[发明专利]一种基于数据挖掘的洪泛攻击检测系统

说明书

技术领域

本发明涉及一种基于数据挖掘的洪泛攻击检测系统，属于数据安全技术领域。

背景技术

计算机网络规模的日趋增大，使得发生网络攻击的机会不断增大，而且攻击过程也越来越不易被发现，尤其是随着网络种类的增多，攻击检测变得日益具有挑战性。攻击检测技术是用来发现外部攻击与合法用户滥用特权的一种方法，它通过从计算机网络或计算机系统中的若干关键信息点或关键网段收集信息，并对其进行分析，以识别网络或系统中的违规行为和遭受攻击的迹象，从而完成对网络攻击的探测、预警、评估、响应和恢复。它利用攻击者的蛛丝马迹，如试图登录的失败记录，试图连接特定文件、程序和其它资源的失败记录，或通过监视某些特定指标如CPU、内存、磁盘的不寻常活动等，有效地发现来自外部或内部的非法攻击。

已经有一些研究使用SNMP MIB的数据进行入侵检测。Jun等人开发了一个名为MAID的系统，此系统使用SNMP MIB-II数据进行异常检测。他们从四组MIB-II(Interface，IP，TCP，UDP)中定期收集27个MIB变量，并把它们转换成一个概率密度函数(PDF)来计算统计相似性指标，并把指标作为攻击分类器的输入数据。Puttini等人将相关的贝叶斯分类应用到SNMP MIB变量中来检测在MANET中的异常网络流量行为。Ramah等人在Shyu等人提出的基于无监督异常检测方案的基础上开发了一个使用从一个PCA上衍生的使用周期性SNMP数据采集的异常检测系统。然而，由于洪泛攻击种类众多，而且具备速度快、欺骗性强等特征，现存的理论和方法只能针对特定的攻击途径进行有限程度的检测和防御，仍然需要进一步的研究和发掘更为有效的措施来应对洪泛攻击带来的威胁。

现有的网络攻击检测系统在提取用户行为特征以及建立检测模型时，由于没有很好地利用数据挖掘技术，所提取的正常和攻击行为特征不能很好地反映实际情况，因此建立的攻击检测模型不够完善，容易造成误警和漏警，给网络系统带来损失。

发明内容

为解决现有技术的不足，本发明的目的在于提供一种基于数据挖掘的洪泛攻击检测系统，通过构建以C4.5算法为基础的两级分层结构，检测出正常流量中的攻击，并识别出攻击类型。

为了实现上述目标，本发明采用如下的技术方案：

一种基于数据挖掘的洪泛攻击检测系统，其特征是，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块；

所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区；

所述攻击检测分类模块与MIB数据存储区相连接；

所述脱机模块包括关联规则挖掘模块和C4.5学习模块；所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习；所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征；

所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。

前述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述SNMP MIB发生器模块根据网络流量数据产生MIB信息；所述MIB更新检测模块用于收集ifInOctets，确定检测系统的激活时间并更新MIB数据存储区；所述MIB数据储存区模块存储C4.5学习模块中的数据；所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。

前述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述攻击检测分类模块设置有两层，第一层分类出正常流量和攻击流量，用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量；第二层将所有被当作洪泛攻击的攻击流量按照流量数据包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。

前述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述管理模块用于实施检测洪泛攻击，检测有关分类类型的详细信息，建立用于入侵检测和响应系统的策略。

本发明所达到的有益效果：本系统基于数据挖掘技术，以C4.5算法为基础，从大量的网络流量中准确提取洪泛攻击的特征，建立洪泛攻击检测模型，提高洪泛攻击检测的准确度。

附图说明

图1是本发明的系统结构示意图；

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本系统通过运用数据挖掘技术，从大量的网络流量中准确提取洪泛攻击的特征，并构建攻击检测模型，以此提高洪泛攻击检测的准确度。