一种基于相关特征聚类的层次入侵检测系统技术方案

一种基于相关特征聚类的层次入侵检测系统，包括： 用于配置系统中的各个部件，并了解和控制各部件运行情况的控制台； 用于收集网络上的网络数据包的数据收集模块； 用于将数据收集模块收集到的二进制原始网络数据转换成ＡＳＣⅡ格式的连接数据，并根据网络数据包的报头提取能够描述连接信息的特征的预处理模块； 用于存放由预处理模块得到的、包括初始化阶段的初始化数据集和检测阶段的待测试数据集以及其他需要存储的数据的数据存储模块； 用于分析数据存储模块中的初始化数据，得到攻击的行为轮廓和攻击检测规则集合的事件分析模块；在事件分析模块中包括有依据攻击检测规则集合对测试数据流进行检测，判断是否发生攻击并报告该攻击类型的攻击检测器； 用于根据控制台的配置策略及攻击检测器的检测结果产生相应动作的响应模块； 用于实现本系统与其他网络设备之间的通信和数据交换的通信模块； 其特征在于：所述的事件分析模块中还包括： 用于分析处理数据存储模块中存储的初始化数据，对其中的每种攻击计算其相关特征，并将该攻击的各种相关特征编码为相关特征码字的相关特征分析器； 用于对攻击的相关特征码字进行聚类处理，并根据其结果对初始化数据集重新组织后，得到以大类标志作为类别标签的新的初始化数据集，并存储在对应存储器中的数据重组器； 用于对重组后的带有大类类别标签的初始化数据集进行分析，提取攻击大类的行为轮廓，并将其以规则集形式表示的大类轮廓分析器。（*该技术在2023年保护过期，可自由使用*）

【技术实现步骤摘要】

本专利技术涉及一种用于计算机网络安全的基于相关特征聚类的层次入侵检测系统，属于网络信息安全
入侵检测系统的功能是收集网络数据，对网络攻击进行检测，并将检测结果报告给网络管理员，通过防火墙等其他网络设备采取相应的响应动作，或者在入侵检测系统中嵌入响应部件，由入侵检测系统自身执行相应的响应动作。附图说明图1(A)、(B)分别展示了入侵检测系统在网络中的两种设置形式分接头(Tap)形式和直连(In-line)形式。目前，评价一个入侵检测系统检测性能的指标主要有两项A.检测概率正确检测到的攻击数与攻击总数之比；B.虚警概率正常行为被入侵检测系统错误地判决为攻击的数目与正常行为总数之比。通常，一个好的入侵检测系统应该具有较高的检测概率和较低的虚警概率。也就是说，该入侵检测系统能够检测到绝大多数的攻击，而且，尽可能少地把正常行为错判为攻击。从检测技术的角度上，入侵检测可以分为“误用检测”和“异常检测”两大类。由于本专利技术系统只涉及误用检测，因此这里也只介绍误用检测。参见图2和图3，目前的误用检测系统一般由两个阶段组成初始化(即得到检测器中检测规则集)阶段和检测阶段。在初始化阶段，本文档来自技高网...

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：邹涛，田新广，
申请(专利权)人：北京首信股份有限公司，
类型：发明
国别省市：