[发明专利]一种基于数据挖掘的自学习分级预警入侵检测系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于数据挖掘的自学习分级预警入侵检测系统。

背景技术

信息技术的迅猛发展和Internet的快速普及，改变了人们的工作、学习和生活方式，计算机网络己经成为信息化社会发展的重要保证，在人类社会中的重要性越来越大。但由于其开放性、互连性、共享性等特点，使其遭受入侵攻击的风险性也日趋严重。近年来，个人用户和企业面临着日趋复杂和泛滥的安全问题及威胁，特别是病毒、蠕虫、木马、垃圾邮件等混合威胁，给个人及企业的信息、网络造成了重大损失。能否及时发现并成功阻止网络威胁带来的危害、保障计算机和网络系统的安全和正常运行便成为计算机安全领域研究的一个重要课题。伴随着网络攻击手段的多元化、复杂化和智能化，传统的静态防御技术如“防火墙”、“数据加密”等以难以满足网络安全的需求。入侵检测技术能够对计算机和网络资源上的恶意行为进行识别和响应，它不仅能检测来自外部的入侵行为，也能监督内部用户的未授权活动，从而有效提高安全性能。

目前大多数网络入侵检测系统，从检测策略上大部分属于误用检测型入侵检测系统，其主要问题主要有：

1）误用检测引擎需要对截获的每一个数据包进行拆解，然后与规则库中的规则进行模式匹配分析。随着网络吞吐量和传输速度的不断提高，其处理性能及检测效率受到极大挑战；

2）检测能力受到其规则库中规则数目及准确度的限制，即只能检测规则库中已知攻击，而无法检测到未知攻击和己知攻击的变种，自适应能力差。

数据挖掘技术能够从大量数据中挖掘出有效的、新颖的、具有潜在用途并最终可理解的模式。将数据挖掘技术应用到入侵检测领域，运用可行的有效的数据挖掘算法，在进行规则匹配前过滤掉大量的正常数据包，提高检测效率；对现有规则进行挖掘，产生新的检测规则，添加到规则库中，不断调整规则的优先级，实现规则的动态更新，使系统具备自学习的能力；根据入侵行为的级别，产生不同级别的预警，帮助系统管理员做出正确的处理。

发明内容

本发明主要解决的技术问题是：提供一种基于数据挖掘的自学习分级预警入侵检测系统，在传统入侵检测系统模型的基础上，引入数据挖掘的思想，增加了聚类分析模块、关联分析模块、规则泛化模块和规则管理模块等，提高了检测的精确性和高效性，同时使系统具备了自学习和分级预警能力。

本发明的所要解决的技术问题是通过如下技术方案实现的：

一种基于数据挖掘的自学习分级预警入侵检测系统，其特征在于：所述系统包括：聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录模块和分级预警模块；所述系统按照如下步骤进行自学习分级预警入侵检测：

步骤一：采集网络上的数据包，以此作为训练数据，所述聚类分析模块对所述训练数据进行聚类分析，形成网络正常行为模式类与网络异常行为模式类，分别添加到相应的模式类库中；

步骤二：所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测，丢弃那些符合网络正常行为模式类的正常数据包，将异常数据包传送给规则库（1）作匹配检测；

步骤三：所述异常数据包与规则库（1）中的规则进行匹配，若匹配成功，则表明发生入侵行为，产生三级预警信息，若异常数据包与所有的规则都不匹配，则将异常数据包传送给规则库（2）作匹配检测；

步骤四：所述异常数据包与规则库（2）中的规则进行匹配，若匹配成功，则表明发生入侵行为，产生二级预警信息，所述规则管理模块将匹配的规则添加到规则库(1)中，并从规则库(2)中删除此规则，若异常数据包与所有的规则都不匹配，则将异常数据包传送给规则库（3）作匹配检测；

步骤五：所述异常数据包与规则库（3）中的规则进行匹配，若匹配成功，则表明发生入侵行为，产生一级预警信息，所述规则管理模块将匹配的规则添加到规则库(1)中，并从规则库(3)中删除此规则，若异常数据包与所有的规则都不匹配，则将将异常信息写入所述日志记录模块；

步骤六：所述关联分析模块对日志记录中的记录进行关联分析，产生关联规则，并进一步转化为检测规则，添加到规则库（2）中；

步骤七：所述规则泛化模块对规则库（1）和规则库（2）中的规则进行泛化，形成新的检测规则，添加到规则库（3）中。

其中，所述聚类分析模块采用一种改进的K-means算法对训练数据进行聚类分析。