本发明提供了一种基于上下文验证的地震行业网混合入侵信息识别方法,针对现有方法存在的信息识别速度慢、误检率高、漏检率高等问题,通过对网络混合信号进行去噪处理,验证得到的网络混合信号的上下文并识别网络混合入侵信息,实现快速准确地识别地震行业网络混合入侵信息的功能,具有识别速度快、检测准确率高、误检率低、漏检率低的特点。
1.一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:包括以下步骤:S1:对从地震行业网边际路由器以及流控服务器获取的网络混合信号进行去噪处理;
S2:验证步骤S1得到的网络混合信号的上下文并识别网络混合入侵信息,包括步骤S21、S22、S23、S24:
S21:将去噪后的网络混合信号作为入侵信息识别的样本,通过卡方检验得到网络混合信号的属性的卡方检验值;
S22:计算网络混合信号的属性的卡方检验值的总检测结果;
S23:根据总检测结果的大小判断网络混合信号的属性的卡方检验值的大小,初步定位网络混合入侵信息;
S24:通过朴素贝叶斯分类模型对初步定位的网络混合入侵信息进行快速识别。
2.根据权利要求1所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S1中,具体步骤为:S11:对从地震行业网边际路由器以及流控服务器获取的网络混合信号进行离散采样处理,得到离散信号;
S13:比较小波系数与临界阈值的大小,若小波系数小于临界阈值则去除这部分小波系数;若小波系数大于等于临界阈值则保留这部分小波系数并利用递归的小波系数对小波进行重构,实现对网络混合信号的去噪处理。
3.根据权利要求2所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S11具体为:设k为时域变量,j’为频域变量,Z为汉明窗函数分布,j′,k∈Z,原始信号为Sf′(0,k),噪声信号为Nf′(j′,k),Nf′(j′,k)的方差为σ2,Nf′(j′,k)服从于值域N(0,σ2),则网络混合信号f′(j′,k)的表达式为:f′(j′,k)=Sf′(0,k)+Nf′(j′,k),
对网络混合信号f′(j′,k)做离散采样处理后得到N点离散信号f′(n′),其中n ′= 0,
4.根据权利要求3所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S12具体为:设t为时域变量,小波函数为ψ(t),小波系数为Wf′(j′,k),则小波系数Wf′(j′,k)的表达式为:设h为与小波函数ψ(t)对应的低通滤波器,g为与小波函数ψ(t)对应的高通滤波器,Sf′(j′,k)表示尺度系数,则时域变量不变、在频域范围内进行j′次递归的小波变换为:Sf′(j′+1,k)=Sf′(j′,k)*h(j′,k),
Wf′(j′+1,k)=Sf′(j′,k)*g(j′,k),
设 为重构的低通滤波器,为重构的高通滤波器,则时域变量不变、在频域范围内进行第j′次递归的尺度系数Sf′(j′,k)的重构为:
5.根据权利要求4所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S13具体为:设小波系数wj′,k=Wf′(j′,k),小波系数wj′,k由u′j′,k和v′j′,k组成,u′j′,k为原始信号Sf′(0,k)对应的小波系数Ws(j′,k),v′j′,k为噪声信号Nf′(j′,k)对应的小波系数Wn(j′,k),设T为临界阈值;若wj′,k<T,wj′,k是由噪声引起的,则去除这部分小波系数;若wj′,k>T,wj′,k是由信号引起的,则保留这部分小波系数,利用递归的小波系数对小波进行重构,实现对网络混合信号的去噪处理。
6.根据权利要求1所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S21具体为:设LP为长期简档,用于描述网络混合信号中与异常情况相区别的历史行为;SP为短期简档,用于描述每次监测网络混合信号时的观测值;设γl′为长期简档LP的更新周期,γs″为短期简档SP的更新周期,M′i″和M′k″为本次监测网络混合信号时的抽样值,则对长期简档LP 进行i″次递归后的更新操作公式为:LPi″+1=γ′lLPi″+M′i″,
设li″j″为LP矩阵中的元素,s′i″j″为SP矩阵中的元素,i″为LP矩阵和SP矩阵的行数,j″为LP矩阵和SP矩阵的列数,n″、h′为抽样样本的时间长度,则每次更新SP时计算LP与SP的偏差,即第i″个属性的卡方检验值Qi″为:
7.根据权利要求6所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S22具体为:检测属性的数量为k”,其中k”=1,2,…,m”,则网络混合信号的属性的卡方检验总检测结果为:
8.根据权利要求7所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S23具体为:总检测结果Score的值越大,则网络混合信号的属性的卡方检验值越大,即网络混合信号出现异常的几率越大,初步定位网络混合入侵信息。
9.根据权利要求8所述的一种基于上下文验证的地震行业网混合入侵信息识别方法,其特征在于:所述的步骤S24具体为:设X″为样本集,用于存放步骤S23得到的网络混合入侵信息,γ为X″的更新周期;V″为样本类别集合,样本 由属性值b1,b2,…,bn″构成,样本x″属于样本类别v″∈V″的概率为P(v″j″|b1,b2,…,bn″),对样本x″应用朴素贝叶斯分类模型得到目标值V″map:设样本的属性相互独立,则线性合并样本得到:
一种基于上下文验证的地震行业网混合入侵信息识别方法
技术领域
[0001] 本发明属于网络混合入侵信息识别技术领域,具体涉及一种基于上下文验证的地震行业网混合入侵信息识别方法。
背景技术
[0002] 近年来,计算机网络技术飞速发展,网络信息的安全问题开始受到人们的关注,在网络混合模式下,网络信息更容易遭受到病毒的入侵;新型混合网络病毒的入侵和传播检测困难,目前采用的网络混合入侵信息识别算法,无法有效识别出新型混合网络病毒,如何建立高效的网络混合入侵信息识别方法,是当前研究的重点问题。地震前兆是与地震孕育和发生相关联的异常现象,准确发现地震异常现象和提前识别地震异常现象可以将地震的灾害降到最低。为了避免由于网络混合入侵造成的地震危害发现延迟、失误等问题,需要研究出一种地震行业网络混合入侵信息的快速识别方法。
[0003] 封化民等在《基于SMOTE和GBDT的网络入侵检测方法研究》中提出一种基于SMOTE和GBDT的网络混合入侵信息识别方法,该方法在处理网络混合信息时,利用SMOTE技术提高少数类别的样本数量,并对多数类别的样本进行降采样处理,在数据集上训练GBDT分类器,实现对地震行业网络混合入侵信息的识别;桑园在《基于高阶累积量配准的网络异常流量识别算法》中提出一种基于高阶累积量配准的网络混合入侵信息识别方法,该方法需要创建网络异常信号统计模型,根据创建的模型对高阶累积量检测原理进行分析,采用自适应陷波器级联的方式干扰抑制网络混合信号,利用高阶累积量配准的手段实现对地震行业网络混合入侵信息的识别;牛国庆等在《基于神经网络的数模混合信号调制识别算法》中提出一种基于神经网络的网络混合入侵信息识别方法,该方法通过简化识别特征参数的方式降低参数对噪声干扰的敏感程度,将最佳隐含层节点数量与判决树相结合,实现对地震行业网络混合入侵信息的识别。但上述方法均存在网络混合入侵信息识别速度慢、误检率高、漏检率高等问题。
发明内容
[0004] 本发明要解决的技术问题是:提供一种基于上下文验证的地震行业网混合入侵信息识别方法,用于快速、准确地识别网络混合入侵信息。
[0005] 本发明为解决上述技术问题所采取的技术方案为:一种基于上下文验证的地震行业网混合入侵信息识别方法,包括以下步骤:
[0006] S1:对从地震行业网边际路由器以及流控服务器获取的网络混合信号进行去噪处理;
[0007] S2:验证步骤S1得到的网络混合信号的上下文并识别网络混合入侵信息,包括步骤S21、S22、S23、S24:
[0008] S21:将去噪后的网络混合信号作为入侵信息识别的样本,通过卡方检验得到网络混合信号的属性的卡方检验值;
[0009] S22:计算网络混合信号的属性的卡方检验值的总检测结果;
[0010] S23:根据总检测结果的大小判断网络混合信号的属性的卡方检验值的大小,初步定位网络混合入侵信息;
[0011] S24:通过朴素贝叶斯分类模型对初步定位的网络混合入侵信息进行快速识别。
[0012] 按上述方案,所述的步骤S1中,具体步骤为:
[0013] S11:对从地震行业网边际路由器以及流控服务器获取的网络混合信号进行离散采样处理,得到离散信号;
[0014] S12:对离散信号进行小波变换,得到小波系数;
[0015] S13:比较小波系数与临界阈值的大小,若小波系数小于临界阈值则去除这部分小波系数;若小波系数大于等于临界阈值则保留这部分小波系数并利用递归的小波系数对小波进行重构,实现对网络混合信号的去噪处理。
[0016] 进一步的,所述的步骤S11具体为:设k为时域变量,j’为频域变量,Z为汉明窗函数分布,j′,k∈Z,原始信号为Sf′(0,k),噪声信号为Nf′(j′,k),Nf′(j′,k)的方差为σ2,Nf′(j′,k)服从于值域N(0,σ2),则网络混合信号f′(j′,k)的表达式为:
[0017] f′(j′,k)=Sf′(0,k)+Nf′(j′,k),
[0018] 对网络混合信号f′(j′,k)做离散采样处理后得到N点离散信号f′(n′),其中n′=0,1,2,…,N-1。
[0019] 进一步的,所述的步骤S12具体为:设t为时域变量,小波函数为ψ(t),小波系数为Wf′(j′,k),则小波系数Wf′(j′,k)的表达式为:
[0020]
[0021] 设h为与小波函数ψ(t)对应的低通滤波器,g为与小波函数ψ(t)对应的高通滤波器,Sf′(j′,k)表示尺度系数,则时域变量不变、在频域范围内进行j′次递归的小波变换为:
[0022] Sf′(j′+1,k)=Sf′(j′,k)*h(j′,k),
[0023] Wf′(j′+1,k)=Sf′(j′,k)*g(j′,k),
[0024] 设 为重构的低通滤波器,为重构的高通滤波器,则时域变量不变、在频域范围内进行第j′次递归的尺度系数Sf′(j′,k)的重构为:
[0025]
[0026] 进一步的,所述的步骤S13具体为:设小波系数wj′,k=Wf′(j′,k),小波系数wj′,k由u′j′,k和v′j′,k组成,u′j′,k为原始信号Sf′(0,k)对应的小波系数Ws(j′,k),v′j′,k为噪声信号Nf′(j′,k)对应的小波系数Wn(j′,k),设T为临界阈值;若wj′,k<T,wj′,k是由噪声引起的,则去除这部分小波系数;若wj′,k>T,wj′,k是由信号引起的,则保留这部分小波系数,利用递归的小波系数对小波进行重构,实现对网络混合信号的去噪处理。
[0027] 按上述方案,所述的步骤S21具体为:设LP为长期简档,用于描述网络混合信号中与异常情况相区别的历史行为;SP为短期简档,用于描述每次监测网络混合信号时的观测值;设γ′l为长期简档LP的更新周期,γs″为短期简档SP的更新周期,M′i″和M″k′为本次监测网络混合信号时的抽样值,则对长期简档LP进行i″次递归后的更新操作公式为:
[0028] LPi″+1=γ′lLPi″+M′i″,
[0029] 对短期简档SP进行k′次递归后的更新操作公式为:
[0030] SPk′+1=γs″SPk′+M″k′,
[0031] 设li″j″为LP矩阵中的元素,s″i″j″为SP矩阵中的元素,i″为LP矩阵和SP矩阵的行数,j″为LP矩阵和SP矩阵的列数,n″、h′为抽样样本的时间长度,则每次更新SP时计算LP与SP的偏差,即第i″个属性的卡方检验值Qi″为:
[0032]
[0033] 进一步的,所述的步骤S22具体为:检测属性的数量为k”,其中k”=1,2,…,m”,则网络混合信号的属性的卡方检验总检测结果为:
[0034]
[0035] 进一步的,所述的步骤S23具体为:总检测结果Score的值越大,则网络混合信号的属性的卡方检验值越大,即网络混合信号出现异常的几率越大,初步定位网络混合入侵信息。
[0036] 进一步的,所述的步骤S24具体为:设X″为样本集,用于存放步骤S23得到的网络混合入侵信息,γ为X″的更新周期;V″为样本类别集合,样本 由属性值b1,b2,…,bn″构成,样本x″属于样本类别v″∈V″的概率为P(v″j′|b1,b2,…,bn″),对样本x″应用朴素贝叶斯分类模型得到目标值V″map:
[0037]
[0038] 设样本的属性相互独立,则线性合并样本得到:
[0039]
[0040] 实现对网络混合入侵信息的快速识别。
[0041] 本发明的有益效果为:
[0042] 1.本发明的一种基于上下文验证的地震行业网混合入侵信息识别方法通过对网络混合信号进行去噪处理,验证得到的网络混合信号的上下文实现对地震行业网络混合入侵信息的识别,并且具有识别速度快、检测准确率高的特点。
[0043] 2.本发明对地震行业网络混合入侵信息的识别误检率低。
[0044] 3.本发明对地震行业网络混合入侵信息的识别漏检率低。
附图说明
[0045] 图1是本发明实施例的流程图。
[0046] 图2是本发明实施例与现有方法的效果对比图。
具体实施方式
[0047] 下面结合附图和具体实施方式对本发明作进一步详细的说明。
[0048] 参见图1,本发明的一种基于上下文验证的地震行业网混合入侵信息识别方法,利用离散采样处理的方式处理地震行业网络混合信号,对得到的离散信号进行小波变换,当小波系数小于临界阈值时,将引起噪声的信号进行去除,反之直接保留这部分小波系数,实现对地震行业网络混合信息的去噪处理;将上述处理后得到的地震行业网络混合信号作为入侵信息识别的样本,利用卡方(Chi-square)检验判断长、短期简档之间的偏差,计算所有属性的卡方检验值的总检测结果,根据结果的大小判断长、短期简档之间的差异,完成对入侵信息的初步定位,通过朴素贝叶斯分类模型实现对地震行业网络混合入侵信息的快速识别。包括以下步骤:
[0049] S1:对从地震行业网边际路由器以及流控服务器获取的地震行业网络混合信号进行去噪处理用于更好的识别出地震行业网络混合信息中的入侵信息:
[0050] S11:对从地震行业网边际路由器以及流控服务器获取的地震行业网络混合信号进行离散采样处理,具体为:在地震行业网络混合信号中,设k为时域变量,j’为频域变量,Z为汉明窗函数分布,j′,k∈Z,原始信号为Sf′(0,k),噪声信号为Nf′(j′,k),Nf′(j′,k)的方2 2
差为σ,Nf′(j′,k)服从于值域N(0,σ),则地震行业网络混合信号f′(j′,k)的表达式为:
[0051] f′(j′,k)=Sf′(0,k)+Nf′(j′,k),
[0052] 对地震行业网络混合信号f′(j′,k)做离散采样处理后得到N点离散信号f′(n′),其中n′=0,1,2,…,N-1。
[0053] S12:对离散信号进行小波变换,具体为:设t为时域变量,小波函数为ψ(t),小波系数为Wf′(j′,k),则小波系数Wf′(j′,k)的表达式为:
[0054]
[0055] 设h为与小波函数ψ(t)对应的低通滤波器,g为与小波函数ψ(t)对应的高通滤波器,Sf′(j′,k)表示尺度系数,则时域变量不变、在频域范围内进行j′次递归的小波变换为:
[0056] Sf′(j′+1,k)=Sf′(j′,k)*h(j′,k),
[0057] Wf′(j′+1,k)=Sf′(j′,k)*g(j′,k),
[0058] 设 为重构的低通滤波器, 为重构的高通滤波器,则时域变量不变、在频域范围内进行第j′次递归的尺度系数Sf′(j′,k)的重构为:
[0059]
[0060] S13:比较小波系数与临界阈值的大小,若小波系数小于临界阈值则去除这部分小波系数;若小波系数大于等于临界阈值则保留这部分小波系数并利用递归的小波系数对小波进行重构,实现对网络混合信号的去噪处理,具体为:设小波系数wj′,k=Wf′(j′,k),小波系数wj′,k由u′j′,k和v′j′,k组成,u′j′,k为原始信号Sf′(0,k)对应的小波系数Ws(j′,k),v′j′,k为噪声信号Nf′(j′,k)对应的小波系数Wn(j′,k),设T为临界阈值;若wj′,k<T,wj′,k是由噪声引起的,则去除引起噪声的信号;若wj′,k>T,wj′,k是由信号引起的,则保留这部分小波系数,利用递归的小波系数对小波进行重构,实现对地震行业网络混合信号的去噪处理。
[0061] S2:验证步骤S1得到的地震行业网络混合信号的上下文并识别地震行业网络混合入侵信息:
[0062] S21:将去噪后的地震行业网络混合信号作为入侵信息识别的样本,通过卡方检验得到到网络混合信号的属性的卡方检验值,具体为:设LP为长期简档,用于描述地震行业网络混合信号中与异常情况相区别的历史行为;SP为短期简档,用于描述每次监测地震行业网络混合信号时的观测值;设γ′l为长期简档LP的更新周期,γs″为短期简档SP的更新周期,M″i″和M″k′为本次监测地震行业网络混合信号时的抽样值,则对长期简档LP进行i″次递归后的更新操作公式为:
[0063] LPi″+1=γ′lLPi″+M′i″,
[0064] 对短期简档SP进行k′次递归后的更新操作公式为:
[0065] SPk′+1=γs″SPk′+M″k′,
[0066] 设li″j″为LP矩阵中的元素,s″i″j″为SP矩阵中的元素,i″为LP矩阵和SP矩阵的行数,j″为LP矩阵和SP矩阵的列数,n″、h′为抽样样本的时间长度,则每次更新SP时计算LP与SP的偏差,即第i″个属性的卡方检验值Qi″为:
[0067]
[0068] S22:计算地震行业网络混合信号的属性的卡方检验值的总检测结果,具体为:检测属性的数量为k”,其中k”=1,2,…,m”,则地震行业网络混合信号的属性的卡方检验总检测结果为:
[0069]
[0070] S23:根据总检测结果Score的值越大,则网络混合信号的属性的卡方检验值越大,即地震行业网络混合信号出现异常的几率越大,初步定位地震行业网络混合入侵信息。
[0071] S24:通过朴素贝叶斯分类模型对初步定位的地震行业网络混合入侵信息进行快速识别,具体为:设X″为样本集,用于存放步骤S23得到的网络混合入侵信息,γ为X″的更新周期;V″为样本类别集合,样本 由属性值b1,b2,…,bn″构成,样本x″属于样本类别v″∈V″的概率为P(v″j″|b1,b2,…,bn″),对样本x″应用朴素贝叶斯分类模型得到目标值V″map:
[0072]
[0073] 设样本的属性相互独立,则线性合并样本得到:
[0074]
[0075] 实现对地震行业网络混合入侵信息的快速识别。
[0076] 为了验证本发明实施例的有效性,选取一段地震行业网络混合信息作为实验样本,从不同角度将封化民等在《基于SMOTE和GBDT的网络入侵检测方法研究》中提出一种基于SMOTE和GBDT的网络混合入侵信息识别方法、桑园在《基于高阶累积量配准的网络异常流量识别算法》中提出一种基于高阶累积量配准的网络混合入侵信息识别方法、牛国庆等在《基于神经网络的数模混合信号调制识别算法》中提出一种基于神经网络的网络混合入侵信息识别方法与本发明实施例的入侵信息识别效果进行对比。
[0077] 参见图1,对地震行业网络混合信息去噪用于更好的识别入侵信息,通过仿真试验对不同方法的噪声识别效果进行对比,当采样点数量为1000个,封化民等提出的方法识别出的噪声数量为3个,桑园提出的方法识别出的噪声数量为5个,牛国庆等提出的方法识别出的噪声数量为6个,本发明实施例识别出的噪声数量为8个,本发明实施例识别出的噪声数量是四种网络混合入侵信息识别方法中最多的,且识别出的噪声数量与实际噪声数量相吻合。
[0078] 参见表1列出了地震行业网络混合入侵信息识别效果的对比,name表示地震行业网络混合入侵信息识别方法的名称,Far表示地震行业网络混合入侵信息识别的误检率,FL表示地震行业网络混合入侵信息识别的漏检率,FZ表示地震行业网络混合入侵信息识别的检测准确率,其中Far、FL和FZ军用百分比(%)表示;a表示封化民等提出的方法,b表示桑园提出的方法,c表示牛国庆等提出的方法,d表示本发明实施例。
[0079] 表1
[0080]
[0081] 从表1可以看出,在识别地震行业网络混合入侵信息时,封化民等提出的方法的检测准确率为83.43%,桑园提出的方法的检测准确率为89.16%,牛国庆等提出的方法的检测准确率为90.10%,本发明实施例的检测准确率为98.73%,是四种方法中网络混合入侵信息识别的检测准确率最高的;本发明实施例具有误检率低和漏检率低的特点。
[0082] 参见表2列出了网络混合入侵信息识别时间的对比,time表示地震行业网络混合入侵信息识别时间,单位为s。
[0083] 表2
[0084]
[0085] 从表2可以看出,封化民等提出的方法的识别时间为35s;桑园提出的方法的识别时间为28s;牛国庆等提出的方法的识别时间为30s;本发明实施例方法的识别时间为23s,是四种方法中用时最短、检测准确率最高的方法。
[0086] 综上所述,本发明的一种基于上下文验证的地震行业网混合入侵信息识别方法通过对网络混合信号进行去噪处理,验证得到的网络混合信号的上下文实现识别网络混合入侵信息的功能。仿真实验结果证明,所提方法可以快速准确的识别地震行业网络混合入侵信息。以上实施例仅用于说明本发明的设计思想和特点,其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施,本发明的保护范围不限于上述实施例。所以,凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰,均在本发明的保护范围之内。
