[发明专利]基于序列模式挖掘的程序级入侵检测系统和方法有效
| 申请号: | 200510056935.2 | 申请日: | 2005-03-23 |
| 公开(公告)号: | CN1649312A | 公开(公告)日: | 2005-08-03 |
| 发明(设计)人: | 田新广;隋进国;李学春;王辉柏;邹涛 | 申请(专利权)人: | 北京首信科技有限公司 |
| 主分类号: | H04L12/24 | 分类号: | H04L12/24;G06F17/30 |
| 代理公司: | 北京德琦知识产权代理有限公司 | 代理人: | 夏宪富 |
| 地址: | 100016北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于序列模式挖掘的程序级入侵检测系统和方法,该系统由控制模块、数据采集和预处理模块、训练模块、存储模块、检测模块、检测结果输出模块组成,配置在需要监控的服务器上。该系统采用基于数据挖掘的异常检测技术,通过监控网络服务器中特权程序的运行情况来检测网络中的各种攻击活动;即以特权程序运行时所产生的系统调用作为审计数据,利用数据挖掘技术中的序列模式表示一个特权程序的正常行为,根据序列的支持度或可信度在训练数据中挖掘正常序列模式,并建立相应的正常序列模式库;检测时通过将当前序列模式和正常序列模式进行比较和匹配来识别攻击行为,以便引起网络安全管理员的密切注意和采取相应的处理措施来保证安全。 | ||
| 搜索关键词: | 基于 序列 模式 挖掘 程序 入侵 检测 系统 方法 | ||
【主权项】:
1、一种基于序列模式挖掘的程序级入侵检测系统,该系统配置在需要监控的网络服务器上,利用特权程序运行时所产生的系统调用作为审计数据,通过监控网络服务器中特权程序的运行情况,采用基于数据挖掘的异常检测技术来检测网络服务器中是否发生入侵;其特征在于:所述系统包括有:控制模块,负责设置系统的工作状态和各种参数,并对数据采集和预处理模块、训练模块、检测模块和整个系统的运行进行控制;数据采集和预处理模块,负责从服务器中获取原始的训练数据或审计数据,即程序运行过程中所产生的系统调用,并将这些原始训练数据或审计数据进行预处理,滤除系统调用的参数后,分别送入训练模块或检测模块,用于训练或检测;训练模块,负责利用训练数据进行训练,建立正常序列模式库;存储模块,用于存储训练模块所建立的正常序列模式库,并在检测时,供检测模块进行检索比较;检测模块,负责利用审计数据进行检测,产生包括但不限于判决值和/或报警信息的检测结果;检测结果输出模块,负责显示检测模块产生的判决值,并根据检测模块的报警信息对攻击行为进行报警。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京首信科技有限公司,未经北京首信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200510056935.2/,转载请声明来源钻瓜专利网。
- 上一篇:透明光-电-光开关
- 下一篇:具有触控功能的平面显示器及其形成方法
