本發(fā)明涉及一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和方法，包括：數(shù)據(jù)采集模塊，用于獲取網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)；數(shù)據(jù)預(yù)處理模塊，將數(shù)據(jù)轉(zhuǎn)換為便于數(shù)據(jù)分析處理的格式；數(shù)據(jù)差異性分析模塊和規(guī)則庫(kù)，用于區(qū)分具有入侵行為的數(shù)據(jù)和正常行為的數(shù)據(jù)，將與規(guī)則庫(kù)中的數(shù)據(jù)不匹配的數(shù)據(jù)根據(jù)PSO?based K?means算法進(jìn)行挖掘，提取新的規(guī)則，加入規(guī)則庫(kù)中；規(guī)則評(píng)估模塊，對(duì)規(guī)則、算法的閾值或參數(shù)進(jìn)行修訂；響應(yīng)模塊，當(dāng)檢測(cè)到符合入侵行為規(guī)則的數(shù)據(jù)，發(fā)出報(bào)警信息。本發(fā)明采用了PSO?based K?means算法，具有全局搜索能力；本發(fā)明將PSO?based K?means算法用于網(wǎng)絡(luò)入侵檢測(cè)，可有效提高檢測(cè)準(zhǔn)確率，降低誤報(bào)率與漏報(bào)率。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及方法。

背景技術(shù)

人侵檢測(cè)定義為：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問權(quán)限，以及企圖實(shí)施非法操作的個(gè)體。

人侵檢測(cè)系統(tǒng)(IDS)能夠跟蹤入侵行為痕跡，從網(wǎng)絡(luò)系統(tǒng)多方面采集數(shù)據(jù)，對(duì)網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為做出策略反應(yīng)，及時(shí)切斷入侵源。

入侵檢測(cè)主要分為濫用檢測(cè)和異常檢測(cè)兩類，這兩類方法分別存在誤報(bào)、漏報(bào)等較多的缺點(diǎn)，傳統(tǒng)的人侵檢測(cè)是對(duì)單個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行特征匹配，可以對(duì)付單個(gè)攻擊包的攻擊手段。

隨著互聯(lián)網(wǎng)時(shí)代的到來，網(wǎng)絡(luò)攻擊的手段越來越成熟，有的攻擊潛伏很久后對(duì)網(wǎng)絡(luò)造成致命打擊，現(xiàn)在出現(xiàn)了隱藏掃描和DDos等攻擊手段，對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行偽裝，所以僅僅通過分析數(shù)據(jù)包已無法精準(zhǔn)的檢測(cè)入侵行為，必須進(jìn)一步分析網(wǎng)絡(luò)數(shù)據(jù)和流量。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及方法，通過SNMP網(wǎng)絡(luò)管理系統(tǒng)和PSO-based K-means算法對(duì)入侵行為進(jìn)行檢測(cè)和分析。

為解決上述技術(shù)問題，本發(fā)明的技術(shù)方案是：一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，包括：

數(shù)據(jù)采集模塊，用于獲取網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)；

數(shù)據(jù)預(yù)處理模塊，將數(shù)據(jù)轉(zhuǎn)換為便于數(shù)據(jù)分析處理的格式；

數(shù)據(jù)差異性分析模塊和規(guī)則庫(kù)，所述數(shù)據(jù)差異性分析模塊將數(shù)據(jù)與規(guī)則庫(kù)中的數(shù)據(jù)對(duì)比，區(qū)分具有入侵行為的數(shù)據(jù)和正常行為的數(shù)據(jù)，將與規(guī)則庫(kù)中的數(shù)據(jù)不匹配的數(shù)據(jù)根據(jù)PSO-based K-means算法進(jìn)行挖掘，提取新的規(guī)則，加入規(guī)則庫(kù)中；

規(guī)則評(píng)估模塊，所述規(guī)則評(píng)估模塊用于存儲(chǔ)數(shù)據(jù)采集模塊產(chǎn)生的異常模式和正常行為的輪廓，并對(duì)規(guī)則、算法的閾值或參數(shù)進(jìn)行修訂；

響應(yīng)模塊，根據(jù)數(shù)據(jù)差異性分析的結(jié)果，當(dāng)檢測(cè)到符合入侵行為規(guī)則的數(shù)據(jù)，發(fā)出報(bào)警信息。

作為優(yōu)選的技術(shù)方案，所述數(shù)據(jù)采集模塊包括探測(cè)器、數(shù)據(jù)接收器和SNMP網(wǎng)絡(luò)管理系統(tǒng)，所述探測(cè)器截獲并讀取位于OSI協(xié)議模型中各個(gè)協(xié)議層上的數(shù)據(jù)包，所述數(shù)據(jù)接收器獲取及接收目的IP地址不是本地主機(jī)的數(shù)據(jù)包，所述SNMP網(wǎng)絡(luò)管理系統(tǒng)通過輪詢的方式獲取網(wǎng)絡(luò)數(shù)據(jù)。

作為優(yōu)選的技術(shù)方案，所述規(guī)則庫(kù)包括入侵行為規(guī)則庫(kù)和正常行為規(guī)則庫(kù)。

作為優(yōu)選的技術(shù)方案，所述規(guī)則評(píng)估模塊包括特征規(guī)則庫(kù)和知識(shí)庫(kù)，所述特征規(guī)則庫(kù)用于存放由PSO-based K-means算法進(jìn)行數(shù)據(jù)挖掘提取出的正常模式和異常模式的輪廓，所述知識(shí)庫(kù)用于存放用于與數(shù)據(jù)進(jìn)行匹配的正常模式和異常模式的輪廓。

一種網(wǎng)絡(luò)入侵檢測(cè)的方法，包括以下步驟：

截獲并閱讀位于OSI協(xié)議模型中各個(gè)協(xié)議層上的數(shù)據(jù)包，接收并篩選目的IP地址不是本地主機(jī)的數(shù)據(jù)包，獲取網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)；

對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，將數(shù)據(jù)轉(zhuǎn)化成適合PSO-based K-means算法運(yùn)算的格式；