[发明专利]一种基于危险模型的三级模块式入侵检测系统

说明书

技术领域

本发明涉及一种计算机网络的模块式自适应入侵检测系统，特别涉及一种利用生物免疫系统的免疫学原理的入侵检测系统。

背景技术：

在入侵检测方法和技术的研究中，人们发现生物免疫系统(immune system)与入侵检测系统具有惊人的相似性，前者保护机体不受诸如病菌、病毒等各种病原体的侵害，而后者保护网络中的计算机主机不受或少受入侵事件的危害或威胁，两者都是使受保护对象在不断变化的环境中维持系统的稳定性。

在实际的入侵检测应用中，计算机网络的活动会在使用过程中发生变化，导致入侵检测系统存在许多问题，如误报的数量增多，检测的准确度下降等。另外，新攻击层出不穷，而有的检测方法只能对已知攻击进行识别，对新攻击无能为力；有的方法虽然能检测未知攻击，但误报率高。面对已知和未知行为都经常变化的工作环境，大多数检测系统不得不定期进行更新，以适应新的数据特征。

发明内容：

本发明提供一种建立入侵检测系统的方法，系统由初级检测模块、APC决策模板式检测模块和响应模块三级模块组成；检测前，预先根据已知的正常和攻击行为特征建立正常模板DT₁和攻击模板DT₂以及m个初级检测器MD₁、MD₂，…，MD_m。收集网络中的各种行为，形成待测行为集合，并进行特征提取分组。检测时首先提取当前行为的q个特征，并分为m组；将m组特征分别输入到检测器MD₁、MD₂，…，MD_m进行初级检测，初步判断当前行为是攻击行为还是正常行为，并输出当前行为的m个初步检测信号；当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x)；将当前行为的决策轮廓向量组DP(x)分别与正常模板DT₁和攻击模板DT₂进行比较，通过计算DP(x)与DT₁和DT₂的相似度判断DP(x)与两个模板的接近程度，得出正常、攻击或可疑信号；如果为正常信号或攻击信号，则直接进入步骤6输出最终检测信号；如果相似度为可疑信号，则通过检测有无危险信号，明确当前行为的性质；输出最终检测信号，如果是“攻击”，则发出警报；根据最终检测信号的类型调整相应模板。

本发明提供的三级模块式入侵检测系统可根据新的行为特征在线调整检测模板，因而使用过程中不需要经常更新，适用于已知和未知行为都经常变化的工作环境；对于利用现有知识难以给出检测结果的情况，系统可以根据是否有危险信号做出判断，即能够关联计算机网络或计算机系统中的常见异常现象，因而误报率和漏报率低，对未知攻击的检测能力强。

附图说明：

图1为本发明的三级模块式入侵检测系统结构图

图2为本发明的三级模块式入侵检测系统的检测过程流程图

图3为本发明模板可调式自适应决策融合过程的流程图

具体实施方式

有关本发明的详细说明及技术内容，现结合附图说明如下。

首先参见图1，图1是本发明的三级模块式入侵检测系统结构。系统收集网络中的各种行为，形成待测行为集合，并进行特征提取分组。初级检测模块包括若干个检测器，用于对待测试数据进行初步测试。可以将需要检测的特征分组进行测试，让每个检测器负责检测其中的部分特征，这样所有检测器可完成对整个特征空间的检测。每个检测器会根据检测结果给出初级检测信号(正常或攻击)，再由模块分别将这些信号转换成对应的行向量输出到下一级模块。APC决策模板式检测模块，用于对初级检测结果以及危险信号进行关联。检测前，预先根据已知的正常和攻击行为特征建立检测模板。检测时，首先将接收到的来自上一级模块的初级检测信号进行融合以构建当前行为的决策轮廓向量组，然后将其与两个检测模板分别进行比较，根据比较结果可得到三种信号：正常、攻击和可疑。

现参考图2，具体说明本发明的检测过程。

在开始检测之前，首先用训练数据建立正常模板DT₁和攻击模板DT₂以及m个初级检测器MD₁、MD₂，…，MD_m。检测过程如下：

步骤1：提取当前行为的q个特征，并分为m组；

步骤2：将m组特征分别输入到检测器MD₁、MD₂，…，MD_m进行初级检测，初步判