本發明提供了一種入侵檢測方法，采用了聚類分析和SVM聯用的技術，在訓練支持向量機時，先將大量數據進行分類，生成聚類之后的多個數據類，其中每個數據類具有相似的特征，然后再針對每一個聚類之后的數據類生成一個對應的支持向量機，這樣的設計防止將非常不同的兩種行為作為訓練樣本來訓練SVM，造成SVM出現過擬合的問題；同時，利用歷史經驗設計了聚類效果評判標準，防止使用簡單的試錯法造成的低效率問題。

技術領域

本發明涉及網絡安全領域，特別涉及一種入侵檢測方法及入侵檢測檢測裝置。

背景技術

隨著Intcmet在企業應用的不斷深化，利用建立在Intemet架構的應用系統平臺來實現電子商務、在線交易、網上銀行、業務集團化管理等應用已經成為企業發展的重要方向。與此同時，安全問題導致的經濟損失也不斷涌現。在網絡安全問題日益突出的今天，如何迅速、有效地發現各類新的入侵行為，對于保證系統和網絡資源的安全顯得十分重要。入侵檢測技術(Intrusion?Detection，ID)是繼“防火墻”、“數據加密”等傳統安全保護措施后新一代安全保障技術，是網絡安全的核心技術之一，它擴展了系統管理員的安全管理能力，提高了系統安全基礎結構的完整性，被認為是防火墻之后的第二道安全閘門。因此，研究入侵檢測系統具有極其重要的意義。

隨著大數據技術以及機器學習技術的迅速發展，目前現有技術提出了許多基于聚類分析、SVM、決策樹或者神經網絡算法的入侵檢測技術，這些入侵檢測技術在現有技術中設計的特定測試環境下一般都能夠取得比較好的效果，但是一旦將這些入侵檢測技術用于日常網絡安全，那么這些技術一般存在以下缺陷：1、采用的基礎算法單一(也即單一的使用聚類算法、神經網絡算法等等)，而眾所周知的是，每一種基礎算法都有其自身的適用范圍，單一的使用一種基礎算法，很容易出現待測試行為超出適用范圍的情況，一旦出現超出適用范圍的情況，就意味著判斷結果極易出現錯誤。2、對于聚類算法而言，缺乏一種比較好的選擇聚類個數的方法，一般而言，對于選擇聚類個數而言，現有技術的方法就是最普通的試錯法，但是這種方法效率低，并且實際上沒有有效利用歷史經驗。

公開于該背景技術部分的信息僅僅旨在增加對本發明的總體背景的理解，而不應當被視為承認或以任何形式暗示該信息構成已為本領域一般技術人員所公知的現有技術。

發明內容

本發明的目的在于提供一種入侵檢測方法及入侵檢測檢測裝置，從而克服現有技術的缺點。

為實現上述目的，本發明提供了一種入侵檢測方法，包括：獲取網絡中的數據流；從所獲取的數據流中獲得網絡連接行為；提取網絡連接行為的特征信息；將所提取的特征信息進行數據預處理，并生成訓練數據集和待預測數據集；基于訓練數據集對支持向量機進行訓練，其中，對支持向量機進行訓練包括如下步驟：對訓練數據集進行聚類分析，得到多個數據類，并且得到多個數據類的聚類中心以及成員數據；基于多個數據類的成員數據，分別訓練對應的多個支持向量機；判斷待預測數據集中的第一向量是否屬于多個數據類中的一個數據類，如果第一向量屬于多個數據類中的第一數據類，則執行以下操作：將第一向量發送給對應于第一數據類的第一支持向量機；當第一支持向量機判斷第一向量對應的行為是入侵行為時，執行第一安全動作。

優選地，上述技術方案中，如果第一向量不屬于多個數據類中的任何一個數據類，則在不將第一向量發送給任何支持向量機的情況下，直接執行第二安全動作。

優選地，上述技術方案中，第一安全動作包括斷開網絡連接、報警、限制接收數據分組中的一種或多種動作，并且第二安全動作只包括報警動作。

優選地，上述技術方案中，對訓練數據集進行聚類分析進一步包括：統計訓練數據集中的向量個數；基于向量個數生成第一數據類個數；將訓練數據集按照第一數據類個數進行聚類；計算訓練數據集中的每一個向量到每一個向量所屬的數據類的聚類中心的距離；對距離求和，得到距離和；以及基于距離和，確定數據類個數是否正確。

優選地，上述技術方案中，第一數據類個數基于以下公式生成：