本发明专利技术涉及入侵检测系统,具体涉及一种以Oracle为核心的基于数据挖掘入侵检测系统,包括数据感知器模块、ETL模块、数据仓库模块、模型生成和分布模块、入侵检测模块和数据可视化模块,本发明专利技术首次实现了数据转换和存储、模型生成和发布、入侵检测和报警都是在Oracle数据库中实现,将实时检测和离线检测统一起来,保证了数据的安全性、同质性和系统响应时间,实现了模型生成——模型存储——模型更新——检测报警的集成化,解决了目前非以数据库为核心系统存在的问题,有助于提升整个网络的安全性。
【技术实现步骤摘要】
本专利技术涉及入侵检测系统,具体涉及一种以Oracle为核心的基于数据挖掘入侵检 测系统。
技术介绍
网络安全已经成为社会安全的重要组成部分,网络入侵检测系统(Intrusion Detection System,以下简称IDS)在保护政府和企业信息安全方面起着关键性的作用,当 今世界各种网络攻击行为发生次数频繁,新的攻击模式层出不穷,20 13年B2B International和卡巴斯基实验室进行的调查表明:在过去一年中,91%的被访企业曾遭受 过至少一次网络攻击,9%的企业遭受过精心设计的针对性攻击,出现了以Icfog攻击为代 表的游击式攻击。社会对网络入侵检测系统的要求不断提高。 近年来,基于数据挖掘(机器学习)的IDS被证实在攻击行为识别方面具有高准确 性,对于未知攻击类型具有较好的泛化能力,对网络环境变化具有一定的鲁棒性。当前,设 计实现高质量的应用系统面临着巨大的挑战,数据转换、模型实现和分布式检测都面临复 杂的工程性问题,如检测数据难以存储分析以及需要添加额外的数据库设施。 为了解决上述问题,需要一种新型的IDS,系统必须能够具有可靠性、可扩展性、自 主学习性,并且易于管理,具有较低的维护成本等优点。
技术实现思路
本专利技术主要针对现有技术的不足,提供一种以Oracle为核心的基于数据挖掘入侵 检测系统,能够提高IDS的安全性、可靠性、可扩展性、自主学习性,使整个系统更容易实施 和管理。 本专利技术采用如下技术方案: -种以Oracle为核心的基于数据挖掘入侵检测系统,包括数据感知器模块、ETL模 块、数据仓库模块、模型生成和分布模块、入侵检测模块和数据可视化模块,数据感知器模 块包括网络数据感知器和主机信息感知器,用于搜集各种类型的数据流信息;ETL模块用于 对数据感知器提交的数据进行预处理、特征向量的提取和数据的转化;数据仓库模块包括 检测数据数据库和模型数据库,检测数据数据库用于存储来自各种数据源的数据,模型数 据库主要用于存储检测模型;模型生成和分布模块,用于进行异常检测和误用检测;入侵检 测模块,分为实时检测和离线检测;数据可视化模块,分为实时报警模块和报表分析模块, 实时报警模块实现恶意行为和异常行为的实时报警,报表分析模块实现结果分析、统计、报 表和图表功能。 优选地,数据流信息包括网络流量数据、主机系统日志、系统进程调用,CPU和内存 的使用情况。 优选地,ETL模块主要由SQL和用户定义的函数实现, 优选地,实时检测通过Oracle数据库中ETL实时数据进行检测,通过SQL将数据直 接交付给模型进行检测。 优选地,离线检测是对数据仓库中的存储的数据进行分析检测,实现模型性能评 估、恶意行为数量和类型分析和帮助分析异常行为模式。 优选地,实时报警模块是利用Oracle数据库触发器激发各种预定义的警报,被检 测到的入侵行为类型、时间、地址等相关信息提交至指定的表中,并在浏览器GUI中进行实 时通知,或根据预案进行自动处理。 优选地,报表分析模块利用Discoverer、Oracle report工具对模型和检测结果进 行查询和可视化实现。 与现有技术相比,本专利技术具有如下有益效果: 1、构建以〇racle数据库为核心的入侵检测系统是首创,根据〇 racle提出的体系结 构,自主实现原型和应用系统。 2、首次实现了数据转换一数据存储集成化,数据转换和数据存储都由Oracle DBMS实现,保证了数据的安全性、同质性和系统响应时间。 3、实现了模型生成一模型存储一模型更新的集成化,在Oracle及其相关组件的实 现模型生成和存储,在〇rac 1 e平台上开发实现模型的自主学习和更新功能。 4、非常便捷地实现了模型的分布式处理,利用Orac 1 e RAC实现服务器集群,实现 资源共享大幅度提高系统的灵活性、可扩展性和性能。 5、实现实时检测和离线检测一体化,通过Oracle强大的数据存储能力实现离线检 测,完成模型性能评估、恶意行为数量和类型分析和帮助我们分析异常行为模式。 6、报警机制和分析报表实现可视化,利用Oracle相关组件能够方便地实现可视化 功能。 7、能够为日后进行大数据分析奠定基础,从而解决目前非以数据库为核心系统存 在的问题,有助于提升整个网络的安全性。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员来 讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术系统组成示意图; 图2是本专利技术系统组成局部放大图; 图3是本专利技术数据感知器模块系统整体流程图; 图4是本专利技术降维和没有降维的数据处理示意图;图5是本专利技术修改后的KDD'99数据图;【具体实施方式】为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例 中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。基于本专利技术中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发 明保护的范围。 一种以Oracle为核心的基于数据挖掘入侵检测系统,如图1所示,包括数据感知器 模块、ETL模块、数据仓库模块、模型生成和分布模块、入侵检测模块和数据可视化模块,数 据感知器模块包括网络数据感知器和主机信息感知器,用于搜集各种类型的数据流信息; ETL模块用于对数据感知器提交的数据进行预处理、特征向量的提取和数据的转化;数据仓 库模块包括检测数据数据库和模型数据库,检测数据数据库用于存储来自各种数据源的数 据,模型数据库主要用于存储检测模型;模型生成和分布模块,用于进行异常检测和误用检 测;入侵检测模块,分为实时检测和离线检测;数据可视化模块,分为实时报警模块和报表 分析模块,实时报警模块实现恶意行为和异常行为的实时报警,报表分析模块实现结果分 析、统计、报表和图表功能。 工作原理:数据感知器首先通过自主编写的C++程序搜集各种类型的数据流信息, 包括网络流量数据、主机系统日志、系统进程调用,CPU和内存的使用情况,并将数据提交给 Oracle DBMS进一步处理;ETL模块对数据感知器提交的数据进行预处理、特征向量的提取 和数据的转化(数据归一),以便数据挖掘模型对其分类判断;数据仓库的数据经过ETL模块 处理后,可直接用于模型分析,包括模型库、检测数据库、利用数据库视图和实体化视图构 成数据仓库;检测模型是整个系统的核心模块,利用基于数据挖掘技术的检测模型进行异 常检测和误用检测,主要的技术包括关联规则、集簇分析、支持向量机和决策树,利用 Oracle中集成的高效稳定的数据挖掘工具对数据仓库中的数据生成模型以及利用SVM、 Decision Tree实现检测模型,DARPA入侵检测数据集(KDD'99)作为训练样本,通过当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种以Oracle为核心的基于数据挖掘入侵检测系统,其特征在于:包括数据感知器模块、ETL模块、数据仓库模块、模型生成和分布模块、入侵检测模块和数据可视化模块,所述数据感知器模块包括网络数据感知器和主机信息感知器,用于搜集各种类型的数据流信息;所述ETL模块用于对数据感知器提交的数据进行预处理、特征向量的提取和数据的转化;所述数据仓库模块包括检测数据数据库和模型数据库,检测数据数据库用于存储来自各种数据源的数据,模型数据库主要用于存储检测模型;所述模型生成和分布模块,用于进行异常检测和误用检测;所述入侵检测模块,分为实时检测和离线检测;所述数据可视化模块,分为实时报警模块和报表分析模块,实时报警模块实现恶意行为和异常行为的实时报警,报表分析模块实现结果分析、统计、报表和图表功能。
【技术特征摘要】
【专利技术属性】
技术研发人员:张帆,冉祥金,尚燕京,魏昌兴,张丰,
申请(专利权)人:吉林大学,
类型:发明
国别省市:吉林;22
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。