| 專利技術摘要 |
一種網路入侵偵測方法,其步驟包括藉由一連線資料轉換模組選取數個網路封包統計資料之數個特徵值;藉由一特徵正規化模組將所有特徵值正規化至同一度量,以獲得數個封包特徵資料;藉由一無監督式入侵偵測引擎利用結合網格式與密度式之資料分群技術,以建立至少一入侵特徵模型;藉由一入侵偵測模型評估模組評估該入侵特徵模型,以獲得偵測正確率佳之一入侵偵測模型;最後,藉由該入侵偵測模型偵測一待偵測網路封包統計資料是否屬於異常連線行為。 A detecting method of network invasion comprises following steps: obtaining several features of several packet statistics via a labeled data transforming model; normalizing all features into the same measure to obtain several packet featuring data via a feature normalizing model; building at least one invasion feature model via an unsupervised invasion detecting engine combined with the grid-based and density-based data clustering algorithm; estimating the invasion feature models to obtain the one with high accuracy via an estimating model; and finally, detecting an undetected packet statistic is anomaly or not via the invasion feature model. 【創作特點】 本發明之主要目的係提供一種網路入侵偵測方法,其係將數個網路封包統計資料之特徵值進行正規化處理,並建構具有數個網格之一特徵空間,再判斷各網格內之數個封包特徵資料的密度門檻值,以便定義數個高群聚網格,進而建立可辨識「正常連線行為」及「入侵連線行為」之一入侵偵測模型,使得本發明具有提升資料分群執行效率及入侵偵測正確率之功效。
本發明之次要目的係提供一種網路入侵偵測方法,其係藉由一「動態坡度門檻值」判斷各該網格之封包特徵資料的分佈狀態,以分別定義為一群集主體或一群集邊緣,並將不規則之群集邊緣合併至特定群集主體,使得本發明具有可進一步降低執行時間,並大幅提高網路入侵偵測精確度之功效。
根據本發明之網路入侵偵測方法,其步驟包括藉由一連線資料轉換模組選取數個網路封包統計資料之數個特徵值;藉由一特徵正規化模組將所有特徵值正規化至同一度量,以獲得數個封包特徵資料;藉由一無監督式入侵偵測引擎利用結合網格式與密度式之資料分群技術,以建立至少一入侵特徵模型;藉由一入侵偵測模型評估模組評估該入侵特徵模型,以獲得偵測正確率佳之一入侵偵測模型;最後,藉由該入侵偵測模型偵測一待偵測網路封包統計資料是否屬於異常連線行為。
|