本發明屬于網絡入侵檢測領域�,具體來說���,特別涉及一種基于人工智能的移動網絡入侵檢測預警方法及系統�����。
背景技術:
1����、snmp(簡單網絡管理協議)在網絡管理中廣泛應用,用于監控和管理網絡設備�����;但由于其廣泛使用����,也成為內部攻擊的潛在目標,其基于udp協議�;udp與tcp相比����,是一種無連接的傳輸協議�����,缺乏tcp的一些可靠性機制(如握手�、重傳等)�����,這使得基于udp的snmp更容易受到入侵以及攻擊��,若不能及時對入侵進行檢測,可能使得被入侵網絡的信息發生泄漏�。
技術實現思路
1�、針對相關技術中的問題���,本發明提出一種基于人工智能的移動網絡入侵檢測預警方法及系統���,以克服現有相關技術所存在的上述技術問題�����。
2、為解決上述技術問題����,本發明是通過以下技術方案實現的:
3�����、本發明為一種基于人工智能的移動網絡入侵檢測預警方法,包括以下步驟:
4、s1�、設定移動網絡內部的數據包的若干種特征信息類型并對其中網絡入侵時易受影響的數值特征信息類型以及非數值特征信息類型進行篩選���;
5����、s2�、采集若干組過去發生移動網絡入侵時的入侵嚴重程度等級數據以及各種類型的數據包數值特征信息數據并構建最終網絡入侵嚴重程度等級映射方程;
6、s3�、實時采集若干組待檢測移動網絡中若干個數據包的數值特征信息數據并計算平均值以及非數值特征信息數據�����,再對未來時間點的數據包數值特征信息實時數據進行預測,得到待檢測數據包數值特征信息實時數據矩陣、待檢測數據包非數值特征信息數據集矩陣以及待檢測數據包數值特征信息未來數據矩陣����;
7���、采用最終網絡入侵嚴重程度等級映射方程對應待檢測數據包數值特征信息未來數據矩陣以及待檢測數據包數值特征信息實時數據矩陣進行映射�,得到待檢測實時入侵嚴重等級數據集以及待檢測未來入侵嚴重等級數據集;
8、s4��、根據待檢測實時入侵嚴重等級數據集以及待檢測未來入侵嚴重等級數據集對待檢測數據包非數值特征信息數據集矩陣進行聚類�;
9���、s5��、根據s4中聚類的結果對待檢測移動網絡中的用戶以及設備進行采取預防并實施防入侵措施�;
10�、本方案基于網絡中發送的數據包中易受網絡入侵影響的若干種數值特征信息類型對移動網絡是否被入侵進行檢測,通過構建最終網絡入侵嚴重程度等級映射方程,對待檢測移動網絡中數據包的數值特征信息數據對應入侵嚴重程度等級數據進行映射����,進而能夠基于映射的結果判定是否需要對待檢測移動網絡采取防入侵保護措施��;其中,通過從實時以及未來兩個角度對待檢測移動網絡中數據包的數值特征信息數據進行判定,不僅能夠及時采取入侵防護措施并對未來可能發生的入侵進行提前預知�����,進一步保證了待檢測移動網絡的安全性��。
11����、優選地����,所述s1包括以下步驟:
12、s11��、設定移動網絡內部的基于snmp協議的數據包的若干種特征信息類型��,得到初始數據包特征信息類型集���;
13���、s12、采集若干組受到網絡入侵時以及未收到網絡入侵時的內部網絡中的若干個數據包�����,得到入侵數據包集以及非入侵數據包集�;根據所述初始數據包特征信息類型集,獲取入侵數據包集以及非入侵數據包集中每個數據包的數值類型以及非數值類型的特征信息數據�����,得到入侵數據包數值特征信息矩陣�、非入侵數據包數值特征信息矩陣、入侵數據包非數值特征信息矩陣以及非入侵數據包非數值特征信息矩陣��;
14�、s13、根據所述入侵數據包數值特征信息矩陣�、非入侵數據包數值特征信息矩陣���、入侵數據包非數值特征信息矩陣以及非入侵數據包非數值特征信息矩陣�,對所述初始數據包特征信息類型集中網絡入侵時易受影響的數值特征信息類型以及非數值特征信息類型進行篩選�����,得到最終數據包數值特征信息類型集以及最終數據包非數值特征信息類型集��;
15、由于數據包的數值特征信息數據與非數值特征信息數據反映的信息維度不同�,當發生網絡入侵時�,通常使得數據包的數值特征信息數據發生變化���;因此����,通過對所述初始數據包特征信息類型集中網絡入侵時易受影響的數值特征信息類型進行篩選,為后續采集用于構建最終網絡入侵嚴重程度等級映射方程的歷史網絡入侵中數據包的數值特征信息數據提供了采集依據����;當通過數據包的數值特征信息數據判定出移動網絡發生入侵時�,需要再根據數據包的非數值特征信息數據判定出入侵的具體信息���,例如入侵時間�,入侵目標端口等。
16����、優選地�,所述s13包括以下步驟:
17���、s131�����、對所述入侵數據包數值特征信息矩陣以及非入侵數據包數值特征信息矩陣中的數值信息進行作差操作��,得到數據包數值特征信息差值矩陣;
18�����、計算所述入侵數據包非數值特征信息矩陣以及非入侵數據包非數值特征信息矩陣中每種類型的非數值特征信息出現概率�����,得到入侵非數值特征信息概率數據集以及非入侵非數值特征信息概率數據集��;將所述非入侵非數值特征信息概率數據集與入侵非數值特征信息概率數據集中對應的概率數據進行作差并取絕對值,得到數據包非數值特征信息概率差值集��;
19���、s132��、設定所述初始數據包特征信息類型集中每種數值類型的特征信息的誤差閾值,得到數值特征信息差閾值集;再設定所述初始數據包特征信息類型集中每種非數值類型的特征信息的出現概率差值閾值�����,得到非數值特征信息概率差閾值集�;
20、當所述數據包數值特征信息差值矩陣中存在數據包數值特征信息差值大于或者等于數值特征信息差閾值集中對應的數值特征信息差閾值時,將該數據包數值特征信息差值對應的數據包特征信息類型進行選??��;否則��,不需要進行選取;選取完成后�,得到最終數據包數值特征信息類型集��;
21、配合所述數據包非數值特征信息概率差值集以及非數值特征信息概率差閾值集�����,當存在數據包非數值特征信息概率差值大于或者等于對應的非數值特征信息概率差閾值時�����,將該數據包非數值特征信息概率差值對應的數據包特征信息類型進行選??��;否則�����,不需要進行選?����?��;選取完成后����,得到最終數據包非數值特征信息類型集;
22����、通過計算入侵數據包非數值特征信息矩陣以及非入侵數據包非數值特征信息矩陣中每種類型的非數值特征信息出現概率�,當出現概率較大時,則表明該種類型的非數值特征信息在發生網絡入侵時容易出現����,因此���,對這些出現概率較大的非數值特征信息進行篩選�����,提高了后續當檢測出網絡中發生入侵時,采取入侵防護措施的針對性�����;同時����,通過對初始數據包特征信息類型集中的特征信息類型進行篩選,降低了后續分析的復雜性�。
23�����、優選地���,所述s2包括以下步驟:
24���、s21���、設定若干種移動網絡入侵嚴重程度等級�����,得到入侵嚴重程度等級集����;根據所述入侵嚴重程度等級集�����、最終數據包數值特征信息類型集以及最終數據包非數值特征信息類型集��,采集若干組過去發生移動網絡入侵時的入侵嚴重程度等級數據以及各種類型的數據包數值特征信息數據,得到歷史入侵嚴重程度等級數據集a1以及歷史數值特征信息數據矩陣a2��;分別如下��,
25��、a1={a11,...,a1i,...,a1a′};
26�、其中���,a1i���、a2ij分別表示采集的第i組過去發生移動網絡入侵時的入侵嚴重程度等級數據以及第j種類型的數據包數值特征信息數據��;a′表示采集的過去發生移動網絡入侵的總組數����;表示s13中篩選的網絡入侵時易受影響的數值特征信息類型的總數量;
27、s22����、根據所述歷史入侵嚴重程度等級數據集以及歷史數值特征信息數據矩陣構建最終網絡入侵嚴重程度等級映射方程��;
28、設定若干種移動網絡入侵嚴重程度等級的方式可從如下角度進行,網絡安全參數分析:通過對網絡流量進行分析�,獲取相關的網絡安全參數�,如漏洞等級�、攻擊者的攻擊步驟、攻擊者能力和網絡防護能力等�����,這些參數可以幫助評估網絡受到惡意攻擊的程度;系統損失程度:網絡和信息系統的損失程度�,如系統中斷�、數據丟失或被竊取�、篡改等情況,系統損失程度可以劃分為不同的等級���,例如特別嚴重的系統損失、嚴重的系統損失��、較大的系統損失和較小的系統損失等����;通過設定若干種移動網絡入侵嚴重程度等級,便于對移動網絡入侵嚴重程度進行量化����,進而便于后續判定是否需要對待檢測移動網絡進行預警并采取入侵防護措施�;最終網絡入侵嚴重程度等級映射方程用于實現網絡中數據包的數值特征信息數據與對應的網絡入侵嚴重程度等級之間的映射�,為后續判定是否需要對待檢測移動網絡進行預警并采取入侵防護措施提供了判定工具;
29��、優選地��,所述s22包括以下步驟:
30、s221����、構建初始網絡入侵嚴重程度等級映射方程����;如下��,
31�、
32�、式中,為所述初始網絡入侵嚴重程度等級映射方程的因變量���,表示網絡入侵嚴重程度等級數據;ceil表示取整函數;表示所述初始網絡入侵嚴重程度等級映射方程的映射關系�,其包含了所述初始網絡入侵嚴重程度等級映射方程中各個自變量的組合關系���;為所述初始網絡入侵嚴重程度等級映射方程的自變量���,表示第i種類型的數據包數值特征信息數據���;
33��、s222、將所述歷史數值特征信息數據矩陣中每行數據分別代入初始網絡入侵嚴重程度等級映射方程中進行映射,得到歷史入侵嚴重程度等級初始映射數據集
34�����、b={b1,...,bi,...,ba′}�,bi表示將所述歷史數值特征信息數據矩陣中第i行數據代入初始網絡入侵嚴重程度等級映射方程中進行映射得到的入侵嚴重程度等級數據;計算所述歷史入侵嚴重程度等級初始映射數據集與歷史入侵嚴重程度等級數據集之間的誤差數據��,得到歷史嚴重程度等級映射誤差數據b′�����;計算公式如下,
35����、
36�、s223�����、設定網絡入侵嚴重程度等級閾值���;當所述歷史嚴重程度等級映射誤差數據大于或者等于網絡入侵嚴重程度等級閾值時�,對所述初始網絡入侵嚴重程度等級映射方程進行調整�,直到所述歷史嚴重程度等級映射誤差數據小于等于網絡入侵嚴重程度等級閾值時為止,得到最終網絡入侵嚴重程度等級映射方程����;否則��,將所述初始網絡入侵嚴重程度等級映射方程作為最終網絡入侵嚴重程度等級映射方程����;
37���、初始網絡入侵嚴重程度等級映射方程中的映射關系可通過對應的數據包的特征信息類型與入侵嚴重程度等級之間的關系特征而定���,如反比關系�、正比關系或者與多個特征信息類型的乘積成正比關系或者反比關系等;通過預先將歷史數值特征信息數據矩陣中每行數據分別代入初始網絡入侵嚴重程度等級映射方程中進行映射����,從而可以根據映射結果判定其映射的準確率,當準確率未達到要求時�,才對初始網絡入侵嚴重程度等級映射方程進行調整�����;其中,設定網絡入侵嚴重程度等級閾值��,為判定映射結果的準確率是否滿足要求提供了量化的判定依據�。
38、優選地���,s223中對所述初始網絡入侵嚴重程度等級映射方程進行調整包括以下步驟:
39、s2231���、設定所述初始網絡入侵嚴重程度等級映射方程中的若干個常數系數的取值區間,得到常數系數取值區間集分別表示所述初始網絡入侵嚴重程度等級映射方程中第i個常數系數的取值下限以及取值上限�����,表示所述初始網絡入侵嚴重程度等級映射方程中常數系數的總數量��;
40�、構建網絡入侵嚴重程度等級映射調整蜉蝣種群c={c1,...,ci,...,cc′}�����,ci表示所述網絡入侵嚴重程度等級映射調整蜉蝣種群中的第i只蜉蝣����,c′表示所述網絡入侵嚴重程度等級映射調整蜉蝣種群的規模��;設定所述網絡入侵嚴重程度等級映射調整蜉蝣種群的最大迭代次數為以及當前迭代次數為分別記為入侵調整最大迭代次數以及入侵調整當前迭代次數��;所述網絡入侵嚴重程度等級映射調整蜉蝣種群的搜索空間維度為
41、s2232�、根據所述常數系數取值區間集設定網絡入侵嚴重程度等級映射調整蜉蝣種群中每只蜉蝣的初始位置���,得到初始位置矩陣如下,
42���、
43、其中�����,表示所述網絡入侵嚴重程度等級映射調整蜉蝣種群中第j只蜉蝣的初始位置在初始網絡入侵嚴重程度等級映射方程中第i個常數系數維度上的位置分量��;計算公式如下�,
44����、
45、式中,randji表示針對生成的0到1之間的隨機數�����;
46��、s2233�、設定所述網絡入侵嚴重程度等級映射調整蜉蝣種群的適應度函數d����;如下,
47���、
48���、式中�����,d′表示將每輪迭代得到一組常數系數代入初始網絡入侵嚴重程度等級映射方程,再將s222中的歷史數值特征信息數據矩陣輸入到該網絡入侵嚴重程度等級映射方程進行映射,得到的映射數據集與歷史入侵嚴重程度等級數據集之間的誤差數據;
49、s2234、開始進行迭代�����,迭代前將所述入侵調整當前迭代次數設置為1���;首輪迭代過程中采用所述網絡入侵嚴重程度等級映射調整蜉蝣種群的適應度函數d計算初始位置矩陣中每只蜉蝣的初始位置的適應度值�,得到第一適應度值集����;將所述第一適應度值集中最大的適應度值以及對應蜉蝣的初始位置分別作為第一全局最佳適應度以及第一全局最佳位置;根據所述第一全局最佳適應度以及第一全局最佳位置對初始位置矩陣中每只蜉蝣的初始位置進行調整;調整完成后,將所述入侵調整當前迭代次數加1并進入下一輪迭代�����;
50�����、其他每輪迭代過程采用所述網絡入侵嚴重程度等級映射調整蜉蝣種群的適應度函數d計算上輪迭代過程中更新得到的網絡入侵嚴重程度等級映射調整蜉蝣種群中每只蜉蝣的位置的適應度值����,得到第二適應度值集����;將所述第二適應度值集中最大的適應度值以及對應蜉蝣的位置分別作為第二全局最佳適應度以及第二全局最佳位置;根據所述第二全局最佳適應度以及第二全局最佳位置對上輪迭代過程中更新得到的網絡入侵嚴重程度等級映射調整蜉蝣種群中每只蜉蝣的位置進行調整�����;調整完成后�,將所述入侵調整當前迭代次數加1并進入下一輪迭代;
51�、s2235���、當時,停止迭代��,得到最終全局最佳適應度以及對應的最終全局最佳位置��;否則�,繼續進行迭代�����,直到時為止�����;將所述最終全局最佳適應度作為歷史嚴重程度等級優化后映射誤差數據;
52���、當所述歷史嚴重程度等級優化后映射誤差數據小于網絡入侵嚴重程度等級閾值時,將所述最終全局最佳位置的各個位置分量代入初始網絡入侵嚴重程度等級映射方程中�����,得到最終網絡入侵嚴重程度等級映射方程���;否則����,返回s2234中繼續進行迭代,直到所述歷史嚴重程度等級優化后映射誤差數據小于網絡入侵嚴重程度等級閾值時為止����;
53�、蜉蝣優化算法通過模擬蜉蝣的交配行為,一對雌性和雄性會產生兩個后代����,其產生公式為算法提供了全局搜索能力,并結合選擇操作加快了算法的收斂速度����;其局部搜索能力很強且收斂速度非???,在解附近聚集后群體仍然能夠移動并向著正解運動,并最終收斂在正解附近�����;基于上述優點�����,本方案中采用蜉蝣優化算法對初始網絡入侵嚴重程度等級映射方程的多個常數系數進行多次迭代調整��,并以對應的網絡入侵嚴重程度等級映射方程的映射準確率作為適應度函數,因此���,隨著迭代的進行,對應的網絡入侵嚴重程度等級映射方程的映射準確率越來越高����,最終滿足映射要求���。
54��、優選地,所述s3包括以下步驟:
55�����、s31��、設定待檢測移動網絡�;配合最終數據包數值特征信息類型集以及最終數據包非數值特征信息類型集�,實時采集若干組所述待檢測移動網絡中若干個數據包的每種類型的數值特征信息數據并計算平均值以及每種類型的非數值特征信息數據��,得到待檢測數據包數值特征信息實時數據矩陣以及待檢測數據包非數值特征信息數據集矩陣如下�����,
56、
57、其中�,表示實時采集的第i組待檢測移動網絡中第j個數據包的非數值特征信息數據集���;e表示采集的實時采集待檢測移動網絡中數據包的總次數����;e′表示實時采集的第i組待檢測移動網絡中數據包的總數量���;表示中第k種類型的非數值特征信息數據�����,表示s13中篩選的網絡入侵時易受影響的非數值特征信息類型的總數量���;
58�����、s32、設定若干個未來時間點,得到未來時間點集;根據所述未來時間點集以及待檢測數據包數值特征信息實時數據矩陣對未來時間點的待檢測移動網絡中數據包數值特征信息實時數據進行預測�����,得到待檢測數據包數值特征信息未來數據矩陣�����;
59、s33�����、將所述待檢測數據包數值特征信息實時數據矩陣以及待檢測數據包數值特征信息未來數據矩陣中的每行數據分別輸入到最終網絡入侵嚴重程度等級映射方程中進行映射,得到待檢測實時入侵嚴重等級數據集以及待檢測未來入侵嚴重等級數據集���;
60、通過實時采集若干組所述待檢測移動網絡中若干個數據包的每種類型的數值特征信息數據并計算平均值�,一方面實時對待檢測移動網絡進行入侵檢測����,另一方面為后續對未來時刻的數據包的每種類型的數值特征信息數據進行預測提供了數據依據����;通過映射,獲取待檢測移動網絡的實時以及未來時刻的入侵嚴重程度等級��,為后續判定是否需要采取入侵防護措施提供了數據依據�。
61、優選地,所述s4包括以下步驟:
62����、s41����、設定入侵嚴重等級閾值���;
63�、s42、當所述待檢測實時入侵嚴重等級數據集以及待檢測未來入侵嚴重等級數據集中存在入侵嚴重等級數據大于或者等于入侵嚴重等級閾值時�����,發出預警并對所述待檢測數據包非數值特征信息數據集矩陣中每個非數值特征信息數據進行數值編碼�,得到待檢測數據包非數值特征信息編碼數據集矩陣�����;對所述待檢測數據包非數值特征信息編碼數據集矩陣進行聚類并計算聚類中心數據�;聚類并計算完成后進行解碼����,得到待檢測數據包非數值特征信息數據集分類矩陣以及待檢測數據包非數值特征信息聚類中心數據矩陣如下
64、
65�����、其中��,表示聚類得到的第i組分類的第j個數據包的非數值特征信息數據集���,表示聚類得到的第i組分類的數據包的總數量��;表示中第k種類型的非數值特征信息數據,f表示聚類得到的分類的總數量����;表示聚類得到的第i組分類的聚類中心數據中第k種類型的非數值特征信息數據����;
66����、否則,不需要對所述待檢測數據包非數值特征信息數據集矩陣中每個非數值特征信息數據進行數值編碼并聚類�����;
67���、通過對待檢測數據包非數值特征信息編碼數據集矩陣進行聚類并計算聚類中心數據�����,當其中類別中的非數值特征信息數據較多的,意味著該類別的非數值特征信息數據代表待檢測移動網絡中平時數據包的大多數的流動信息����,從而當待檢測移動網絡發生入侵時��,優先對這些流動中相關設備以及用戶進行保護和防范�,從而可以最大程度的減少網絡入侵帶來的損失�。
68、優選地�����,所述s5包括以下步驟:
69��、s51�、根據待檢測數據包非數值特征信息聚類中心數據矩陣�����,將所述待檢測數據包非數值特征信息數據集分類矩陣中對應數據包數量最多的分類對應的聚類中心數據作為預防數據包非數值特征信息數據集����;
70��、s52�����、根據所述預防數據包非數值特征信息數據集對待檢測移動網絡中的用戶以及設備優先采取預防并實施防入侵措施����。
71、一種基于人工智能的移動網絡入侵檢測預警方法及系統���,包括數據包初始特征類型設定模塊、數據包特征信息篩選模塊�、歷史網絡入侵數據包特征數據采集模塊���、網絡入侵嚴重程度等級映射方程構建模塊�、待檢測移動網絡數據包實時特征數據采集模塊���、待檢測數值特征數據預測模塊�、映射模塊、聚類判定模塊以及入侵預防模塊。
72����、本發明具有以下有益效果:
73����、1.本發明中通過構建最終網絡入侵嚴重程度等級映射方程����,對待檢測移動網絡中數據包的數值特征信息數據對應入侵嚴重程度等級數據進行映射,通過從實時以及未來兩個角度對待檢測移動網絡中數據包的數值特征信息數據進行判定��,不僅能夠及時采取入侵防護措施并對未來可能發生的入侵進行提前預知�����,進一步保證了待檢測移動網絡的安全性���。
74、2.本發明中通過對所述初始數據包特征信息類型集中網絡入侵時易受影響的數值特征信息類型進行篩選�����,為后續采集用于構建最終網絡入侵嚴重程度等級映射方程的歷史網絡入侵中數據包的數值特征信息數據提供了采集依據�。
75、3.本發明中通過采用蜉蝣優化算法對初始網絡入侵嚴重程度等級映射方程的多個常數系數進行多次迭代調整�����,并以對應的網絡入侵嚴重程度等級映射方程的映射準確率作為適應度函數����,因此,隨著迭代的進行����,對應的網絡入侵嚴重程度等級映射方程的映射準確率越來越高����,最終滿足映射要求。
76�����、4.本發明中通過對待檢測數據包非數值特征信息編碼數據集矩陣進行聚類并計算聚類中心數據���,從而當待檢測移動網絡發生入侵時�,優先對這些流動中相關設備以及用戶進行保護和防范,從而可以最大程度的減少網絡入侵帶來的損失��。
77�、當然,實施本發明的任一產品并不一定需要同時達到以上所述的所有優點���。