[发明专利]一种基于数据挖掘的自学习分级预警入侵检测系统

权利要求书

1.一种基于数据挖掘的自学习分级预警入侵检测系统，其特征在于：所述系统包括：聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录模块和分级预警模块；所述系统按照如下步骤进行自学习分级预警入侵检测：

步骤一：采集网络上的数据包，以此作为训练数据，所述聚类分析模块对所述训练数据进行聚类分析，形成网络正常行为模式类与网络异常行为模式类，分别添加到相应的模式类库中；

步骤二：所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测，丢弃那些符合网络正常行为模式类的正常数据包，将异常数据包传送给规则库（1）作匹配检测；

步骤三：所述异常数据包与规则库（1）中的规则进行匹配，若匹配成功，则表明发生入侵行为，产生三级预警信息，若异常数据包与所有的规则都不匹配，则将异常数据包传送给规则库（2）作匹配检测；

步骤四：所述异常数据包与规则库（2）中的规则进行匹配，若匹配成功，则表明发生入侵行为，产生二级预警信息，所述规则管理模块将匹配的规则添加到规则库(1)中，并从规则库(2)中删除此规则，若异常数据包与所有的规则都不匹配，则将异常数据包传送给规则库（3）作匹配检测；

步骤五：所述异常数据包与规则库（3）中的规则进行匹配，若匹配成功，则表明发生入侵行为，产生一级预警信息，所述规则管理模块将匹配的规则添加到规则库(1)中，并从规则库(3)中删除此规则，若异常数据包与所有的规则都不匹配，则将将异常信息写入所述日志记录模块；

步骤六：所述关联分析模块对日志记录中的记录进行关联分析，产生关联规则，并进一步转化为检测规则，添加到规则库（2）中；

步骤七：所述规则泛化模块对规则库（1）和规则库（2）中的规则进行泛化，形成新的检测规则，添加到规则库（3）中。

2. 如权利要求1所述的系统，其特征在于，所述聚类分析模块采用一种改进的K-means算法对训练数据进行聚类分析。

3.如权利要求1所述的系统，其特征在于，所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测，丢弃那些符合网络正常行为模式类的正常数据包，只将异常数据包传送给规则库作匹配检测。

4.如权利要求1所述的系统，其特征在于，所述规则库中的规则是基于文本的，存储在三维链表中，包含规则头和规则选项。

5. 如权利要求1所述的系统，其特征在于，所述关联分析模块采用Apriori算法对日志记录进行关联分析。

6. 如权利要求1所述的系统，其特征在于，所述规则泛化模块采用聚类泛化算法对规则库（1）和规则库（2）中的规则进行泛化，将泛化得到的新规则添加到规则库（3）中。

7. 如权利要求1所述的系统，其特征在于，所述规则管理模块根据规则匹配的情况动态调整规则的优先级。

8. 如权利要求1所述的系统，其特征在于，所述系统采用B/S架构，核心模块用C/C++实现，运行于Linux系统之上。