一种基于数据挖掘的网络入侵检测系统及方法

摘要

本发明为一种基于数据挖掘的网络入侵检测系统及方法，系统包括：数据包捕获模块、数据包分析模块、碎片重组模块、数据挖掘模块、协议分析模块、报警响应模块和规则解析模块。本发明有效结合了数据挖掘技术和协议分析技术，提高了检测的精确性和可靠性，同时利用数据挖掘技术处理海量数据，实现实时响应。

主权项

一种基于数据挖掘的网络入侵检测系统，其特征在于，包括：数据包捕获模块，用于捕获网络中的数据包，将捕获到的数据包按类型进行分类，丢弃不符合的数据包并生成丢弃数据包报告信息发送到报警响应模块，然后将分类和丢弃处理后的数据包发送到数据包分析模块；数据包分析模块，用于对数据包捕获模块传来的数据包进行数据报格式分析，判断当前数据包是否是完整数据包，如果是则直接将完整数据包发送到数据挖掘模块，否则调用碎片重组模块对碎片数据包进行重组；碎片重组模块，用于对碎片数据包进行重组，将重组还原成的完整数据包发送到数据挖掘模块，将不能重组还原成完整数据包的相应碎片数据包丢弃，并生成丢弃碎片数据包报告信息发送到报警响应模块；数据挖掘模块，用于对完整数据包进行数据挖掘，生成新的关联规则发送到报警响应模块，所有数据包完成数据挖掘后并生成数据挖掘报告信息发送到报警响应模块，然后将数据包发送到协议分析模块；协议分析模块，根据从规则库解析出来的协议，利用协议的特征对数据包进行协议分析，如果当前数据包和规则库中协议的某种特征匹配，则发送报警信息到报警响应模块，当对所有数据包完成协议分析后，生成协议分析报告信息发送到报警响应模块；报警响应模块，根据数据包捕获模块、碎片重组模块、数据挖掘模块和协议分析模块传来的报告信息生成报警信息，对协议分析模块传来的报警信息进行实时响应，同时，判断是否将数据挖掘模块所新生成的关联规则保存到规则库中；报警响应模块判断关联规则中是否存在攻击数据包，将新生成的关联规则中的攻击数据包个数作为危险标识，初始时为0，表示无危险，危险标识越大则危险级别越高，如果关联规则的危险标识不为0，则将新生成的关联规则通过规则库细化模块将新生成的关联规则进行分类细化，然后和危险标识信息一起添加到规则库中；如果为0则丢弃；规则解析模块，用于使用入侵事件描述语言将定义好的规则库从文件中读取出来，然后进行解析，读入内存，同时用于将新的攻击模式或规则写入规则库中；规则库细化模块，用于接收分类预测模块生成的分类结果，依据分类结果对规则库中的规则进行分类细化，同时根据分类细化结果，将新生成的关联规则对应存入规则库；所述数据挖掘模块包括：时间序列分析模块，用于对完整数据包进行时间序列分析，然后生成报告信息发送到报警响应模块；关联规则挖掘模块，用于对时间序列分析模块处理后的完整数据包进行关联规则挖掘，生成新的关联规则发送到报警响应模块，在所有数据包完成数据挖掘后生成报告信息发送到报警响应模块；然后将数据包发送到分类预测模块；分类预测模块，用于对数据包按照协议类型进行分类，获得稳定的分类模型，同时采用预测方法，利用分类模型对未知类别数据包进行预测分类，将分类结果发送到规则库细化模块，并生成报告信息发送到报警响应模块，然后将分类后的数据包发送到协议分析模块。