[发明专利]自适应网络入侵检测系统

说明书

技术领域

本发明涉及一种计算机网络入侵检测系统，特别涉及一集成异常检测技术和误用检测技术的自适应网络入侵检测系统。 

背景技术

网络入侵检测作为目前最主要的主动网络安全措施之一，它通过对计算机和网络资源上的恶意网络连接进行识别和响应，有效地补充和完善了诸如访问控制、数据加密、防火墙、病毒防范等安全措施，提高了信息安全基础结构的完整性，已成为信息系统安全解决方案中不可或缺的环节。网络入侵检测技术按其工作原理分为误用检测技术和异常检测技术两类。其中误用检测技术基于数据报文特征匹配为基础，这种检测技术准确率高，但其问题是不能发现新的入侵模式而出现漏报情况。异常检测技术则以网络连接特征、系统调用特征、网络流量特征以及系统时延特征等数据为基础，建立正常网络行为的描述模型，当用户活动与正常行为有重大偏离时即被认为是入侵，该检测技术可以发现新型网络入侵，但是存在误报率高，需要大量训练样本的问题。 

由于信息系统的运行状态是不断演化，那么反映其运行状态的特征数据的分布规律自然也会随之改变。为了获得理想的检测性能，就要求异常检测系统必须定期动态更新训练样本，并在此基础上动态更新异常检测规则。然而传统的通过网络专家人工方式收集训练样本的方法效率低下，并导致异常检测系统的应用和部署成本高昂的问题。 

发明内容

本发明要解决的技术问题是：提供一自适应网络入侵检测系统，它能够结合异常检测技术和误用检测技术，以实现检测系统自动适应运行环境的变化，并降低整个系统的应用和部署的成本。 

为解决上述技术问题，本发明的技术方案如下：系统包括报文预处理与转发模块、误用检测模块、异常响应模块、输出装置，该报文预处理与转发模块用来提取网络连接对象中的非加密报文并转发到误用检测模块，误用检测模块用来将检测到的异常网络连接对象转发到异常响应模块，其关键在于，该系统还包括实时数据库、特征数据整理与存储模块、历史数据库、半监督自适应学习模块、异常检测模块， 

报文预处理与转发模块还用来提取网络连接对象的网络连接特征向量并存储到实时数据库； 

误用检测模块还用来将非加密报文的报文检测结果存储到实时数据库； 

特征数据整理与存储模块用来定期检查和整合实时数据库中的网络连接特征向量和报文状态数据，将整理后的网络连接特征向量存储到历史数据库中；所述报文状态包括：连接标识、报文标识、是否检测以及检测结果等属性。 

半监督自适应学习模块根据历史数据库中的各种网络连接特征向量，利用半监督学习算法生成异常检测规则，且将该异常检测规则动态更新到异常检测模块中； 

异常检测模块用来分析实时数据库中的网络连接特征向量，然后将检测到的异常网络连接对象接转发至异常响应模块。 

本发明的有益效果：本发明通过使用误用检测模块的检测结果为异常检测模块生成大量的训练数据，利用半监督学习技术实现异常检测规则的动态更新， 从而提高系统的自适应能力；半监督自适应学习模块能根据历史数据库中的数据建立异常检测规则，无需大量人工标记的训练数据，从而极大降低了异常检测系统的部署成本；系统综合异常检测技术和误用检测技术对网络活动进行分析，从而提高系统的检测性能。 

附图说明

图1是本发明中的结构示意图； 

图2是网络连接特征向量数据的结构图； 

图3是特征数据整理与存储模块工作流程图； 

图4是报文检测状态数据的结构图。 

具体实施方式

下面结合附图和具体实施例对本发明作进一步的说明。 

如图1、图2所示，自适应网络入侵检测系统中包括：报文预处理与转发模块1，实时数据库2、特征数据整理与存储模块3、历史数据库4、半监督自适应学习模块5、异常检测模块6，异常响应模块7、误用检测模块8、输出装置9、输入装置10。报文预处理与转发模块1分别连接到实时数据库2和误用检测模块8，该报文预处理与转发模块用来将提取到的网络连接特征向量存储到实时数据库2，同时将网络连接对象中的非加密报文转发到误用检测模块8；该误用检测模块8将检测到的入侵事件发到异常响应模块7，误用检测模块8还将报文的检测结果存储到实时数据库(2)中。 

其中报文处理与转发模块1，采用协议分析的方式对网络连接对象进行分析，过滤掉一部分不需要分析的视频，语音等网络流量，提取出非加密和重点关注的网络连接对象，建立其对应的网络连接特征向量。所述的网络连接特征向量中至少包括：连接标识，俘获时间戳、源地址、源端口号、目的地址、目的端口号、采用的协议、异常类型。