專利讓與公告

一種網路入侵偵測方法，其步驟包括藉由一連線資料轉換模組選取數個網路封包統計資料之數個特徵值；藉由一特徵正規化模組將所有特徵值正規化至同一度量，以獲得數個封包特徵資料；藉由一無監督式入侵偵測引擎利用結合網格式與密度式之資料分群技術，以建立至少一入侵特徵模型；藉由一入侵偵測模型評估模組評估該入侵特徵模型，以獲得偵測正確率佳之一入侵偵測模型；最後，藉由該入侵偵測模型偵測一待偵測網路封包統計資料是否屬於異常連線行為。本發明提供一種網路入侵偵測方法，其係將數個網路封包統計資料之特徵值進行正規化處理，並建構具有數個網格之一特徵空間，再判斷各網格內之數個封包特徵資料的密度門檻值，以便定義數個高群聚網格，進而建立可辨識「正常連線行為」及「入侵連線行為」之一入侵偵測模型，使得本發明具有提升資料分群執行效率及入侵偵測正確率之功效。 並藉由一「動態坡度門檻值」判斷各該網格之封包特徵資料的分佈狀態，以分別定義為一群集主體或一群集邊緣，並將不規則之群集邊緣合併至特定群集主體，使得本發明具有可進一步降低執行時間，並大幅提高網路入侵偵測精確度之功效。