一种网络安全入侵检测系统及检测方法技术方案

本发明专利技术公开了一种网络安全入侵检测系统及检测方法，涉及网络安全技术领域，用于解决现有的网络安全入侵检测系统只能够对特定或者持续的入侵行为进行拦截，具有较高的误报率，而且该网络安全入侵检测系统不能对入侵终端进行限制，导致入侵终端能够再次简单的入侵，造成严重损失的问题；该网络安全入侵检测系统通过对子节点进行网络连接的传输终端进行多级判断并筛选，通过波动值、入侵系数对传输终端进行准确判断，判断其是否为入侵访问终端，避免该入侵访问终端对网络安全造成不利影响，而且通过安全防护模块对入侵访问终端、监测访问终端进行限制，避免入侵访问终端再次入侵，保证数据安全。保证数据安全。保证数据安全。

【技术实现步骤摘要】
一种网络安全入侵检测系统及检测方法


[0001]本专利技术涉及网络安全
，具体涉及一种网络安全入侵检测系统及检测方法。

技术介绍

[0002]随着计算机技术和Internet的迅速发展，和近几年网络信息安全事件的频繁发生，网络信息安全问题逐渐渗透到各个行业领域，成为人们关注的焦点。为了提前预防安全事件的发生，避免损失，网络安全入侵检测成为了解网络安全性能的关键环节。
[0003]申请号为CN201910331663.4的专利公开了一种网络安全入侵检测系统及方法，将挖掘L
‑
1频繁项集子程序均改为当前pref l x参数；然后记录Prefi x之后的元素信息，查找以当前Pref ix长度增加1的序列为前缀的频繁序列。如当前Pref ix为nu l l，则本次直接对原始序列数据库进行挖掘；如当前Prefi x为非空，则对影数据库进行挖掘，扫描原始序列，对库中的每个序列先匹配Prefix。本专利技术基于数据挖掘的分数阶微积分算法对网络安全；提出了数据挖掘经典算法和分数阶微积分算法及其改进，并结合网络安全特点，将提出算法应用于网络安全入侵检测中，并验证算法在改进后效率得到提高，但是该网络安全入侵检测系统只能够对特定或者持续的入侵行为进行拦截，具有较高的误报率，而且该网络安全入侵检测系统不能对入侵终端进行限制，导致入侵终端能够再次简单的入侵，造成严重损失。

技术实现思路

[0004]为了克服上述的技术问题，本专利技术的目的在于提供一种网络安全入侵检测系统及检测方法，通过数据存储模块将子节点与传输终端进行网络连接，并将终端信息发送至数据采集模块，通过数据采集模块采集传输终端与子节点连接时单位时间的流量消耗的数值，获得流量参数，数据分析模块根据流量参数获得波动值，将传输终端划分为合格访问终端和检测访问终端，之后利用数据采集模块采集数据参数，数据分析模块根据数据参数获得入侵系数，将检测访问终端划分为入侵访问终端和监测访问终端，最后通过安全防护模块对入侵访问终端、监测访问终端与子节点之间的连接进行限制，解决了现有的网络安全入侵检测系统只能够对特定或者持续的入侵行为进行拦截，具有较高的误报率，而且该网络安全入侵检测系统不能对入侵终端进行限制，导致入侵终端能够再次简单的入侵，造成严重损失的问题。
[0005]本专利技术的目的可以通过以下技术方案实现：
[0006]一种网络安全入侵检测系统，包括数据存储模块、数据采集模块、数据分析模块、入侵检测平台以及安全防护模块；
[0007]其中：
[0008]所述数据存储模块用于将子节点与传输终端进行网络连接，并将终端信息发送至数据采集模块；
[0009]所述数据存储模块用于采集传输终端与子节点连接时单位时间的流量消耗的数值，获得流量值LZ和均流值JL，并将流量值LZ和均流值JL发送至数据分析模块，还用于采集储存在子节点内数据的数量差SC、容量差RC以及变化系数BX，并将数量差SC、容量差RC以及变化系数BX发送至数据分析模块；
[0010]所述数据分析模块用于根据流量值LZ和均流值JL获得波动值BZ，并将波动值BZ发送至入侵检测平台，还用于根据数量差SC、容量差RC以及变化系数BX获得入侵系数RX，并将入侵系数RX发送至入侵检测平台；
[0011]所述入侵检测平台用于根据波动值BZ将传输终端划分为合格访问终端和检测访问终端，并将检测访问终端发送至数据采集模块，还用于根据入侵系数RX将检测访问终端划分为入侵访问终端和监测访问终端，并将入侵访问终端、监测访问终端和入侵系数RX发送至安全防护模块；
[0012]所述安全防护模块用于对入侵访问终端、监测访问终端与子节点之间的连接进行限制。
[0013]作为本专利技术的一种优选实施方式，所述数据存储模块的工作过程如下：
[0014]在网络内设置若干个子节点，子节点用于储存和传输网络内的数据，并将子节点依次标记为i，i＝1、
……
、n，n为自然数；
[0015]传输终端通过账号密码进行验证，验证成功后与子节点进行数据连接，传输终端包括手机、电脑，获取与子节点数据连接的传输终端的终端信息，终端信息包括传输终端的ip地址和流量消耗的数值；
[0016]将终端信息发送至数据采集模块。
[0017]作为本专利技术的一种优选实施方式，所述数据采集模块的工作过程如下：
[0018]实时采集传输终端与子节点连接时单位时间的流量消耗的数值，并将其标记为流量值LZ；
[0019]采集同一传输终端的i p地址历史数据中单位时间的流量值LZ，并将所有的流量值LZ求和并求取平均值，得到均流值JL；
[0020]将流量值LZ、均流值JL发送至数据分析模块；
[0021]分别采集子节点与检测访问终端连接前后储存在子节点内的数据的数据储存数量、已用储存容量、数据信息，并将子节点与检测访问终端连接前的数据储存数量、已用储存容量、数据信息分别标记为前存数QC、前用量QY、前数据QS，将子节点与检测访问终端连接后的数据储存数量、已用储存容量、数据信息分别标记为后存数HC、后用量HY、后数据HS；
[0022]计算前存数QC、后存数HC之间的差值，获得数量差SC；计算前用量QY、后用量HY之间的差值，获得容量差RC；将前数据QS一一与后数据HS进行比对，若前数据QS与后数据HS相同，将相同的数据标记为未变数据，若前数据QS与后数据HS不相同，将不相同的数据标记为变化数据，将未变数据、变化数据的个数分别标记为未变数WB和变化数BH，将未变数WB和变化数BH代入公式得到变化系数BX；
[0023]将数量差SC、容量差RC以及变化系数BX发送至数据分析模块。
[0024]作为本专利技术的一种优选实施方式，所述数据分析模块的工作过程如下：
[0025]将流量值LZ、均流值JL代入公式得到波动值BZ；
[0026]将波动值BZ发送至入侵检测平台；
[0027]将数量差SC、容量差RC以及变化系数BX代入公式得到入侵系数RX，其中Qa、Qb、Qc分别为数量差SC、容量差RC以及变化系数BX的预设权重系数，且Qc＞Qa＞Qb＞2.15，且Qc＝1.24
×
(Qa+Qb)；
[0028]将入侵系数RX发送至入侵检测平台。
[0029]作为本专利技术的一种优选实施方式，所述入侵检测平台的工作过程如下：
[0030]将波动值BZ与预设波动阈值BZy进行比较：
[0031]若波动值BZ≤预设波动阈值BZy，按照i p地址将波动值BZ所对应的传输终端标记为合格访问终端；
[0032]若波动值BZ＞预设波动阈值BZy，按照i p地址将波动值BZ所对应的传输终端标记为检测访问终端，将检测访问终端发送至数据采集模块；
[0033]将入侵系数RX与预设入侵分级系数RXf进行比较：
[0034]若入侵系数RX＞入侵分级系数RXf，按照i p地址将入侵系数RX所对应的检测访问终端本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全入侵检测系统，其特征在于，包括：数据存储模块，用于将子节点与传输终端进行网络连接，并将终端信息发送至数据采集模块；数据采集模块，用于采集传输终端与子节点连接时单位时间的流量消耗的数值，获得流量参数，流量参数包括流量值和均流值，还用于采集储存在子节点内数据的数据参数，数据参数包括数量差、容量差以及变化系数，并将流量参数和数据参数发送至数据分析模块；数据分析模块，用于根据流量参数获得波动值，还用于根据数据参数获得入侵系数，并将波动值、入侵系数发送至入侵检测平台；入侵检测平台，用于根据波动值、入侵系数将传输终端划分为合格访问终端、入侵访问终端和监测访问终端，并将入侵访问终端、监测访问终端和入侵系数发送至安全防护模块；安全防护模块，用于对入侵访问终端、监测访问终端与子节点之间的连接进行限制。2.根据权利要求1所述的一种网络安全入侵检测系统，其特征在于，所述数据存储模块的工作过程如下：在网络内设置若干个子节点，子节点用于储存和传输网络内的数据；传输终端通过账号密码进行验证，验证成功后与子节点进行数据连接，传输终端包括手机、电脑，获取与子节点数据连接的传输终端的终端信息，终端信息包括传输终端的ip地址和流量消耗的数值；将终端信息发送至数据采集模块。3.根据权利要求2所述的一种网络安全入侵检测系统，其特征在于，所述数据采集模块的工作过程如下：实时采集传输终端与子节点连接时单位时间的流量消耗的数值，并将其标记为流量值；采集同一传输终端的ip地址历史数据中单位时间的流量值，并将所有的流量值求和并求取平均值，得到均流值；将流量值、均流值发送至数据分析模块；分别采集子节点与检测访问终端连接前后储存在子节点内的数据的数据储存数量、已用储存容量、数据信息，并将子节点与检测访问终端连接前的数据储存数量、已用储存容量、数据信息分别标记为前存数、前用量、前数据，将子节点与检测访问终端连接后的数据储存数量、已用储存容量、数据信息分别标记为后存数、后用量、后数据；计算前存数、后存数之间的差值，获得数量差；计算前用量、后用量之间的差值，获得容量差；将前数据一一与后数据进行比对，若前数据与后数据相同，将相同的数据标记为未变数据，若前数据与后数据不相同，将不相同的数据标记为变化数据，将未变数据、变化数据的个数分别标记为未变数和变化数，将未变数和变化数经过分析得到变化系数；将数量差、容量差以及变化系数发送至数据分析模块。4.根据权利要求3所述的一种网络安全入侵检测系统，其特征在于，所述数据分析模块的工作过程如下：将流量值、均流值经过分析得到波动值；将波动值发送至入侵检测平台；将数量差、容量差以及变化系数经过分析得到入侵系数；
将入侵系数发送至入侵检测平台。5.根据权利要求4所述的一种网络安全入侵检测系统，其特征在于，所述入侵检测平台的工作过程如下：将波动值与预设波动阈值进行比较：若波动值≤预设波动阈值，按照ip地址将波动值所对应的传输终端标记为合格访问终端；若波动值＞预设波动阈值，按照ip地址将波动值所对应的传输终端标记为检测访问终端，将检测访问终端发送至数据采集模块；将入侵系数与预设入侵分级系数进行比较：若入侵系数＞入侵分级系数，按照ip地址将入侵系数所对应的检测访问终端标记为入侵访问终端，并将入侵访问终端发送至安全防护模块；若入侵系数＜入侵分级系数，按照ip地址将入侵系数所对应的检测访问终端标记为监测访问终端，并将监测访问终端和入侵系数发送至安全防护模块。6.根据权利要求1所述的一种网络安全入侵检测系统，其特征在于，所述安全防护模块的工作过程如下：接收到入侵访问终端后将断开入侵访问终端与子节点之间的连接，并不允许入侵访问终端再次与子节点进行连接；接收到监测访问终端后限制监测访问终端与子节点之间的连接时的流量值，并将限制两者连接时的流量值的时间标记为限制时间，获...

【专利技术属性】
技术研发人员：李春旺，
申请(专利权)人：李春旺，
类型：发明
国别省市：