发明名称 |
一种基于数据挖掘的自学分级预警入侵检测系统 |
摘要 |
本发明提供了一种基于数据挖掘的自学分级预警入侵检测系统。系统包括:聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录和分级预警模块。本发明通过将数据挖掘技术应用到入侵检测中,充分利用现有的数据挖掘算法以及网络攻击的特点,实现了入侵检测系统的自学和分级预警,有效地提高了检测的精确性和高效性,具有可观的经济价值和使用价值。 |
申请公布号 |
CN104811452A |
申请公布日期 |
2015.07.29 |
申请号 |
CN201510218572.1 |
申请日期 |
2015.04.30 |
申请人 |
北京科技大学 |
发明人 |
郁志超;马忠贵;王彩云;马闪闪 |
分类号 |
H04L29/06(2006.01)I;G06F17/30(2006.01)I;H04L12/26(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京金智普华知识产权代理有限公司 11401 |
代理人 |
皋吉甫 |
主权项 |
一种基于数据挖掘的自学习分级预警入侵检测系统,其特征在于:所述系统包括:聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录模块和分级预警模块;所述系统按照如下步骤进行自学习分级预警入侵检测:步骤一:采集网络上的数据包,以此作为训练数据,所述聚类分析模块对所述训练数据进行聚类分析,形成网络正常行为模式类与网络异常行为模式类,分别添加到相应的模式类库中;步骤二:所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,将异常数据包传送给规则库(1)作匹配检测;步骤三:所述异常数据包与规则库(1)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生三级预警信息,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(2)作匹配检测;步骤四:所述异常数据包与规则库(2)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生二级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(2)中删除此规则,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(3)作匹配检测;步骤五:所述异常数据包与规则库(3)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生一级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(3)中删除此规则,若异常数据包与所有的规则都不匹配,则将将异常信息写入所述日志记录模块;步骤六:所述关联分析模块对日志记录中的记录进行关联分析,产生关联规则,并进一步转化为检测规则,添加到规则库(2)中;步骤七:所述规则泛化模块对规则库(1)和规则库(2)中的规则进行泛化,形成新的检测规则,添加到规则库(3)中。 |
地址 |
100083 北京市海淀区学院路30号 |