买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：雅安数字经济运营有限公司

摘要：本发明属于网络安全技术领域，更具体地说，涉及一种计算机网络安全入侵检测方法，本发明对用户的行为特征和事件序列数据进行关联性分析，识别出用户行为模式的变化和潜在的关联性；通过关联性分析，可以发现单个行为特征之间的复杂关系，识别出看似正常的单独行为特征，组合起来的异常行为模式；通过行为模式的变化和潜在的关联性，得到异常事件序列，在基于用户行为特征、时间序列以及异常事件序列进行异常检测，得到具体的异常行为，使得本发明能够有效识别组合异常行为，提高入侵检测系统的检测准确性和可靠性，解决现有单一维度检测方法漏检率高的问题。

主权项：1.一种计算机网络安全入侵检测方法，其特征在于，包括以下步骤：步骤1：采集网络流量日志、系统日志、安全设备日志以及应用日志，并对采集的日志数据进行预处理；步骤2：从原始数据中提取用户的行为特征，并将提取到的行为特征存储到特征库中；步骤3：将提取的用户行为特征按照时间顺序组织，构建时间序列；步骤4：对用户的行为特征和时间序列数据进行关联性分析，识别出用户行为模式的变化和潜在的关联性，得到异常事件序列；步骤4.1：利用滑动窗口技术对时间序列进行平滑处理，消除噪声，得到第一时间序列；步骤4.2：采用序列模式挖掘算法在第一时间序列中发现频繁的行为模型，通过统计行为模式的出现频率，识别用户的频繁行为模式，得到行为模式的出现频率以及频繁行为模式；所述步骤4.2包括以下步骤：初始阶段：基于步骤4.1得到所有用户的第一时间序列，得到序列数据库S；并将频繁序列集合F初始化为空；初始化候选序列集合C，包含所有单个时间的序列集e，其中e是行为特征集合中的元素；频繁序列生成：对于每个候选序列c∈C，计算其在序列数据库S中的支持度： 式中：supc表示序列c的支持度，表示包含c的序列数，|s|表示序列数据库的总序列数；若supc≥minsup，则将c加入频繁序列集合F，并扩展c生成新的候选序列；其中minsup表示阈值，用于确定一个序列是否被认为是频繁序列；序列扩展：对于每个频繁序列f∈F，将其扩展为更长的序列Cnew：Cnew＝{f·e|e∈Σ}；式中：Σ表示行为特征集合，f·e表示将e添加到f的末尾；将扩展后的序列加入候选序列集合C，并重复频繁序列生成步骤，直到没有新的频繁序列生成；最终得到的频繁序列集合F中包含所有满足最小支持度阈值的频繁行为模式；行为模式的出现频率：对于每个频繁行为模式p∈F，计算其出现频率： 式中：freqp表示行为模式p的出现频率；表示包含行为模式p的序列数；|S|表示序列数据库中总序列数；基于计算的频繁行为模式及其出现频率，识别出用户的常见行为模式；步骤4.3：基于行为模式的出现频率以及常见的行为模式，利用关联规则挖掘算法分析不同行为特征之间的关联性，并生成关联规则集合，确定行为特征之间的潜在关系；步骤4.4：基于常见的行为模式以及第一时间序列，对比当前时间窗口内的行为模式与历史行为模式，检测行为模式的变化，并标记显著变化的行为模式；步骤4.5：若检测的行为模式违反所述关联规则集合中的任意关联规则，则确定该行为模式异常；将显著变化且违反关联规则的行为模式按事件顺序组织起来，构建异常事件序列；步骤5：基于用户的行为特征、时间序列以及异常事件序列的结果，进行异常检测，得到具体的异常行为。

全文数据：

权利要求：

百度查询： 雅安数字经济运营有限公司 一种计算机网络安全入侵检测方法