亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)的制作方法

文檔序號:7728252閱讀:303來源:國知局

專利名稱::一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)的制作方法
技術(shù)領(lǐng)域
:本實(shí)用新型涉及網(wǎng)絡(luò)攻擊檢測技術(shù),尤其涉及一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)。
背景技術(shù)
:為避免連接到因特網(wǎng)中的個(gè)人計(jì)算機(jī)遭受到入侵和攻擊而使得計(jì)算機(jī)上的信息安全受到侵害,人們在網(wǎng)絡(luò)上采用了防火墻技術(shù),或者進(jìn)一步使用了網(wǎng)絡(luò)入侵/攻擊檢測系統(tǒng).但目前的網(wǎng)絡(luò)入侵/攻擊檢測系統(tǒng)普遍存在一下問題對網(wǎng)絡(luò)攻擊的檢測要么誤報(bào)率高(即把網(wǎng)絡(luò)正常通訊誤判為攻擊),要么漏報(bào)率高(即把網(wǎng)絡(luò)攻擊誤判為正常通訊),使得在實(shí)際應(yīng)用中網(wǎng)絡(luò)入侵檢測系統(tǒng)的使用效果不夠理想。-種能夠提高對網(wǎng)絡(luò)攻擊行為-種級聯(lián)融合式網(wǎng)絡(luò)入侵檢領(lǐng)
實(shí)用新型內(nèi)容本實(shí)用新型實(shí)施例所要解決的技術(shù)問題在于,提供-檢測的準(zhǔn)確率的級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)。為了解決上述技術(shù)問題,本實(shí)用新型實(shí)施例提供了-系統(tǒng),其包括網(wǎng)絡(luò)連接特征提取模塊,用于在互聯(lián)網(wǎng)層和傳輸層對數(shù)據(jù)報(bào)進(jìn)行連接分析,按照不同的服務(wù)分別提取網(wǎng)絡(luò)連接特征;級聯(lián)分類器,用于對所述提取出的網(wǎng)絡(luò)連接特征進(jìn)行分類判斷,判斷網(wǎng)絡(luò)連接是否正常,輸出判斷結(jié)果;數(shù)據(jù)報(bào)內(nèi)容特征提取模塊,用于對傳輸層的數(shù)據(jù)報(bào)做應(yīng)用層解析,提取數(shù)據(jù)報(bào)的內(nèi)容特征;單級并聯(lián)分類器,用于對所述內(nèi)容特征進(jìn)行分類判斷,以判斷數(shù)據(jù)報(bào)中的內(nèi)容有無包含特定的網(wǎng)絡(luò)攻擊行為,輸出判斷結(jié)果;融合判斷分類器,用于根據(jù)所述級聯(lián)分類器輸出的判斷結(jié)果和所述單級并聯(lián)分類器輸出的判斷結(jié)果,進(jìn)行最終判定是否有網(wǎng)絡(luò)入侵行為。具體地,所述網(wǎng)絡(luò)連接特征包括但不限定于以下統(tǒng)計(jì)值在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)的連接數(shù)目、在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同-在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同--主機(jī)且具有SYN錯(cuò)誤標(biāo)記的連接數(shù)目、-主機(jī)且具有REJ錯(cuò)誤標(biāo)記的連接數(shù)目、-主機(jī)且具有同一服務(wù)的連接數(shù)目、-主機(jī)且具有不同一服務(wù)的連接數(shù)目、-服務(wù)的連接數(shù)目、-服務(wù)且具有SYN錯(cuò)誤標(biāo)記的連接數(shù)目、-服務(wù)且具有REJ錯(cuò)誤標(biāo)記的連接數(shù)目、-服務(wù)且與不同主機(jī)相連的連接數(shù)目、[0020]在一段時(shí)間內(nèi)來自同一主機(jī)的連接數(shù)目、在一段時(shí)間內(nèi)來自同一主機(jī)且具有同一服務(wù)的連接數(shù)目、在一段時(shí)間內(nèi)來自同一主機(jī)且具有不同服務(wù)的連接數(shù)目。所述數(shù)據(jù)報(bào)內(nèi)容特征包括但不限定于以下特征值協(xié)議類型、服務(wù)類型、從源機(jī)發(fā)往目標(biāo)機(jī)的數(shù)據(jù)字節(jié)數(shù)目、從目標(biāo)機(jī)發(fā)往源機(jī)的數(shù)據(jù)字節(jié)數(shù)目、連接是正常抑或是異常的標(biāo)記、連接是否來自或發(fā)往同一主機(jī)或端口的標(biāo)記、錯(cuò)誤的分片數(shù)目、緊急分片數(shù)目、登陸失敗的嘗試數(shù)目、是否成功登陸標(biāo)記、處于妥協(xié)狀態(tài)的數(shù)目、是否獲得rootshell的標(biāo)記、進(jìn)入root的次數(shù)、執(zhí)行生成文件操作的次數(shù)、發(fā)生shell提示的次數(shù)、發(fā)生試圖操作受控文件的次數(shù)、登陸屬性標(biāo)記。所述級聯(lián)分類器包括但不限定于電子郵件狀態(tài)分類器、服務(wù)器狀態(tài)分類器、遠(yuǎn)程登陸狀態(tài)分類器。所述單級并聯(lián)分類器包括但不限定于人工神經(jīng)網(wǎng)絡(luò)分類器、貝葉斯分類器、最近鄰分類器、SVM分類器、基于隨機(jī)方法的分類器、基于判定樹的分類器、基于聚類的分類器。本實(shí)用新型利用事先訓(xùn)練好的分類器分別對提取的網(wǎng)絡(luò)連接特征和數(shù)據(jù)報(bào)內(nèi)容特征進(jìn)行雙重分類解析判斷,大大提高了對網(wǎng)絡(luò)攻擊行為檢測的準(zhǔn)確率。圖1是本實(shí)用新型實(shí)施例一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)的整體結(jié)構(gòu)框圖;圖2是本實(shí)用新型實(shí)施例一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)的詳細(xì)示意圖;圖3是本實(shí)用新型一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng)在一具體實(shí)施例中的示意圖。具體實(shí)施方式為使本實(shí)用新型的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本實(shí)用新型作進(jìn)一步地詳細(xì)描述。參照圖l,本實(shí)用新型一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng),其包括網(wǎng)絡(luò)連接特征提取模塊ll,用于在互聯(lián)網(wǎng)層和傳輸層對數(shù)據(jù)報(bào)進(jìn)行連接分析,按照不同的服務(wù)分別提取網(wǎng)絡(luò)連接特征;級聯(lián)分類器12,用于對所述提取出的網(wǎng)絡(luò)連接特征進(jìn)行分類判斷,判斷網(wǎng)絡(luò)連接是否正常,輸出判斷結(jié)果;數(shù)據(jù)報(bào)內(nèi)容特征提取模塊21,用于對傳輸層的數(shù)據(jù)報(bào)做應(yīng)用層解析,提取數(shù)據(jù)報(bào)的內(nèi)容特征;單級并聯(lián)分類器22,用于對所述內(nèi)容特征進(jìn)行分類判斷,以判斷數(shù)據(jù)報(bào)中的內(nèi)容有無包含特定的網(wǎng)絡(luò)攻擊行為,輸出判斷結(jié)果;融合判斷分類器3,用于根據(jù)所述級聯(lián)分類器輸出的判斷結(jié)果和所述單級并聯(lián)分類器輸出的判斷結(jié)果,進(jìn)行最終判定是否有網(wǎng)絡(luò)入侵行為。具體地,所述網(wǎng)絡(luò)連接特征包括但不限定于以下統(tǒng)計(jì)值(參考表1):在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)的連接數(shù)目、在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有SYN錯(cuò)誤標(biāo)記的連接數(shù)目、[0041]在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有REJ錯(cuò)誤標(biāo)記的連接數(shù)目在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有同一服務(wù)的連接數(shù)目、在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有不同一服務(wù)的連接數(shù)目、在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)的連接數(shù)目、在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)且具有SYN錯(cuò)誤標(biāo)記的連接數(shù)目在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)且具有REJ錯(cuò)誤標(biāo)記的連接數(shù)目在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)且與不同主機(jī)相連的連接數(shù)目、在一段時(shí)間內(nèi)來自同一主機(jī)的連接數(shù)目、在一段時(shí)間內(nèi)來自同一主機(jī)且具有同一服務(wù)的連接數(shù)目、在一段時(shí)間內(nèi)來自同一主機(jī)且具有不同服務(wù)的連接數(shù)目。表l特征名稱描述count在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)的連接數(shù)目ssrror在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有SYN錯(cuò)誤標(biāo)記的連接數(shù)目rerror在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有REJ錯(cuò)誤標(biāo)記的連接數(shù)目Same—srv在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有同一服務(wù)的連接數(shù)目Diff—srv在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一主機(jī)且具有不同一服務(wù)的連接數(shù)目Srv—count在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)的連接數(shù)目Srv—ssrror在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)且具有SYN錯(cuò)誤標(biāo)記的連接數(shù)目Srv—rerror在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)且具有REJ錯(cuò)誤標(biāo)記的連接數(shù)目Srv—diff—host在過去一段時(shí)間內(nèi)與現(xiàn)行連接為同一服務(wù)且與不同主機(jī)相連的連接數(shù)目Dst—host—count在一段時(shí)間內(nèi)來自同一主機(jī)的連接數(shù)目Dst—host—srv—count在一段時(shí)間內(nèi)來自同一主機(jī)且具有同一服務(wù)的連接數(shù)目5<table>tableseeoriginaldocumentpage6</column></row><table>所述數(shù)據(jù)報(bào)內(nèi)容特征是從以下特征值中選取的(參考表2):但不限定于以下特征值,協(xié)議類型、服務(wù)類型、從源機(jī)發(fā)往目標(biāo)機(jī)的數(shù)據(jù)字節(jié)數(shù)目、從目標(biāo)機(jī)發(fā)往源機(jī)的數(shù)據(jù)字節(jié)數(shù)目、連接是正常抑或是異常的標(biāo)記、連接是否來自或發(fā)往同一主機(jī)或端口的標(biāo)記、錯(cuò)誤的分片數(shù)目、緊急分片數(shù)目、登陸失敗的嘗試數(shù)目、是否成功登陸標(biāo)記、處于妥協(xié)狀態(tài)的數(shù)目、是否獲得rootshell的標(biāo)記、進(jìn)入root的次數(shù)、執(zhí)行生成文件操作的次數(shù)、發(fā)生shell提示的次數(shù)、發(fā)生試圖操作受控文件的次數(shù)、登陸屬性標(biāo)記。表2<table>tableseeoriginaldocumentpage6</column></row><table>特征名稱描述num—file—creations執(zhí)行生成文件操作的次數(shù)num—shells發(fā)生shell提示的次數(shù)num—acess—files發(fā)生試圖操作受控文件的次數(shù)is—guest—login如果登錄是〃guest〃性質(zhì)則置1,否則置0參考圖2和圖3,所述級聯(lián)分類器包括不同服務(wù)的分類器比如電子郵件狀態(tài)分類器、服務(wù)器狀態(tài)分類器、遠(yuǎn)程登陸狀態(tài)分類器等;所述單級并聯(lián)分類器可選取人工神經(jīng)網(wǎng)絡(luò)分類器,但不限定于此;還可以選擇貝葉斯分類器、最近鄰分類器、SVM分類器、基于隨機(jī)方法的分類器、基于判定樹的分類器、基于聚類的分類器;可以檢測出不同類型的網(wǎng)路入侵行為,包括蠕蟲攻擊分類器、R2L攻擊分類器、U2R攻擊分類器等。由于本實(shí)用新型的檢測系統(tǒng)利用事先訓(xùn)練好的級聯(lián)分類器和單級并聯(lián)分類器分別對提取的網(wǎng)絡(luò)連接特征和數(shù)據(jù)報(bào)內(nèi)容特征進(jìn)行雙重分類解析判斷,大大提高了對網(wǎng)絡(luò)攻擊行為檢測的準(zhǔn)確率。以上所揭露的僅為本實(shí)用新型一種較佳實(shí)施例而已,當(dāng)然不能以此來限定本實(shí)用新型之權(quán)利范圍,因此依本實(shí)用新型權(quán)利要求所作的等同變化,仍屬本實(shí)用新型所涵蓋的范圍。權(quán)利要求一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng),其特征在于包括網(wǎng)絡(luò)連接特征提取模塊,用于在互聯(lián)網(wǎng)層和傳輸層對數(shù)據(jù)報(bào)進(jìn)行連接分析,按照不同的服務(wù)分別提取網(wǎng)絡(luò)連接特征;級聯(lián)分類器,用于對所述提取出的網(wǎng)絡(luò)連接特征進(jìn)行分類判斷,判斷網(wǎng)絡(luò)連接是否正常,輸出判斷結(jié)果;數(shù)據(jù)報(bào)內(nèi)容特征提取模塊,用于對傳輸層的數(shù)據(jù)報(bào)做應(yīng)用層解析,提取數(shù)據(jù)報(bào)的內(nèi)容特征;單級并聯(lián)分類器,用于對所述內(nèi)容特征進(jìn)行分類判斷,以判斷數(shù)據(jù)報(bào)中的內(nèi)容有無包含特定的網(wǎng)絡(luò)攻擊行為,輸出判斷結(jié)果;融合判斷分類器,用于根據(jù)所述級聯(lián)分類器輸出的判斷結(jié)果和所述單級并聯(lián)分類器輸出的判斷結(jié)果,進(jìn)行最終判定是否有網(wǎng)絡(luò)入侵行為。2.如權(quán)利要求1所述的級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng),其特征在于,所述級聯(lián)分類器包括電子郵件狀態(tài)分類器、服務(wù)器狀態(tài)分類器、遠(yuǎn)程登陸狀態(tài)分類器。3.如權(quán)利要求2所述的級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng),其特征在于,所述單級并聯(lián)分類器包括人工神經(jīng)網(wǎng)絡(luò)分類器、貝葉斯分類器、最近鄰分類器、SVM分類器、基于隨機(jī)方法的分類器、基于判定樹的分類器、基于聚類的分類器。專利摘要本實(shí)用新型公開了一種級聯(lián)融合式網(wǎng)絡(luò)入侵檢測系統(tǒng),其包括網(wǎng)絡(luò)連接特征提取模塊,用于在互聯(lián)網(wǎng)層和傳輸層對數(shù)據(jù)報(bào)進(jìn)行連接分析,按照不同的服務(wù)分別提取網(wǎng)絡(luò)連接特征;級聯(lián)分類器,用于對所述提取出的網(wǎng)絡(luò)連接特征進(jìn)行分類判斷,判斷網(wǎng)絡(luò)連接是否正常,輸出判斷結(jié)果;數(shù)據(jù)報(bào)內(nèi)容特征提取模塊,用于對傳輸層的數(shù)據(jù)報(bào)做應(yīng)用層解析,提取數(shù)據(jù)報(bào)的內(nèi)容特征;單級并聯(lián)分類器,用于對所述內(nèi)容特征進(jìn)行分類判斷,以判斷數(shù)據(jù)報(bào)中的內(nèi)容有無包含特定的網(wǎng)絡(luò)攻擊行為,輸出判斷結(jié)果;融合判斷分類器,用于根據(jù)所述級聯(lián)分類器輸出的判斷結(jié)果和所述單級并聯(lián)分類器輸出的判斷結(jié)果,進(jìn)行最終判定是否有網(wǎng)絡(luò)入侵行為。本實(shí)用新型大大提高了網(wǎng)絡(luò)攻擊檢測的準(zhǔn)確率。文檔編號H04L29/06GK201515393SQ20092015313公開日2010年6月23日申請日期2009年6月23日優(yōu)先權(quán)日2009年6月23日發(fā)明者張地,韓子天申請人:天網(wǎng)資訊科技(澳門)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1