技術領域

本發明涉及一種用于入侵檢測的方法和系統，并且更特別地涉及一種用于基于特征的三階段神經網絡入侵檢測的方法和系統。

背景技術

在現在的世界中，大部分組織具有用于組織內通信的局域網（LAN）。組織的服務器與這些LAN連接，并且通過這些網絡傳送所有組織相關的數據。為與賣方、消費者和其他組織通信，這些LAN連接到諸如因特網的廣域網（WAN）。與WAN的這樣的連接使得LAN易受入侵的攻擊。入侵對組織內部數據造成嚴重的安全風險。由入侵引起的損害是系統文件、用戶文件或涉及組織的任何其他信息的未經授權的修改。入侵可以使公司付出巨大量的金錢和時間。因此，在它們引起對網絡的任何損害之前來檢測和防止入侵變得非常重要。

在本領域的當前狀態中存在已知的各種入侵檢測方法和系統。按照定義，入侵檢測是檢測、防止在網絡上運行的系統上的入侵和可能地對在網絡上運行的系統上的入侵起反應的任務。在本領域的當前狀態中已知的大部分入侵檢測技術基于誤用檢測。誤用檢測是通過將當前的活動針對照入侵者的預期的動作進行比較來嘗試標識入侵的實例的過程。主要使用某些形式的模式匹配來完成誤用檢測。針對誤用入侵檢測的最大的挑戰之一是能夠從先前觀察的行為，即正常的或惡意的行為進行歸納以識別類似種類的未來的行為。異常檢測是該挑戰的答案。

基于異常的入侵檢測系統觀察在網絡上顯著地偏離建立的正常使用簡檔的活動作為可能是入侵的異常。在異常檢測中，對網絡的正常行為建模，并且如果網絡的任何行為與建模的正常活動不匹配則提出警報。例如，在網絡上的用戶的簡檔可以包含在他或她的記錄會話期間的某些系統命令的平均的頻率。如果那些系統命令的頻率在被監視的用戶的記錄會話期間顯著地變化，則將提出異常警報。

異常檢測是用于檢測未知入侵的有效的技術，因為其不需要關于入侵的任何知識。但是該檢測技術的主要缺點是高的假警報率。高的假警報率是因為不論在網絡中發生的事件的類型，即正常或異常，如果檢測的事件的頻率不同于與被監視的用戶的簡檔相關聯的平均頻率，則將提出警報。針對高的假警報率的具體原因是由軟件錯誤、被破壞的數據包等等生成的壞的包。由于高的假警報率，真的入侵通常被錯失或忽視。

按照上述的討論，顯然存在針對在各種網絡上入侵檢測的改進的方法和系統的需要。

因此，本發明的目的是提供具有較少的假警報率的針對網絡的有效的入侵檢測方法和系統。

發明內容

通過提供根據權利要求1的用于檢測網絡入侵的方法和根據權利要求14的用于檢測網絡入侵的系統來實現該目的。本發明的進一步的實施例在從屬權利要求中闡述。

在本發明的第一方面中，公開了一種用于通過使用多個神經網絡來檢測網絡入侵的方法。根據所述方法，數據集最初被接收為輸入，并且然后在多個神經網絡中的第一神經網絡處確定對應于輸入數據的多個矢量的第一多個權重值。然后第一多個權重值被多個神經網絡中的第二神經網絡接收并更新到第二多個權重值。然后，第二多個權重值在多個神經網絡的第三神經網絡處被更新到第三多個權重值。在所述方法的最后步驟處，基于第三多個權重值在多個入侵中的至少一個下分類多個矢量。

根據本發明的第一方面，多個神經網絡被訓練來通過使用訓練數據檢測網絡入侵。

根據本發明的第一方面，使用訓練數據形成第一神經網絡的分類映射。

根據本發明的第一方面，在第一神經網絡的分類映射上映射多個矢量。

根據本發明的第一方面，第一多個權重值與第一神經網絡的分類映射相關聯。

根據本發明的第一方面，基于訓練數據定義多個入侵。

根據本發明的第一方面，在將第一多個權重值更新到第二多個權重值之前在第二神經網絡處根據第一多個權重值和多個矢量確定第二多個權重值。

根據本發明的第一方面，在將第二多個權重值更新到第三多個權重值之前在第三神經網絡處根據第二多個權重值和多個矢量確定第三多個權重值。

在本發明的第二方面中，公開了一種用于根據數據集的多個特征標識入侵檢測特征的方法。根據所述方法，最初確定數據集的多個特征中的特征的一個或多個值。然后，基于特征的一個或多個值將數據集分成一個或多個數據子集。在下一方法步驟處，根據一個或多個值和針對一個或多個數據子集的特征的預定義的類確定特征的熵。特征的熵被用于在下一方法步驟處確定針對特征的信息增益。然后在公開的方法的最后步驟處，將特征的信息增益與信息增益的預定義的值比較。

根據本發明的第二方面，針對多個特征中的特征確定預定義的類。