本發明公開了一種入侵檢測方法及系統，通過有標識的分組采集網絡流量數據，避免了傳統方法針對單個網絡流量數據進行采集分析導致檢測不準確的問題；將每個網絡流量數據特征的分布曲線擬合成行為分布特征曲線之后再進行攻擊行為的類型檢測識別，將多維的網絡流量數據特征的分布特征降為一維的行為分布特征，有利于網絡流量數據特征與機器學習進行更好地結合，有利于提高檢測結果的準確性。利用行為分布特征曲線的行為分布特征值進行機器學習訓練，只需要基礎的神經網絡模型即可完成訓練任務，避免了傳統方法對機器學習神經網絡的過度依賴。使得本發明提供的入侵檢測方法能夠更加簡單、高效、準確地完成入侵檢測。

技術領域

本發明涉及網絡安全入侵檢測技術領域，具體涉及一種入侵檢測方法及系統。

背景技術

根據使用的數據和檢測策略，入侵檢測可分為基于網絡的入侵檢測、基于主機的入侵檢測系統、基于特征的入侵檢測、基于異常的入侵檢測等。這些方法基于網絡流量數據、主機行為數據以及融合網絡和主機數據來識別攻擊或異常行為。

入侵檢測領域中的現有技術對機器學習模型過度依賴。通過構建越來越復雜的機器學習模型，或利用組合機器學習模型的方法追求更好的檢測性能。此外，為了能在特定數據集上得到更好的檢測性能，大量的入侵檢測方法會利用特征工程策略來選擇能夠得到更好檢測性能的特征指標。這使得很多入侵檢測方法不具備良好的適用性，且難部署、難使用。

現有的入侵檢測方法還缺少對網絡行為特征的研究，針對網絡行為特征的研究不夠深入，且無法與機器學習模型進行有效的結合。很多方法提出了一些特征研究后僅利用閾值信息進行異常檢測。同時隨著機器學習的興起，許多研究甚至放棄了對網絡行為的深入研究。

發明內容

有鑒于此，本發明提供了一種入侵檢測方法及系統，能夠簡單、高效的完成入侵檢測。

本發明采用的具體技術方案如下:

一種入侵檢測方法，包括：

分組采集網絡流量數據，獲取網絡流量數據特征；

分別計算獲得每個網絡流量數據特征的分布特征曲線；

根據所述每個網絡流量數據特征的分布特征曲線，擬合獲得行為分布特征曲線；

根據所述行為分布特征曲線，檢測判斷對應的攻擊行為的類型。

進一步地，所述分組采集網絡流量數據，包括：

以源IP和目的IP作為標識信息采集所述網絡流量數據，并設置每組所述網絡流量數據的采集下限M和采集上限N，其中，若當前行為的數據量低于所述采集下限M，則認為當前行為是無效行為，若當前行為的數據量高于所述采集上限N，則刪除第一條采集數據，加入新的采集數據，維持數據量等于所述采集上限N，其中，M和N均為整數。

進一步地，所述網絡流量數據特征包括：行為的持續時間、前后兩個方向的包數、前后兩個方向的字節數以及前后兩個方向的響應時間。

進一步地，分別計算獲得每個網絡流量數據特征的分布特征曲線，包括：

計算每個所述網絡流量數據特征的比例分布信息，獲得每個所述網絡流量數據特征的頻域信息，將所述頻域信息帶入傅里葉級數實值公式獲得每個所述網絡流量數據特征的分布特征曲線，其中，所述分布特征曲線用公式表示為：

F_d(t)＝∑x_nsin(p_n*2*π*t)

其中，x_n是網絡流量數據特征的取值，p_n為x_n的比例概率，t為數量參數。

進一步地，根據所述每個網絡流量數據特征的分布特征曲線，擬合獲得行為分布特征曲線，包括：