[发明专利]一种网络入侵检测系统及方法

权利要求书

1.一种网络入侵检测系统，其特征在于，包括：

数据采集模块，用于获取网络统计数据；

数据预处理模块，将数据转换为便于数据分析处理的格式；

数据差异性分析模块和规则库，所述数据差异性分析模块将数据与规则库中的数据对比，区分具有入侵行为的数据和正常行为的数据，将与规则库中的数据不匹配的数据根据PSO-based K-means算法进行挖掘，提取新的规则，加入规则库中；

规则评估模块，所述规则评估模块用于存储数据采集模块产生的异常模式和正常行为的轮廓，并对规则、算法的阈值或参数进行修订；

响应模块，根据数据差异性分析的结果，当检测到符合入侵行为规则的数据，发出报警信息。

2.如权利要求1所述的一种网络入侵检测系统，其特征在于：所述数据采集模块包括探测器、数据接收器和SNMP网络管理系统，所述探测器截获并读取位于OSI协议模型中各个协议层上的数据包，所述数据接收器获取及接收目的IP地址不是本地主机的数据包，所述SNMP网络管理系统通过轮询的方式获取网络数据。

3.如权利要求1所述的一种网络入侵检测系统，其特征在于：所述规则库包括入侵行为规则库和正常行为规则库。

4.如权利要求1所述的一种网络入侵检测系统，其特征在于：所述规则评估模块包括特征规则库和知识库，所述特征规则库用于存放由PSO-based K-means算法进行数据挖掘提取出的正常模式和异常模式的轮廓，所述知识库用于存放用于与数据进行匹配的正常模式和异常模式的轮廓。

5.一种网络入侵检测的方法，其特征在于，包括以下步骤：

截获并阅读位于OSI协议模型中各个协议层上的数据包，接收并筛选目的IP地址不是本地主机的数据包，获取网络统计数据；

对数据进行预处理，将数据转化成适合PSO-based K-means算法运算的格式；

将数据与规则库中的数据对比，区分具有入侵行为的数据和正常行为的数据，将与规则库数据匹配不成功的数据保留下来加入到待挖掘数据集中；再利用PSO-based K-means算法对待挖掘数据集中的数据进行挖掘分析，从中提取新的规则并加入到规则库中，检测结果提交响应模块并存入知识库；

对规则、算法的阈值或参数进行修订；

当检测到符合入侵行为规则的数据，发出报警信息。

6.如权利要求5所述的一种网络入侵检测的方法，其特征在于：进行预处理的数据是通过SNMP网络管理系统获取的初始的MIB信息。