[发明专利]一种基于IDES和NIDES的防黑客入侵方法

权利要求书

1.一种基于IDES和NIDES的防黑客入侵方法，其特征在于，该方法包括以下步骤：

获取数据集，NIDES系统对被监控网段内的数据进行采集后获取数据集；

建立入侵检测模型，通过深度神经网络深度学习并训练数据集后建立入侵检测模型；

获取审计数据，通过部署在网络网口的IDES系统对目标主机进行监测，以获取该主机的审计数据；

入侵预警与防御，入侵检测模型对获取的审计数据进行数据解析，判断是否存在入侵行为，并在发现入侵事件时，做出主动防御行为。

2.根据权利要求1所述的基于IDES和NIDES的防黑客入侵方法，其特征在于，所述入侵预警与防御中判断是否存在入侵行为具体包括：

所述入侵监测模型对审计数据进行解析，将接收的审计记录转换为通用审计记录格式的审计数据；

所述入侵监测模型从数据库中调取相关的档案内容，并与转换后的审计数据进行比对，当数据差较大时，判断为存在入侵行为，否则为不存在入侵行为。

3.根据权利要求2所述的基于IDES和NIDES的防黑客入侵方法，其特征在于，所述的与转换后的审计数据进行比对具体包括：

将转换后的审计数据解析为固定格式的变量向量；

将转换后的审计数据对应的变量向量与档案内容的变量向量相比对；当转换后的审计数据对应的变量向量所确定的N维空间中的点与档案内容的变量向量的点不同时，判断为存在入侵行为，否则为不存在入侵行为。

4.根据权利要求1所述的基于IDES和NIDES的防黑客入侵方法，其特征在于，所述IDES系统包括与所述目标主机建立交互的邻域接口、基于统计分析方法监测所述目标主机系统上活动行为并描述行为特征的统计异常检测器、基于规则分析方法并通过已知知识监测所述目标主机系统上活动行为并判断入侵性质的专家系统异常检测器、用于满足多种类型用户提供需求的用户接口。

5.根据权利要求4所述的基于IDES和NIDES的防黑客入侵方法，其特征在于，所述已知知识包括已知的系统脆弱性知识、己知入侵模式的信息、已知的入侵相关的直觉知识。

6.根据权利要求1所述的一种基于IDES和NIDES的防黑客入侵方法，其特征在于，所述审计数据包括文件访问数据、系统访问数据、资源消耗数据、进程创建命令的调用数据。

7.根据权利要求1所述的一种基于IDES和NIDES的防黑客入侵方法，其特征在于，所述NIDES系统包括审计数据生成组件、审计数据收集组件、统计分析组件、基于规则分析组件、解析器组件、安全管理员用户接口组件；所述审计数据生成组件用于从目标主机的安全审计文件和记账文件中生成反映主机上不同用户活动情况的审计记录，所述审计数据收集组件用于收集多个主机生成的审计记录，所述统计分析组件用于检测伪装的非法用户，所述基于规则分析组件用于检测已知的入侵行为，所述解析器组件用于分析来自统计分析组件和基于规则分析组件的入侵警报，并发出非冗余警报，所述安全管理员用户接口组件对系统进行实时防御操作并对审计数据进行管理。

8.根据权利要求1所述的一种基于IDES和NIDES的防黑客入侵方法，其特征在于，所述主动防御行为包括发送阻断已建立连接的数据包、自动配置防火墙访问控制链表的数据包、自动配置路由器访问控制链表的数据包、自动配置交换机访问控制链表的数据包。