技術(shù)領(lǐng)域

本發(fā)明涉及入侵檢測(cè)系統(tǒng)，具體涉及一種以O(shè)racle為核心的基于數(shù)據(jù)挖掘入侵檢測(cè)系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)安全已經(jīng)成為社會(huì)安全的重要組成部分，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，以下簡(jiǎn)稱(chēng)IDS)在保護(hù)政府和企業(yè)信息安全方面起著關(guān)鍵性的作用，當(dāng)今世界各種網(wǎng)絡(luò)攻擊行為發(fā)生次數(shù)頻繁，新的攻擊模式層出不窮，2013年B2BInternational和卡巴斯基實(shí)驗(yàn)室進(jìn)行的調(diào)查表明：在過(guò)去一年中，91％的被訪企業(yè)曾遭受過(guò)至少一次網(wǎng)絡(luò)攻擊，9％的企業(yè)遭受過(guò)精心設(shè)計(jì)的針對(duì)性攻擊，出現(xiàn)了以Icfog攻擊為代表的游擊式攻擊。社會(huì)對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的要求不斷提高。

近年來(lái)，基于數(shù)據(jù)挖掘(機(jī)器學(xué)習(xí))的IDS被證實(shí)在攻擊行為識(shí)別方面具有高準(zhǔn)確性，對(duì)于未知攻擊類(lèi)型具有較好的泛化能力，對(duì)網(wǎng)絡(luò)環(huán)境變化具有一定的魯棒性。當(dāng)前，設(shè)計(jì)實(shí)現(xiàn)高質(zhì)量的應(yīng)用系統(tǒng)面臨著巨大的挑戰(zhàn),數(shù)據(jù)轉(zhuǎn)換、模型實(shí)現(xiàn)和分布式檢測(cè)都面臨復(fù)雜的工程性問(wèn)題，如檢測(cè)數(shù)據(jù)難以存儲(chǔ)分析以及需要添加額外的數(shù)據(jù)庫(kù)設(shè)施。

為了解決上述問(wèn)題，需要一種新型的IDS，系統(tǒng)必須能夠具有可靠性、可擴(kuò)展性、自主學(xué)習(xí)性，并且易于管理，具有較低的維護(hù)成本等優(yōu)點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明主要針對(duì)現(xiàn)有技術(shù)的不足，提供一種以O(shè)racle為核心的基于數(shù)據(jù)挖掘入侵檢測(cè)系統(tǒng)，能夠提高IDS的安全性、可靠性、可擴(kuò)展性、自主學(xué)習(xí)性，使整個(gè)系統(tǒng)更容易實(shí)施和管理。

本發(fā)明采用如下技術(shù)方案：

一種以O(shè)racle為核心的基于數(shù)據(jù)挖掘入侵檢測(cè)系統(tǒng)，包括數(shù)據(jù)感知器模塊、ETL模塊、數(shù)據(jù)倉(cāng)庫(kù)模塊、模型生成和分布模塊、入侵檢測(cè)模塊和數(shù)據(jù)可視化模塊，數(shù)據(jù)感知器模塊包括網(wǎng)絡(luò)數(shù)據(jù)感知器和主機(jī)信息感知器，用于搜集各種類(lèi)型的數(shù)據(jù)流信息；ETL模塊用于對(duì)數(shù)據(jù)感知器提交的數(shù)據(jù)進(jìn)行預(yù)處理、特征向量的提取和數(shù)據(jù)的轉(zhuǎn)化；數(shù)據(jù)倉(cāng)庫(kù)模塊包括檢測(cè)數(shù)據(jù)數(shù)據(jù)庫(kù)和模型數(shù)據(jù)庫(kù)，檢測(cè)數(shù)據(jù)數(shù)據(jù)庫(kù)用于存儲(chǔ)來(lái)自各種數(shù)據(jù)源的數(shù)據(jù)，模型數(shù)據(jù)庫(kù)主要用于存儲(chǔ)檢測(cè)模型；模型生成和分布模塊，用于進(jìn)行異常檢測(cè)和誤用檢測(cè)；入侵檢測(cè)模塊，分為實(shí)時(shí)檢測(cè)和離線(xiàn)檢測(cè)；數(shù)據(jù)可視化模塊，分為實(shí)時(shí)報(bào)警模塊和報(bào)表分析模塊，實(shí)時(shí)報(bào)警模塊實(shí)現(xiàn)惡意行為和異常行為的實(shí)時(shí)報(bào)警，報(bào)表分析模塊實(shí)現(xiàn)結(jié)果分析、統(tǒng)計(jì)、報(bào)表和圖表功能。

優(yōu)選地，數(shù)據(jù)流信息包括網(wǎng)絡(luò)流量數(shù)據(jù)、主機(jī)系統(tǒng)日志、系統(tǒng)進(jìn)程調(diào)用，CPU和內(nèi)存的使用情況。

優(yōu)選地，ETL模塊主要由SQL和用戶(hù)定義的函數(shù)實(shí)現(xiàn)，

優(yōu)選地，實(shí)時(shí)檢測(cè)通過(guò)Oracle數(shù)據(jù)庫(kù)中ETL實(shí)時(shí)數(shù)據(jù)進(jìn)行檢測(cè)，通過(guò)SQL將數(shù)據(jù)直接交付給模型進(jìn)行檢測(cè)。

優(yōu)選地，離線(xiàn)檢測(cè)是對(duì)數(shù)據(jù)倉(cāng)庫(kù)中的存儲(chǔ)的數(shù)據(jù)進(jìn)行分析檢測(cè)，實(shí)現(xiàn)模型性能評(píng)估、惡意行為數(shù)量和類(lèi)型分析和幫助分析異常行為模式。

優(yōu)選地，實(shí)時(shí)報(bào)警模塊是利用Oracle數(shù)據(jù)庫(kù)觸發(fā)器激發(fā)各種預(yù)定義的警報(bào)，被檢測(cè)到的入侵行為類(lèi)型、時(shí)間、地址等相關(guān)信息提交至指定的表中，并在瀏覽器GUI中進(jìn)行實(shí)時(shí)通知，或根據(jù)預(yù)案進(jìn)行自動(dòng)處理。

優(yōu)選地，報(bào)表分析模塊利用Discoverer、Oraclereport工具對(duì)模型和檢測(cè)結(jié)果進(jìn)行查詢(xún)和可視化實(shí)現(xiàn)。

與現(xiàn)有技術(shù)相比，本發(fā)明具有如下有益效果：

1、構(gòu)建以O(shè)racle數(shù)據(jù)庫(kù)為核心的入侵檢測(cè)系統(tǒng)是首創(chuàng)，根據(jù)Oracle提出的體系結(jié)構(gòu)，自主實(shí)現(xiàn)原型和應(yīng)用系統(tǒng)。

2、首次實(shí)現(xiàn)了數(shù)據(jù)轉(zhuǎn)換—數(shù)據(jù)存儲(chǔ)集成化，數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)存儲(chǔ)都由OracleDBMS實(shí)現(xiàn)，保證了數(shù)據(jù)的安全性、同質(zhì)性和系統(tǒng)響應(yīng)時(shí)間。

3、實(shí)現(xiàn)了模型生成—模型存儲(chǔ)—模型更新的集成化，在Oracle及其相關(guān)組件的實(shí)現(xiàn)模型生成和存儲(chǔ)，在Oracle平臺(tái)上開(kāi)發(fā)實(shí)現(xiàn)模型的自主學(xué)習(xí)和更新功能。

4、非常便捷地實(shí)現(xiàn)了模型的分布式處理，利用OracleRAC實(shí)現(xiàn)服務(wù)器集群，實(shí)現(xiàn)資源共享大幅度提高系統(tǒng)的靈活性、可擴(kuò)展性和性能。

5、實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和離線(xiàn)檢測(cè)一體化，通過(guò)Oracle強(qiáng)大的數(shù)據(jù)存儲(chǔ)能力實(shí)現(xiàn)離線(xiàn)檢測(cè)，完成模型性能評(píng)估、惡意行為數(shù)量和類(lèi)型分析和幫助我們分析異常行為模式。

6、報(bào)警機(jī)制和分析報(bào)表實(shí)現(xiàn)可視化，利用Oracle相關(guān)組件能夠方便地實(shí)現(xiàn)可視化功能。

7、能夠?yàn)槿蘸筮M(jìn)行大數(shù)據(jù)分析奠定基礎(chǔ)，從而解決目前非以數(shù)據(jù)庫(kù)為核心系統(tǒng)存在的問(wèn)題，有助于提升整個(gè)網(wǎng)絡(luò)的安全性。

附圖說(shuō)明