[发明专利]一种基于数据挖掘的洪泛攻击检测系统

权利要求书

1.一种基于数据挖掘的洪泛攻击检测系统，其特征是，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块；

所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区；

所述攻击检测分类模块与MIB数据存储区相连接；

所述脱机模块包括关联规则挖掘模块和C4.5学习模块；所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习；所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征；

所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。

2.根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述SNMP MIB发生器模块根据网络流量数据产生MIB信息；所述MIB更新检测模块用于收集ifInOctets，确定检测系统的激活时间并更新MIB数据存储区；所述MIB数据储存区模块存储C4.5学习模块中的数据；所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。

3.根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述攻击检测分类模块设置有两层，第一层分类出正常流量和攻击流量，用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量；第二层将所有被当作洪泛攻击的攻击流量按照流量数据包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。

4.根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述管理模块用于实施检测洪泛攻击，检测有关分类类型的详细信息，建立用于入侵检测和响应系统的策略。