集基于所述特征的信息增益，所述信息增益為使用所述特征分類時的所述經驗條件熵與所述經驗熵的偏離程度；

根據所述信息增益對所述訓練數據集進行分類；

計算所述訓練數據集中判別為攻擊的記錄數量；

根據所述記錄數量與預設規(guī)則，確定各節(jié)點的賦值，將節(jié)點與所述賦值作為決策樹的一個葉子節(jié)點。

4.如權利要求3所述的網絡入侵檢測方法，其特征在于，所述計算所述訓練數據集的經驗熵包括：

采用計算所述訓練數據集的經驗熵；其中，K為訓練集D(t)的種類，第k類Dc(t,k)的樣本數量為|Dc(t,k)|，|D(t)|為訓練集D(t)的樣本數量。

5.如權利要求4所述的網絡入侵檢測方法，其特征在于，所述計算所述訓練數據集相對于特征的經驗條件熵包括：

采用

$<mrow> <mi>H</mi> <mrow> <mo>(</mo> <mi>D</mi> <mo>(</mo> <mi>t</mi> <mo>)</mo> <mo>|</mo> <mi>S</mi> <mo>(</mo> <mi>j</mi> <mo>)</mo> <mo>)</mo> </mrow> <mo>=</mo> <msubsup> <mo>Σ</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>I</mi> </msubsup> <mo>[</mo> <mfrac> <mrow> <mo>|</mo> <msub> <mi>D</mi> <mi>s</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>,</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> <mrow> <mo>|</mo> <mi>D</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> </mfrac> <mo>*</mo> <mi>H</mi> <mrow> <mo>(</mo> <mi>D</mi> <mo>(</mo> <mi>t</mi> <mo>)</mo> <mo>)</mo> </mrow> <mo>]</mo> <mo>=</mo> <mo>-</mo> <msubsup> <mo>Σ</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>I</mi> </msubsup> <mo>[</mo> <mfrac> <mrow> <mo>|</mo> <msub> <mi>D</mi> <mi>s</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>,</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> <mrow> <mo>|</mo> <mi>D</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> </mfrac> <mo>*</mo> <msubsup> <mo>Σ</mo> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>K</mi> </msubsup> <mo>[</mo> <mfrac> <mrow> <mo>|</mo> <msub> <mi>D</mi> <mi>s</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>,</mo> <mi>k</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> <mrow> <mo>|</mo> <mi>D</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> </mfrac> <mo>*</mo> <mi>log</mi> <mrow> <mo>(</mo> <mfrac> <mrow> <mo>|</mo> <msub> <mi>D</mi> <mi>s</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>,</mo> <mi>k</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> <mrow> <mo>|</mo> <mi>D</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow> </mfrac> <mo>)</mo> </mrow> <mo>]</mo> <mo>]</mo> </mrow>$

計算所述訓練數據集相對于特征的經驗條件熵H(D(t)|S(j))；

其中，J為特征集S中特征的數量，I為第j個特征S(j)的取值的數量；|Ds(t,i,j)|為依據I取值將訓練集D(t)劃分為I個子集后，第i個子集Ds(t,i,j)的樣本數量。

6.如權利要求5所述的網絡入侵檢測方法，其特征在于，所述計算所述訓練數據集基于所述特征的信息增益包括：

采用計算所述訓練數據集基于所述特征的信息增益ΔH(D(t)|S(j))。

7.如權利要求6所述的網絡入侵檢測方法，其特征在于，所述根據所述信息增益對所述訓練數據集進行分類包括：

根據所述訓練數據集基于特征集所有特征的信息增益，確定信息增益值最大的一個特征S(b)；

如果所述信息增益ΔH(D(t)|S(b))小于預設閾值δ，則D(t)不可以基于特征S(b)進行分類，將該集合作為偽梯度提升決策樹G(t)一個葉子節(jié)點；

如果ΔH(D(t)|S(b))大于或等于所述預設閾值δ，則D(t)可以基于特征S(b)進行分類；根據S(b)的I個取值將所述訓練數據集D(t)劃分為I個子集。

8.如權利要求1至7任一項所述的網絡入侵檢測方法，其特征在于，所述根據各偽梯度提升決策樹對應的非葉子節(jié)點的分類特征，確定各所述偽梯度提升決策樹的權重信息包括：

采用對各所述偽梯度提升決策樹的權重信息α(t)進行確定；

其中，S(t)為G(t)分裂屬性的特征集合，|S(t)|為S(t)內特征的數量，F(xiàn)s(t,u)為S(t)內的一個特征S(t,u)在T個決策樹上作為分裂屬性出現(xiàn)的次數，Ds(t,u)為特征S(t,u)作為G(t)的分裂屬性所在的深度。

9.一種網絡入侵檢測系統(tǒng)，其特征在于，包括：