一种混合入侵检测系统及方法技术方案

技术编号:21777457 阅读:34 留言:0更新日期:2019-08-03 23:16
本发明专利技术公开了一种混合入侵检测系统及方法,采用基于网络行为的两层混合入侵检测方式,第一异常检测模块作为第一检测阶段,第二异常检测模块和误用检测模块作为第二检测阶段,利用两个检测阶段紧密配合,第二检测阶段的两个检测模块对第一检测阶段的检测模块的检测结果进行二次识别,进而识别出第一检测阶段的检测结果中存在的误报和漏报情况,进一步提升了整体入侵检测的准确率。

A Hybrid Intrusion Detection System and Method

【技术实现步骤摘要】
一种混合入侵检测系统及方法
本专利技术涉及网络安全领域,特别是涉及一种混合入侵检测系统及方法。
技术介绍
入侵检测是指对已经实施、正在实施或试图实施的入侵行为的发现和识别,即收集系统与网络中的诸多关键点信息(行为特征),并利用一定手段处理这些信息,以此判定是否受到攻击以及是否背离了现有安全策略。传统的入侵检测技术一般采用误用入侵检测与异常入侵检测两种处理方法。误用入侵检测是先将所有可能发生的不利的、不可接受的行为归纳建立一个模型,凡是符合这个模型的访问行为将被判定为入侵;异常入侵检测则是先构建一个正常访问行为的系统模型,凡是不符合这个模型的访问将判定为入侵。误用入侵检测能够检测出绝大部分已知的入侵行为,但对于未知的入侵行为或已知入侵方法的变异却难以检测出来,并且把入侵活动用模式来描述也非常困难,而且很难检测出内部用户的攻击或误用;而异常入侵检测尽管具有检测未知入侵的能力,但其实际应用中误检率和漏检率较高,严重影响入侵检测结果。
技术实现思路
本专利技术提供一种混合入侵检测系统及方法,用以解决现有技术的入侵检测算法检测准确率较低,影响入侵检测结果的问题。为解决上述技术问题,一方面,本专利技术提供一种混合入侵检测系统,包括:第一异常检测模块,用于检测网络行为是否为异常行为,并输出第一检测结果;第二异常检测模块,用于在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;误用检测模块,用于在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。进一步,所述第一异常检测模块,具体用于:建立正常行为模型;根据上述正常行为模型检测所述网络行为是否为异常行为。进一步,所述第二异常检测模块,具体用于:根据K邻近分类算法检测所述网络行为是否为异常行为;在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。进一步,所述误用检测模块,具体用于:根据预设时间段内用户的行为模式构建用户行为模式集;检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。进一步,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。另一方面,本专利技术还提供一种混合入侵检测方法,包括:S1,检测网络行为是否为异常行为,并输出第一检测结果,在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,执行步骤S2,在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,执行步骤S3;S2,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;S3,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。进一步,所述检测网络行为是否为异常行为,包括:建立正常行为模型;根据上述正常行为模型检测所述网络行为是否为异常行为。进一步,所述步骤S2,包括:根据K邻近分类算法检测所述网络行为是否为异常行为;在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。进一步,所述步骤S3,包括:根据预设时间段内用户的行为模式构建用户行为模式集;检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。进一步,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。本专利技术采用基于网络行为的两层混合入侵检测方式,第一异常检测模块作为第一检测阶段,第二异常检测模块和误用检测模块作为第二检测阶段,利用两个检测阶段紧密配合,第二检测阶段的两个检测模块对第一检测阶段的检测模块的检测结果进行二次识别,进而识别出第一检测阶段的检测结果中存在的误报和漏报情况,进一步提升了整体入侵检测的准确率。附图说明图1是本专利技术第一实施例中混合入侵检测系统的结构示意图;图2是本专利技术第二实施例中混合入侵检测方法的流程图。具体实施方式为了解决现有技术的入侵检测算法检测准确率较低,影响入侵检测结果的问题,本专利技术提供了一种混合入侵检测系统及方法,以下结合附图以及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不限定本专利技术。本专利技术的第一实施例提供了一种混合入侵检测系统,其结构示意图如图1所示,主要包括:第一异常检测模块100,用于检测网络行为是否为异常行为,并输出第一检测结果;第二异常检测模块200,与第一异常检测模块100耦合,用于在第一异常检测模块输出的第一检测结果为异常行为的情况下,检测第一异常检测模块输出的第一检测结果是否为误报,在第一异常检测模块输出的第一检测结果是误报的情况下,输出网络行为为正常行为的第二检测结果,在第一异常检测模块输出的第一检测结果不是误报的情况下,输出网络行为为异常行为的第二检测结果;误用检测模块300,与第一异常检测模块100耦合,用于在第一异常检测模块输出的第一检测结果为正常行为的情况下,检测网络行为是否为与正常行为相似的异常行为,在网络行为是与正常行为相似的异常行为的情况下,输出网络行为为异常行为的第三检测结果,在网络行为不是与正常行为相似的异常行为的情况下,输出网络行为为正常行本文档来自技高网...

【技术保护点】
1.一种混合入侵检测系统,其特征在于,包括:第一异常检测模块,用于检测网络行为是否为异常行为,并输出第一检测结果;第二异常检测模块,用于在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;误用检测模块,用于在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。

【技术特征摘要】
1.一种混合入侵检测系统,其特征在于,包括:第一异常检测模块,用于检测网络行为是否为异常行为,并输出第一检测结果;第二异常检测模块,用于在所述第一异常检测模块输出的第一检测结果为异常行为的情况下,检测所述第一异常检测模块输出的第一检测结果是否为误报,在所述第一异常检测模块输出的第一检测结果是误报的情况下,输出所述网络行为为正常行为的第二检测结果,在所述第一异常检测模块输出的第一检测结果不是误报的情况下,输出所述网络行为为异常行为的第二检测结果;误用检测模块,用于在所述第一异常检测模块输出的第一检测结果为正常行为的情况下,检测所述网络行为是否为与正常行为相似的异常行为,在所述网络行为是与正常行为相似的异常行为的情况下,输出所述网络行为为异常行为的第三检测结果,在所述网络行为不是与正常行为相似的异常行为的情况下,输出所述网络行为为正常行为的第三检测结果。2.如权利要求1所述的混合入侵检测系统,其特征在于,所述第一异常检测模块,具体用于:建立正常行为模型;根据上述正常行为模型检测所述网络行为是否为异常行为。3.如权利要求1所述的混合入侵检测系统,其特征在于,所述第二异常检测模块,具体用于:根据K邻近分类算法检测所述网络行为是否为异常行为;在所述网络行为为正常行为的情况下,所述第一异常检测模块输出的第一检测结果是误报,输出所述网络行为为正常行为的第二检测结果;在所述网络行为为异常行为的情况下,所述一异常检测模块输出的第一检测结果不是误报,输出所述网络行为为异常行为的第二检测结果。4.如权利要求1所述的混合入侵检测系统,其特征在于,所述误用检测模块,具体用于:根据预设时间段内用户的行为模式构建用户行为模式集;检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式;在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为不是与正常行为相似的异常行为,输出所述网络行为为正常行为的第三检测结果;在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下,所述网络行为是与正常行为相似的异常行为,输出所述网络行为为异常行为的第三检测结果。5.如权利要求1至4中任一项所述的混合入侵检测系统,其特征在于,所述网络行为至少包括以下之一:网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、...

【专利技术属性】
技术研发人员:雷璟
申请(专利权)人:中国电子科技集团公司电子科学研究院
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1