一種無線網絡入侵檢測方法

一種無線網絡入侵檢測方法
【技術領域】
[0001] 本發明涉及一種基于壓縮感知（CompressedSensing,CS)與密度敏感哈希算法相 結合的無線網絡入侵檢測方法，屬于無線網絡入侵檢測研究技術領域。
【背景技術】
[0002] 在信息化大浪潮席卷全球的今天，我們進入了一個全新的信息時代。網絡已成為 現代社會不可缺少的組成部分。隨著無線網絡的應用和發展，無線網絡的安全問題近來越 來越受到人們的關注。在這一背景下，各種網絡安全措施與技術都應運而生，入侵檢測和響 應策略是一個無線網絡安全中的活躍領域。目前市場上基于IEEE802. 11協議的無線網絡 仍將是市場的主流，但是因為它自身的安全認證機制存在很大的安全隱患，讓人們對無線 網絡的安全狀況更是憂心忡忡。因而，現在國內外為了提高和加強無線網絡的安全防御性 大都采用入侵檢測系統（IDS,IntrusionDetectionSystem),如圖1所示。但是入侵檢測 仍是一個不完善的技術，而且由于無線網絡的特殊性，將IDS應用于無線網絡仍需進一步 研究。針對當前無線網絡入侵檢測系統所面臨的四個挑戰性問題：適應高速網絡環境、入 侵檢測實時性、降低誤報率、檢測新類型攻擊的能力。因此如何對無線網絡入侵進行實時性 高、快速有效的檢測和處理，是我們目前無線網絡檢測方案中面對的主要問題。
[0003] 目前國內外大多采用的是入侵檢測系統（IDS)來進行無線網絡入侵檢測，不僅檢 測速度慢而且極易出現誤報、實時性差，加上無線網絡的特殊性，無法滿足人們保證無線網 絡安全的要求。近年來，先后出現了諸如聚類、關聯規則法、數據挖掘及異常挖掘等方法，但 在如今高速復雜的無線網絡環境下很難達到十分滿意的效果，無法滿足現代無線網絡入侵 檢測系統對在線、實時、快速等方面的要求。提高無線網絡入侵快速實時檢測水平，已經成 為無線網絡入侵檢測方案中急需解決的問題。
[0004]目前主流的基于二值的哈希編碼算法是：
[0005] 給出η個數據點，…，哈希算法是要尋找l個不同的哈希 函數，將每個數據點X映射到一個L位的哈希編碼中：
[0006]H(x) =[hj(x),h2 (x), . . . ,hL (x)],
[0007] 其中^ (x)e{〇, 1}是第L個哈希函數。
[0008] 對于基于線性投影的哈希算法有：
[0009]
[0010] 其中Wl是投影向量，^是截距，F是一個函數。不同的哈希算法因為擁有不同的 目標函數，所以會得到不同的F，％和ti。這是目前主流的二值哈希編碼算法。

【發明內容】

[0011] 本發明的目的是：針對無線網絡入侵檢測速度慢而且極易出現誤報、實時性差等 現狀，本發明提出一種無線網絡入侵檢測方法。該方法可以對無線網絡數據流進行快速實 時檢測，判斷該數據流是否是入侵數據并對該數據進行判別分類。
[0012] 本發明的技術方案是：本發明首先對所獲得的無線網絡樣本數據進行初步分析和 處理，包括數據流的協議解析并對數據流進行格式化及標準化處理。對處理后的樣本數據 實施基于壓縮感知原理的稀疏編碼以及隨機投影等操作，根據壓縮感知原理訓練出樣本數 據并建立樣本數據二值哈希編碼冗余字典。在分析過程中，規則解析主要負責入侵規則的 構建、發布任務。通過樣本數據二值哈希編碼冗余字典構建一條入侵規則，供入侵檢測判 別層調用。最后依據樣本數據二值哈希編碼冗余字典，計算出檢測數據的二值哈希編碼，從 而根據壓縮感知的判別標準實現對待測數據的入侵識別。包括以下步驟：
[0013] (1)對當前η個數據進行預處理，包括協議解析，格式化及標準化處理；
[0014] (2)對數據采用k-means算法進行量化處理，實現把η個點分到k(k〈〈n)個不同的 組中；
[0015] (3)對量化后的數據點集進行稀疏編碼得到數據集的稀疏表達（向量）；
[0016] (4)然后利用隨機投影得到數據集的二值哈希編碼；
[0017] (5)利用基于CS的檢索判別實現對待測數據的準確判別。
[0018] 本發明依據徑向基核函數的稀疏編碼來計算得到數據集的稀疏編碼：
[0019]
[0020] 其中，
S(X)表示離λ最近的s個 錨點；λi表示；4表本；Τ表示；Ζ(χ)表示稀疏編碼。
[0021] 本發明隨機投影得到數據集的二值哈希編碼如下：
[0022]對于任意的數據點X和它對應的稀疏表達z(x)eIT"，通過線性的哈希方法產生一 個K位的編碼：
[0023] b(X)= (b!(X)，· · ·，bk(X))τ:
[0024] 首先用Κ個線性算子冰eR'h[幻丨，也就是Λ(ζ:χΖ?ie[Κ]，投影ζ到一 個低維空間；然后通過閾值化的方法，利用每一維的中位值，把ζ(χ)轉換為一個二值編碼b(x)，即二值哈希編碼為：
[0025]
[0026] 其中$是向量<z(\)的中位值，如果a>0,則sgn(a) = 1，否則為-1 ;{蜱|^的每 個數值["，]丨獨立并且符合高斯分布N(0,Ι/k)。
[0027] 本發明無線網絡入侵檢測方法包括：數據感應處理層，數據樣本訓練層，入侵檢測 分析層和入侵檢測判別層，如圖3所示。
[0028] 數據感應處理層，首先利用壓縮感知技術壓縮采樣，從而快速獲取無線網絡數據 流，然后通過非線性重建算法重建數據，之后對數據進行協議解析、格式化及標準化等分析 和處理。
[0029] 數據樣本訓練層，首先對所獲得的無線網絡數據樣本進行預處理，對處理后的樣 本數據實施基于壓縮感知原理的稀疏編碼以及隨機投影等操作，根據壓縮感知（CS)原理 訓練出樣本數據并建立樣本數據二值哈希編碼冗余字典。
[0030] 入侵檢測分析與判別層，在分析過程中，規則解析主要負責入侵規則的構建、發布 任務。根據樣本數據二值哈希編碼冗余字典構建一條入侵規則，建立一個標準的規則庫，供 入侵檢測判別層調用。最后依據樣本數據二值哈希編碼冗余字典，計算出檢測數據的二值 哈希編碼，最后根據壓縮感知的判別標準實現對待測數據的入侵識別。
[0031] 本發明的有益效果是，本發明在采用壓縮感知和密度敏感哈希算法的情況下，利 用壓縮感知技術對網絡數據流進行壓縮采樣。在入侵檢測分析與判別層為了保證數據檢測 的準確度，采用數據樣本的二值哈希編碼字典進行入侵檢測。
[0032] 與傳統入侵檢測方法相比，該方法對數據進行整體壓縮采樣，可省略一些不必要 的處理，縮短了數據處理時間，在保證足夠精度的前提下，提高了無線網絡入侵檢測的性 能：首先適應高速網絡環境、入侵檢測實時性高、誤報率低、檢測新類型攻擊的能力高。因 此，本發明提出的方法具有快速，準確，實時性高，誤報率低等優點，該發明有一定的實用價 值，能有效的保證無線網絡的安全。
[0033] 本發明適用于無線網絡中數據的入侵檢測。
【附圖說明】
[0034]圖1為本發明的實驗設備示意圖；
[0035] 圖2是本發明的算法流程圖；
[0036] 圖3本發明的檢測路線圖。
【具體實施方式】
[0037] 本發明的【具體實施方式】如圖2所示：
[0038] 第一步：首先我們使用壓縮感知技術對網絡數據包進