主权项 |
1、一种基于相关特征聚类的层次入侵检测系统,包括:用于配置系统中的各个部件,并了解和控制各部件运行情况的控制台;用于收集网络上的网络数据包的数据收集模块;用于将数据收集模块收集到的二进制原始网络数据转换成ASCII格式的连接数据,并根据网络数据包的报头提取能够描述连接信息的特征的预处理模块;用于存放由预处理模块得到的、包括初始化阶段的初始化数据集和检测阶段的待测试数据集以及其他需要存储的数据的数据存储模块;用于分析数据存储模块中的初始化数据,得到攻击的行为轮廓和攻击检测规则集合的事件分析模块;在事件分析模块中包括有依据攻击检测规则集合对测试数据流进行检测,判断是否发生攻击并报告该攻击类型的攻击检测器;用于根据控制台的配置策略及攻击检测器的检测结果产生相应动作的响应模块;用于实现本系统与其他网络设备之间的通信和数据交换的通信模块;其特征在于:所述的事件分析模块中还包括:用于分析处理数据存储模块中存储的初始化数据,对其中的每种攻击计算其相关特征,并将该攻击的各种相关特征编码为相关特征码字的相关特征分析器;用于对攻击的相关特征码字进行聚类处理,并根据其结果对初始化数据集重新组织后,得到以大类标志作为类别标签的新的初始化数据集,并存储在对应存储器中的数据重组器;用于对重组后的带有大类类别标签的初始化数据集进行分析,提取攻击大类的行为轮廓,并将其以规则集形式表示的大类轮廓分析器。 |