技術領域

本發(fā)明涉及計算機網絡信息安全技術領域，且特別涉及一種基于多移動代理和數據挖掘技術的網絡入侵防御系統(tǒng)，主要應用于計算機網絡安全防御系統(tǒng)的關鍵技術，可有效地解決網絡安全漏檢和誤報問題，進一步提高網絡的訪問檢測辨識決策準確性和整體智能防御能力。

背景技術

國內外使用的入侵檢測系統(tǒng)(Intrusion?Detection?System，IDS)，主要通過網絡數據包進行分析、監(jiān)視、檢測和識別系統(tǒng)中未授權或異常現象。注重的是網絡監(jiān)控、審核跟蹤，在發(fā)現異常時只報告不能防范，只能通過與防火墻等安全設備聯動的方式進行防護。目前存在嚴重缺陷：一是網絡缺陷，用交換機代替可共享監(jiān)聽的HUB使IDS的網絡監(jiān)聽帶來麻煩，并且在復雜的網絡下精心地構造與發(fā)送數據包也可繞過IDS的監(jiān)聽。二是誤報量大且出現漏報，報警不斷。

入侵防御系統(tǒng)(Intrusion?Prevention?System，IPS)可以對全部數據包認真檢測，實時確定是否許可或禁止訪問。IPS具有一些過濾器，能夠防止系統(tǒng)上各種類型的弱點受到攻擊。當新的弱點被發(fā)現之后會創(chuàng)建一個新過濾器并納入管轄，試探攻擊這些弱點的任何操作都會受到攔截。IPS技術能夠對網絡進行多層、深層、主動的防護以有效保證企業(yè)網絡安全。IPS相當于防火墻與入侵檢測系統(tǒng)結合，但并不能代替防火墻或IDS。防火墻在基于TCP/IP協議的過濾功能突出，IDS提供的全面審計資料對于攻擊還原、入侵及異常操作取證、異常事件識別、網絡故障排除等都有很重要的功效。但是仍然存在對計算機網絡安全單一檢測誤報率高、錯誤報警率多和漏報等問題。

網絡性能、安全精確度和安全效率是計算機網絡安全面臨的主要問題。傳統(tǒng)的基于網絡的入侵防御系統(tǒng)(Network?Intrusion?Prevention?System，NIPS)安全檢測方式單一、誤報率高、錯誤報警率多和漏報等問題，嚴重地影響計算機網絡安全防御和檢測的關鍵技術和安全防御性能。

發(fā)明內容

本發(fā)明專利在深入分析NIPS、移動代理和數據挖掘(Data?Mining，DM)技術特點和優(yōu)勢的基礎上，提出了基于多個移動代理(Multi-Mobile?Agent，MA)和DM的智能NIPS新改進模型。從一個新角度將數據庫技術與人工智能結合。利用移動Agent的特點，結合DM所具有的實時提取和辨識異常信息的優(yōu)勢，提高訪問檢測與辨識精度和智能性，避免誤報和漏報，從而提高網絡安全可靠性和防御能力。

為了達到上述目的，本發(fā)明提出一種基于多移動代理和數據挖掘技術的網絡入侵防御系統(tǒng)，包括：移動代理功能模塊、數據挖掘功能模塊、智能模塊、檢測器、聯動模塊和防護審計跟蹤代理模塊，其中，

所述移動代理功能模塊包括移動代理數據庫和特征規(guī)則庫，分別連接于所述檢測器；

所述數據挖掘功能模塊包括相互連接的數據挖掘數據庫和自適應模型產生器，所述數據挖掘數據庫連接于所述特征規(guī)則庫；

所述智能模塊包括相互連接的專家系統(tǒng)和安全知識庫，所述專家系統(tǒng)連接于所述檢測器和所述數據挖掘數據庫，所述安全知識庫連接于所述自適應模型產生器；

所述檢測器連接于所述聯動模塊，所述防護審計跟蹤代理模塊連接于所述聯動模塊和所述專家系統(tǒng)。

進一步的，該系統(tǒng)包括數據源，分別連接于所述移動代理數據庫和數據挖掘數據庫。

進一步的，所述移動代理功能模塊對所述數據源的數據進行整合，然后分別輸入所述移動代理數據庫和數據挖掘數據庫。

進一步的，所述自適應模型產生器利用移動代理算法對數據挖掘數據庫中的數據進行特征分析、聚類分析和關聯規(guī)則分析與提取，從而生成檢測模型。

進一步的，所述專家系統(tǒng)和安全知識庫對異常信息進行智能檢測、過濾與決策，并通過所述檢測器調動所述聯動模塊及防護審計跟蹤代理模塊進行整體檢測、防御和審計。

進一步的，當所述檢測器檢測出異常信息時實時反應，記錄相關信息并自動采取措施。

本發(fā)明提出的基于多移動代理和數據挖掘技術的網絡入侵防御系統(tǒng)，主要將收集到的事件序列和數據進行多個層面數據的深入挖掘和檢測辨識，將構建的模式或知識發(fā)現分析形成結果轉入事件庫，解決了入侵規(guī)則庫的實時更新，并具有以下優(yōu)點：

(1)深入分布數據挖掘。一般數據挖掘是對集中式數據存儲進行集中挖掘，在多個移動代理環(huán)境下，可在不同結點或子網進行分布挖掘，與異地數據間關聯時，可用代理之間通訊實現。由于無數據移動和復制，降低了數據一致性維護和數據移動通訊代價。