一种基于数据挖掘的自学习分级预警入侵检测系统
专利汇可以提供一种基于数据挖掘的自学习分级预警入侵检测系统专利检索,专利查询,专利分析的服务。并且本 发明 提供了一种基于 数据挖掘 的 自学习 分级预警入侵检测系统。系统包括: 聚类分析 模 块 、 异常检测 引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录和分级预警模块。本发明通过将数据挖掘技术应用到入侵检测中,充分利用现有的数据挖掘 算法 以及网络攻击的特点,实现了入侵检测系统的自学习和分级预警,有效地提高了检测的精确性和高效性,具有可观的经济价值和使用价值。,下面是一种基于数据挖掘的自学习分级预警入侵检测系统专利的具体信息内容。
1.一种基于数据挖掘的自学习分级预警入侵检测系统,其特征在于:所述系统包括:
聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录模块和分级预警模块;所述系统按照如下步骤进行自学习分级预警入侵检测:
步骤一:采集网络上的数据包,以此作为训练数据,所述聚类分析模块对所述训练数据进行聚类分析,形成网络正常行为模式类与网络异常行为模式类,分别添加到相应的模式类库中;
步骤二:所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,将异常数据包传送给规则库(1)作匹配检测;
步骤三:所述异常数据包与规则库(1)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生三级预警信息,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(2)作匹配检测;
步骤四:所述异常数据包与规则库(2)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生二级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(2)中删除此规则,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(3)作匹配检测;
步骤五:所述异常数据包与规则库(3)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生一级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(3)中删除此规则,若异常数据包与所有的规则都不匹配,则将将异常信息写入所述日志记录模块;
步骤六:所述关联分析模块对日志记录中的记录进行关联分析,产生关联规则,并进一步转化为检测规则,添加到规则库(2)中;
步骤七:所述规则泛化模块对规则库(1)和规则库(2)中的规则进行泛化,形成新的检测规则,添加到规则库(3)中。
2. 如权利要求1所述的系统,其特征在于,所述聚类分析模块采用一种改进的K-means算法对训练数据进行聚类分析。
3.如权利要求1所述的系统,其特征在于,所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,只将异常数据包传送给规则库作匹配检测。
4.如权利要求1所述的系统,其特征在于,所述规则库中的规则是基于文本的,存储在三维链表中,包含规则头和规则选项。
5. 如权利要求1所述的系统,其特征在于,所述关联分析模块采用Apriori算法对日志记录进行关联分析。
6. 如权利要求1所述的系统,其特征在于,所述规则泛化模块采用聚类泛化算法对规则库(1)和规则库(2)中的规则进行泛化,将泛化得到的新规则添加到规则库(3)中。
7. 如权利要求1所述的系统,其特征在于,所述规则管理模块根据规则匹配的情况动态调整规则的优先级。
8. 如权利要求1所述的系统,其特征在于,所述系统采用B/S架构,核心模块用C/C++实现,运行于Linux系统之上。
一种基于数据挖掘的自学习分级预警入侵检测系统
技术领域
背景技术
2)检测能力受到其规则库中规则数目及准确度的限制,即只能检测规则库中已知攻击,而无法检测到未知攻击和己知攻击的变种,自适应能力差。
发明内容
步骤一:采集网络上的数据包,以此作为训练数据,所述聚类分析模块对所述训练数据进行聚类分析,形成网络正常行为模式类与网络异常行为模式类,分别添加到相应的模式类库中;
步骤二:所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,将异常数据包传送给规则库(1)作匹配检测;
步骤三:所述异常数据包与规则库(1)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生三级预警信息,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(2)作匹配检测;
步骤四:所述异常数据包与规则库(2)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生二级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(2)中删除此规则,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(3)作匹配检测;
步骤五:所述异常数据包与规则库(3)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生一级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(3)中删除此规则,若异常数据包与所有的规则都不匹配,则将将异常信息写入所述日志记录模块;
步骤六:所述关联分析模块对日志记录中的记录进行关联分析,产生关联规则,并进一步转化为检测规则,添加到规则库(2)中;
步骤七:所述规则泛化模块对规则库(1)和规则库(2)中的规则进行泛化,形成新的检测规则,添加到规则库(3)中。
2.本发明可以产生不同级别的预警,方便系统管理员做出不同的处理。
图3为本发明聚类分析模块的工作流程图
图4为本发明关联分析模块的工作流程图
图5为本发明规则泛化模块的工作流程图
图6为本发明规则管理模块的工作流程图。
具体实施方式
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 基于共同注意力范式的孤独症辅助诊断装置 | 2020-05-08 | 386 |
| 一种快速建模的方法 | 2020-05-08 | 401 |
| 一种星地融合网络中的全景视频多播方法及装置 | 2020-05-08 | 507 |
| 综合电力用户缴费指标和行业公开指标的电力用户信用评价方法与系统 | 2020-05-08 | 563 |
| 基于电压时序数据的台区户变关系识别方法及系统 | 2020-05-08 | 581 |
| 基于卷积神经网络和概念格的图像语义完备标注方法 | 2020-05-11 | 741 |
| 电网三相不平衡多维时序分析方法 | 2020-05-08 | 627 |
| 车辆物流路径生成的方法、装置、计算机设备及存储介质 | 2020-05-08 | 202 |
| 脑功能图谱的绘制方法和系统 | 2020-05-08 | 992 |
| 一种铁路数据状态评估方法及系统 | 2020-05-11 | 435 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
