基于分布式数据挖掘的协同入侵检测系统

摘要

本发明公开了一种基于分布式数据挖掘的协同入侵检测系统，包括控制台模块和客户端模块。前者为客户端节点提供服务，为客户端模块之间的联系和合作提供信息；后者完成数据挖掘所需数据的收集、处理和检测结果传输。其中，常规入侵检测模块可检测已知的常规入侵；协同入侵检测模块可检测已知的协同入侵；报警聚类模块对可疑报警信息进行整合与归并，降低了误警率；数据挖掘模块使用关联算法发现新的协同入侵规则，从而防范已知协同入侵的变种及新型的协同入侵。该系统与传统产品相比，不仅防范常规入侵，而且防范协同入侵；具有可扩展性、提高了入侵检测的实时性、减少了对网络资源的占用、达到动态的负载均衡性等优点。

主权项

1、一种基于分布式数据挖掘的协同入侵检测系统，利用计算机网络技术和入侵检测技术实现，其特征在于：该系统由控制台模块(3)和客户端模块(2)组成，控制台模块(3)负责为所有的客户端节点提供服务，为各个客户端模块(2)之间的联系和合作提供信息，客户端模块(2)主要完成数据挖掘所需数据的收集、处理和检测结果传输；客户端模块(2)包括数据收集模块(7)、数据集成模块(9)、常规入侵检测模块(11)、协同入侵检测模块(12)、报警聚类模块(16)、数据挖掘模块(14)、数据传输模块(15)、常规入侵规则库(10)、协同入侵规则库(13)和局部数据库(8)；局部数据库(8)用于存放本节点的网络信息，包括6个字段的信息：协议号，源IP，源端口，目的IP，目的端口和时间；常规入侵规则库(10)用于存放描述常见的单个入侵的规则；协同入侵规则库(13)用于存放描述相互合作的、分布式入侵的规则，包括6个字段的信息：相关性、空间相关度、时间相关度、不可信任IP范围、入侵危害程度和响应策略；数据收集模块(7)负责收集本节点的网络信息，并存放于局部数据库(8)，数据集成模块(9)提取局部数据库(8)的数据进行集成与预处理，选取特征域，提取关键信息，将信息提供给常规入侵检测模块(11)、协同入侵检测模块(12)；常规入侵检测模块(11)负责将数据集成模块(9)提供的信息与常规入侵规则库(10)中的规则进行比较，生成可疑的常规入侵报警信息，传送给数据传输模块(15)；协同入侵检测模块(12)负责将数据集成模块(9)提供的信息与协同入侵规则库(13)中的规则进行比较，生成可疑的协同入侵报警信息，传送给数据传输模块(15)；数据传输模块(15)将可疑报警信息传送给负载最轻的节点中的数据传输模块，并由其传输给负载最轻的节点中报警聚类模块和数据挖掘模块；负载最轻的节点中的报警聚类模块负责将可疑报警信息进行整合和归并，生成确认报警信息，通过其数据传输模块传送给控制台模块(3)；负载最轻的节点中的数据挖掘模块负责对可疑报警信息进行挖掘处理，生成新的协同入侵规则，通过其数据传输模块传送给控制台模块(3)；控制台模块(3)包括监控模块(5)、规则发布模块(4)和全局响应模块(6)；监控模块(5)负责对各客户端模块(2)的监测与控制，找出本轮入侵检测中负载最轻的节点，并将接收到的确认报警信息和新的协同入侵规则分别传送给规则发布模块(4)和全局响应模块(6)；规则发布模块(4)负责将新生成的协同入侵规则传送至各个客户端模块；全局响应模块(6)根据确认报警信息对常规入侵和协同入侵进行响应。