[发明专利]一种基于数据挖掘的网络入侵检测系统及方法

摘要

本发明为一种基于数据挖掘的网络入侵检测系统及方法，系统包括：数据包捕获模块、数据包分析模块、碎片重组模块、数据挖掘模块、协议分析模块、报警响应模块和规则解析模块。本发明有效结合了数据挖掘技术和协议分析技术，提高了检测的精确性和可靠性，同时利用数据挖掘技术处理海量数据，实现实时响应。

主权项

一种基于数据挖掘的网络入侵检测系统，其特征在于，包括：数据包捕获模块，用于捕获网络中的数据包，将捕获到的数据包按类型进行分类，丢弃不符合的数据包并生成丢弃数据包报告信息发送到报警响应模块，然后将分类和丢弃处理后的数据包发送到数据包分析模块；数据包分析模块，用于对数据包捕获模块传来的数据包进行数据报格式分析，判断当前数据包是否是完整数据包，如果是则直接将完整数据包发送到数据挖掘模块，否则调用碎片重组模块对碎片数据包进行重组；碎片重组模块，用于对碎片数据包进行重组，将重组还原成的完整数据包发送到数据挖掘模块，将不能重组还原成完整数据包的相应碎片数据包丢弃，并生成丢弃碎片数据包报告信息发送到报警响应模块；数据挖掘模块，用于对完整数据包进行数据挖掘，生成新的关联规则发送到报警响应模块”，所有数据包完成数据挖掘后并生成数据挖掘报告信息发送到报警响应模块，然后将数据包发送到协议分析模块；协议分析模块，根据从规则库解析出来的协议，利用协议的特征对数据包进行协议分析，如果当前数据包和规则库中协议的某种特征匹配，则发送报警信息到报警响应模块，当对所有数据包完成协议分析后，生成协议分析报告信息发送到报警响应模块；报警响应模块，根据数据包捕获模块、碎片重组模块、数据挖掘模块和协议分析模块传来的报告信息生成报警信息，对协议分析模块传来的报警信息进行实时响应，同时，判断是否将数据挖掘模块所新生成的关联规则保存到规则库中；规则解析模块，用于使用入侵事件描述语言将定义好的规则库从文件中读取出来，然后进行解析，读入内存，同时用于将新的攻击模式或规则写入规则库中。