本公开涉及计算机,尤其涉及一种检测网络入侵的方法、系统、存储介质及电子设备。
背景技术:
1、在信息时代,网络的安全成为了研究热点之一。入侵检测系统以其作为一种主动的安全防护技术,提供对内部攻击、外部攻击和误操作的实时保护,能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务。另外,数据挖掘技术可以自动地在大量数据中寻找规则性信息,能够根据规则性信息对未来的趋势和行为进行预测。
2、因此将数据挖掘应用到的入侵检测中,可以提高入侵检测的自动化,但数据挖掘的计算量大,应用到网络入侵系统中存在计算效率低的问题。
技术实现思路
1、有鉴于此,本公开的目的在于提出一种检测网络入侵的方法、系统、存储介质及电子设备,解决了检测网络入侵系统中计算效率低的问题。
2、为了实现上述公开目的之一,本公开提供了一种检测网络入侵的方法,所述方法包括:
3、获取已被确认为安全的历史数据;
4、分析所述历史数据,得到所述历史数据的安全规则;
5、获取实时网络数据;
6、分析所述实时网络数据,得到所述实时网络数据的实时频繁项集;
7、根据所述实时频繁项集生成所述实时网络数据之间的关联规则;
8、匹配所述安全规则和所述关联规则;
9、响应于所述关联规则和所述安全规则匹配成功,则判定不存在网络入侵;
10、响应于所述关联规则和所述安全规则匹配失败,则判定存在网络入侵。
11、作为本公开一实施方式的进一步改进,所述分析所述实时网络数据,得到所述实时网络数据的实时频繁项集,包括:
12、将所述实时网络数据映射为网络数据矩阵,所述网络数据矩阵的每行向量对应一个所述网络数据;
13、对所述网络数据矩阵进行扫描,生成实时频繁项集。
14、作为本公开一实施方式的进一步改进,所述对所述网络数据矩阵进行扫描,生成实时频繁项集,包括:
15、计算所述网络数据矩阵中各列的内积,得到内积值;
16、设定所述实时频繁项集的最小支持度;
17、在所述网络数据矩阵的增加一行扫描位;
18、响应于所述内积值小于所述最小支持度的列,将列对应的扫描位标注为排除位;
19、依次计算每个行向量去除排除位对应的值后,剩余项中内积值相等的计数值,对应的计数值大于等于最小支持度的行向量为确定行;
20、移除所述计数值小于最小支持度的行,剩余行为确定行;
21、在确定行中选取确定项形成所述实时频繁项集。
22、作为本公开一实施方式的进一步改进,所述依次计算每个行向量去除排除位对应的值后,剩余项中内积值相等的计数值之后,还包括:
23、响应于当前行的所述计数值大于等于最小支持度,若当前行中包含所述确定项的个数大于目标行中包含所述确定项的个数,则移除所述目标行;所述网络数据矩阵包括所述目标行和所述当前行。
24、作为本公开一实施方式的进一步改进,所述根据所述实时频繁项集生成所述关联规则,包括:
25、设定所述实时频繁项集的最小置信度;
26、在所述实时频繁项集中,选取最后项为导出项,剩余的项为条件项,所述导出项和多个所述条件项导出对应形成多个预关联规则;
27、计算所述预关联规则的置信度,当所述置信度大于所述最小置信度时,则所述置信度对应的预关联规则为所述关联规则。
28、作为本公开一实施方式的进一步改进,所述分析所述历史数据,得到所述历史数据的安全规则,还包括:
29、将所述历史数据映射为历史数据矩阵;
30、对所述历史数据矩阵进行扫描,生成历史频繁项集;
31、根据历史频繁项集,得到所述安全规则。
32、作为本公开一实施方式的进一步改进,所述确认所述关联规则符合所述安全规则的要求,则所述实时网络数据为安全数据之后,包括:
33、将所述安全数据录入至历史数据库中。
34、基于相同的发明构思,本公开还提供了一种检测网络入侵的系统,包括:
35、第一获取模块,用于获取已被确认为安全的历史数据;
36、第一分析模块,用于分析所述历史数据,得到所述历史数据的安全规则;
37、第二获取模块,用于获取实时网络数据;
38、第二分析模块,用于分析所述实时网络数据,得到所述实时网络数据的实时频繁项集;
39、生成模块,用于根据所述实时频繁项集得到所述实时网络数据之间的关联规则;
40、匹配模块,用于匹配所述安全规则和所述关联规则;
41、第一响应模块,用于响应于所述关联规则和所述安全规则匹配成功,则判定存在网络入侵;
42、第二响应模块,用于响应于所述关联规则和所述安全规则匹配失败,则判定不存在网络入侵。
43、基于同样的发明构思,本公开还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行上述任一所述的检测网络入侵的方法。
44、基于同样的发明构思,本公开还提供了一种电子设备,包括:处理器和存储器;所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如上述任一所述检测网络入侵的方法的步骤。
45、相对于现有技术,本发明的技术效果在于:本公开首先利用历史数据,挖掘安全规则;通过将网络数据分析形成实时频繁项集,得到网络数据的关联规则,通过挖掘实现自动且实时地关联规则更新,实时性和适应性较好;利用实时频繁项集提高对网络数据的运算速度。最后利用安全规则和关联规则的匹配,判断网络数据是否安全,降低检验网络入侵的误检率和漏检率,提供更高的数据分析处理能力。
1.一种检测网络入侵的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的检测网络入侵的方法,其特征在于,所述分析所述实时网络数据,得到所述实时网络数据的实时频繁项集,包括:
3.根据权利要求2所述的检测网络入侵的方法,其特征在于,所述对所述网络数据矩阵进行扫描,生成实时频繁项集,包括:
4.根据权利要求3所述的检测网络入侵的方法,其特征在于,所述依次计算每个行向量去除排除位对应的值后,剩余项中内积值相等的计数值之后,还包括:
5.根据权利要求1所述的检测网络入侵的方法,其特征在于,所述根据所述实时频繁项集生成所述关联规则,包括:
6.根据权利要求1所述的检测网络入侵的方法,其特征在于,所述分析所述历史数据,得到所述历史数据的安全规则,还包括:
7.根据权利要求1所述的检测网络入侵的方法,其特征在于,所述确认所述关联规则符合所述安全规则的要求,则所述实时网络数据为安全数据之后,包括:
8.一种检测网络入侵的系统,应用于如权利要求1-7任一项所述的检测网络入侵方法,其特征在于,所述系统包括:
9.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行权利要求1至7任一所述的检测网络入侵的方法。
10.一种电子设备,其特征在于,包括:处理器和存储器;
