CN101102314A - 一种基于危险模型的三级模块式入侵检测系统 - Google Patents
一种基于危险模型的三级模块式入侵检测系统 Download PDFInfo
- Publication number
- CN101102314A CN101102314A CNA2007101176769A CN200710117676A CN101102314A CN 101102314 A CN101102314 A CN 101102314A CN A2007101176769 A CNA2007101176769 A CN A2007101176769A CN 200710117676 A CN200710117676 A CN 200710117676A CN 101102314 A CN101102314 A CN 101102314A
- Authority
- CN
- China
- Prior art keywords
- template
- decision
- attack
- detection
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
一种入侵检测系统,由三级模块组成,初级检测模块、APC决策模板式检测模块和响应模块,其特征在于:APC决策模板式检测模块可通过对危险信号的关联检测未知攻击;响应模块除报警外还可根据最终检测信号自动调整检测模板。
Description
技术领域
本发明涉及一种计算机网络的模块式自适应入侵检测系统,特别涉及一种利用生物免疫系统的免疫学原理的入侵检测系统。
背景技术:
在入侵检测方法和技术的研究中,人们发现生物免疫系统(immune system)与入侵检测系统具有惊人的相似性,前者保护机体不受诸如病菌、病毒等各种病原体的侵害,而后者保护网络中的计算机主机不受或少受入侵事件的危害或威胁,两者都是使受保护对象在不断变化的环境中维持系统的稳定性。
在实际的入侵检测应用中,计算机网络的活动会在使用过程中发生变化,导致入侵检测系统存在许多问题,如误报的数量增多,检测的准确度下降等。另外,新攻击层出不穷,而有的检测方法只能对已知攻击进行识别,对新攻击无能为力;有的方法虽然能检测未知攻击,但误报率高。面对已知和未知行为都经常变化的工作环境,大多数检测系统不得不定期进行更新,以适应新的数据特征。
发明内容:
本发明提供一种建立入侵检测系统的方法,系统由初级检测模块、APC决策模板式检测模块和响应模块三级模块组成;检测前,预先根据已知的正常和攻击行为特征建立正常模板DT1和攻击模板DT2以及m个初级检测器MD1、MD2,…,MDm。收集网络中的各种行为,形成待测行为集合,并进行特征提取分组。检测时首先提取当前行为的q个特征,并分为m组;将m组特征分别输入到检测器MD1、MD2,…,MDm进行初级检测,初步判断当前行为是攻击行为还是正常行为,并输出当前行为的m个初步检测信号;当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x);将当前行为的决策轮廓向量组DP(x)分别与正常模板DT1和攻击模板DT2进行比较,通过计算DP(x)与DT1和DT2的相似度判断DP(x)与两个模板的接近程度,得出正常、攻击或可疑信号;如果为正常信号或攻击信号,则直接进入步骤6输出最终检测信号;如果相似度为可疑信号,则通过检测有无危险信号,明确当前行为的性质;输出最终检测信号,如果是“攻击”,则发出警报;根据最终检测信号的类型调整相应模板。
本发明提供的三级模块式入侵检测系统可根据新的行为特征在线调整检测模板,因而使用过程中不需要经常更新,适用于已知和未知行为都经常变化的工作环境;对于利用现有知识难以给出检测结果的情况,系统可以根据是否有危险信号做出判断,即能够关联计算机网络或计算机系统中的常见异常现象,因而误报率和漏报率低,对未知攻击的检测能力强。
附图说明:
图1为本发明的三级模块式入侵检测系统结构图
图2为本发明的三级模块式入侵检测系统的检测过程流程图
图3为本发明模板可调式自适应决策融合过程的流程图
具体实施方式
有关本发明的详细说明及技术内容,现结合附图说明如下。
首先参见图1,图1是本发明的三级模块式入侵检测系统结构。系统收集网络中的各种行为,形成待测行为集合,并进行特征提取分组。初级检测模块包括若干个检测器,用于对待测试数据进行初步测试。可以将需要检测的特征分组进行测试,让每个检测器负责检测其中的部分特征,这样所有检测器可完成对整个特征空间的检测。每个检测器会根据检测结果给出初级检测信号(正常或攻击),再由模块分别将这些信号转换成对应的行向量输出到下一级模块。APC决策模板式检测模块,用于对初级检测结果以及危险信号进行关联。检测前,预先根据已知的正常和攻击行为特征建立检测模板。检测时,首先将接收到的来自上一级模块的初级检测信号进行融合以构建当前行为的决策轮廓向量组,然后将其与两个检测模板分别进行比较,根据比较结果可得到三种信号:正常、攻击和可疑。
现参考图2,具体说明本发明的检测过程。
在开始检测之前,首先用训练数据建立正常模板DT1和攻击模板DT2以及m个初级检测器MD1、MD2,…,MDm。检测过程如下:
步骤1:提取当前行为的q个特征,并分为m组;
步骤2:将m组特征分别输入到检测器MD1、MD2,…,MDm进行初级检测,初步判
断当前行为是攻击行为还是正常行为,并输当前行为的m个初步检测信号;
步骤3:当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x);
步骤4:将当前行为的决策轮廓向量组DP(x)分别与正常模板DT1和攻击模板DT2进行比较,即通过计算DP(x)与DT1和DT2的相似度判断DP(x)与两个模板的接近程度,从而得出正常、攻击或可疑信号;
步骤5:如果为正常信号或攻击信号,即,系统通过相似度计算能够确定当前连接数据的性质(“正常行为”或是“攻击行为”)时,则直接进入步骤6输出最终检测信号;如果为可疑信号,即,不能够明确当前行为的性质,则需进一步检测有无危险信号,直至能够明确当前行为的性质;
步骤6:输出最终检测信号,如果是“攻击”,则发出警报;
步骤7:根据最终检测信号的类型调整相应模板;
步骤8:检测下一个行为,返回步骤1。
对于步骤步骤4可以通过下列方法判断产生的信号类型:
若DP(x)与DT1和DT2的相似度比较接近或者都比较小,则输出可疑信号;若DP(x)与其中一个模板的相似度远大于另一个模板且大于一定的阈值,则认为当前行为属于相似度大的模板所代表的类型,直接输出相应的类型信号:正常或攻击。
产生正常或攻击信号时,说明当前行为轮廓向量组DP(x)与正常模板DT1或攻击模板DT2的近似程度比较高,因此系统可据此直接给出明确的最终检测信号,即当前行为是正常的或是攻击的行为。产生可疑信号时,说明行为轮廓与已知模板相比得不到明确的结果,系统需要进一步判断,这一判断可以采用本领域普通技术人员熟知的各种方法和理论。通常,在出现未知攻击或已知行为发生较大改变时,多会出现可疑信号,即对于系统来说是难以判定的行为。危险信号为计算机网络或计算机系统中的常见异常现象,可通过本领域普通技术人员公知的任何一种方法来提取,不但可提醒用户注意,还可同时协助系统对当前行为做出正确判断。因此这种方法可降低误报率和漏报率,增加检测的准确度。
步骤7中,如果步骤6传来的是攻击信号,将发出报警信号,并将当前攻击行为的特征加入攻击模板,以对攻击模板进行调整;否则,如果步骤6传来的正常信号,则将特征加入正常模板,对正常模板进行调整。这样,当该行为再次出现时,由于其特征已知,检测模型会迅速给出检测结果,而不必再依赖危险信号。这种方法的好处是既提高了检测的准确度又加快了入侵检测系统对攻击做出反应的速度。
现参考图3说明步骤7对模板的调整过程。
首先,可以根据相似度通过递归调用来修正模板:
计算当前决策轮廓向量组DP(x)与各个决策模板DTi(在本发明中是正常模板DT1和攻击模板DT2)的相似度Si(在本发明中是S1和S2);
比较各个Si,从中选择最大值Smax,则具有最大值的决策模板所对应的类别即为DP(x)中x的类别。也就是说,与DP(x)最相似的决策模板的类别就是x的类别。例如,本发明中S1>S2,则正常模板DT1与DP(x)最相似,当前行为x是正常行为;
将当前行为的特征加入到其所属的模板中,形成新的模板(例如,将正常行为的特征加入到正常模板中,形成新的正常模板):
Ni=Ni+1
其中,Ni是用于建立决策模板的训练集中类别标签为i的元素个数。下次调整时分别用DTi′和Ni′代替式中的DTi和Ni。
也就是说,如果当前数据的轮廓向量组DP(x)与某个决策模板DTi的相似程度大于一定的阈值,且与其他决策模板的相似程度都比较低时,就用该轮廓特征调节与其最相似的模板。
通常情况下,训练数据都是有限的,不可能包含所有可能的数据特征,因此可以通过这种调节的方式,对模板进行修正。
其次,可以根据确定的类别调整模板:
如果当前数据的轮廓向量组DP(x)与几个决策模板DTi的相似程度近似(d=|S1-S2|<St2)或者都小于某一个相似阈值(S1,S2<St1),就用该轮廓特征调节与其最相似的模板。
一旦确定当前数据的轮廓向量组DP(x)的真正类别,就可以用该决策轮廓向量组DP(x)加入到对应类的决策模板DTi形成新的决策模板DTi′(如式1的公式),而不管DP(x)与每个模板的相似度有多么低。
Ni′=Ni+1
例如,当入侵检测系统不能根据已有知识做出判断时,会将危险信号作为判断依据。因此当危险信号出现时,说明一次攻击来临,就应该用当前DP(x)调整攻击模板。
用这种方法,可以及时将新的模式特征加入到对应类的决策模板中,使模板不再需要被重新训练,就可以学习新的特征,有利于今后对这些特征的识别,从而提高了对具有这些特征的模式的分类精度。
原决策模板算法中决策模板是预先建立的,而在使用过程中,各种模式特征有可能随时间改变,如果模板不能够随之调整的话,将会降低识别的准确度。模板可调式自适应决策融合算法的特点在于决策模板能够根据实际数据自动获得更新或修正。这意味着在长期使用过程中决策模板不再需要重新建立,特别是对于未知模式,能够逐渐将其特征加入对应的模板,达到改善对未知模式融合效果的目的。
本发明的方法可用于一个计算机系统中,该计算机系统用于入侵检测,包括数据收集模块,数据挖掘及特征提取模块,特征存储模块,检测模块,通信模块,响应模块。其中除检测模块与响应模块由本文提出的方法实现外,其他模块均与一般入侵检测系统相同。
数据收集模块用于收集网络连接数据包;
数据挖掘及特征提取模块用于从收集到的大量网络连接数据中利用数据挖掘算法挑选出频繁出现的连接数据,并根据这些数据产生一套附加的特征,然后再将特征数据转换成为ASCII格式,即成为能够描述连接信息特征的多维向量;
特征存储模块用于存放各种数据,包括建立入侵检测模型时所需要的训练用数据集、测试用数据集以及检测模板等需要保存的数据;
通信模块用于实现本系统与其他网络设备之间的通信和数据交换。
检测模块用于对处理好的连接数据进行判断和识别以区分出数据的类型,由如前所述的入侵检测模型实现,即包括了三级模块式入侵检测模型中的初级检测模块、和APC决策模板式检测模块;响应模块用于根据检测结果进行相应处理,如报警、调整检测系统,由上述三级模块式入侵检测模型中的自适应响应模块实现。
Claims (5)
1.一种入侵检测系统,由三级模块组成,初级检测模块、APC决策模板式检测模块和响应模块,其特征在于:APC决策模板式检测模块可通过对危险信号的关联检测未知攻击;响应模块除报警外还可根据最终检测信号自动调整检测模板。
2.一种入侵检测方法,检测前,预先根据已知的正常和攻击行为特征建立正常模板DT1和攻击模板DT2以及m个初级检测器MD1、MD2,…,MDm。收集网络中的各种行为,形成待测行为集合,并进行特征提取分组,其特征在于,包括:
步骤1:提取当前行为的q个特征,并分为m组;
步骤2:将m组特征分别输入到检测器MD1、MD2,…,MDm进行初级检测,初步判断当前行为是攻击行为还是正常行为,并输当前行为的m个初步检测信号;
步骤3:当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x);
步骤4:将当前行为的决策轮廓向量组DP(x)分别与正常模板DT1和攻击模板DT2进行比较,通过计算DP(x)与DT1和DT2的相似度判断DP(x)与两个模板的接近程度,得出正常、攻击或可疑信号;
步骤5:如果为正常信号或攻击信号,则直接进入步骤6输出最终检测信号;如果相似度为可疑信号,则通过检测有无危险信号,明确当前行为的性质;
步骤6:输出最终检测信号,如果是“攻击”,则发出警报;
步骤7:根据最终检测信号调整相应模板;
步骤8:检测下一个行为,返回步骤1。
3.如权利要求2所述的入侵检测方法,其中步骤4包括:
如果当前行为轮廓向量组DP(x)与正常模板DT1或攻击模板DT2的近似程度大于某一阈值,则可判断当前行为是正常行为或是攻击行为。如果当前行为轮廓向量组DP(x)与正常模板DT1或攻击模板DT2的近似程度相似,或着都小于某一个阈值,则行为轮廓向量组DP(x)发出危险信号,系统进一步判断,最终发出相应的检测信号。
4.如权利要求2所述的入侵检测方法,其中步骤7包括:
计算当前决策轮廓向量组DP(x)与各个决策模板DTi的相似度;
比较这些相似度,从中选择最大值,则具有最大值的决策模板所对应的类别为当前行为的类别;
如果当前数据的轮廓与某个决策模板的相似程度大于一定的阈值,且与其他决策模板的相似程度都比较低,则将当前行为的特征加入到其所属的模板中,形成新的决策模板。
5.如权利要求2所述的入侵检测方法,其中步骤7包括:
计算当前决策轮廓向量组DP(x)与各个决策模板DTi的相似度;比较这些相似度,如果当前数据的轮廓向量组DP(x)与几个决策模板DTi的相似度近似或者都小于某一个相似阈值,但是能够通过危险信号明确当前行为的性质时,则将当前行为的特征加入到与其最相似的模板中,形成新的模板。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101176769A CN101102314A (zh) | 2007-06-21 | 2007-06-21 | 一种基于危险模型的三级模块式入侵检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101176769A CN101102314A (zh) | 2007-06-21 | 2007-06-21 | 一种基于危险模型的三级模块式入侵检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101102314A true CN101102314A (zh) | 2008-01-09 |
Family
ID=39036405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101176769A Pending CN101102314A (zh) | 2007-06-21 | 2007-06-21 | 一种基于危险模型的三级模块式入侵检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101102314A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN109547504A (zh) * | 2019-01-25 | 2019-03-29 | 黑龙江大学 | 一种移动传感器网络入侵检测与自适应响应方法 |
| CN115454781A (zh) * | 2022-10-08 | 2022-12-09 | 杭银消费金融股份有限公司 | 基于企业架构系统的数据可视化展现方法及系统 |
-
2007
- 2007-06-21 CN CNA2007101176769A patent/CN101102314A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN108092948B (zh) * | 2016-11-23 | 2021-04-02 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN109547504A (zh) * | 2019-01-25 | 2019-03-29 | 黑龙江大学 | 一种移动传感器网络入侵检测与自适应响应方法 |
| CN109547504B (zh) * | 2019-01-25 | 2021-05-25 | 黑龙江大学 | 一种移动传感器网络入侵检测与自适应响应方法 |
| CN115454781A (zh) * | 2022-10-08 | 2022-12-09 | 杭银消费金融股份有限公司 | 基于企业架构系统的数据可视化展现方法及系统 |
| CN115454781B (zh) * | 2022-10-08 | 2023-05-16 | 杭银消费金融股份有限公司 | 基于企业架构系统的数据可视化展现方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
| CN104486141B (zh) | 一种误报自适应的网络安全态势预测方法 | |
| CN106022229B (zh) | 基于视频运动信息特征提取与自适应增强算法的误差反向传播网络的异常行为识别方法 | |
| CN105303661B (zh) | 基于指纹和指静脉识别的智慧社区系统及方法 | |
| CN104538041A (zh) | 异常声音检测方法及系统 | |
| CN108062349A (zh) | 基于视频结构化数据及深度学习的视频监控方法和系统 | |
| KR20160095856A (ko) | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN109633369B (zh) | 一种基于多维数据相似性匹配的电网故障诊断方法 | |
| CN113242259B (zh) | 网络异常流量检测方法及装置 | |
| CN107276805A (zh) | 一种基于入侵检测模型的样本预测方法、装置及电子设备 | |
| Maglaras et al. | Ocsvm model combined with k-means recursive clustering for intrusion detection in scada systems | |
| CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
| CN104483562B (zh) | 电力设备预警方法和装置 | |
| CN103592587A (zh) | 基于数据挖掘的局部放电诊断方法 | |
| CN107241358A (zh) | 一种基于深度学习的智能家居入侵检测方法 | |
| CN103761832A (zh) | 一种可穿戴人体碰撞预警防护装置及其预警防护方法 | |
| CN113127857B (zh) | 针对对抗性攻击的深度学习模型防御方法及深度学习模型 | |
| CN110138786A (zh) | 基于SMOTETomek和LightGBM的Web异常检测方法及系统 | |
| CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
| CN103996045A (zh) | 一种基于视频的多种特征融合的烟雾识别方法 | |
| CN105806400A (zh) | 一种消防栓安全状态智能监测方法及系统 | |
| CN106228106B (zh) | 一种改进的实时车辆检测过滤方法及系统 | |
| CN101102314A (zh) | 一种基于危险模型的三级模块式入侵检测系统 | |
| CN111741471A (zh) | 基于csi的入侵检测方法、装置及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080109 |